跨国公司集团内部共享个人信息,有哪些注意事项?
2021. 8. 18
跨国公司集团内部共享个人信息,有哪些注意事项?
Q:跨国公司集团内部共享个人信息,有哪些注意事项?
A:跨国企业经常会面临各国间信息跨境共享的情况,此前中国并没有正式完整的个人信息保护法律,而近年来,中国国内有关个人信息保护的立法有了较大的发展,对于个人信息数据跨境传输的合规问题也越来越受关注。
依据目前公布的《个人信息保护法》草案二次审议稿(暂未正式通过,以下条款皆出自本草案),对于个人信息的跨境传输,原则上可以进行,实际操作时需要注意:
①(第38条)与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准,或者按照国家网信部门的规定经专业机构进行个人信息保护认证。处理个人信息达到规定数量,或提供方属于关键信息基础设施运营者的,则应当通过国家网信部门的安全评估。
②(第39条)向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项,并取得个人的单独同意。
③(第55条)对向境外提供个人信息行为在事前进行风险评估,并对处理情况进行记录,风险评估报告和处理情况记录应当至少保存三年。风险评估的内容应当包括:1、个人信息的处理目的、处理方式等是否合法、正当、必要;2、对个人的影响及风险程度;3、所采取的安全保护措施是否合法、有效并与风险程度相适应。
可以发现,如果具体实施上述要求,还是有一定难度的,我们也会持续关注最终法案通过后的配套措施和指南等,来进行相应的操作建议。
A:跨国企业经常会面临各国间信息跨境共享的情况,此前中国并没有正式完整的个人信息保护法律,而近年来,中国国内有关个人信息保护的立法有了较大的发展,对于个人信息数据跨境传输的合规问题也越来越受关注。
依据目前公布的《个人信息保护法》草案二次审议稿(暂未正式通过,以下条款皆出自本草案),对于个人信息的跨境传输,原则上可以进行,实际操作时需要注意:
①(第38条)与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准,或者按照国家网信部门的规定经专业机构进行个人信息保护认证。处理个人信息达到规定数量,或提供方属于关键信息基础设施运营者的,则应当通过国家网信部门的安全评估。
②(第39条)向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项,并取得个人的单独同意。
③(第55条)对向境外提供个人信息行为在事前进行风险评估,并对处理情况进行记录,风险评估报告和处理情况记录应当至少保存三年。风险评估的内容应当包括:1、个人信息的处理目的、处理方式等是否合法、正当、必要;2、对个人的影响及风险程度;3、所采取的安全保护措施是否合法、有效并与风险程度相适应。
可以发现,如果具体实施上述要求,还是有一定难度的,我们也会持续关注最终法案通过后的配套措施和指南等,来进行相应的操作建议。
