分公司可以签署大湾区SCC吗

来源:数据何规

文章摘要
数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。

数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
CONTENT
「大湾区SCC讨论」
「分公司可以签署大湾区SCC吗」
「APP备案与联网的关系」
「极光/个推SDK历史处罚」
「AI制作PPT工具」
大湾区SCC讨论
-问:粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引,这个啥意思?这个范本和普通的SCC啥区别?
-答1:备案材料里没有PIA报告,是不是只要企业备查,不用交cac审了?
-答2:适用范围超过安全评估吗?为啥我觉得,只要不包含重要数据的个人信息,都可以走这个湾区SCC吧。
-答3:我理解是可以,特殊点对点做了个单独通道。
-答4:粤港澳个人信息跨境两条路径:标准合同、个人信息跨境认证,大湾区认证后续会推出。
-答5:与此相关的,香港PDPO现在PIA还不是强制性要求,明年PDPO可能要修法了。

可以结合前两天香港出的宣言一起看,换个角度理解。

-答6:只能在大湾区内部流动么,这区域。。也太小了点(小声。
-答7:香港私隐条例对于出境的第33节从来没有生效,也就是说香港数据出境本来是没有义务的,现在这个标准合同指引也适用到香港出境内地的个人信息,难道不是变相增加了香港出境方的义务吗?
-答8:只增加 香港 到 内地 的义务吧。之前那个认证规则我也吐槽过,从香港到大陆本来不要认证,现在反而要认证了。
-答9:看行业的,之前服务某个客户里就有出境报备一说,其中金融行业香港出境内地的就有报备批准,并非随意出境的。
-答10:香港金融机构数据境外存储需要保障香港监管机构无障碍访问等要求,详见《致持牌法团的通函-外间电子数据储存的使用》。
-答11:那总部在上海,有子公司在广东深圳,是不是可以通过子公司进行备案,总部这边就不用走安全评估了?
-答12:是的,只是跨主体传输,没有合法性基础要单独同意?把业务链路捋顺就好。
-答13:我理解得你那得子公司作为个人信息处理者。如果总公司也是个人信息处理者,是不是得走内地流程了。
-答14:感觉脑子真的转不过来,既然 数据还是不能出大湾区,香港实体有作为 个人信息处理者 备案的情形吗?如果是作为接收方,那就应该是内地实体进行备案?
-答15:属地备案,不区分角色。我理解是要双向备案,一旦签标准合同,双方都要各自去属地进行备案。香港方的备案指南是明确要求了。


-答16:pdpo 个人资料出境要求没生效,但因为这个备案要求,反倒要香港实体提交备案,还有白天大家提过过的pdpo dpia非强制,看看之后pdpo会不会修订吧…老感觉法理逻辑上不通…香港原来也有类似标准合同概念(RMCs),pcpd推荐在港实体如有需向内地传输个人资料(即个人信息)通过签订GBA SCC来满足MRC要求及符合香港 《个人资料(私隐)条例》(PDPO) 资料保护原则。
-答17:香港推荐RMCS,不强制。R就是recommended。
-答18:企业是注册在广东九市,但服务器和数据中心在其他省份的OK吗?
-答19:网信只核查注册地吧,其他的你不说,他也不问,合同也别写链路,PIA报告不用交,不用自寻烦恼。
总结:落地情况还要观察,增加香港侧的义务好费解。
分公司可以签署大湾区SCC吗
-问:总部不在大湾区,但有在大湾区的分公司,他们也独立开展一些跨境到香港的业务,这些分公司可以作为大湾区SCC的签约主体吗?
-答1:分公司可以成为独立的个人信息处理者吗?应该不可以吧...
-答2:分公司貌似不算独立法人实体
-答3:根据《个保法》只要分公司只要满足独立决定个人信息处理目的的组织,也可以成为个人信息处理者吧。
-答4:很多区域营销活动是由分公司独立开展,客户也是分公司自己掌握的客户(总部可能并不掌握这些信息),如果这个时候还把总公司认为个人信息处理者感觉有些不妥(总公司没尽到信息安全管理责任?)。分公司作为信息控制者,民事责任由总公司承担,感觉更好点,也符合民法。
-答5:分公司可能有自己的独立业务,个保法也没说只有独立法人才可以是个人信息处理者,这是两个概念。关于分公司,民法典里好像也写了分公司有独立财产的,分公司有财产的,拿自己财产承担责任,不足的总公司担。
-答6:检索下了处罚,监管应该也是认可分公司作为个人信息处理者或者控制者的地位的,和民法典的思路是一样。


-答7:实操中说看是否独立法人。后续又告知内部研究后外国银行分行可以申报,如果是管理行,可以由这家管理行合并申报。但法理上确实是只看“是否独立决定处理方式和目的”来分辨处理者。
-答8:听下来大家的本意并不是想表达分公司不能成为独立的个人信息处理者 而是法人的分支机构是否属于个人信息处理者 可能在前面还需要一道审查?实践中可能并非所有的分支机构都能够独立决定个人信息处理的目的和方式 网信可能也有避免通过分支机构的数量拆分以规避安全评估门槛的考量。此外也与行业相关 分公司在某些行业 例如金融行业 独立处理个人信息的情形 可能是比较常见的。
-答9:同意,金融、广告公司、经纪公司很常见。
-答10:我们也咨询了一下,金融机构分公司不是法人,营业执照写的也是负责人,他需要请示一下。并且,由于广东范围内的实施细则没有出,所以现在大湾区版本的标准合同,也是没有备案渠道的。
-答11:同问过分公司、代表处这些怎么办的问题,老师说理论上他们要单独看待,但是承诺书等材料是法代签名,如果只有“负责人”之类的没有法代,他们当时也说要研究下(不过再也没给过答复)
-答12:我们也私下和相关老师交流过,初步认可讨论的观点,根据业务模式,可以认定为个人信息处理者。
总结:期待灵活的政策。
APP备案与联网的关系
-问:目前APP是不是不备案就不能联网,阿里云就会拦截解析到相应域名呀?如果是这样的话,APP在研发阶段就需要联网的,那岂不是研发阶段就要备案了?但我总感觉,在研发阶段就要备案似乎不是很合理呀。公司有个APP打算加急研发出来,然后在一个会展中先给感兴趣的客户展示一下,先不上架应用商店,不太清楚这种情况是不是就要先备案
-答1:就是联网的测试demo。
-答2:如果你要用的服务器和域名通过网站备案了,应该能行。
-答3:几个方面来看:
1、网络接入就是要ICP备案的。所以你app用的域名,如果ICP备案完成。已完成准入的要求了。这个其实是通管局对三大运营商的监管要求。不备案不能接入网络。
2、你测试demo临时用用。问题不大,主要还是监管力度问题。查不过来。
3、从工作量来看,未来流程走顺了。app备案并不复杂,现在是大批量一拥而上,都在做备案,所以周期长。未来可能很快就完成了备案。所以在你测试开发时候,说不定就备案通过了。
-答4:腾讯小程序目前跑完整个备案流程,需要45天左右。网站备案14-20+天不等吧,估计APP和小程序也得是这个天数。
-答5:广东这边备案快。上海慢的一塌糊涂。而且上海要求多,多前置审批项查的还严。感觉以后上app也要挑地方了。。
-答6:我理解这个过程不应该是这样的嘛?APP要解析到相应域名,阿里云自动检测到这个APP没做备案,阻断这个解析,所以这个APP就用不了。如果是这样的话,不就是在研发阶段就要备案好嘛?
-答7:你ICP备案做的时候已经包含了。只是没说给网站用的还是app用的。而且其实app用的三、四级域名很多的。只有个别域名是app在用,其他的域名很多都是网站和app共用的。
-答8:我刚打电话给阿里云问了。他们说的是,不备案APP就会被拦截无法解析到域名,无法联网。所以,APP在研发阶段要联网的话,就要进行备案,否则会无法使用。但是,阿里云现在还没有开启这个自动拦截,所以暂时还不受影响。等到以后,那就是研发阶段要联网就要备案了。
总结:APP测试阶段最好也做一下备案。
极光/个推SDK历史处罚
-问:极光/个推,过往有因为隐私合规被监管通报处罚过么
-答1:有被深交所处罚财报造假
-答2:印象有个比较早的,大概 19~20 年,后面专门做了整改。
-答3:看这里,关于35款App存在个人信息收集使用问题的通告。
-答4:工业部信息通管局副局长鲁春丛曾于去年11月在会上提到,中小企业App整改应对能力不足,比如使用违规收集个人信息的第三方组件,涉及腾讯、极光、个推、小米SDK。
隐私护卫队,公众号:隐私护卫队工信部:腾讯极光个推小米旗下SDK被反映违规收集个人信息
总结:有过违规收集个人信息的问题,也有企业因为没有披露这些SDK被通报APP。
​​
AI制作PPT工具
-问:请问有什么AI软件做PPT比较新手友好。
-答1:文心?有功能,我还没用过。
-答2:百度文库也是集成了文心的能力,可以丢文件进去生成PPT,不过使用体验还是比较初级。
-答3:islide,自带PPT AI生成,审美也不错。
-答4:https://amymind.com,思维导图生成PPT。
总结:想象空间很大。

技术驱动法律,专业成就未来