為進一步落實《中華人民共和國個人信息保護法》(下稱“《個保法》")、《中華人民共和國網絡安全法》和《中華人民共和國數據安全法》,國家互聯網信息辦公室制定的《數據出境安全評估辦法》(下稱“《評估辦法》")已於2022年9月1日正式實施,並發佈了《數據出境安全評估申報指南(第一版)》(以下稱“《申報指南》),以填補《評估辦法》的實際執行及操作細節。《申報指南》對數據出境安全評估的申報方式、申報流程、申報材料等具體要求作出了說明,並提供了數據出境安全評估申報材料、經辦人授權委託書、數據出境安全評估申報書、數據出境風險自評估報告的範本。
個人資料保護辦公室(下稱“個資辦")呼籲本澳企業了解相關規定,確保依法處理涉及內地跨境的個人資料,而為讓本澳各界了解《評估辦法》的相關規定,個資辦已開展相應合規講解工作,並整理以下重點,供公眾參考:
- 數據出境活動包括:
- 數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外;
- 數據處理者收集和產生的數據存儲在境內,境外的機構、組織或者個人可以訪問或者調用。
- 適用範圍屬下列任一種情況:
- 向境外提供重要數據;
- 關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息;
- 自2020年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息;
- 國家網信辦規定的其他情形,則符合數據出境安全評估的適用。
- 重要數據的定義:一旦遭到篡改、破壞、洩露或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。
除了上述的重點外,部分法律定義與本澳慣常使用的有所區別,例如敏感資料(內地稱為“敏感信息”)的定義;數據處理者亦須確保個人信息的出境過程符合《個保法》及相關法規的要求。
《評估辦法》設立了半年的過渡期(至2023年3月1日),讓數據處理者對2022年9月1日前開展的數據出境活動進行整改,以便相關的處理符合《評估辦法》的相關規定。如本澳的企業、機構訪問或調用設於內地的資訊設備系統的數據,且有關數據處理適用《評估辦法》所訂明的情況,應盡快檢視相關規定對其數據出境活動的影響,做好合規審查以符合相關的監管要求和法定義務,避免數據不法出境。有關《評估辦法》的詳細內容,歡迎瀏覽個資辦網頁中的“協助中小企等機構做好《中華人民共和國個人信息保護法》合規工作專頁”(https://www.gpdp.gov.mo/featuredsites/notification/main.html)。
查看圖庫