Transferencia de datos transfronteriza
1) Información personal, luego:
La cantidad de información personal antes de salir del país debe someterse a una evaluación de seguridad:
1. El número de personas que manejan información personal ha llegado a 10 000
2 se ha proporcionado información personal de más de 65 438 personas
3. Un total de 1. Proporcionó más de 654,38+0 millones de datos personales sensibles;
2) Datos importantes que deben evaluarse antes de salir del país:
Definición de datos importantes:
1. Según lo dispuesto en la "Ley de Ciberseguridad", los datos importantes recopilados y generados por los operadores de infraestructura de información crítica durante las operaciones dentro del territorio de la República Popular de China debe almacenarse dentro del territorio de la República Popular China. Si realmente es necesario salir del país, se debe realizar una evaluación de seguridad.
2. "Varias disposiciones sobre gestión de seguridad de datos de automóviles (prueba)", el artículo 3 [6] enumera claramente datos importantes en la industria automotriz, como información geográfica, flujo de personal y flujo de tráfico en lugares importantes y áreas sensibles Datos, flujo de tráfico, logística y otros datos que reflejan operaciones económicas.
3. El "Reglamento de gestión de seguridad de datos de red (borrador para comentarios)" emitido por la Administración del Ciberespacio de China el 4 de noviembre de 2021 enumera:
(1) Datos gubernamentales no divulgados y Secretos de trabajo, datos de inteligencia y datos policiales y judiciales (2) Datos de control de exportaciones, tecnologías centrales, planes de diseño, procesos de producción y otros datos relacionados involucrados en artículos controlados de exportación, así como criptografía, biología, información electrónica, inteligencia artificial y otros campos que son importantes para la seguridad nacional Datos sobre logros científicos y tecnológicos que tienen un impacto directo en la competitividad económica (3) Datos de operaciones económicas nacionales, datos comerciales importantes de la industria y datos estadísticos que deben protegerse o controlarse según las leyes nacionales, administrativas; regulaciones y reglas departamentales (4) Industria, telecomunicaciones, energía, transporte, conservación del agua, finanzas, industria de ciencia y tecnología de defensa nacional, aduanas, impuestos y otras industrias y campos clave, datos de operación y producción de seguridad, componentes clave del sistema y suministro de equipos. datos en cadena; (5) población y salud, recursos naturales como genes, geografía, minerales, meteorología, etc. y el medio ambiente y otros datos básicos nacionales, alcanzando la escala o precisión especificada por los departamentos nacionales pertinentes; construcción y operación de infraestructura de información crítica y sus datos de seguridad, así como importantes instalaciones de defensa nacional, áreas de gestión militar, unidades de producción e investigación científica de defensa nacional, etc. La ubicación geográfica y el estado de seguridad de áreas sensibles (7) Otra información que pueda; afectan la seguridad de la política nacional, el territorio, el ejército, la economía, la cultura, la sociedad, la ciencia y la tecnología, la ecología, los recursos, las instalaciones nucleares, los intereses extranjeros, la biología, el espacio, las regiones polares, los fondos marinos, etc.
(2) Retirada de la información de datos: no supone el fin de las obligaciones de datos de los encargados del tratamiento nacionales. Los procesadores deben tener una comprensión y control claros de los datos extranjeros y tener obligaciones de presentación de informes.
Con referencia al artículo 40 del "Reglamento de Gestión de Seguridad de Datos de Red (Borrador para Comentarios)", los procesadores de datos que proporcionen información personal y datos importantes al extranjero deben recopilar datos antes del 65438 + 31 de octubre de cada año. Salir informe de seguridad e informar la situación de la exportación de datos en el año siguiente al departamento de información de la red municipal del distrito: (1) Nombres e información de contacto de todos los destinatarios de los datos; (2) Tipo, cantidad y propósito de los datos de exportación; ubicación, período de almacenamiento, alcance y método de uso de los datos en el extranjero (4) quejas y manejo de quejas de usuarios relacionados con datos proporcionados en el extranjero (5) ocurrencia y manejo de incidentes de seguridad de datos (6) transferencia de datos después de salir del país (7); ) Otros asuntos que deben ser informados por el departamento nacional de ciberespacio para proporcionar datos al mundo exterior.
(2) Verificar la legalidad y legitimidad de las fuentes de datos de terceros (pregarantía, exigir a terceros la firma de cartas compromiso, garantías, etc.));
1 ) "Ley de Seguridad de Datos" "El artículo 32 estipula que cualquier organización o individuo debe recopilar datos de manera legal y adecuada, y no podrá robar ni obtener datos por otros medios ilegales.
2) El artículo 51 de la Ley de Seguridad de Datos estipula que quienes roben u obtengan datos por otros medios ilegales, realicen actividades de datos que eliminen o restrinjan la competencia y perjudiquen los derechos e intereses legítimos de personas y organizaciones deberán ser sancionado de conformidad con las leyes y reglamentos administrativos pertinentes. Las disposiciones de las leyes y reglamentos imponen sanciones, que se citan además en las disposiciones de la Ley de Ciberseguridad, el Derecho Penal, la Ley Antimonopolio, la Ley de Protección de Información Personal, etc.
(3) Establecer un sistema de gestión de seguridad de datos y tomar las medidas técnicas necesarias para garantizar la seguridad de la transmisión de datos.
La certificación de protección del nivel de seguridad de la red adopta varios sistemas básicos para la gestión de la seguridad de los datos, como gestión de clasificación de datos, evaluación de riesgos, monitoreo y alerta temprana, y respuesta a emergencias;
1) Clasificación de datos: Directrices de práctica estándar de seguridad de red: Directrices de clasificación de datos (borrador para comentarios)
Categorías:
a) Información personal: información personal general confidencial
b ) ? * * *Datos;
c)? Datos de personas jurídicas;
2) Evaluación de la seguridad de la exportación de datos: independientemente de si las actividades de exportación de datos del procesador de datos activan requisitos de evaluación de seguridad e informes, se debe realizar una autoevaluación de los riesgos de exportación de datos con anticipación antes de proporcionar datos. exterior. - "Medidas para la evaluación de la seguridad de la salida de datos" (borrador para comentarios)
Artículo 5: Antes de proporcionar datos al extranjero, los procesadores de datos deben realizar una autoevaluación de los riesgos de salida de datos por adelantado, centrándose en los siguientes asuntos:
(1) La legalidad, legitimidad y necesidad del propósito, alcance y método de exportación y procesamiento de datos por parte del destinatario en el extranjero;
(2) La cantidad, alcance, tipo y Sensibilidad, y los riesgos que los datos pueden traer a la seguridad nacional, los intereses públicos y los derechos e intereses legítimos de individuos u organizaciones;
(3) Si la gestión y las medidas y capacidades técnicas de los datos el procesador en el enlace de transmisión de datos puede prevenir riesgos tales como fuga y daño de datos;
(4) Las responsabilidades y obligaciones del destinatario en el extranjero, y si las medidas y capacidades técnicas y de gestión para cumplir con las responsabilidades y obligaciones pueden garantizar la seguridad de los datos salientes;
(5) El riesgo de fuga, daño, manipulación, abuso y retransmisión de datos después de salir del país, y si los canales para que las personas protejan su información personal los derechos e intereses de la información son fluidos;
(6) Datos firmados con destinatarios extranjeros Si el contrato relacionado con la salida estipula completamente las responsabilidades y obligaciones de la protección de la seguridad de los datos.
Artículo 9 El contrato firmado entre el procesador de datos y el destinatario en el extranjero debe estipular completamente las responsabilidades y obligaciones de protección de la seguridad de los datos, incluidas, entre otras, las siguientes:
(1) Exportación de datos al extranjero El propósito, método y alcance de los datos, el propósito y método del procesamiento de datos por parte del destinatario en el extranjero;
(2) La ubicación y el período de almacenamiento de los datos en el extranjero, y la exportación de datos después del período es medidas de procesamiento alcanzadas, se completa el propósito acordado o se rescinde el contrato;
(3) Cláusulas vinculantes que restringen a los destinatarios extranjeros la transferencia de datos salientes a otras organizaciones e individuos;
(4 ) Cuando el control real o el alcance del negocio cambian sustancialmente Las medidas de seguridad que los destinatarios en el extranjero deben tomar cuando hay cambios de sexo, o el entorno legal del país o región en el que se encuentran cambia, lo que dificulta garantizar la seguridad de los datos;
(5) Responsabilidad por incumplimiento de contrato y fuerza vinculante por incumplimiento de obligaciones de protección de seguridad de datos y cláusulas de resolución de disputas ejecutables.
(6) Cuando ocurre el riesgo de fuga de datos, la respuesta de emergencia debe ser adecuada; llevado a cabo para garantizar canales fluidos para que las personas protejan sus derechos e intereses de información personal.
(4) Obligación de informar de incidencias de seguridad de los datos.
De acuerdo con lo dispuesto en el artículo 29 de la "Ley de Seguridad de Datos", se debe fortalecer el monitoreo de riesgos en las actividades de datos cuando se descubren defectos de seguridad de los datos, lagunas y otros riesgos, se deben tomar medidas inmediatamente; Si se produce un incidente de seguridad de los datos, los usuarios deben ser informados de manera oportuna y reportados a las autoridades competentes pertinentes de acuerdo con las regulaciones.
El artículo 35 de las "Medidas de gestión de seguridad de datos" establece que cuando se produzcan incidentes de seguridad de datos como fugas, daños o pérdida de información personal, o el riesgo de incidentes de seguridad de datos aumente significativamente, los operadores de red deben inmediatamente tomar medidas correctivas, notificar rápidamente al interesado a través de llamadas telefónicas, mensajes de texto, correos electrónicos o cartas, etc., e informar a las autoridades reguladoras competentes de la industria y a los departamentos de ciberseguridad e informatización de acuerdo con la normativa.
(5) La obligación de informar con antelación cuando se encuentre con autoridades policiales en el extranjero.
De acuerdo con el artículo 36 de la "Ley de Seguridad de Datos", sin la aprobación de las autoridades competentes de la República Popular China, las organizaciones e individuos en mi país no pueden proporcionar los datos requeridos por las autoridades policiales en el extranjero. agencias.
El artículo 48, apartado 2, de la "Ley de seguridad de datos" estipula que si se proporcionan datos a organismos judiciales o de aplicación de la ley en el extranjero sin la aprobación de la autoridad competente, la autoridad competente correspondiente dará una advertencia y también podrá imponer una multa de 100.000 Si se impone una multa de no menos de 1 millón de RMB pero no más de 1 millón de RMB, la persona directamente responsable a cargo y otro personal directamente responsable podrán recibir una multa de no menos de 10.000 RMB pero no más de 100.000 RMB. si se producen consecuencias graves, se podrá imponer una multa de no menos de 1 millón de RMB pero no más de 5 millones de RMB, y se podrá imponer una multa de no menos de 1 millón de RMB pero no más de 5 millones de RMB. suspender operaciones, suspender operaciones para rectificación, revocar licencias comerciales relevantes o revocar licencias comerciales e imponer una multa de no menos de 50.000 yuanes pero no más de 500.000 yuanes a la persona directamente responsable a cargo y otro personal directamente responsable.