เมื่อวันที่ 9 เมษายน 2025 สำนักงานบริหารไซเบอร์สเปซของจีน (CAC) ได้เผยแพร่ คำถามและคำตอบเกี่ยวกับนโยบายการจัดการความปลอดภัยของการถ่ายโอนข้อมูลข้ามพรมแดน (ต่อไปนี้จะเรียกว่า "คำถามและคำตอบเกี่ยวกับการถ่ายโอนข้อมูลข้ามพรมแดน") การเสนอการตีความเชิงปฏิบัติเกี่ยวกับวิธีที่บริษัทสามารถปฏิบัติตามกรอบการทำงานที่พัฒนาขึ้นของจีนสำหรับ การถ่ายโอนข้อมูลข้ามพรมแดน. คำถามและคำตอบเกี่ยวกับการถ่ายโอนข้อมูลข้ามพรมแดน ชี้แจงรายละเอียดการดำเนินการสำหรับระบบสำคัญ รวมถึงการส่งออกข้อมูล การประเมินความปลอดภัย, สัญญามาตรฐาน สำหรับการส่งออกข้อมูลส่วนบุคคล และ กลไกการรับรอง.
แม้ว่าข้อความนี้จะไม่ได้แนะนำกฎหมายใหม่หรือส่งสัญญาณการผ่อนคลายกฎระเบียบในวงกว้าง แต่ก็ให้ความชัดเจนที่สำคัญในหลายๆ ด้านที่ก่อให้เกิดความท้าทายสำหรับธุรกิจ โดยเฉพาะบริษัทข้ามชาติ มันให้ความกระจ่างเกี่ยวกับวิธีที่ "ข้อมูลทั่วไป" สามารถไหลข้ามพรมแดนได้อย่างอิสระ วิธีที่บริษัทควรประเมินความจำเป็นของการส่งออกข้อมูลส่วนบุคคล และสิ่งที่ถือเป็น "ข้อมูลสำคัญ"
ที่น่าสังเกตคือ คำถามและคำตอบเกี่ยวกับการถ่ายโอนข้อมูลข้ามพรมแดน แนะนำมาตรการเพื่อช่วยให้บริษัทหลีกเลี่ยงการทำซ้ำขั้นตอนการปฏิบัติตามข้อกำหนดที่ไม่จำเป็น ซึ่งรวมถึงการอนุญาตให้บริษัทกลุ่มส่งใบสมัครรวมสำหรับการปฏิบัติตามข้อกำหนดการส่งออกข้อมูล การกำหนดเงื่อนไขที่สามารถขยายความถูกต้องของการประเมินความปลอดภัย และยืนยันว่าบริษัทข้ามชาติที่ได้รับการรับรองไม่จำเป็นต้องลงนามในสัญญาใหม่ซ้ำๆ สำหรับการไหลของข้อมูลข้ามพรมแดนแต่ละครั้ง
การไหลของ "ข้อมูลทั่วไป" ข้ามพรมแดนอย่างอิสระ
คำถามและคำตอบเกี่ยวกับการถ่ายโอนข้อมูลข้ามพรมแดน ระบุว่า "ข้อมูลทั่วไปที่ไม่เกี่ยวข้องกับข้อมูลส่วนบุคคลหรือข้อมูลสำคัญสามารถไหลข้ามพรมแดนได้อย่างอิสระ"
ข้อบังคับเกี่ยวกับการจัดการข้อมูลทั่วไปยังไม่ได้ระบุไว้อย่างชัดเจนในกฎหมายข้อมูลหลักของจีนใดๆ – รวมถึง กฎหมายความปลอดภัยทางไซเบอร์, กฎหมายความปลอดภัยของข้อมูล, หรือ กฎหมายคุ้มครองข้อมูลส่วนบุคคล – และไม่ได้กล่าวถึงในข้อบังคับเฉพาะเกี่ยวกับการถ่ายโอนข้อมูลข้ามพรมแดน
มีการกล่าวถึงในข้อบังคับเฉพาะด้านอุตสาหกรรมบางประการเกี่ยวกับความปลอดภัยของข้อมูลและการส่งออก เช่น มาตรการการจัดการความปลอดภัยของข้อมูลในด้านอุตสาหกรรมและเทคโนโลยีสารสนเทศ (การดำเนินการทดลอง). มาตรการเหล่านี้กำหนดให้บริษัทอุตสาหกรรมและโทรคมนาคมจัดระเบียบข้อมูลออกเป็นสามประเภท – ข้อมูลสำคัญ ข้อมูลหลัก และข้อมูลทั่วไป – เพื่อวัตถุประสงค์ด้านความปลอดภัยของข้อมูล ข้อมูลหลักและข้อมูลสำคัญอยู่ภายใต้ข้อบังคับที่เข้มงวดกว่า รวมถึงการจัดเก็บภายในประเทศจีนอย่างบังคับและการประเมินความปลอดภัยที่จำเป็นก่อนการส่งออก
ข้อบังคับเหล่านี้ได้รับการตีความว่า ข้อมูลทั่วไปไม่อยู่ภายใต้ข้อกำหนดที่เข้มงวดเช่นเดียวกัน แม้ว่าข้อความจะไม่ได้ยืนยันอย่างชัดเจนก็ตาม การชี้แจงของ CAC—ว่าข้อมูลทั่วไปสามารถถ่ายโอนข้ามพรมแดนได้อย่างอิสระ—จึงมีความสำคัญ เนื่องจากขจัดความไม่แน่นอนใดๆ เกี่ยวกับความถูกต้องของการตีความนี้
อย่างไรก็ตาม การกำหนดสิ่งที่ถือเป็นข้อมูลทั่วไปอาจไม่ตรงไปตรงมา เนื่องจากรัฐบาลยังไม่ได้เผยแพร่รายการประเภทข้อมูลที่มีคุณสมบัติอย่างชัดเจน สิ่งที่ใกล้เคียงที่สุดกับคำจำกัดความเฉพาะพบได้ใน มาตรฐานการจำแนกข้อมูล [GB/T 43697-2024] ที่ออกในปี 2024 ซึ่งข้อมูลทั่วไปถูกกำหนดว่าเป็น "ข้อมูลใดๆ ที่ไม่รวมข้อมูลสำคัญและข้อมูลหลัก"
คำจำกัดความของ "ข้อมูลหลัก", "ข้อมูลสำคัญ", และประเภทข้อมูลอื่นๆ ที่ระบุไว้ในมาตรฐานเหล่านี้สรุปไว้ในตารางด้านล่าง
คำจำกัดความของคำสำคัญเกี่ยวกับข้อมูลในมาตรฐานการจำแนกข้อมูลของจีน | |
|---|---|
| ข้อมูล | บันทึกข้อมูลใดๆ ในรูปแบบอิเล็กทรอนิกส์หรือรูปแบบอื่นๆ |
| ข้อมูลสำคัญ | ข้อมูลเฉพาะในบางสาขา กลุ่ม และภูมิภาค หรือถึงระดับความแม่นยำและขนาดที่เมื่อรั่วไหล ถูกแก้ไข หรือถูกทำลาย อาจเป็นอันตรายต่อความมั่นคงของชาติ การดำเนินงานทางเศรษฐกิจ ความมั่นคงทางสังคม สุขภาพและความปลอดภัยของประชาชน หมายเหตุ: ข้อมูลที่ส่งผลกระทบเฉพาะต่อองค์กรเองหรือพลเมืองรายบุคคลโดยทั่วไปไม่ถือเป็นข้อมูลสำคัญ |
| ข้อมูลหลัก | ข้อมูลที่มีระดับความครอบคลุมสูง มีความแม่นยำสูง มีขนาดใหญ่ และมีความลึกในโดเมน กลุ่ม หรือภูมิภาคที่เมื่อถูกใช้หรือแชร์อย่างผิดกฎหมาย อาจส่งผลกระทบโดยตรงต่อความมั่นคงทางการเมือง หมายเหตุ: ข้อมูลหลักส่วนใหญ่รวมถึงข้อมูลที่เกี่ยวข้องกับพื้นที่สำคัญด้านความมั่นคงของชาติ เส้นชีวิตทางเศรษฐกิจของชาติ ความเป็นอยู่ของประชาชน และผลประโยชน์สาธารณะที่สำคัญ ซึ่งประเมินและกำหนดโดยหน่วยงานของรัฐที่เกี่ยวข้อง |
| ข้อมูลทั่วไป | ข้อมูลอื่นๆ ที่ไม่รวมข้อมูลสำคัญและข้อมูลหลัก |
| ข้อมูลส่วนบุคคล | ข้อมูลประเภทต่างๆ ที่เกี่ยวข้องกับบุคคลธรรมดาที่สามารถระบุหรือระบุได้บันทึกในรูปแบบอิเล็กทรอนิกส์หรือรูปแบบอื่นๆ. ข้อมูลส่วนบุคคลยังถูกกำหนดใน กฎหมายคุ้มครองข้อมูลส่วนบุคคล และระเบียบอื่นๆ. |
การพัฒนาที่สำคัญในการกำหนดข้อมูลทั่วไปเกิดขึ้นพร้อมกับการปล่อย ระเบียบเพื่อส่งเสริมและมาตรฐานการไหลของข้อมูลข้ามพรมแดน, ชุดของระเบียบที่มุ่งเน้นการผ่อนคลายการโอนข้อมูลข้ามพรมแดน, ซึ่งมีผลบังคับใช้เมื่อวันที่ 22 มีนาคม 2024. ระเบียบเหล่านี้กำหนดว่าเขตการค้าเสรีของจีนสามารถสร้างแคตตาล็อกของข้อมูลทั่วไปที่บริษัทสามารถส่งออกได้อย่างอิสระจากเขต.
ในเดือนพฤษภาคม 2024, เขตการค้าเสรีเซี่ยงไฮ้เป็นเขตแรกที่ปล่อย รายการข้อมูลทั่วไป, โดยชุดแรกใช้กับบริษัทในภาคยานยนต์, ชีวเภสัชกรรม, และกองทุนรวม. ภายใต้ระบบนี้, บริษัทที่ตั้งอยู่ในเขตการค้าเสรีเซี่ยงไฮ้ที่ต้องการส่งออกข้อมูลออกจากจีนเพื่อวัตถุประสงค์ใดๆ ที่ระบุในรายการข้อมูลทั่วไปสามารถทำได้โดยไม่ต้องผ่านกระบวนการปฏิบัติตามข้อกำหนดเพิ่มเติมใดๆ.
อย่างไรก็ตาม, สำหรับส่วนใหญ่, เขตการค้าเสรีที่ได้ดำเนินมาตรการเพื่อผ่อนคลายการโอนข้อมูลข้ามพรมแดนได้ใช้วิธีการที่แตกต่างกันเล็กน้อย. จนถึงขณะนี้, เทียนจิน, ปักกิ่ง, เซี่ยงไฮ้, และ เขตการค้าเสรีเจ้อเจียง, เช่นเดียวกับ ท่าเรือการค้าเสรีไห่หนาน (FTP), ได้ออกประกาศรายการเชิงลบของข้อมูลที่ครอบคลุมทั้งหมด 17 อุตสาหกรรม, รวมถึงยานยนต์, ยา, ค้าปลีก, การบินพลเรือน, การประกันภัยต่อ, อุตสาหกรรมทะเลลึก, และอุตสาหกรรมเมล็ดพันธุ์. ภายใต้ระบบนี้, ประเภทของข้อมูลและปริมาณของข้อมูลส่วนบุคคลที่ไม่สามารถส่งออกได้อย่างอิสระจะถูกระบุในรายการข้อมูลเฉพาะอุตสาหกรรม, และข้อมูลใดๆ ที่ไม่รวมอยู่ในรายการสามารถส่งออกได้อย่างอิสระออกจากเขต.
คำถามและคำตอบเกี่ยวกับการโอนข้อมูลข้ามพรมแดนยังย้ำว่าข้อมูลใดๆ ที่ไม่รวมอยู่ในรายการเชิงลบสามารถส่งออกได้อย่างอิสระออกจากประเทศจากเขตการค้าเสรีที่เกี่ยวข้อง. ในอนาคต, เป็นไปได้ว่าเขตการค้าเสรีเพิ่มเติมจะเลือกใช้รายการเชิงลบของข้อมูลสำหรับอุตสาหกรรมต่างๆ แทนการกำหนดข้อมูลทั่วไป.
การรับรองความสอดคล้องระหว่างรายการเชิงลบของเขตการค้าเสรีและการขยายรายการเฉพาะอุตสาหกรรม
คำถามและคำตอบเกี่ยวกับการโอนข้อมูลข้ามพรมแดน ย้ำว่าเขตการค้าเสรีได้รับอนุญาตให้สร้างรายการเชิงลบของข้อมูลของตนเองสำหรับการส่งออกข้อมูล, แต่รายการเหล่านี้ต้องถูกสร้างภายใต้กรอบระบบการจัดประเภทและการป้องกันข้อมูลระดับชาติ. นอกจากนี้, รายการเหล่านี้ต้องผ่านกระบวนการอนุมัติที่เข้มงวดเพื่อให้แน่ใจว่ามีความสอดคล้องและปฏิบัติตามกฎหมาย, มาตรฐาน, และระเบียบข้อบังคับด้านข้อมูลของจีน. ซึ่งรวมถึงการอนุมัติโดยคณะกรรมการความปลอดภัยทางไซเบอร์และสารสนเทศระดับจังหวัด, การยื่นต่อกรมความปลอดภัยทางไซเบอร์และเทคโนโลยีสารสนเทศแห่งชาติและกรมการจัดการข้อมูลแห่งชาติ, และการตรวจสอบขั้นสุดท้ายโดย CAC และการบริหารข้อมูลแห่งชาติ. นอกจากนี้, ความคิดเห็นของหน่วยงานที่เกี่ยวข้องจะถูกขอในระหว่างกระบวนการสร้างรายการเชิงลบ.
เพื่ออำนวยความสะดวกในการดำเนินการของรายการเชิงลบในเขตการค้าเสรีต่างๆ, คำถามและคำตอบเกี่ยวกับการโอนข้อมูลข้ามพรมแดน ระบุว่าหากเขตการค้าเสรีหนึ่งได้ออกประกาศรายการเชิงลบสำหรับอุตสาหกรรมหรือสาขาหนึ่งแล้ว, เขตการค้าเสรีอื่นๆ สามารถอ้างอิงรายการนี้แทนการสร้างรายการใหม่. นี้จะช่วยให้เกิดความต่อเนื่องระหว่างเขตการค้าเสรีต่างๆ และการปฏิบัติตามระบบการจัดประเภทและการป้องกันข้อมูลระดับชาติ.
นี้ยังแนะนำว่าเขตการค้าเสรีเพิ่มเติมจะปล่อยรายการเชิงลบของข้อมูลที่มีรูปแบบตามที่ได้แนะนำในปักกิ่ง, เซี่ยงไฮ้, เทียนจิน, ไห่หนาน, และเจ้อเจียง. คำถามและคำตอบเกี่ยวกับการโอนข้อมูลข้ามพรมแดน เน้นเพิ่มเติมว่า CAC กำลังแนะนำเขตการค้าเสรีในการพัฒนารายการดังกล่าวให้สอดคล้องกับความต้องการพัฒนาอุตสาหกรรมเฉพาะของพวกเขา.
การกำหนดความจำเป็นของการส่งออกข้อมูลส่วนบุคคล
หนึ่งในขั้นตอนในการส่งออกข้อมูลส่วนบุคคลบางปริมาณออกจากจีนคือการประเมินว่าการส่งออกนั้นจำเป็นสำหรับการดำเนินธุรกิจของบริษัทหรือไม่. ตัวอย่างเช่น, บริษัทที่ต้องการส่งออกข้อมูลส่วนบุคคลจำนวนมาก, จึงต้องการการประเมินความปลอดภัยโดย CAC, จะต้องดำเนินการประเมินตนเองซึ่งรวมถึง, การประเมิน "ความถูกต้องตามกฎหมาย, ความชอบธรรม, และความจำเป็นของวัตถุประสงค์, ขอบเขต, และวิธีการของการโอนข้อมูลข้ามพรมแดน, และการประมวลผลข้อมูลโดยผู้รับข้อมูลในต่างประเทศ." การประเมินความปลอดภัยของ CAC เองยังรวมถึงการประเมิน "ความถูกต้องตามกฎหมาย, ความชอบธรรม, และความจำเป็นของวิธีการ, ขอบเขต, และวัตถุประสงค์ของการส่งออกข้อมูล".
ในวงกว้าง, บริษัทจำเป็นต้องแสดงความจำเป็นของการประมวลผลข้อมูลส่วนบุคคลสำหรับกิจกรรมการประมวลผลใดๆ, ไม่ใช่แค่การส่งออกข้อมูล. โดยเฉพาะ, มาตรา 6 ของ PIPL กำหนดว่า "การประมวลผลข้อมูลส่วนบุคคลต้องมีวัตถุประสงค์ที่ชัดเจนและสมเหตุสมผล, เกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการประมวลผลข้อมูล, และดำเนินการในลักษณะที่มีผลกระทบต่อสิทธิและผลประโยชน์ของบุคคลน้อยที่สุด. การเก็บรวบรวมข้อมูลส่วนบุคคลต้องจำกัดอยู่ในขอบเขตขั้นต่ำที่จำเป็นเพื่อบรรลุวัตถุประสงค์ของการประมวลผลข้อมูล, และการเก็บรวบรวมข้อมูลส่วนบุคคลที่เกินความจำเป็นไม่อนุญาต."
นอกจากนี้ มาตรา 19 กำหนดว่า “เว้นแต่จะมีกฎหมายและข้อบังคับทางปกครองกำหนดไว้เป็นอย่างอื่น ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลจะต้องเป็นระยะเวลาที่สั้นที่สุดที่จำเป็นเพื่อบรรลุวัตถุประสงค์ของการประมวลผลข้อมูล”
คำถามและคำตอบเกี่ยวกับการโอนข้อมูลข้ามพรมแดนอธิบายว่า ตามบทบัญญัติทางกฎหมาย มีปัจจัยสำคัญสี่ประการที่กำหนดว่าการส่งออกข้อมูลส่วนบุคคลเป็น “จำเป็น” หรือไม่:
- ไม่ว่าจะเกี่ยวข้องโดยตรงกับวัตถุประสงค์ของการประมวลผลข้อมูลหรือไม่
- ไม่ว่าจะลดผลกระทบต่อสิทธิและผลประโยชน์ของบุคคลหรือไม่
- ไม่ว่าจะจำกัดอยู่ในขอบเขตขั้นต่ำที่จำเป็นสำหรับวัตถุประสงค์นั้นหรือไม่
- ไม่ว่าระยะเวลาการเก็บรักษาข้อมูลจะสั้นที่สุดเท่าที่จำเป็นเพื่อบรรลุวัตถุประสงค์นั้นหรือไม่
คำถามและคำตอบเกี่ยวกับการโอนข้อมูลข้ามพรมแดน ระบุเพิ่มเติมว่าในระหว่างการประเมินความปลอดภัยในการส่งออกข้อมูล CAC จะประเมินความจำเป็นของการส่งออกตามบริบททางธุรกิจเฉพาะของบริษัทและความต้องการในการประมวลผล ซึ่งรวมถึงการประเมินความจำเป็นของการส่งออกเอง จำนวนบุคคลที่เกี่ยวข้อง และปริมาณข้อมูลส่วนบุคคลที่ถูกโอน
สุดท้าย ระบุว่า CAC ร่วมกับหน่วยงานกำกับดูแลอุตสาหกรรมจะยังคงปรับปรุงและชี้แจงสถานการณ์การส่งออกและข้อกำหนดขอบเขตข้อมูลสำหรับอุตสาหกรรมเฉพาะเพื่อเสนอแนวทางนโยบายที่ตรงเป้าหมายมากขึ้นเกี่ยวกับการโอนข้อมูลข้ามพรมแดน
การชี้แจงเกี่ยวกับการระบุข้อมูลสำคัญและกฎระเบียบเกี่ยวกับการส่งออกข้อมูลสำคัญ
หนึ่งในพื้นที่ที่ซับซ้อนที่สุดสำหรับบริษัทต่างชาติในการนำทางเมื่อพูดถึงการโอนข้อมูลข้ามพรมแดนคือการประเมินว่าข้อมูลใดที่พวกเขามีถือเป็นข้อมูล “สำคัญ”
ภายใต้กฎหมายความปลอดภัยของข้อมูลของจีน ข้อมูลใดๆ ที่จัดประเภทเป็น “สำคัญ” จะต้องผ่านการประเมินความปลอดภัยโดย CAC ก่อนที่จะสามารถส่งออกได้
อย่างไรก็ตาม เนื่องจากรัฐบาลยังไม่ได้เผยแพร่รายการที่ชัดเจนว่าอะไรถือเป็นข้อมูลสำคัญ จึงเป็นเรื่องยากที่จะกำหนดว่าข้อมูลใดจะมีคุณสมบัติ
ข้อบังคับการจัดการความปลอดภัยของข้อมูลเครือข่ายซึ่งมีผลบังคับใช้ในวันที่ 1 มกราคม 2025 ให้คำจำกัดความทั่วไปของข้อมูลสำคัญว่า “ข้อมูลในสาขาเฉพาะ กลุ่มเฉพาะ ภูมิภาคเฉพาะ หรือถึงระดับความแม่นยำและขนาดที่แน่นอน ซึ่งอาจเป็นอันตรายต่อความมั่นคงของชาติ การดำเนินงานทางเศรษฐกิจ เสถียรภาพทางสังคม สุขภาพและความปลอดภัยของประชาชนโดยตรงหากถูกดัดแปลง ทำลาย รั่วไหล ได้รับอย่างผิดกฎหมาย หรือใช้อย่างผิดกฎหมาย”
ในขณะเดียวกัน มาตรฐานการจำแนกประเภทข้อมูลที่กล่าวถึงข้างต้นยังระบุว่า วิธีการที่กว้างขวาง สำหรับบริษัทในการระบุข้อมูลสำคัญ
ในขณะที่ข้อมูลสำคัญโดยทั่วไปถูกจำกัดไม่ให้ส่งออก คำถามและคำตอบเกี่ยวกับการโอนข้อมูลข้ามพรมแดนชี้แจงว่ามีสถานการณ์บางอย่างที่ข้อมูลสำคัญสามารถส่งออกได้ โดยเฉพาะอย่างยิ่งหากการประเมินความปลอดภัยในการส่งออกข้อมูลกำหนดว่าการโอนข้อมูลนั้นไม่เป็นอันตรายต่อความมั่นคงของชาติหรือผลประโยชน์สาธารณะ ก็สามารถส่งออกได้
ตามคำถามและคำตอบเกี่ยวกับการโอนข้อมูลข้ามพรมแดน ณ เดือนมีนาคม 2025 CAC ได้ตรวจสอบการประเมินความปลอดภัยในการส่งออกข้อมูล 298 รายการ ในจำนวนนี้ 44 รายการเกี่ยวข้องกับข้อมูลสำคัญ และ 7 รายการถูกปฏิเสธ – อัตราการปฏิเสธอยู่ที่ 15.9 เปอร์เซ็นต์ การสมัคร 44 รายการนี้รวมถึงข้อมูลสำคัญ 509 รายการ ซึ่ง 325 รายการได้รับการอนุมัติให้ส่งออก หรือคิดเป็น 63.9 เปอร์เซ็นต์ของทั้งหมด
นอกจากนี้ คำถามและคำตอบเกี่ยวกับการโอนข้อมูลข้ามพรมแดนเน้นย้ำว่า ข้อบังคับเกี่ยวกับการส่งเสริมและมาตรฐานการไหลของข้อมูลข้ามพรมแดนระบุไว้อย่างชัดเจนว่าหากบริษัทประกาศข้อมูลสำคัญล่วงหน้า ตามกฎระเบียบที่เกี่ยวข้อง และข้อมูลนั้นไม่ได้ถูกระบุหรือกำหนดให้เป็นข้อมูลสำคัญโดยหน่วยงานหรือภูมิภาคที่เกี่ยวข้อง บริษัทไม่จำเป็นต้องผ่านการประเมินความปลอดภัยในการส่งออกข้อมูล
การมีส่วนร่วมของบริษัทต่างชาติในการกำหนดมาตรฐานทางเทคนิค
คำถามและคำตอบเกี่ยวกับการโอนข้อมูลข้ามพรมแดนเน้นสองช่องทางหลักที่บริษัทต่างชาติสามารถมีส่วนร่วมในการพัฒนามาตรฐานอุตสาหกรรมและเทคนิค
ประการแรก บริษัทต่างชาติสามารถเป็นสมาชิกของกลุ่มทำงานภายใต้คณะกรรมการมาตรฐานความปลอดภัยข้อมูลแห่งชาติ ในฐานะสมาชิก พวกเขามีสิทธิและความรับผิดชอบเท่าเทียมกับบริษัทในประเทศ ทำให้พวกเขาสามารถมีส่วนร่วมในกระบวนการกำหนดมาตรฐานทั้งหมด ตั้งแต่การร่างเบื้องต้นไปจนถึงการตรวจสอบขั้นสุดท้าย และมีส่วนร่วมในแนวคิดและข้อเสนอแนะในทุกขั้นตอน
ประการที่สอง บริษัทต่างชาติสามารถมีส่วนร่วมโดยการตรวจสอบและส่งความคิดเห็นเกี่ยวกับร่างมาตรฐานที่เผยแพร่เพื่อการปรึกษาสาธารณะ เพื่อให้แน่ใจว่ามุมมองของพวกเขาจะได้รับการพิจารณาในระหว่างการปรับปรุงมาตรฐานที่เสนอ
วิธีการสำหรับการปรับปรุงการส่งออกข้อมูลส่วนบุคคล
คำถามและคำตอบเกี่ยวกับการโอนข้อมูลข้ามพรมแดนแนะนำมาตรการหลายประการที่มุ่งเป้าไปที่การทำให้กระบวนการส่งออกข้อมูลส่วนบุคคลสำหรับบริษัทต่างๆ ง่ายขึ้น
ประการแรก หากบริษัทมีบริษัทย่อยหลายแห่งที่มีวัตถุประสงค์ทางธุรกิจและสถานการณ์การส่งออกข้อมูลที่คล้ายกัน บริษัทแม่สามารถยื่นคำขอรวมสำหรับการประเมินความปลอดภัยในการส่งออกข้อมูลหรือดำเนินการตามขั้นตอนการปฏิบัติตามข้อกำหนดอื่น ๆ เช่น การลงนามในสัญญามาตรฐานในนามของบริษัทย่อยทั้งหมด ซึ่งช่วยลดภาระการปฏิบัติตามข้อกำหนดและภาระงานด้านการบริหารสำหรับบริษัทย่อยแต่ละแห่งได้อย่างมาก
อย่างไรก็ตาม วิธีการนี้จะเป็นประโยชน์เฉพาะเมื่อบริษัทย่อยอยู่ภายใต้ข้อกำหนดการปฏิบัติตามข้อกำหนดแล้ว หากบริษัทย่อยเพียงแห่งเดียวประมวลผลข้อมูลส่วนบุคคลต่ำกว่าขีดจำกัดที่กำหนด สามารถส่งออกข้อมูลได้โดยไม่ต้องผ่านการประเมินความปลอดภัยหรือขั้นตอนอื่น ๆ ในกรณีดังกล่าว การรวมข้อมูลจากบริษัทย่อยหลายแห่งอาจทำให้ปริมาณรวมเกินขีดจำกัดโดยไม่ตั้งใจ สร้างภาระผูกพันในการปฏิบัติตามข้อกำหนดเพิ่มเติม
นอกจากนี้ CAC กำลังดำเนินการเพื่อใช้ระบบการรับรองสำหรับการส่งออกข้อมูลส่วนบุคคล โดยให้อำนาจสถาบันมืออาชีพบุคคลที่สามเพื่อรับรองกิจกรรมการโอนข้อมูลข้ามพรมแดน. เมื่อได้รับการรับรองแล้ว บริษัทในประเทศหรือผู้รับในต่างประเทศสามารถดำเนินการส่งออกข้อมูลภายในขอบเขตของการรับรองได้
สุดท้าย กลุ่มบริษัทข้ามชาติที่ได้รับการรับรองจะได้รับอนุญาตให้โอนข้อมูลส่วนบุคคลภายในข้ามพรมแดนโดยไม่จำเป็นต้องลงนามในสัญญามาตรฐานแยกต่างหากกับบริษัทย่อยในต่างประเทศแต่ละแห่ง
วิธีการเหล่านี้สามารถอำนวยความสะดวกในการไหลของข้อมูลข้ามพรมแดนสำหรับบริษัทข้ามชาติขนาดใหญ่ได้อย่างมาก โดยเฉพาะอย่างยิ่ง ความสามารถของบริษัทข้ามชาติในการพึ่งพาการรับรองในระดับกลุ่ม แทนที่จะลงนามในสัญญามาตรฐานใหม่สำหรับทุกสถานการณ์การส่งออกหรือประเภทข้อมูลใหม่ จะช่วยลดความซับซ้อนทางกฎหมาย เร่งกระบวนการทางธุรกิจ และทำให้การทำงานร่วมกันระหว่างบริษัทในจีนและบริษัทในต่างประเทศมีประสิทธิภาพมากขึ้น
การขยายระยะเวลาความถูกต้องของผลการประเมินความปลอดภัยในการส่งออกข้อมูล
คำถามและคำตอบเกี่ยวกับการโอนข้อมูลข้ามพรมแดนชี้แจงว่า ภายใต้ข้อบังคับในการส่งเสริมและมาตรฐานการไหลของข้อมูลข้ามพรมแดน, ระยะเวลาความถูกต้องของผลการประเมินความปลอดภัยในการส่งออกข้อมูลได้ขยายจาก 2 ปีเป็น 3 ปี ซึ่งหมายความว่าเมื่อบริษัทผ่านการประเมินความปลอดภัยแล้ว บริษัทสามารถส่งออกข้อมูลส่วนบุคคลได้ต่อเนื่องถึงสามปีโดยไม่จำเป็นต้องสมัครใหม่
หากเมื่อสิ้นสุดสามปี บริษัทต้องการส่งออกข้อมูลต่อไปและไม่มีการเปลี่ยนแปลงที่สำคัญที่ต้องการการสมัครใหม่ (เช่น การเปลี่ยนแปลงที่สำคัญในประเภทข้อมูล วัตถุประสงค์ในการประมวลผล หรือผู้รับ) บริษัทสามารถสมัครเพื่อขยายระยะเวลาความถูกต้องของผลการประเมินเดิมได้ การสมัครขยายเวลานี้ต้องยื่นผ่านสำนักงาน CAC ระดับจังหวัดของบริษัทอย่างน้อย 60 วันทำการก่อนวันหมดอายุเดิม เมื่อได้รับการอนุมัติจาก CAC ระยะเวลาความถูกต้องอาจขยายออกไปอีกสามปี
ปัจจุบัน CAC กำลังอยู่ในกระบวนการปรับปรุงขั้นตอนการขยายเวลาและกำลังรวบรวมความคิดเห็นจากผู้มีส่วนได้ส่วนเสีย มีแผนที่จะชี้แจงและทำให้กระบวนการเป็นทางการผ่านเอกสารนโยบายที่อัปเดต ทำให้บริษัทจัดการกิจกรรมการส่งออกข้อมูลระยะยาวได้ง่ายขึ้น
การประเมินความปลอดภัยเป็นกลไกการปฏิบัติตามข้อกำหนดที่เข้มงวดที่สุดสำหรับการโอนข้อมูลส่วนบุคคลข้ามพรมแดน การลดความถี่ที่บริษัทต้องสมัครใหม่ โดยอนุญาตให้มีการขยายเวลาหลายปี ช่วยลดภาระการปฏิบัติตามข้อกำหนดได้อย่างมาก ซึ่งช่วยให้บริษัทประหยัดเวลา ลดค่าใช้จ่ายในการบริหาร และรักษาความต่อเนื่องในการดำเนินงานข้ามพรมแดน โดยเฉพาะอย่างยิ่งสำหรับผู้ที่จัดการข้อมูลส่วนบุคคลในปริมาณมากหรือข้อมูลสำคัญ
