מנהלת מרחב הסייבר של סין (Cyberspace Administration of China (CAC)) פרסמה השבוע סופית לחוזה האחיד להעברת מידע מסין, שישמש ארגונים במדינה כבסיס לייצוא מידע אישי של תושבי סין לעיבוד בארגונים שמחוץ לה. על הארגונים המעורבים בדבר לאמץ את החוזה האחיד כלשונו ובשלמותו. חוזה זה נועד להשלים את הכללים שנקבעו בחוק לאבטחת מידע, בחוק להגנה על מידע אישי של משתמשים ברשת ובהנחיות להעברת מידע אישי, שנחקקו בשנת 2021. 

החתימה על החוזה האחיד היא אחד מארבעה בסיסים בחוק הגנת המידע האישי להעברת מידע אל מחוץ לסין (לחלופין, רשאים הארגונים, בין השאר, להעביר את המידע לאחר שעברו הליך של הערכת אבטחה על ידי מנהלת מרחב הסייבר של סין, או להתקשר מול גורם המאושר על ידי המנהלה). ארגונים נדרשים לחתום על החוזה האחיד בכל אחד מהמקרים הבאים: אם מעבד המידע מעביר מידע חשוב אל מחוץ לסין (אם כי לא מובהר מהו מידע "חשוב"); אם מעבד המידע מפעיל תשתיות קריטיות או מעבד מידע של למעלה ממיליון נושאי מידע; אם מעבד המידע מעביר מידע של יותר מ-100,00 יחידים מחוץ לסין; או אם מנהלת הסייבר דורשת זאת. הדרישה תיכנס לתוקף בחודש יוני 2023.

החוזה האחיד מגדיר את חובות הצדדים ביחס למידע. בין השאר, הוא קובע את חובות מעבד המידע לנקוט מאמצרים סבירים לוודא כי מקבל המידע יעמוד בחובותיו תחת החוזה, להשיב לבקשות מרשויות מוסמכות, לנקוט באופן מידי באמצעים לטיפול בדלף או אובדן מידע, ולתעד את פעולות עיבוד המידע ולשמור את התיעוד למשך שלוש שנים לפחות. החוזה מחיל את החובות הללו בשינויים הדרושים גם על מקבל המידע, וכן קובע חובות נוספות החלות עליו, דוגמת החובה להשיב או למחוק את המידע בהקדם לאחר סיום ההתקשרות.    

החוזה האחיד קובע עוד כי נושאי המידע הם מוטבי צד שלישי לחוזה, ולפיכך רשאים לדרוש את קיום זכויותיהם הן ממעבד המידע והן מהגורם מחוץ לסין שמקבל את הידע. באותו הקשר, החוזה קובע את החובה ליידע את נושאי המידע בנוגע לעיבוד המידע והעברתו, לקבל את הסכמתם הנפרדת והמפורשת להעברה, ולבצע תסקירי השפעה על פרטיות באופן עצמאי. מקור: Viven Chan& Co (מאת: קן יונג ו-ווינקי ליונג).