数据主权和中国法规
最终,你有义务遵守自己的法规要求。 我们承诺遵守通常适用于 IT 服务提供商的数据保护和隐私法。 如果你必须遵守任何特定的数据主权要求或其他行业/管辖权要求,你需要进行自我评估,并采取必要的措施来确保合规性。
实名验证
根据中国法律要求,在线服务提供商有义务验证用户的实名。 对于业务实体用户,需要拥有国家注册的营业执照才能进行实名验证。
ICP 备案
根据《互联网信息服务管理办法》和《中华人民共和国非经营互联网信息服务管理办法》,中国经营的所有网站(域名解析涉及)必须与工业和信息化部完成 ICP 备案。 根据通信管理部门的要求,没有 ICP 备案的域名不允许上线,备案的域名必须解析为备案的 IP 地址。
ICP 备案过程
此外,根据《计算机信息网络国际联网安全保护管理办法》(公安部令第 33 号)第 12 条规定,网站在工业和信息化部成功完成 ICP 备案后,还应当自网站开通之日起 30 日内,到公司实际经营地或者个人现居住地公安机关办理公安备案手续。 如需咨询,请联系当地公安机关网络安全部门。 请根据上述要求尽快完成网站的公安备案。 如果在 30 天内未完成备案,世纪互联蓝云将根据适用的法律、法规和公安机关的要求采取相关措施(包括但不限于暂停访问服务)。
有关 ICP 备案的详细信息,请参阅 ICP 备案 - Azure 云计算。
VPN 和专用线路
只要 VPN 或专用线路购自具有有效运营许可证的合格供应商,你就可将该 VPN 或专用线路用于你自己的办公或运营目的。
跨境数据传输和安全评估常见问题解答 - 2023 年 1 月更新
问:我是否允许在中国以外传输数据?
答:可以,前提是中国法律规定的数据本地化要求不适用于你,或者你满足跨境数据传输条件。 中国数据法严格规范从中国收集并生成的个人信息、重要信息和其他特别监管的数据(包括香港特别行政区和澳门特区)。 你可能需要通过政府主导的安全评估、签订标准合同,或者获取个人信息保护认证才能启用这些传输。 也可能存在适用于你的行业或领域特定的规则。
问:中国法律规定了哪些数据本地化和安全评估要求?
答:根据中国的三项关键数据法,即 中国网络安全法(“CSL”),中国数据安全法(“DSL”)和《中华人民共和国个人信息保护法》(“PIPL”)-在中国收集并生成的某些数据,只有在通过中国网络空间管理局(“CAC”)组织的安全评估后,才允许这些数据的跨境传输: • CIIO 交叉传输个人信息和“重要数据”:• “重要数据”的跨境传输;• 数据处理者通过处理超过 100 万个人的个人信息的数据处理者跨境传输个人信息:或 • 跨边界传输个人数据的数据处理者,该数据处理者已将个人信息转移到海外,超出特定时间段内指定的阈值金额。
符合上述情形之一的数据处理方需要先对拟跨境数据传输进行风险自我评估,然后通过省级网信办提交文件,申请参加国家网信办组织的安全评估。 安全评估结果有效期为两年,如果影响所传输数据安全性的情况发生变化,需要重新申报评估。
根据你所属的行业或领域,你还可能受到行业或领域特定规则的进一步限制。
问:我是关键信息基础设施运营者 (CIIO) 吗?
答:《中华人民共和国关键信息基础设施安全保护条例》(CII 条例)对 CII 的定义是:“如果被破坏、失效或数据泄露,可能对国家安全、国家经济、民生和公共利益产生不利影响的重要网络设施和信息系统”。 此类重要网络设施和信息系统的运营者被称为“CIIO”。 公共通信与信息服务、能源、交通、水资源、金融、公共服务、电子政府和国防相关科技行业等重要行业和领域中的这些重要网络设施和信息系统的经营者更有可能被认定为 CIIO。
根据 CII 条例,行业监管机构有权制定进一步的规则来厘定 CII,并在各自行业和领域中落实这一决定。 CIIO 将收到此决定结果的通知,因此你应在内部查看是否已收到任何此类通知。
问:我是否正在处理任何重要数据?
答:《网络数据安全管理条例(征求意见稿)》对“重要数据”的定义是:“一旦被篡改、损坏、泄露或者非法获取、使用,就可能危害国家安全或公共利益的任何数据”。 目前,虽然有规则草案和国家标准草案旨在为如何确定重要数据提供指导,但这些规则和标准尚未最终确定。 根据进一步的实施规则和行业特定的重要数据目录,当前的定义仍可有不同解释,尽管在常识应用中,你可能预计企业日常处理的大部分数据都不符合这看起来挺高的定义门槛。 与内部和外部法律团队一起进行数据映射练习将帮助你更好地了解自己的位置。
问:我是否正在处理任何个人信息? 如果是,将触发跨境数据传输安全评估的阈值是什么?
答:PIPL 对个人信息的定义是“与已识别或可识别的自然人相关的各种类型的电子信息或其他记录信息,不包括匿名信息”,供你参考。 广泛地说,这包括自然人的姓名、出生日期、身份证号码、地址和电话号码等与已识别或可识别的自然人有关的信息。 在更严格的数据保护义务适用的情况下,“敏感个人信息”的定义是“一旦泄露或被非法使用,可能容易导致侵犯自然人的个人尊严或者可能危及其人身安全或财产的个人信息”,包括生物特征、宗教信仰、特定身份、医疗健康状况、财务账户以及行踪和轨迹等信息,以及 14 岁以下的未成年人的个人信息。 如果你收集、存储或使用的数据符合上述定义,则你被视为正在处理个人信息。
非 CIIO 处理者将以下任何个人信息从中国传输到中国境外目的地时,必须通过 CAC 组织的跨境数据传输的事先安全评估:• 在处理个人信息超过 100 万个人的个人信息的跨境传输时,必须通过事先的安全评估。 • 在你自去年 1 月起向海外累计传输超过 100,000 人的个人信息的情况下,连续跨境传输个人信息。 • 在你自去年 1 月起向海外累计传输超过 10,000 人的敏感个人信息的情况下,连续跨境传输个人信息。
问:如果处理的数据符合数据本地化要求,是否可以从中国传输数据?
答:可能可以。 仍然允许出于业务需要跨境传输数据,前提是你遵守中国数据法规定的要求,并且通过中国网信办机构管理的安全评估。 这些安全评估的实施细则,即于 2022 年 7 月 7 日颁发的《跨境数据传输安全评估办法》,已于 2022 年 9 月 1 日生效。 但是,还应注意,如果在 2022 年 9 月 1 日之前发生的跨境数据传输被发现不符合规则,也有追溯效力。 你可能需要在 2023 年 3 月之前进行整改并申请评估。
问:如果个人信息不会触发申请安全评估的义务,如何从中国转移个人信息?
答:PIPL 及其实施规则适用于你的个人信息跨境传输。 如果你设想的个人信息传输不会触发申请安全评估的义务,你可以遵循 PIPL 规定的其他两种传输机制,即获得授权机构的个人信息保护认证,或者与海外数据接收方签订标准合同。
在认证机制方面,国家网信办和国家市场监督管理总局发布了《个人信息保护认证实施规则》,同时发布了一套实践指南并进行了更新,但有关实施认证的一些操作问题仍有待监管机构进一步明确;在标准合同机制方面,发布了这些示范条款的草案和有关备案要求的规则来征求公众意见,但仍有待最终确定。
问:这对中国云服务的部署意味着什么?
答:鉴于上述情况,我们要求你评估正在进行的或设想的数据导出活动是否可能受到数据本地化/跨境传输要求的约束。 可能需要向法律和技术专家寻求专家意见,以获得有关 CSL、DSL 和 PIPL 要求以及其他适用的中国法律的准确和最新信息。
根据你的知情评估:•如果你已被或可能标识为 CII 操作员,则应存储在中国收集并生成的重要数据和个人信息。 在这种情况下,中国世纪互联运营的云服务的使用将帮助你根据中国数据法满足本地化要求。 • 如果你不太可能被识别为 CII 运营商,或者你计划向海外传输的数据不包含在中国收集和生成的重要信息或个人信息,或者如果你确信跨境数据传输可以通过适用的安全评估(如果跨境数据传输触发了申请安全评估的义务),或者满足跨境数据传输的其他适用要求(获得认证)若要保护来自授权机构的个人信息,或者与海外客户数据接收者签订标准合同,可能需要根据自己的业务需求和财务考虑使用全球云服务。
免责声明:上述陈述按原样提供,不代表它们是准确的或最新的。请咨询你的法律专家,因为根据上述陈述采取或未采取行动所导致的任何责任均在此明确免责。