分享
境外IT服务商是接收方吗
输入“/”快速插入内容
境外IT服务商是接收方吗
-问
:境内的子公司申报出境评估,可否使用境外母公司与接收方签订的DPA作为申报材料,还是需要与接收方另行签订DPA?
-答1:
肯定不行,适用法律都不一样,同等保护标准也不是个保法的要求,还是至少本土化一下。
-答2:
接收方是不是提供信息系统服务的供应商,总部不access数据吗。
-补充:
总部也会远程访问数据,但是也会有个人信息传输到第三方服务提供商,总部和第三方服务提供商都是接收方。
-答3:
之前咨询上海网信办得到的回复是,如果境外总部是主要使用信息的主体,服务提供商主要是维护、服务功能的,可以将境外总部作为接收方,服务提供商作为出镜链路中的一环披露,不必作为境外接收方……但也想了解下是否有其他小伙伴问到相似的回复
-答4:
这个问题今天刚问,是国家网信办哈。一样的口径。
-追问:
那境内主体把数据存在境外系统,境外系统供应商只负责维护,没有境外其他主体可以访问,那谁是接收方呢?
-答5:
我理解这种情况只能把供应商拉出来溜溜了。还有一个点是,对于跨国公司,境内多法律实体共用某个信息系统(服务器位于境外,境外也可access),且信息共享,上海网信办是建议,区分是哪个实体向系统上传输的个人信息,不同实体,分开计算是否达到申报标准,向各自所在地网信办申报……这个观点和之前看到的一些律所整理的问答有些不一致……
-答6:
以及,如果服务器在总部,总部做接收方,其他国家地区可access的话,作为境外再流转。
-答7:
那会不会存在规避申报的空间,而且实质上也可能导致大量信息出境而不用评估。
-答8:
接受咨询的人员提到了这点,建议是在申报中对于网络架构情况主动进行说明,避免被怀疑拆分主体,规避监管。
-答9:
拆分主体是会被查并处罚的,有特殊情况,如果服务商上报安全评估更方便,也可以服务商来报。
数据出境定义