【精彩回顾】9/14北京数据出境

2022-09-21 11:34


从2016年GDPR带起了全球数据流动严审的节奏,各国陆续推出自家的个人信息保护和数据跨境传输相关的法律法规,2017年中华人民共和国网络安全法实施,2021年中华人民共和国数据安全法实施,2022年中华人民共和国个人信息保护法实施,就此,三大上位法系数到位!


上位法自然只是战略层级的定位,对于公司法务,要在实操层面做好数据合规工作,还是要研究下位的行政法规,比如关键信息基础设施安全保护条例、网络数据安全管理条例(征求意见稿);部门规章,比如汽车数据安全管理若干规定(试行)、网络安全审查办法、数据出境安全评估办法、个人信息出境标准合同(征求意见稿);国标,比如GB/T 35273-2020 信息安全技术 个人信息安全规范、GB/T 41479-2022 信息安全技术 网络数据处理安全要求、GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南、GB/T 37964-2019 信息安全技术 个人信息去标识化指南,等等。

尤其对于外资企业,近期出台的数据出境类法律规制更是重点中的重点,故此,9月14日,LEB携手世辉律师事务所开展《数据出境安全评估和法律文件准备》线下分享会。

640.png

640.png

提到外资在华企业,通常有独立的IT运维部门,并采购有强壮的IT系统,鉴于公司治理层面对控制权的掌握,一般来说,所在在华产生的数据,不经分类、不经过滤、不经审查,一并与国外总部共享。

这造成,即使业务量有限,在华员工不多的外资公司,也经常会将超过万级的数据传输到海外,其中员工数据、业务数据、客户数据、工业数据混杂在一起,甚至包括不少隐私数据,很容易就达到10万数据量和1万隐私数据量的传输门槛,尤其是汽车、金融、医疗医药行业,更容易触发数据出境安全评估的门槛。
当企业打定主意要申报数据出境安全评估时,才发现原来各业务部门,甚至IT部门,对企业的各大系统和IT架构并不是特别了解,到底要不要调整,是否必须本地化、时间周期和成本、牵头方和工作量、优先级排序。。。这些都很难摸清楚理顺。
业务部门也会反问法务部门,针对于申报这个项目进行评估,评估安全评估通过的可能性,申请提交的时间、通过或否决的主要因素、缓冲方案等等,可不少公司法务对此也是一知半解。
公司法务们常会思考是否可以退而求其次,不进行数据出境安全评估,而是仅在数据出境场景发生时,与相对方签署数据出境标准合同,可是这个标准合同怎么签署?境外相对方公司法务审查合同后能不能接受严苛的条款?都是不确定的,而且标准合同条款比较严苛,可能大部分境外法务对标准合同条款不理解/有疑虑,会拒绝签署,这就非常考验数据出境与其他内部制度的协调。
当然,还需要分析在华机构和母公司之间的人力资源管理关系、合规调查和政策区隔、以及可能产生的跨境诉讼。

640 (3).jpg

640 (1).jpg

640 (2).jpg

640.jpg


推荐新闻
会员升级
会员升级