《大型网络平台个人信息保护规定(征)》解读二:数据本地化及其数据中心合规管理

源自公众号:网数与人工智能法律实务

02-01 18:57

近期发布的《大平台规定》征求意见稿,为大型网络平台的个人信息处理划定了更严格的合规红线。其核心要旨在于数据本地化存储与数据中心合规管理。本文深入解读了相关规定,旨在为平台方提供清晰的合规路径指引,有效应对监管新挑战。

《大型网络平台个人信息保护规定(征)》解读二:数据本地化及其数据中心合规管理智能速览

  • 大平台在境内收集的所有个人信息须先存储在境内。

  • 数据本地化要求与数据出境监管是两个独立且关联的制度。

  • 数据中心必须位于境内,其主要负责人需为中国籍且无境外永久居留权。

  • 大平台对第三方数据中心需履行严格的资质审查、协议约束及监督管理责任。

《大型网络平台个人信息保护规定(征)》解读二:数据本地化及其数据中心合规管理精华内容

面对严格的监管新要求,大型平台如何系统性地落实数据本地化并管理数据中心合规,成为当前亟待解决的核心议题。

本地化存储范围

根据规定,大平台在境内运营中收集和产生的所有个人信息都必须在境内存储。这一要求没有例外,不区分业务场景、主体身份、信息敏感度或数据量级。这意味着,无论是用户、员工还是合作伙伴的个人信息,也无论是一般信息还是敏感信息,理论上哪怕只有一条数据,都须遵循“先内后外”的原则,即先存储在境内,再根据合规路径向境外传输。

值得注意的是,此规定仅针对个人信息,不含个人信息的非监管数据不受此限制。同时,法律并未强制要求数据中心供应商国产化,允许使用境外供应商在境内运营的合规数据中心。

数据出境路径

数据本地化与数据出境监管是两个独立制度。大平台向境外传输个人信息时,必须坚持“按需出境”原则。这要求出境场景、主体和字段都必须是实现业务功能的必要环节,严禁全量数据出境。

合规出境路径主要包括三类:一是依法通过安全评估、标准合同备案或个人信息保护认证;二是适用法律法规明确的豁免情形(但不豁免本地化);三是如涉及向境外司法或执法机关提供数据,需事先取得主管机关批准。此外,平台还需建立全流程的安全保障措施,覆盖风险评估、传输安全和出境后监控

数据中心资质

新规对数据中心设定了明确的合规门槛。首先,数据中心必须设立在中华人民共和国境内,境内云服务商在海外建设的数据中心不符合要求。其次,数据中心的主要负责人需满足“双重条件”:具有中华人民共和国国籍,且无境外永久居留权。

在资质证照方面,若大平台自建数据中心且仅自用,无需IDC资质;但若租用第三方数据中心,该第三方必须依法取得IDC许可。资本方面,目前未对外资准入设限,但要求数据中心本地化。

平台管理责任

无论采用自建还是租用模式,大平台都需承担起对数据中心的合规管理责任。在租用模式下,平台应严格审查第三方数据中心的资质证照、地域、负责人、合规及安全技术能力,并通过书面协议明确双方权利义务。

同时,大平台需建立持续监督机制,包括定期检查、审计以及要求数据中心提交合规报告。此外,大平台还必须向国家网信部门报送数据中心的管理架构、制度措施及合作合同等关键信息,并在信息变更后及时更新报送。

综上,《大平台规定》对数据本地化与数据中心合规提出了系统性、高标准的要求,为大型平台的合规管理构筑了更为坚实的制度框架。未来,平台如何平衡业务发展与合规成本,并高效落地这些新规,将是持续面临的挑战。

内容由AI生成
0
扫一下,分享更方便,购买更轻松
0评论

当前文章无评论,是时候发表评论了
提示信息

取消
确认
评论举报

最新文章 热门文章