Tiempo de implementación del método de evaluación de la seguridad de la exportación de datos
El responsable pertinente de la Administración del Ciberespacio de China afirmó que la promulgación de las "Medidas" tiene como objetivo implementar las disposiciones de la Ley de Ciberseguridad, la Ley de Seguridad de Datos y la Ley de Protección de Información Personal, regular la exportación de datos. actividades, proteger los derechos de información personal y mantener la seguridad nacional y los intereses sociales, promover el flujo libre y seguro de datos a través de las fronteras, garantizar el desarrollo con seguridad y promover la seguridad con desarrollo.
En los últimos años, con el vigoroso desarrollo de la economía digital, las actividades transfronterizas de datos se han vuelto cada vez más frecuentes y la demanda de exportación de datos de los procesadores de datos ha aumentado rápidamente. Es necesario aclarar las regulaciones específicas sobre la evaluación de la seguridad de las exportaciones de datos para promover el desarrollo saludable de la economía digital, prevenir y resolver riesgos transfronterizos de seguridad de los datos, salvaguardar la seguridad nacional y los intereses sociales, y proteger los derechos e intereses de la información personal. Las Medidas estipulan el alcance, las condiciones y los procedimientos para la evaluación de la seguridad de la exportación de datos y brindan orientación específica para la evaluación de la seguridad de la exportación de datos.
Las "Medidas" estipulan claramente que estas Medidas se aplican a la evaluación de seguridad de datos importantes e información personal recopilados y generados por los procesadores de datos durante sus operaciones dentro del territorio de la República Popular China. Se propone que la evaluación de la seguridad de la exportación de datos se adhiera a los principios de combinar la evaluación previa con la supervisión continua y combinar la autoevaluación de riesgos con la evaluación de la seguridad.
Base legal
El artículo 1 de las Medidas de evaluación de la seguridad transfronteriza de datos tiene como objetivo regular las actividades transfronterizas de datos, proteger los derechos e intereses de la información personal, salvaguardar la seguridad nacional y los intereses sociales. y promover el flujo libre y seguro de datos a través de las fronteras. Esta ley está formulada de acuerdo con la Ley de Ciberseguridad de la República Popular China, la Ley de Seguridad de Datos de la República Popular China y la Ley de Protección de Información Personal de la República Popular China. República de China.
Artículo 2: Estas Medidas se aplican a la evaluación de seguridad de datos importantes e información personal recopilados y generados por procesadores de datos dentro del territorio de la República Popular China. Si las leyes y reglamentos administrativos dispusieran lo contrario, prevalecerán dichas disposiciones.
Artículo 3: La evaluación de la seguridad de la exportación de datos deberá adherirse a la combinación de evaluación previa y supervisión continua, autoevaluación de riesgos y evaluación de la seguridad, para prevenir riesgos de seguridad de la exportación de datos y garantizar el flujo ordenado y libre de datos en conforme a la ley.
Artículo 4 Cuando los procesadores de datos proporcionen datos en el extranjero, si ocurre alguna de las siguientes circunstancias, deberán informar la evaluación de seguridad de la exportación de datos al departamento nacional de ciberseguridad e informatización a través del departamento provincial de ciberseguridad e informatización local:
(1) Los procesadores de datos proporcionan datos importantes en el extranjero;
(2) Los operadores de infraestructura de información crítica y los procesadores de datos que manejan la información personal de más de 654,38 millones de personas proporcionan información personal en el extranjero;
(3) Procesadores de datos que han proporcionado información personal de 654,38+ millones de personas o información personal sensible de 654,38+0 millones de personas a países extranjeros desde 654,38+0 del año anterior
(4) Otras situaciones en las que el departamento nacional de ciberseguridad e informatización exige una declaración de evaluación de la seguridad de la exportación de datos.
Artículo 5 Los procesadores de datos deben realizar una autoevaluación de los riesgos de salida de datos antes de solicitar una evaluación de seguridad de salida de datos, centrándose en los siguientes asuntos:
(1) Parte exportadora de datos y en el extranjero La legalidad, legitimidad y necesidad del propósito, alcance y método de procesamiento de los datos por parte de la parte receptora;
(2) La escala, alcance, tipo y sensibilidad de los datos salientes, así como la posible consecuencias de los datos para la seguridad nacional y los intereses de salud pública y los riesgos que conllevan los derechos e intereses legítimos de individuos u organizaciones;
(3) Las responsabilidades y obligaciones asumidas por el destinatario en el extranjero, y si la gestión y las medidas y capacidades técnicas para cumplir con las responsabilidades y obligaciones pueden garantizar la seguridad de los datos salientes.
(4) El riesgo de que los datos sean manipulados, destruidos, filtrados, perdidos, transferidos u obtenidos y utilizados ilegalmente; durante y después de salir del país, y si los canales para proteger los derechos e intereses de la información personal son fluidos;
(5) Si el contrato relacionado con la exportación de datos u otro documento legalmente vinculante (en lo sucesivo, el contrato legal documento) firmado con el destinatario en el extranjero estipula completamente las responsabilidades y obligaciones de la protección de la seguridad de los datos;
(6) Otros Asuntos que pueden afectar la seguridad de la exportación de datos.
El artículo 8, la evaluación de la seguridad de la exportación de datos se centra en los riesgos que las actividades de exportación de datos pueden conllevar para la seguridad nacional, los intereses públicos y los derechos e intereses legítimos de personas u organizaciones, incluidos principalmente los siguientes elementos:
( 1) La legalidad, legitimidad y necesidad del propósito, alcance y método de exportación de datos;
(2) Las políticas, regulaciones y entorno de seguridad de la red de protección de datos del país o región. dónde se encuentra el destinatario en el extranjero tiene un impacto negativo en la exportación de datos El impacto en la seguridad si el nivel de protección de datos del destinatario en el extranjero cumple con los requisitos de las leyes, regulaciones administrativas y estándares nacionales obligatorios de la República Popular China;
(3) La escala, el alcance, el tipo y la sensibilidad de los datos salientes, y el riesgo de ser manipulados, destruidos, filtrados, perdidos, transferidos u obtenidos o utilizados ilegalmente durante y después de salir del país. ;
(4) Si los derechos e intereses de la seguridad de los datos y la información personal pueden protegerse total y efectivamente;
(5) Si los documentos legales que se firmarán entre el procesador de datos y el el destinatario en el extranjero estipula plenamente las responsabilidades y obligaciones de la protección de la seguridad de los datos;
Cumplir con las leyes, regulaciones administrativas y normas departamentales chinas.
(7) Otros asuntos que el departamento nacional de ciberseguridad e informatización; considere necesario evaluar.
Artículo 9 Los procesadores de datos deberán estipular claramente las responsabilidades y obligaciones de protección de la seguridad de los datos en los documentos legales firmados con destinatarios en el extranjero, incluyendo al menos el siguiente contenido:
(1) Datos Los propósito, método y alcance de la exportación de datos, el propósito y método de procesamiento de datos por parte del destinatario extranjero;
(2) La ubicación y el período de almacenamiento de datos en el extranjero, y una vez alcanzado el período, el propósito acordado se completa o se cancela el documento legal Medidas de procesamiento saliente;
(3) Requisitos vinculantes para que los destinatarios en el extranjero transfieran datos salientes a otras organizaciones e individuos;
(4) Control real o negocio del destinatario en el extranjero Medidas de seguridad que se deben tomar cuando hay un cambio sustancial en el alcance, o cuando circunstancias de fuerza mayor, como cambios en las políticas y regulaciones de protección de seguridad de datos y el entorno de seguridad de la red en el país o región, hacen que sea difícil garantizar la seguridad de los datos;
(5) Violación de documentos legales Recursos, responsabilidad por incumplimiento de contrato y métodos de resolución de disputas para las obligaciones de protección de seguridad de datos acordadas;
(6) Manejo adecuado de emergencia cuando los datos salientes son manipulados, destruidos, filtrados, perdidos, transferidos u obtenidos o utilizados ilegalmente requisitos y formas y medios para proteger los derechos e intereses de la información personal.
Artículo 10: Después de aceptar la declaración, el departamento nacional de ciberseguridad e informatización organizará los departamentos pertinentes del Consejo de Estado, los departamentos provinciales de ciberseguridad e informatización y las agencias especializadas para realizar evaluaciones de seguridad basadas en la declaración.
Artículo 11 Durante el proceso de evaluación de la seguridad, si se determina que los materiales de solicitud presentados por el encargado del tratamiento no cumplen con los requisitos, el departamento nacional de ciberseguridad e informatización podrá exigirle que los complemente o corrija. Si el encargado del tratamiento no completa o corrige los datos sin motivos legítimos, el departamento nacional de ciberseguridad e informatización podrá poner fin a la evaluación de seguridad.
El encargado del tratamiento es responsable de la autenticidad de los materiales enviados. Si se envían materiales falsos intencionadamente, se rechazará la evaluación y se perseguirá la responsabilidad legal correspondiente de conformidad con la ley.
Artículo 12 El departamento nacional de ciberseguridad e informatización deberá completar la evaluación de seguridad de la exportación de datos dentro de los 45 días hábiles a partir de la fecha de emisión de un aviso de aceptación por escrito al procesador de datos si la situación es complicada o contiene materiales adicionales o corregidos; sean necesarios, podrá Prorrogarlo oportunamente e informar al personal encargado del tratamiento del tiempo de prórroga previsto.
Los resultados de la evaluación se comunicarán al encargado del tratamiento por escrito.
Artículo 14 El período de validez de los resultados de la evaluación de seguridad de la exportación de datos es de 2 años, a partir de la fecha de publicación de los resultados de la evaluación. Si ocurre una de las siguientes circunstancias dentro del período de validez, el procesador de datos debe volver a solicitar la evaluación:
(1) El propósito, método, alcance y tipo de datos proporcionados en el extranjero y el propósito y método de se produce el procesamiento de datos por parte del destinatario en el extranjero. Los cambios afectarán la seguridad de los datos salientes o extenderán el período de almacenamiento en el extranjero de información personal y datos importantes;
(2) Hay cambios en las políticas y regulaciones de protección de seguridad de datos y el entorno de seguridad de la red del país o región donde se encuentra el destinatario en el extranjero, se producen otras situaciones de fuerza mayor, los derechos de control reales del procesador de datos o del destinatario en el extranjero cambian, y los documentos legales entre el procesador de datos y el destinatario en el extranjero cambian, etc. . , lo que afectará la seguridad de los datos salientes;
(3) Ocurren otras situaciones que afectan la seguridad de los datos salientes.
Si es necesario continuar con las actividades de exportación de datos después de la expiración del período de validez, el procesador de datos deberá volver a solicitar la evaluación 60 días hábiles antes de la expiración del período de validez.
Artículo 17 Si el departamento nacional de ciberseguridad e informatización descubre durante el procesamiento real que las actividades de exportación de datos que han pasado la evaluación ya no cumplen con los requisitos de gestión de seguridad de exportación de datos, notificará al procesador de datos por escrito a poner fin a las actividades de exportación de datos. Si el procesador de datos necesita continuar realizando actividades de exclusión voluntaria de datos, debe realizar las rectificaciones necesarias y volver a solicitar la evaluación una vez completadas las rectificaciones.
Artículo 19: Los datos importantes mencionados en estas Medidas se refieren a datos que, una vez manipulados, destruidos, filtrados u obtenidos o utilizados ilegalmente, pueden poner en peligro la seguridad nacional, las operaciones económicas, la estabilidad social y la salud pública. seguridad. .
Artículo 20 Las presentes Medidas entrarán en vigor el 0 de septiembre de 2022. Si las actividades de exportación de datos realizadas antes de la implementación de estas Medidas son incompatibles con las disposiciones de estas Medidas, la rectificación se completará dentro de los 6 meses a partir de la fecha de implementación de estas Medidas.