简要分析公司应如何向境外传输个人数据
数据安全——如今我们每个人都反复听到这个术语。如何保存个人数据?我可以向谁提供我的数据?当我向第三方提供我的个人数据时,我需要考虑什么?这些都是人们在个人生活或工作中会遇到的常见问题。
了解何为本地数据安全已经是一个难点,那么向其他国家传输数据又该如何操作?以中国为例:《个人信息保护法》对向境外提供个人敏感信息做出了系列的规定,与德国的数据安全系统(DSGVO:“Datenschutzgrundverordnung”)有一定的相似之处。以下段落我们将简要介绍公司这一程序的法律框架,重点关注欧盟以外(德国和中国之间)的数据传输。
中国 – 《个人信息出境标准合同办法》对企业的影响:
2021年《个人信息保护法》生效实施,该法对向境外提供个人敏感信息作出了系列的规定,如个人信息跨境需要具备其中一项前提条件,即国家网信部门安全评估,专业机构进行个人信息保护认证,与境外接收方订立标准合同等。
2023年2月24日网信办颁布《个人信息出境标准合同办法》,该合同办法于2023年6月1日起实时生效,明确了个人信息出境标准合同的订立、备案等要求,为前者所述的“标准合同”提供了落地蓝本。
那么,对于存在个人信息跨境需求的企业,需要注意哪几点,ECOVIS瑞德中国为您简要分析:
Q:如何理解“个人信息跨境的合规性”?
A:《个人信息保护法》规定”自上年1月1日起累计向境外提供个人信息不满10万人、提供敏感个人信息不满1万人”可以通过签订《标准合同》的方式开展个人信息出境活动。
对于我们客户的影响,简单来说,公司把员工个人信息提供给境外母公司或国际人力资源公司等,需要在员工同意的基础上按上述《办法》后附的标准合同先与境外公司签订合同。
Q:如何定义“个人敏感信息”?
A:《个人信息保护法》规定将敏感个人信息定义为一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,同时列举了敏感个人信息的种类,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
对于企业而言,我们提醒客户需要尤为注意护照,金融账户等个人敏感信息。
Q:个人信息出境需要具备何种前提条件?
A:个人信息出境需要具备其中任一前提条件:
- 通过国家网信部门组织的安全评估
- 经过专业机构进行个人信息保护认证
- 按照国家网信部门制定的标准合同与境外接收方订立合同
- 法律、行政法规或国家网信部门关于个人信息出境的其他规定条件
Q:《标准合同》的规定
A:《办法》第六条第一款规定:“标准合同应当严格按照本办法附件订立。国家网信部门可以根据实际情况对附件进行调整”
对此我们可以理解为,不得修改《标准合同》的条款,但可在标准合同基础上增加不冲突条款。
《个人信息出境标准合同办法》的颁布,无疑是加强了对于有个人信息出境需求企业的义务,以保护个人信息。ECOVIS瑞德中国建议企业,从公司的业务持续和稳定发展来看,应重视该办法的法律条款,避免企业出现因未满足监管要求而被要求终止数据出境的情况,甚至因此承担相应的法律责任。
德国 – 数据安全系统(DSGVO:“Datenschutzgrundverordnung”)
DSGVO规定:欧洲以外的国家被认为不具备德国数据安全法规定的数据安全级别。因此,国际数据传输将会受到DSGVO的限制,只有当接收国具有适当的安全级别时,才允许个人数据进行传输。那么,根据德国数据安全法,个人数据究竟指的是什么?
Q:个人数据是如何定义的?
A:个人数据是指可以追溯到自然人身上的信息。不仅包括外部特征或性格特征,还包括网络电子数据,例如:姓名、各类身份数据,地点;个人特征包括身体、心理、经济、文化和社会特征等。法律还规定了个人数据和敏感个人数据之间的区别。同时还特别规定了特殊种类的个人数据,是指关于种族血统、政治观点、宗教或哲学信仰、党派、健康情况或者性取向的信息。
Q:如何将数据传输到第三国?
A:DSGVO有不同的方法来定义从欧盟到第三国的数据传输。一般来说,通过欧盟委员会的决议,可以判断第三国是否具有所需的安全级别。如果具备足够安全级别,则公司可以将数据传输到第三国,数据输出方不需要满足任何额外要求。
相反,如果并不具备足够的安全级别,则需要提供担保。
Q:将个人数据提供给第三人而不是第三国怎么办?
A:德国DSGVO明确了将个人信息转移给第三方的基本原则,即,只有在数据所属人员主动同意的情况下,才能将他人的数据发送给第三方。
将个人数据传递给第三方需要获得数据所属人员的批准;否则是不允许的。在特殊情况下,为防止非法窃听数据,可以对信息进行加密或分离。如果数据已过时且不再被委托用于特定目的,则必须删除这些数据。
更多讯息请关注我们的瑞德新闻。
如果您需要我们的协助和支持,也请随时联系ECOVIS瑞德中国或ECOVIS海德堡办公室!