9 अप्रैल, 2025 को, चीन के साइबरस्पेस प्रशासन (सीएसी) ने एक डेटा क्रॉस-बॉर्डर सुरक्षा प्रबंधन नीतियों पर प्रश्नोत्तर (इसके बाद, "क्रॉस-बॉर्डर डेटा ट्रांसफर प्रश्नोत्तर"), कंपनियों को चीन के विकसित होते ढांचे के अनुपालन के लिए व्यावहारिक व्याख्याएं प्रदान करना क्रॉस-बॉर्डर डेटा ट्रांसफर. क्रॉस-बॉर्डर डेटा ट्रांसफर प्रश्नोत्तर मुख्य प्रणालियों के कार्यान्वयन विवरणों को स्पष्ट करता है, जिसमें डेटा निर्यात सुरक्षा आकलन, मानक अनुबंध व्यक्तिगत जानकारी निर्यात के लिए, और प्रमाणन तंत्र.
हालांकि दस्तावेज़ कोई नया कानून पेश नहीं करता है या व्यापक नियामक ढील का संकेत नहीं देता है, यह कई क्षेत्रों पर महत्वपूर्ण स्पष्टीकरण प्रदान करता है जो व्यवसायों, विशेष रूप से बहुराष्ट्रीय कंपनियों के लिए चुनौतियां पेश करते हैं। यह स्पष्ट करता है कि "सामान्य डेटा" सीमाओं के पार कैसे स्वतंत्र रूप से प्रवाहित हो सकता है, कंपनियों को व्यक्तिगत जानकारी निर्यात की आवश्यकता का आकलन कैसे करना चाहिए, और क्या "महत्वपूर्ण डेटा" के रूप में योग्य है।
विशेष रूप से, क्रॉस-बॉर्डर डेटा ट्रांसफर प्रश्नोत्तर कंपनियों को अनुपालन प्रक्रियाओं की अनावश्यक पुनरावृत्ति से बचने में मदद करने के लिए उपाय पेश करता है। इनमें समूह कंपनियों को डेटा निर्यात अनुपालन के लिए समेकित आवेदन प्रस्तुत करने की अनुमति देना, सुरक्षा आकलन की वैधता को बढ़ाने की शर्तों को रेखांकित करना, और पुष्टि करना शामिल है कि प्रमाणित बहुराष्ट्रीय कंपनियों को प्रत्येक क्रॉस-बॉर्डर डेटा प्रवाह के लिए बार-बार नए अनुबंधों पर हस्ताक्षर करने की आवश्यकता नहीं है।
सीमाओं के पार "सामान्य डेटा" का मुक्त प्रवाह
क्रॉस-बॉर्डर डेटा ट्रांसफर प्रश्नोत्तर कहता है कि "सामान्य डेटा जो व्यक्तिगत जानकारी या महत्वपूर्ण डेटा शामिल नहीं करता है, सीमाओं के पार स्वतंत्र रूप से प्रवाहित हो सकता है"।
सामान्य डेटा के प्रबंधन पर विनियमों को चीन के किसी भी मुख्य डेटा कानूनों में स्पष्ट रूप से निर्दिष्ट नहीं किया गया है – जिसमें शामिल हैं साइबर सुरक्षा कानून, डेटा सुरक्षा कानून, या व्यक्तिगत सूचना संरक्षण कानून – न ही इसे विशेष रूप से क्रॉस-बॉर्डर डेटा ट्रांसफर पर विनियमों में उल्लेखित किया गया है।
यह कुछ उद्योग-विशिष्ट डेटा सुरक्षा और निर्यात विनियमों में उल्लेखित है, जैसे कि उद्योग और सूचना प्रौद्योगिकी के क्षेत्र में डेटा सुरक्षा प्रबंधन के उपाय (प्रायोगिक कार्यान्वयन). इन उपायों के लिए औद्योगिक और दूरसंचार कंपनियों को डेटा सुरक्षा उद्देश्यों के लिए डेटा को तीन श्रेणियों में संगठित करने की आवश्यकता होती है – महत्वपूर्ण, कोर, और सामान्य डेटा। कोर और महत्वपूर्ण डेटा को सख्त विनियमों के अधीन किया जाता है, जिसमें चीन के भीतर अनिवार्य घरेलू भंडारण और निर्यात से पहले एक आवश्यक सुरक्षा आकलन शामिल है।
इन विनियमों की व्याख्या यह करने के लिए की गई है कि सामान्य डेटा को समान सख्त आवश्यकताओं के अधीन नहीं किया जाता है, हालांकि पाठ इसे स्पष्ट रूप से पुष्टि नहीं करते हैं। सीएसी का स्पष्टीकरण – कि सामान्य डेटा सीमाओं के पार स्वतंत्र रूप से स्थानांतरित किया जा सकता है – इसलिए महत्वपूर्ण है, क्योंकि यह इस व्याख्या की वैधता के आसपास किसी भी अनिश्चितता को समाप्त करता है।
फिर भी, सामान्य डेटा क्या होता है, इसे परिभाषित करना सीधा नहीं हो सकता है, क्योंकि सरकार ने डेटा प्रकारों की एक निश्चित सूची जारी नहीं की है जो योग्य हैं। सबसे निकटतम विशिष्ट परिभाषा डेटा वर्गीकरण मानक [GB/T 43697-2024] जो 2024 में जारी किया गया, जिसमें सामान्य डेटा को "महत्वपूर्ण और कोर डेटा को छोड़कर कोई भी डेटा" के रूप में परिभाषित किया गया है।
इन मानकों में उल्लिखित "कोर", "महत्वपूर्ण", और अन्य डेटा प्रकारों की परिभाषाएं नीचे दी गई तालिका में संक्षेपित की गई हैं।
चीन के डेटा वर्गीकरण मानकों में प्रमुख डेटा शर्तों की परिभाषाएं | |
|---|---|
| डेटा | इलेक्ट्रॉनिक या अन्य रूपों में सूचना का कोई भी रिकॉर्ड। |
| महत्वपूर्ण डेटा | विशिष्ट क्षेत्रों, समूहों, और क्षेत्रों के लिए डेटा, या एक निश्चित स्तर की सटीकता और पैमाने तक पहुंचने वाला डेटा जो, एक बार लीक, छेड़छाड़, या नष्ट हो जाने पर, राष्ट्रीय सुरक्षा, आर्थिक संचालन, सामाजिक स्थिरता, सार्वजनिक स्वास्थ्य, और सुरक्षा को सीधे खतरे में डाल सकता है। नोट: डेटा जो केवल संगठन या व्यक्तिगत नागरिकों को प्रभावित करता है, आमतौर पर महत्वपूर्ण डेटा नहीं माना जाता है। |
| कोर डेटा | उच्च कवरेज वाला डेटा, जो उच्च स्तर की सटीकता तक पहुंचता है, बड़े पैमाने पर होता है, और एक डोमेन, समूह, या क्षेत्र में एक निश्चित गहराई तक पहुंचता है, जो एक बार अवैध रूप से उपयोग या साझा किया जाता है, राजनीतिक सुरक्षा को सीधे प्रभावित कर सकता है। नोट: कोर डेटा में मुख्य रूप से राष्ट्रीय सुरक्षा के प्रमुख क्षेत्रों, राष्ट्रीय आर्थिक जीवनरेखाओं, लोगों की आजीविका, और प्रमुख सार्वजनिक हितों से संबंधित डेटा शामिल होता है, जिसे संबंधित राज्य विभागों द्वारा मूल्यांकित और निर्धारित किया जाता है। |
| सामान्य डेटा | अन्य डेटा, महत्वपूर्ण और कोर डेटा को छोड़कर। |
| व्यक्तिगत जानकारी | पहचाने गए या पहचाने जा सकने वाले प्राकृतिक व्यक्तियों से संबंधित विभिन्न प्रकार की जानकारी जो इलेक्ट्रॉनिक या अन्य रूपों में दर्ज की गई है। व्यक्तिगत जानकारी को भी व्यक्तिगत जानकारी संरक्षण कानून और अन्य नियम जारी किए। |
सामान्य डेटा को परिभाषित करने में एक महत्वपूर्ण विकास तब हुआ जब सीमा-पार डेटा प्रवाह को बढ़ावा देने और मानकीकृत करने के लिए नियम, सीमा-पार डेटा स्थानांतरण को आसान बनाने के लिए नियमों का एक सेट, जो 22 मार्च, 2024 को लागू हुआ। इन नियमों ने यह निर्धारित किया कि चीन के मुक्त व्यापार क्षेत्र (FTZs) सामान्य डेटा की सूची तैयार कर सकते हैं जिसे कंपनियाँ क्षेत्र से स्वतंत्र रूप से निर्यात कर सकती हैं।
मई 2024 में, शंघाई FTZ पहला क्षेत्र था जिसने सामान्य डेटा सूचियाँ, पहले बैच के साथ जो ऑटोमोटिव, जैव-फार्मास्यूटिकल्स, और म्यूचुअल फंड क्षेत्रों में कंपनियों पर लागू होता है। इस प्रणाली के तहत, शंघाई FTZ में स्थित कंपनियाँ जो किसी भी उद्देश्य के लिए चीन से डेटा निर्यात करने की आवश्यकता होती है, वे सामान्य डेटा सूचियों में बताए गए उद्देश्यों के लिए ऐसा कर सकती हैं बिना किसी अतिरिक्त अनुपालन प्रक्रियाओं के।
हालांकि, अधिकांश भाग के लिए, FTZs जिन्होंने सीमा-पार डेटा स्थानांतरण को आसान बनाने के उपाय लागू किए हैं, ने एक थोड़ा अलग दृष्टिकोण अपनाया है। अब तक, तियानजिन, बीजिंग, शंघाई, और झेजियांग FTZs, के साथ-साथ हैनान मुक्त व्यापार बंदरगाह (FTP), ने 17 उद्योगों को कवर करने वाली डेटा नकारात्मक सूचियाँ जारी की हैं, जिनमें ऑटोमोबाइल, फार्मास्यूटिकल्स, रिटेल, सिविल एविएशन, पुनर्बीमा, गहरे समुद्र उद्योग, और बीज उद्योग शामिल हैं। इस प्रणाली के तहत, उन डेटा के प्रकार और व्यक्तिगत जानकारी की मात्रा जो स्वतंत्र रूप से निर्यात नहीं की जा सकती हैं, उद्योग-विशिष्ट डेटा सूचियों में सूचीबद्ध की जाती हैं, और जो डेटा सूचियों में शामिल नहीं हैं, उन्हें क्षेत्र से स्वतंत्र रूप से निर्यात किया जा सकता है।
सीमा-पार डेटा स्थानांतरण प्रश्नोत्तर भी पुनः पुष्टि करता है कि कोई भी डेटा जो नकारात्मक सूचियों में शामिल नहीं है, उसे संबंधित FTZ से देश से बाहर स्वतंत्र रूप से निर्यात किया जा सकता है। आगे बढ़ते हुए, यह संभव है कि अधिक FTZs विभिन्न उद्योगों के लिए डेटा नकारात्मक सूचियाँ लागू करने का चयन करेंगे, बजाय इसके कि सामान्य डेटा को परिभाषित करें।
FTZ नकारात्मक सूचियों और उद्योग-विशिष्ट सूचियों के विस्तार के बीच संगति सुनिश्चित करना
सीमा-पार डेटा स्थानांतरण प्रश्नोत्तर पुनः पुष्टि करता है कि FTZs को डेटा निर्यात के लिए अपनी डेटा नकारात्मक सूचियाँ तैयार करने की अनुमति है, लेकिन ये सूचियाँ राष्ट्रीय डेटा वर्गीकरण और ग्रेडिंग सुरक्षा प्रणाली के ढांचे के तहत तैयार की जानी चाहिए। इसके अलावा, सूचियाँ चीन के डेटा कानूनों, मानकों, और नियमों के साथ संगति और अनुपालन सुनिश्चित करने के लिए एक मजबूत अनुमोदन प्रक्रिया से गुजरती हैं। इसमें प्रांतीय साइबर सुरक्षा और सूचना समिति द्वारा अनुमोदन, राष्ट्रीय साइबर सुरक्षा और सूचना प्रौद्योगिकी विभाग और राष्ट्रीय डेटा प्रबंधन विभाग के साथ फाइलिंग, और CAC और राष्ट्रीय डेटा प्रशासन द्वारा अंतिम समीक्षा शामिल है। इसके अलावा, नकारात्मक सूचियों को तैयार करने की प्रक्रिया के दौरान संबंधित सक्षम विभागों की राय ली जाती है।
विभिन्न FTZs में नकारात्मक सूचियों के कार्यान्वयन को सुविधाजनक बनाने के लिए, सीमा-पार डेटा स्थानांतरण प्रश्नोत्तर कहता है कि यदि एक FTZ ने पहले ही किसी विशेष उद्योग या क्षेत्र के लिए एक नकारात्मक सूची जारी की है, तो अन्य FTZs इस सूची का संदर्भ ले सकते हैं बजाय इसके कि एक नई सूची तैयार करें। यह विभिन्न FTZs के बीच निरंतरता और राष्ट्रीय डेटा वर्गीकरण और ग्रेडिंग सुरक्षा प्रणाली के अनुपालन में मदद करेगा।
यह भी सुझाव देता है कि अधिक FTZs बीजिंग, शंघाई, तियानजिन, हैनान, और झेजियांग में पेश की गई सूचियों के मॉडल पर डेटा नकारात्मक सूचियाँ जारी करेंगे। सीमा-पार डेटा स्थानांतरण प्रश्नोत्तर आगे यह बताता है कि CAC सक्रिय रूप से FTZs को उनके विशिष्ट औद्योगिक विकास आवश्यकताओं के साथ संरेखण में ऐसी सूचियाँ विकसित करने के लिए मार्गदर्शन कर रहा है।
व्यक्तिगत जानकारी निर्यात की आवश्यकता का निर्धारण
चीन से कुछ मात्रा में व्यक्तिगत जानकारी निर्यात करने के चरणों में से एक यह आकलन करना है कि क्या निर्यात कंपनी के व्यापार संचालन के लिए आवश्यक है। उदाहरण के लिए, कंपनियाँ जो बड़ी मात्रा में व्यक्तिगत जानकारी निर्यात करना चाहती हैं, इस प्रकार CAC द्वारा सुरक्षा मूल्यांकन की आवश्यकता होती है, उन्हें एक आत्म-मूल्यांकन करना होगा जिसमें, अन्य बातों के अलावा, "सीमा-पार डेटा स्थानांतरण के उद्देश्य, दायरे, और विधि की वैधता, वैधता, और आवश्यकता का मूल्यांकन करना" शामिल है, और विदेशी प्राप्तकर्ता द्वारा डेटा की प्रोसेसिंग।" CAC का सुरक्षा मूल्यांकन स्वयं भी "डेटा निर्यात के तरीकों, दायरे, और उद्देश्य की वैधता, वैधता, और आवश्यकता का आकलन" शामिल करता है।
व्यापक रूप से, कंपनियों को किसी भी प्रोसेसिंग गतिविधि के लिए व्यक्तिगत जानकारी प्रोसेसिंग की आवश्यकता को दिखाना आवश्यक है, न कि केवल डेटा निर्यात के लिए। विशेष रूप से, PIPL के अनुच्छेद 6 में यह निर्धारित किया गया है कि "व्यक्तिगत जानकारी की प्रोसेसिंग का एक स्पष्ट और उचित उद्देश्य होना चाहिए, डेटा प्रोसेसिंग के उद्देश्य से सीधे संबंधित होना चाहिए, और इसे इस तरह से किया जाना चाहिए कि व्यक्तिगत अधिकारों और हितों पर न्यूनतम प्रभाव पड़े। व्यक्तिगत जानकारी का संग्रह डेटा प्रोसेसिंग के उद्देश्य को प्राप्त करने के लिए आवश्यक न्यूनतम दायरे तक सीमित होना चाहिए, और व्यक्तिगत जानकारी का अत्यधिक संग्रह अनुमत नहीं है।"
इसके अलावा, अनुच्छेद 19 यह निर्धारित करता है कि "जब तक कानूनों और प्रशासनिक विनियमों द्वारा अन्यथा प्रदान नहीं किया जाता है, व्यक्तिगत जानकारी की प्रतिधारण अवधि डेटा प्रसंस्करण के उद्देश्य को प्राप्त करने के लिए आवश्यक सबसे कम समय होनी चाहिए।"
सीमा-पार डेटा ट्रांसफर प्रश्नोत्तर बताता है कि कानूनी प्रावधानों के आधार पर, चार प्रमुख कारक यह निर्धारित करते हैं कि व्यक्तिगत जानकारी का निर्यात "आवश्यक" है या नहीं:
- क्या यह डेटा प्रसंस्करण के उद्देश्य से सीधे संबंधित है।
- क्या यह व्यक्तिगत अधिकारों और हितों पर प्रभाव को कम करता है।
- क्या यह उस उद्देश्य के लिए आवश्यक न्यूनतम दायरे तक सीमित है।
- क्या डेटा प्रतिधारण अवधि उस उद्देश्य को पूरा करने के लिए जितनी छोटी हो सके उतनी छोटी है।
सीमा-पार डेटा ट्रांसफर प्रश्नोत्तर आगे यह नोट करता है कि डेटा निर्यात सुरक्षा आकलनों के दौरान, CAC कंपनी के विशिष्ट व्यावसायिक संदर्भ और प्रसंस्करण आवश्यकताओं के आधार पर निर्यात की आवश्यकता का मूल्यांकन करेगा। इसमें स्वयं निर्यात की आवश्यकता, शामिल व्यक्तियों की संख्या, और स्थानांतरित की जा रही व्यक्तिगत डेटा की मात्रा का आकलन शामिल है।
अंत में, यह बताता है कि CAC, उद्योग नियामकों के साथ मिलकर, सीमा-पार डेटा ट्रांसफर पर अधिक लक्षित नीति मार्गदर्शन प्रदान करने के लिए विशिष्ट उद्योगों के लिए निर्यात परिदृश्यों और डेटा दायरे की आवश्यकताओं को परिष्कृत और स्पष्ट करना जारी रखेगा।
महत्वपूर्ण डेटा की पहचान पर स्पष्टीकरण और महत्वपूर्ण डेटा निर्यात पर विनियम
सीमा-पार डेटा ट्रांसफर के मामले में विदेशी कंपनियों के लिए सबसे कठिन क्षेत्रों में से एक यह आकलन करना है कि उनके पास कौन सा डेटा "महत्वपूर्ण" डेटा माना जाता है।
चीन के डेटा सुरक्षा कानूनों के तहत, किसी भी डेटा को "महत्वपूर्ण" के रूप में वर्गीकृत किया गया है, उसे निर्यात से पहले CAC द्वारा सुरक्षा आकलन से गुजरना होगा।
हालांकि, सरकार ने यह नहीं बताया है कि क्या महत्वपूर्ण डेटा माना जाता है, यह निर्धारित करना मुश्किल है कि कौन सा डेटा योग्य होगा।
नेटवर्क डेटा सुरक्षा प्रबंधन विनियम, जो 1 जनवरी, 2025 को प्रभावी हुआ, महत्वपूर्ण डेटा की एक सामान्य परिभाषा प्रदान करता है जैसे कि "विशिष्ट क्षेत्र, विशिष्ट समूह, विशिष्ट क्षेत्र में डेटा, या एक निश्चित सटीकता और पैमाने तक पहुंचना, जो सीधे राष्ट्रीय सुरक्षा, आर्थिक संचालन, सामाजिक स्थिरता, सार्वजनिक स्वास्थ्य और सुरक्षा को खतरे में डाल सकता है यदि इसे छेड़छाड़, नष्ट, लीक, अवैध रूप से प्राप्त, या अवैध रूप से उपयोग किया जाता है।"
इस बीच, उपरोक्त उल्लिखित डेटा वर्गीकरण मानक भी रेखांकित करते हैं विस्तृत विधियाँ कंपनियों के लिए महत्वपूर्ण डेटा की पहचान करने के लिए।
जबकि महत्वपूर्ण डेटा को आमतौर पर निर्यात से प्रतिबंधित किया जाता है, सीमा-पार डेटा ट्रांसफर प्रश्नोत्तर स्पष्ट करता है कि कुछ परिदृश्यों में महत्वपूर्ण डेटा निर्यात किया जा सकता है। विशेष रूप से, यदि डेटा निर्यात सुरक्षा आकलन यह निर्धारित करता है कि डेटा का स्थानांतरण राष्ट्रीय सुरक्षा या सार्वजनिक हितों को खतरे में नहीं डालता है, तो इसे निर्यात किया जा सकता है।
सीमा-पार डेटा ट्रांसफर प्रश्नोत्तर के अनुसार, मार्च 2025 तक, CAC ने 298 डेटा निर्यात सुरक्षा आकलनों की समीक्षा की थी। इनमें से, 44 में महत्वपूर्ण डेटा शामिल था, और 7 को अस्वीकार कर दिया गया था - अस्वीकृति दर 15.9 प्रतिशत थी। इन 44 आवेदनों में 509 महत्वपूर्ण डेटा आइटम शामिल थे, जिनमें से 325 को निर्यात के लिए मंजूरी दी गई थी, जो कुल का 63.9 प्रतिशत था।
इसके अलावा, सीमा-पार डेटा ट्रांसफर प्रश्नोत्तर इस पर जोर देता है कि सीमा-पार डेटा प्रवाह को बढ़ावा देने और मानकीकृत करने के लिए विनियम स्पष्ट रूप से बताती हैं कि यदि कोई कंपनी अपने महत्वपूर्ण डेटा को अग्रिम में घोषित करती है, प्रासंगिक विनियमों के अनुसार, और डेटा को प्रासंगिक अधिकारियों या क्षेत्रों द्वारा महत्वपूर्ण के रूप में पहचाना या सार्वजनिक रूप से नामित नहीं किया गया है, तो कंपनी को डेटा निर्यात सुरक्षा आकलन से गुजरने की आवश्यकता नहीं है।
तकनीकी मानकों के निर्माण में विदेशी कंपनियों की भागीदारी
सीमा-पार डेटा ट्रांसफर प्रश्नोत्तर दो मुख्य मार्गों को उजागर करता है जिनके माध्यम से विदेशी कंपनियां उद्योग और तकनीकी मानकों के विकास में भाग ले सकती हैं।
पहला, विदेशी कंपनियां राष्ट्रीय सूचना सुरक्षा मानकीकरण तकनीकी समिति के तहत कार्य समूहों की सदस्य बन सकती हैं। सदस्यों के रूप में, उनके पास घरेलू उद्यमों के समान अधिकार और जिम्मेदारियाँ होती हैं, जिससे उन्हें प्रारंभिक मसौदा तैयार करने से लेकर अंतिम समीक्षा तक की पूरी मानक-निर्धारण प्रक्रिया में भाग लेने की अनुमति मिलती है, और हर चरण में सक्रिय रूप से विचार और प्रतिक्रिया देने की अनुमति मिलती है।
दूसरा, विदेशी कंपनियां सार्वजनिक परामर्श के लिए प्रकाशित मसौदा मानकों की समीक्षा और टिप्पणियां प्रस्तुत करके भाग ले सकती हैं, यह सुनिश्चित करते हुए कि उनके दृष्टिकोण प्रस्तावित मानकों के परिष्करण के दौरान विचार किए जाते हैं।
व्यक्तिगत जानकारी निर्यात को सरल बनाने के तरीके
सीमा-पार डेटा ट्रांसफर प्रश्नोत्तर कंपनियों के लिए व्यक्तिगत जानकारी निर्यात की प्रक्रिया को आसान बनाने के लिए कई उपाय पेश करता है।
पहले, यदि किसी कंपनी के पास समान व्यावसायिक उद्देश्यों और डेटा निर्यात परिदृश्यों के साथ कई सहायक कंपनियां हैं, तो मूल कंपनी डेटा निर्यात सुरक्षा आकलन के लिए एक समेकित आवेदन प्रस्तुत कर सकती है या अन्य लागू अनुपालन प्रक्रियाओं को पूरा कर सकती है, जैसे कि एक मानक अनुबंध, सभी सहायक कंपनियों की ओर से। यह प्रत्येक व्यक्तिगत सहायक कंपनी के लिए अनुपालन बोझ और प्रशासनिक कार्यभार को काफी हद तक कम करता है।
हालांकि, यह दृष्टिकोण केवल तभी लाभकारी होता है जब सहायक कंपनियां पहले से ही अनुपालन आवश्यकताओं के अधीन होती हैं। यदि एकल सहायक कंपनी नियामक सीमा से नीचे व्यक्तिगत जानकारी को संसाधित करती है, तो वह सुरक्षा आकलन या अन्य प्रक्रियाओं को ट्रिगर किए बिना डेटा निर्यात कर सकती है। ऐसे मामलों में, कई सहायक कंपनियों से डेटा को समेकित करना अनजाने में कुल मात्रा को सीमा से ऊपर उठा सकता है, जिससे अतिरिक्त अनुपालन दायित्व उत्पन्न हो सकते हैं।
इसके अलावा, सीएसी व्यक्तिगत जानकारी के निर्यात के लिए एक प्रमाणन प्रणाली लागू करने के लिए काम कर रहा है, जिससे व्यक्तिगत जानकारी के निर्यात के लिए एक प्रमाणन प्रणाली लागू करने के लिए सीएसी काम कर रहा है, जिससे एक बार प्रमाणित होने के बाद, या तो घरेलू कंपनी या विदेशी प्राप्तकर्ता प्रमाणन के दायरे में डेटा निर्यात कर सकते हैं।
अंत में, प्रमाणित बहुराष्ट्रीय समूहों को व्यक्तिगत जानकारी को आंतरिक रूप से सीमा पार स्थानांतरित करने की अनुमति दी जाएगी बिना प्रत्येक विदेशी सहायक कंपनी के साथ अलग-अलग मानक अनुबंध पर हस्ताक्षर किए।
ये विधियाँ बड़े बहुराष्ट्रीय कंपनियों के लिए क्रॉस-बॉर्डर डेटा प्रवाह को काफी हद तक सुविधाजनक बना सकती हैं। विशेष रूप से, बहुराष्ट्रीय कंपनियों के लिए समूह-व्यापी प्रमाणन पर निर्भर करने की क्षमता, हर नए निर्यात परिदृश्य या डेटा प्रकार के लिए एक नया मानक अनुबंध पर हस्ताक्षर करने के बजाय, संचालन को काफी हद तक सुव्यवस्थित करेगी। यह कानूनी जटिलता को कम करता है, व्यापार प्रक्रियाओं को तेज करता है, और चीन में स्थित कंपनियों और उनके विदेशी सहयोगियों के बीच अधिक कुशल सहयोग को सक्षम बनाता है।
डेटा निर्यात सुरक्षा आकलन परिणाम की वैधता अवधि का विस्तार करना
क्रॉस-बॉर्डर डेटा ट्रांसफर प्रश्नोत्तर के तहत स्पष्ट करता है कि क्रॉस-बॉर्डर डेटा प्रवाह को बढ़ावा देने और मानकीकरण करने के लिए विनियम, डेटा निर्यात सुरक्षा आकलन परिणाम की वैधता अवधि को 2 वर्षों से बढ़ाकर 3 वर्ष कर दिया गया है। इसका मतलब है कि एक बार जब कोई कंपनी सुरक्षा आकलन पास कर लेती है, तो वह तीन वर्षों तक व्यक्तिगत जानकारी का निर्यात जारी रख सकती है बिना पुनः आवेदन किए।
यदि तीन वर्षों के अंत में, कंपनी डेटा निर्यात जारी रखना चाहती है और कोई महत्वपूर्ण परिवर्तन नहीं हुआ है जो एक नए आवेदन की आवश्यकता होगी (जैसे डेटा प्रकार, प्रसंस्करण उद्देश्यों, या प्राप्तकर्ताओं में महत्वपूर्ण परिवर्तन), तो कंपनी मूल मूल्यांकन परिणाम की वैधता को बढ़ाने के लिए आवेदन कर सकती है। यह विस्तार आवेदन कंपनी के स्थानीय (प्रांतीय स्तर) सीएसी कार्यालय के माध्यम से मूल समाप्ति तिथि से कम से कम 60 कार्य दिवस पहले प्रस्तुत किया जाना चाहिए। सीएसी द्वारा अनुमोदन पर, वैधता अवधि को तीन और वर्षों के लिए बढ़ाया जा सकता है।
वर्तमान में, सीएसी विस्तार प्रक्रियाओं को परिष्कृत करने की प्रक्रिया में है और हितधारकों से प्रतिक्रिया एकत्र कर रहा है। यह अद्यतन नीति दस्तावेजों के माध्यम से प्रक्रिया को स्पष्ट और औपचारिक बनाने की योजना बना रहा है, जिससे कंपनियों के लिए दीर्घकालिक डेटा निर्यात गतिविधियों का प्रबंधन करना आसान हो जाएगा।
सुरक्षा आकलन क्रॉस-बॉर्डर व्यक्तिगत जानकारी स्थानांतरण के लिए सबसे कठोर अनुपालन तंत्र हैं। कंपनियों को पुनः आवेदन करने की आवृत्ति को कम करके, बहु-वर्षीय विस्तार की अनुमति देकर, अनुपालन बोझ को काफी हद तक कम किया जाता है। यह कंपनियों को समय बचाने, प्रशासनिक लागतों को कम करने और क्रॉस-बॉर्डर संचालन में निरंतरता बनाए रखने में मदद करता है, विशेष रूप से उन लोगों के लिए जो व्यक्तिगत जानकारी या महत्वपूर्ण डेटा की उच्च मात्रा को संभालते हैं।
