Il 29 ottobre 2021, la Cyberspace Administration of China("CAC") ha rilasciato la Bozza delle Misure sulla Valutazionedella Sicurezza del Trasferimento Transfrontaliero dei Dati ("Bozza dellemisure") per commenti fino al 28 novembre.
Se questa Bozza diventa definitiva, tutti i gestori di dati sonotenuti a condurre un'autovalutazione interna prima di trasferire i dati fuoridalla Cina. Questa autovalutazione deve concentrarsi sulla revisione dellalegalità, dell'adeguatezza e della necessità del trasferimento transfrontalierodi dati, il volume, la portata, la sensibilità dei dati, e i rischieventualmente imposti sulla sicurezza nazionale, gli interessi pubblici e gliinteressi individuali, ecc. Inoltre, in una delle seguenti circostanze, igestori dei dati sarebbero anche soggetti a una valutazione obbligatoria dellasicurezza condotta dalle autorità provinciali di amministrazione delcyberspazio o dal CAC:
- Informazioni personali e dati importanti raccolti e generati da operatoridi infrastrutture informatiche critiche;
- Trasferimento di dati importanti;
- Trasferimento da parte dei gestori di dati che trattano le informazionipersonali di oltre un milione di individui;
- Trasferimento cumulativo di informazioni personali di più di 100.000individui o di informazioni personali sensibili di più di 10.000 individui;
- Altre circostanze specificate dal CAC.
Su richiesta presentata dai gestori dei dati, il CAC può accettare ladomanda di valutazione entro 7 giorni lavorativi e avrebbe 45 giorni lavorativi(o 60 giorni lavorativi per i casi complessi) per completare la valutazione.Inoltre, i gestori dei dati devono fornire il rapporto interno diautovalutazione, l'accordo di trasferimento dei dati tra il gestore e ildestinatario dei dati all'estero e altri materiali supplementari. Il risultatodella valutazione è efficace per due anni a meno che (1) lo scopo, i mezzi,l'uso, la portata e il tipo di trasferimento transfrontaliero cambi; (2) ilperiodo di archiviazione si estende; (3) le leggi applicabili al destinatariodei dati cambiano o l'accordo di trasferimento dati viene modificato e (4)altre circostanze che potrebbero influenzare la sicurezza dei dati trasferiti.
