数据主权和中国法规

avatar
作者
筋斗云
阅读量:20

本文内容

最终,你有义务遵守自己的法规要求。 我们承诺遵守通常适用于 IT 服务提供商的数据保护和隐私法。 如果你必须遵守任何特定的数据主权要求或其他行业/管辖权要求,你需要进行自我评估,并采取必要的措施来确保合规性。

实名验证

根据中国法律要求,在线服务提供商有义务验证用户的实名。 对于业务实体用户,需要拥有国家注册的营业执照才能进行实名验证。

ICP 备案

根据《互联网信息服务管理办法》和《中华人民共和国非经营性互联网信息服务备案管理办法》的规定,所有在中国大陆经营的网站(涉及域名解析的网站)均必须向工业和信息化部完成 ICP 备案。 根据通信管理部门的要求,没有 ICP 备案的域名不允许上线,备案的域名必须解析为备案的 IP 地址。

ICP 备案过程

Diagram of ICPProcess

此外,根据《计算机信息网络国际联网安全保护管理办法》(公安部令第 33 号)第 12 条规定,网站在工业和信息化部成功完成 ICP 备案后,还应当自网站开通之日起 30 日内,到公司实际经营地或者个人现居住地公安机关办理公安备案手续。 如果尚未完成公安备案手续,请尽快登录到公安机关互联网站安全管理服务平台提交公安备案申请。 如需咨询,请联系当地公安机关网络安全部门。 请根据上述要求尽快完成网站的公安备案。 如果在 30 天内未完成备案,世纪互联蓝云将根据适用的法律、法规和公安机关的要求采取相关措施(包括但不限于暂停访问服务)。

有关 ICP 备案的详细信息,请参阅 ICP 备案 - Azure 云计算。

VPN 和专用线路

只要 VPN 或专用线路购自具有有效运营许可证的合格供应商,你就可将该 VPN 或专用线路用于你自己的办公或运营目的。

跨境数据传输和安全评估常见问题解答 - 2023 年 1 月更新

问:我能否将数据传输到中国大陆境外?

答:可以,前提是中国法律规定的数据本地化要求不适用于你,或者你满足跨境数据传输条件。 对于将在中国大陆收集和生成的个人信息、重要数据和其他特别监管的数据从中国大陆传输到中国大陆以外的目的地(包括香港特区和澳门特区),中国的数据法进行了严格的监管。 你可能需要通过政府主导的安全评估、签订标准合同,或者获取个人信息保护认证才能启用这些传输。 也可能存在适用于你的行业或领域特定的规则。

问:中国法律规定了哪些数据本地化和安全评估要求?

答:根据中国大陆的三项关键数据法律,即《中华人民共和国网络安全法》(CSL)、《中华人民共和国数据安全法》(DSL) 和《中华人民共和国个人信息保护法》(PIPL),在中国大陆收集和生成的某些数据必须默认存储在中国大陆境内,并且只有在通过中国国家互联网信息办公室 (CAC) 组织的安全评估后,才允许跨境传输这些数据(定义见下文):• 关键信息基础设施运营者 (CIIO) 跨境传输个人信息和“重要数据”;• 跨境传输“重要数据”;• 处理超过 100 万人个人信息的数据处理方跨境传输个人信息;• 在一段时间内已经向海外传输超出指定阈值量的个人信息的数据处理方跨境传输个人信息。

符合上述情形之一的数据处理方需要先对拟跨境数据传输进行风险自我评估,然后通过省级网信办提交文件,申请参加国家网信办组织的安全评估。 安全评估结果有效期为两年,如果影响所传输数据安全性的情况发生变化,需要重新申报评估。

根据你所属的行业或领域,你还可能受到行业或领域特定规则的进一步限制。

问:我是关键信息基础设施运营者 (CIIO) 吗?

答:《中华人民共和国关键信息基础设施安全保护条例》(CII 条例)对 CII 的定义是:“如果被破坏、失效或数据泄露,可能对国家安全、国家经济、民生和公共利益产生不利影响的重要网络设施和信息系统”。 此类重要网络设施和信息系统的运营者被称为“CIIO”。 公共通信与信息服务、能源、交通、水资源、金融、公共服务、电子政府和国防相关科技行业等重要行业和领域中的这些重要网络设施和信息系统的经营者更有可能被认定为 CIIO。

根据 CII 条例,行业监管机构有权制定进一步的规则来厘定 CII,并在各自行业和领域中落实这一决定。 CIIO 将收到此决定结果的通知,因此你应在内部查看是否已收到任何此类通知。

问:我是否正在处理任何重要数据?

答:《网络数据安全管理条例(征求意见稿)》对“重要数据”的定义是:“一旦被篡改、损坏、泄露或者非法获取、使用,就可能危害国家安全或公共利益的任何数据”。 目前,虽然有规则草案和国家标准草案旨在为如何确定重要数据提供指导,但这些规则和标准尚未最终确定。根据进一步的实施规则和行业特定的重要数据目录,当前的定义仍可有不同解释,尽管在常识应用中,你可能预计企业日常处理的大部分数据都不符合这看起来挺高的定义门槛。 与内部和外部法律团队一起进行数据映射练习将帮助你更好地了解自己的位置。

问:我是否正在处理任何个人信息? 如果是,将触发跨境数据传输安全评估的阈值是什么?

答:PIPL 对个人信息的定义是“与已识别或可识别的自然人相关的各种类型的电子信息或其他记录信息,不包括匿名信息”,供你参考。 广泛地说,这包括自然人的姓名、出生日期、身份证号码、地址和电话号码等与已识别或可识别的自然人有关的信息。 在更严格的数据保护义务适用的情况下,“敏感个人信息”的定义是“一旦泄露或被非法使用,可能容易导致侵犯自然人的个人尊严或者可能危及其人身安全或财产的个人信息”,包括生物特征、宗教信仰、特定身份、医疗健康状况、财务账户以及行踪和轨迹等信息,以及 14 岁以下的未成年人的个人信息。 如果你收集、存储或使用的数据符合上述定义,则你被视为正在处理个人信息。

当非 CIIO 处理方从中国大陆向中国大陆以外的目的地进行下述任何一项个人信息传输时,必须事先通过国家网信办组织的跨境数据传输安全评估:• 在你已处理的个人信息涉及超过 100 万人的情况下,跨境传输个人信息。• 在你自去年 1 月起向海外累计传输超过 100,000 人的个人信息的情况下,连续跨境传输个人信息。• 在你自去年 1 月起向海外累计传输超过 10,000 人的敏感个人信息的情况下,连续跨境传输个人信息。

问:如果我处理的数据符合数据本地化要求,我能否从中国大陆向海外传输数据?

答:可能可以。 仍然允许出于业务需要跨境传输数据,前提是你遵守中国数据法规定的要求,并且通过中国网信办机构管理的安全评估。这些安全评估的实施细则,即于 2022 年 7 月 7 日颁发的《跨境数据传输安全评估办法》,已于 2022 年 9 月 1 日生效。 但是,还应注意,如果在 2022 年 9 月 1 日之前发生的跨境数据传输被发现不符合规则,也有追溯效力。 你可能需要在 2023 年 3 月之前进行整改并申请评估。

问:我如何才能将个人信息从中国大陆传输到海外,而不触发申请安全评估的义务?

答:PIPL 及其实施规则适用于你的个人信息跨境传输。 如果你设想的个人信息传输不会触发申请安全评估的义务,你可以遵循 PIPL 规定的其他两种传输机制,即获得授权机构的个人信息保护认证,或者与海外数据接收方签订标准合同。

在认证机制方面,国家网信办和国家市场监督管理总局发布了《个人信息保护认证实施规则》,同时发布了一套实践指南并进行了更新,但有关实施认证的一些操作问题仍有待监管机构进一步明确;在标准合同机制方面,发布了这些示范条款的草案和有关备案要求的规则来征求公众意见,但仍有待最终确定。

问:这对于我在中国大陆部署云服务意味着什么?

答:鉴于上述情况,我们要求你评估正在进行的或设想的数据导出活动是否可能受到数据本地化/跨境传输要求的约束。 可能需要向法律和技术专家寻求专家意见,以获得有关 CSL、DSL 和 PIPL 要求以及其他适用的中国法律的准确和最新信息。

根据你的知情评估:• 如果你已被或可能被认定为 CII 运营者,您应将在中国大陆收集和生成的重要数据和个人信息存储在中国大陆。 在这种情况下,使用由世纪互联在中国大陆运营的云服务将帮助你满足中国数据法规定的本地化要求。• 如果你不太可能被认定为 CII 运营者,你计划传输到海外的数据不包含在中国大陆收集和生成的重要信息或个人信息,或者你确信你的跨境数据传输可以通过适用的安全评估(如果跨境数据传输触发了申请安全评估的义务)或者满足跨境数据传输的其他适用要求(从授权机构获得个人信息保护认证,或者与客户数据的海外接收方签订标准合同),那么你可能需要根据自己的业务需求和财务考虑使用全球云服务。

免责声明:上述陈述按原样提供,不代表它们是准确的或最新的。请咨询你的法律专家,因为根据上述陈述采取或未采取行动所导致的任何责任均在此明确免责。

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!