查看原文
其他

简评与比对 | TC260发布《个人信息跨境处理活动安全认证规范》

中伦蔡鹏律师团队 数据与电商研究室
2024-08-26


编 者 按

从2022年4月征求意见稿的发布,到正式版的出台,短短两个月的时间《个人信息跨境处理活动安全认证规范》(简称“规范”)即完成了定稿。本文旨在通过对征求意见稿与正式版规范的简评与对比,帮助读者更为直观、全面的了解该规范文本的修改与调整。




 简 评  


就正式版本的内容,比对征求意见稿,我们简评如下:


  • 1. 从规范效力角度,反映了立法者的立法思路,即对《个人信息保护法》38条所列数据跨境条件采取谨慎立法的态度:先以规范性文件试水,推荐数据处理者使用,经过实践后进行调整,然后对规范进行升级,以符合上位法的要求。


  • 2. 正式版本对规范涉及的主体进行了进一步的明确。原本在征求意见稿中的“同一经济、事业实体内部”,此次改为“同一经济、事业实体下属子公司或关联公司之间”,使得覆盖范围更加具有明确性。在此处更改之外,征求意见稿中的处理跨境个人信息的“相关方”在正式版本中也均明确为“个人信息处理者和境外接收方”,相应的动词也从“参与”变为了“开展”,我们认为,这是对主体资格的进一步明确以及对覆盖活动的进一步限缩。


  • 3. 在征求意见稿中,原本《信息安全技术 个人信息安全规范》出现在4.4条下的个人信息保护影响评估规范中;而在正式版本中,则是移到了摘要中,“申请个人信息保护认证的个人信息处理者应当符合GB/T35273《信息安全技术 个人信息安全规范》的要求,”鉴于摘要的统摄地位,我们认为扩大了《信息安全技术 个人信息安全规范》的辐射范围——从个人信息保护影响评估环节中需要参照,改为在个人信息跨境处理的各个环节都应遵守其要求


  • 4. 规范中4.3 a)的内容,在正式版本中有实质性的变更。意见稿中规定了跨境处理个人信息的基本情况包括个人信息的类型,在正式版本中被替换为“范围、种类”两个项目,对基本情况的覆盖场景进行了细化和明确。


  • 5. 正式版本中,5.1新增了“(个人信息主体)有权撤回对其个人信息跨境处理的同意”,增加了个人信息主体的撤回权。


  • 6. 正式版本在与责任义务相关的5.2下,增加了一项“e) 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者及境外接收方应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。”对发生个人信息安全事件的情况下,处理者和接收方的安全、告知义务做了规定。


  • 7. 征求意见稿用词不规范的几处,在正式版本中得到了更正。例如意见稿中3 a)中的“法定目的”和“不得随意”、3 b)中的“全过程”、5.2 d)的“终止”、5.2 f)中的“权力”在此次都得到了相应的更正,以及正式稿中将5.1e)-g)中原本省略的主语补上,使得正式版规范更加规范和完善。



 新旧版本的比对如下:


长按二维码一键关注

继续滑动看下一个
数据与电商研究室
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存