بحث مختصری در مورد انطباق داده ها در گسترش تجارت فرامرزی شرکت های فناوری مالی

Bijie.com گزارش داد:

1 مروری بر فناوری مالی و چارچوب قانونی آن

در مارس 2016، هیئت ثبات مالی (هیئت ثبات مالی) “گزارش چارچوب توصیف و تحلیل فناوری مالی” را منتشر کرد، که برای اولین بار یک تعریف اولیه از فناوری مالی در سطح سازمان بین المللی ارائه کرد. ارتقای فناوری از طریق ابزارهای فناورانه است. 1

در حال حاضر، کمیته بازل در مورد نظارت بانکی، فناوری مالی را به چهار دسته تقسیم می‌کند: پرداخت و تسویه، سپرده‌ها، وام‌ها و افزایش سرمایه، مدیریت سرمایه‌گذاری و تسهیلات بازار. 2 سه دسته اول همچنان به دسته کسب و کار مالی سنتی تعلق دارند، در حالی که خدمات تسهیلات بازار، به عنوان پشتیبان فنی اساسی و زیرساخت فنی که می تواند در سراسر صنایع مورد استفاده قرار گیرد، به دسته برون سپاری کسب و کار موسسات مالی تعلق دارد. بنابراین، وقتی فین‌تک به دنبال انجام تجارت در خارج از کشور است، فعالیت‌های داده مربوطه آن باید هم با الزامات عمومی انطباق داده‌ها و هم با الزامات خاص صنعت مالی مطابقت داشته باشد.

2. الزامات انطباق با داده ها برای فناوری مالی در خارج از کشور

(1) جمع آوری و استفاده از داده ها

جمع‌آوری داده‌ها به فرآیندی اطلاق می‌شود که در آن مؤسسات مالی به‌طور مستقیم یا غیرمستقیم داده‌ها را از افراد اطلاعات مالی شخصی، و همچنین مشتریان شرکتی، ارائه‌دهندگان داده‌های خارجی و سایر مؤسسات خارجی هنگام ارائه محصولات و خدمات مالی، انجام عملیات و مدیریت و سایر فعالیت ها 3 استفاده از داده به دسترسی، صادرات، پردازش، نمایش، توسعه و آزمایش، تجمیع و ادغام، افشای عمومی، انتقال داده ها، پردازش محوله و به اشتراک گذاری داده ها توسط موسسات مالی در ارائه محصولات و خدمات مالی، انجام مدیریت تجاری، اشاره دارد. و سایر فعالیت ها و فعالیت های دیگر. 4

قانون “رضایت آگاهانه” هسته اصلی سیستم حفاظت از اطلاعات شخصی در چین است “قانون حفاظت از اطلاعات شخصی جمهوری خلق چین” به این معنی است که این قانون به طور کامل برقرار است.

جمع آوری و استفاده از اطلاعات شخصی باید از اصول “مشروع، قانونی و ضروری” پیروی کند. رضایت کاربر تنها راه جمع آوری و استفاده از اطلاعات شخصی است. 5 در اصل، پردازشگرهای داده باید رضایت فردی را قبل از پردازش اطلاعات شخصی کسب کنند. توجه ویژه باید به این واقعیت معطوف شود که پردازشگرهای اطلاعات شخصی باید هنگام پردازش اطلاعات شخصی حساس، ارائه یا افشای اطلاعات شخصی به دیگران، یا انتقال اطلاعات شخصی به آن سوی مرزها رضایت فردی را کسب کنند. 9

(2) ذخیره سازی داده

ذخیره‌سازی داده به فرآیند ذخیره‌سازی مداوم داده‌ها توسط مؤسسات مالی در ارائه محصولات و خدمات مالی، انجام مدیریت تجاری و سایر فعالیت‌ها، از جمله استفاده از دیسک‌ها، نوارها، خدمات ذخیره‌سازی ابری، دستگاه‌های ذخیره‌سازی شبکه، اما نه محدود به آن، اشاره دارد. و غیره. حامل داده ها را ذخیره می کند. 10

طبق “قانون امنیت سایبری جمهوری خلق چین”، اطلاعات شخصی و داده‌های مهم جمع‌آوری‌شده و تولید شده توسط اپراتورهای زیرساخت اطلاعات حیاتی در طول عملیات در قلمرو جمهوری خلق چین باید در قلمرو جمهوری خلق چین ذخیره شود. جمهوری خلق چین11، که الزاماتی را برای بومی سازی داده ها مطرح می کند.

قبل از انتشار “قانون امنیت سایبری جمهوری خلق چین”، در ژانویه 2011، بانک خلق چین “اطلاعیه ای در مورد حفاظت از اطلاعات مالی شخصی توسط موسسات مالی بانکی” صادر کرد و بیان کرد که در چین ذخیره سازی، پردازش و تجزیه و تحلیل اطلاعات مالی شخصی جمع آوری شده باید در چین انجام شود. موسسات مالی بانکی مجاز به ارائه اطلاعات مالی شخصی در خارج از کشور نیستند، مگر اینکه توسط قوانین، مقررات و بانک خلق چین تصریح شده باشد. 12 این مقاله الزامات «بومی‌سازی داده‌ها» اطلاعات مالی شخصی داخلی و همچنین قوانین اساسی را که اصولاً صادرات را ممنوع می‌کند، تعیین می‌کند. در پاسخ به نیاز مبرم به صادرات داده‌های مالی بانکی به خارج از کشور، «اطلاعیه درباره مسائل مربوط به حفاظت از اطلاعات مالی شخصی توسط مؤسسات مالی بانکی» 13 و «اقدامات اجرایی برای حمایت از حقوق مصرف‌کننده مالی و منافع بانک مردمی» چین” 14 مقرر کرد که در “نیازهای تجاری + رضایت مشتری + تعهد محرمانه”، داده های مالی شخصی را می توان به عنوان یک استثنا واضح برای تنظیم جریان های فرامرزی استفاده کرد.

در طول فرآیند ذخیره‌سازی، مؤسسات همچنین باید از سیستم حفاظتی سطح امنیت شبکه 16 و سیستم حفاظت طبقه‌بندی و طبقه‌بندی داده‌ها پیروی کنند، سیستم مدیریت امنیت داده‌ها را با فرآیند کامل 17 بهبود بخشند و تعهدات حفاظت از امنیت داده‌های خود را انجام دهند. داده‌های مالی، داده‌های خاصی در حوزه‌های کلیدی هستند و طبقه‌بندی داده‌های آن باید به قوانین و مقرراتی مانند «مشخصات فنی برای حفاظت از اطلاعات مالی شخصی» و «دستورالعمل‌های طبقه‌بندی امنیت داده‌های مالی» اشاره داشته باشد.

(3) انتقال داده

برای شرکت‌هایی که به دنبال رفتن به خارج از کشور هستند، تمرکز انطباق در حمل و نقل داده در صادرات داده است. رفتار صادرات داده نه تنها به انتقال و ذخیره داده‌های جمع‌آوری‌شده و تولید شده در عملیات داخلی در خارج از کشور اشاره دارد، بلکه شامل رفتار مؤسسات، سازمان‌ها یا افراد خارج از کشور است که در حال جستجو، بازیابی، دانلود، صادرات و ذخیره‌سازی در داخل کشور هستند. 18 “قانون حفاظت از اطلاعات شخصی” سه راه را برای اطلاعات شخصی به خارج از کشور مشخص می کند: ارزیابی امنیتی، گواهی حفاظت از اطلاعات شخصی و امضای قراردادهای استاندارد. 19

ارزیابی امنیت

(1) موقعیت هایی که در آن لازم است ارزیابی امنیتی اعلام شود

“اقدامات ارزیابی امنیتی انتقال داده به خارج از کشور” سه نوع موقعیت را ایجاد می کند که ارزیابی امنیت ارزیابی داده ها باید از طریق بخش اطلاعات شبکه استانی به بخش اطلاعات شبکه ملی گزارش شود20 داده‌های ارائه‌شده در خارج از کشور داده‌های مهمی هستند، وضعیت نوع دوم زمانی است که ارائه‌دهنده داده یک اپراتور زیرساخت اطلاعاتی حیاتی است یا اطلاعات شخصی بیش از 1 میلیون نفر را مدیریت می‌کند، و وضعیت نوع سوم زمانی است که پردازشگر داده ارائه کرده است. اطلاعات شخصی 100000 نفر در خارج از کشور از اول ژانویه سال گذشته یا اطلاعات شخصی حساس 10000 نفر.

در این میان، داده‌های مهم به داده‌هایی اشاره دارند که ممکن است امنیت ملی، عملیات اقتصادی، ثبات اجتماعی، سلامت عمومی و ایمنی و غیره را پس از دستکاری، تخریب، درز، به‌دست‌آمدن غیرقانونی، استفاده غیرقانونی و غیره به خطر بیندازند. 21 حساس اطلاعات شخصی به داده‌هایی اطلاق می‌شود که پس از افشای یا استفاده غیرقانونی از اطلاعات شخصی که ممکن است به راحتی باعث نقض حیثیت شخصی افراد حقیقی یا به خطر افتادن امنیت شخصی و دارایی شود، از جمله بیومتریک، باورهای مذهبی، هویت‌های خاص، سلامت پزشکی، مالی حساب ها، محل نگهداری و سایر اطلاعات، و همچنین اطلاعات مربوط به افراد زیر چهارده سال. در مقایسه با اطلاعات شخصی حساس، تعریف داده‌های مهم مبهم‌تر است تا زمانی که مقررات بیشتری منتشر شود، شرکت‌های فناوری مالی باید آن را در ارتباط با اسنادی مانند فهرست داده‌های مهم صنعت مالی درک کنند.

(2) فرآیند درخواست ارزیابی ایمنی

موسساتی که نیاز به درخواست برای ارزیابی امنیتی دارند باید ابتدا خودارزیابی خطرات صادرات داده ها را انجام دهند که شامل قانونی بودن، مشروعیت و ضرورت هدف، دامنه و روش صدور و پردازش داده ها، مقیاس است. ، دامنه، نوع و حساسیت، مسئولیت ها و تعهدات گیرنده خارج از کشور و توانایی انجام آنها، خطرات و کانال های حفظ حقوق و منافع، اسناد قانونی با گیرنده خارج از کشور و غیره. 23 پس از خودارزیابی، سازمان باید مواد درخواستی ارزیابی امنیتی مربوطه را تهیه و به اداره امنیت سایبری و اطلاع رسانی استان تحویل دهد دپارتمان امنیت سایبری و اطلاع رسانی ملی ظرف 7 روز کاری بازرسی کامل را ارسال می کند و این بخش را بررسی می کند که آیا آنها را بپذیرد. 25 پس از بررسی، بخش امنیت سایبری ملی سه نوع نتیجه پردازشی را ارائه می دهد که درخواست پذیرفته نمی شود. دسته سوم این است که نیازی به تکمیل یا تصحیح مواد و ورود به روند عادی ارزیابی نیست. بخش امنیت سایبری و اطلاعات ملی یک ارزیابی امنیتی را سازماندهی می کند. در کشور یا منطقه ای که گیرنده جنسی در خارج از کشور در آن قرار دارد. 26 اصولاً ارزیابی ایمنی باید ظرف 45 روز کاری تکمیل شود. 27 در صورت وجود هرگونه اعتراض به نتایج ارزیابی، سازمان باید ظرف 15 روز کاری برای ارزیابی مجدد اقدام کند و نتایج ارزیابی مجدد نتیجه نهایی خواهد بود. . 28

(3) شرایطی که لازم است مجدداً برای ارزیابی امنیتی درخواست دهید

اگر سازمان ارزیابی امنیتی را پشت سر بگذارد، ارزیابی به مدت دو سال معتبر خواهد بود. پس از انقضای مدت اعتبار دو ساله، اگر سازمان همچنان نیاز به ادامه فعالیت های صادرات داده داشته باشد، باید ظرف 60 روز کاری قبل از انقضای مدت اعتبار، مجدداً اعلام کند. قبل از انقضای مدت اعتبار، در صورتی که هدف، روش، دامنه، نوع و استفاده از داده ها تغییر کند، روش بر امنیت داده ها تأثیر بگذارد، حقوق کنترل تغییر کند، اسناد قانونی تغییر کند و غیره، مؤسسه نیز نیاز دارد. درخواست مجدد برای ارزیابی امنیتی 29

2 گواهینامه حفاظت از اطلاعات شخصی

طبق “قوانین اجرای گواهینامه حفاظت از اطلاعات شخصی” که به طور مشترک توسط اداره فضای سایبری چین و اداره دولتی تنظیم بازار در 4 نوامبر 2022 صادر شد، پردازشگرهای اطلاعات شخصی که فعالیت های پردازش فرامرزی را انجام می دهند باید با GB مطابقت داشته باشند. /T 35723 “مشخصات امنیت اطلاعات شخصی فناوری امنیت اطلاعات” و TC260-PG-20222A “مشخصات گواهینامه امنیتی برای فعالیت های پردازش اطلاعات شخصی فرامرزی”. 30

مدل صدور گواهینامه گواهینامه حفاظت از اطلاعات شخصی “تأیید فنی + ممیزی در محل + نظارت پس از صدور گواهینامه” 31 است. طبق این مدل، آژانس صدور گواهی پس از بررسی در محل تصمیم می گیرد که آیا گواهی را بپذیرد یا بپذیرد. ارائه بازخورد به موقع به مشتری پس از پذیرش، طرح صدور گواهینامه تعیین و به مشتری اطلاع داده می شود. گواهینامه به مدت 3 سال معتبر است اگر نیاز به تمدید استفاده از آن دارید، باید ظرف 6 ماه قبل از انقضای مدت اعتبار، درخواست ارسال کنید.

3. یک قرارداد استاندارد امضا کنید

در مقایسه با ارزیابی امنیت صادرات داده‌ها و گواهی حفاظت از اطلاعات شخصی، امضای قراردادی که توسط مقام نظارتی با گیرنده خارج از کشور اعلام می‌شود، عموماً راحت‌ترین گزینه در میان مکانیسم‌های صادرات داده در نظر گرفته می‌شود. “اقدامات استاندارد قرارداد برای انتقال اطلاعات شخصی” که به طور رسمی در تاریخ 1 ژوئن 2023 اجرا خواهد شد و متعاقباً “راهنماهای منتشر شده برای ثبت قراردادهای استاندارد برای اطلاعات شخصی (نسخه اول)” اساساً مشابه الزامات است. در مکانیزم ارزیابی امنیت انتقال داده وجود ندارد.

“اقدامات استاندارد قرارداد برای انتقال اطلاعات شخصی به خارج از کشور” سناریوهای قابل اجرا برای انتقال اطلاعات شخصی به خارج از کشور از طریق انعقاد یک قرارداد استاندارد را تعیین می کند، یعنی: (1) اپراتورهای زیرساخت اطلاعات غیر حیاتی که کمتر از 1 میلیون اطلاعات شخصی را پردازش می کنند (3) مقدار تجمعی اطلاعات شخصی ارائه شده به کشورهای خارجی از اول ژانویه سال قبل کمتر از 100000 نفر است (4) مقدار تجمعی اطلاعات شخصی حساس ارائه شده به کشورهای خارجی از ژانویه 1 سال قبل کمتر از 10000 نفر است.

بر اساس دو آیین نامه فوق، مؤسساتی که سناریوهای قابل اجرا را برآورده می کنند، باید ارزیابی تأثیر امنیت اطلاعات شخصی (ارزیابی تأثیر امنیت اطلاعات شخصی) را ظرف 3 ماه قبل از تاریخ تشکیل پرونده تکمیل کنند، گزارش ارزیابی تأثیر امنیت اطلاعات شخصی را تشکیل داده و آن را امضا کنند. با قرارداد استاندارد دریافت کننده اطلاعات در خارج از کشور، فعالیت های صادرات اطلاعات شخصی تنها پس از اجرایی شدن قرارداد انجام می شود. ضمناً ظرف مدت 10 روز کاری از تاریخ لازم الاجرا شدن قرارداد، سازمان باید در اداره امنیت سایبری و اطلاع رسانی استان ثبت نام کند. هنگامی که تغییرات بعدی در فعالیت‌های صادرات اطلاعات شخصی رخ می‌دهد، مؤسسه باید مجدداً قرارداد و گزارش ارزیابی را تشکیل دهد. اقدامات».

علاوه بر این، «دستورالعمل‌های اجرایی برای قرارداد استاندارد برای جریان فرامرزی اطلاعات شخصی در منطقه خلیج بزرگ گوانگدونگ-هنگ کنگ-ماکائو (سرزمین اصلی، هنگ کنگ)» اعلام شده و در 10 دسامبر 2023 اجرایی می‌شود. برای جریان فرامرزی اطلاعات شخصی در منطقه خلیج بزرگ گوانگدونگ-هنگ کنگ-ماکائو استاندارد را تعیین کرد. این سند برای ارائه فرامرزی اطلاعات شخصی از طریق انعقاد قراردادهای استاندارد در گوانگدونگ، هنگ کنگ و ماکائو اعمال می شود. بنابراین، پردازشگرها و گیرندگان اطلاعات شخصی ملزم به ثبت نام (قابل استفاده برای سازمان ها)/قرار (قابل استفاده برای افراد) در قسمت اصلی منطقه خلیج بزرگ گوانگدونگ-هنگ کنگ-ماکائو، یعنی شهر گوانگژو، شهر شنژن، شهر ژوهای هستند. ، شهر فوشان، شهر هویژو، استان گوانگدونگ، شهر دونگوان، شهر ژونگشان، شهر جیانگمن، شهر ژائوکینگ یا منطقه اداری ویژه هنگ کنگ. از آنجایی که آنها مقررات ویژه مناطق ذکر شده در بالا هستند، الزامات مربوط به پردازشگرهای اطلاعات شخصی نسبت به مفاد کلی “اقدامات استاندارد قرارداد برای انتقال اطلاعات شخصی به خارج از کشور” سختگیرانه تر است برای ارائه قراردادهای استاندارد به هنگ کنگ و ماکائو الزاماتی مانند میزان اطلاعات شخصی ارائه شده یا اینکه آیا یک اپراتور زیرساخت اطلاعاتی غیر حیاتی است، منعکس کننده تفاوت های قابل توجهی است.

3 موارد موفقیت آمیز صادرات داده در زمینه فناوری مالی

تاکنون موارد موفقی برای سه مسیر صادرات اطلاعات شخصی وجود داشته است: ارزیابی امنیتی، صدور گواهینامه حفاظت از اطلاعات شخصی و امضای قراردادهای استاندارد.

از نظر درخواست ارزیابی های امنیتی، داده های مربوط به کسب و کار “برنامه کوتاه فرامرزی” شرکت فناوری اطلاعات Alipay (Hangzhou) ارزیابی امنیت صادرات داده های اداره فضای سایبری چین و شرکت فناوری فوکوس را گذرانده است. ., Ltd. تنها شرکتی است که ارزیابی امنیتی شرکت های تجارت الکترونیک فرامرزی را گذرانده است. در همان زمان، Alipay (چین) Network Technology Co., Ltd. توسط اولین دسته از گواهینامه های گواهینامه حفاظت از اطلاعات شخصی کشور من تأیید شد. Xinhuaxin (Dalian) Software Services Co., Ltd. و Beijing Deyixin Data Co., Ltd. با موفقیت ثبت قرارداد استاندارد برای انتقال اطلاعات شخصی به خارج از کشور را تکمیل کردند.

به طور کلی، اگرچه اداره ملی فضای سایبری چین و اداره فضای مجازی استانی چین بیش از 1000 اظهارنامه امنیتی را پذیرفته اند، اما نرخ عبور تنها یک درصد است. فقدان راهنمایی مرتبط در مورد گواهی حفاظت از اطلاعات شخصی وجود دارد و وضعیت تأیید هنوز باید رعایت شود. اگرچه تعداد شرکت هایی که از طریق قرارداد استاندارد برای انتقال اطلاعات شخصی به خارج از کشور ثبت نام کرده اند بسیار کمتر از تعداد شرکت هایی است که برای اعلامیه ارزیابی امنیت انتقال داده ها تایید شده اند، زیرا “اقدامات ارزیابی امنیتی انتقال داده ها” زودتر از «اقدامات مربوط به قرارداد استاندارد برای انتقال اطلاعات شخصی» ابلاغ و اجرا شد، داده‌ها باید تکمیل شوند شرکت‌هایی که تحت ارزیابی‌های امنیتی خروجی قرار می‌گیرند، اصلاح و اعلام انطباق داده‌ها را خیلی زود آغاز کرده‌اند، در حالی که شرکت‌هایی که مشمول این مسیر بایگانی قرارداد استاندارد برای صادرات خروجی اطلاعات شخصی هنوز در دوره اصلاح قانونی است، بنابراین امضای قرارداد استاندارد ممکن است همچنان بهترین گزینه باشد.

4 توصیه‌های انطباق برای فین‌تک در خارج از کشور تحت چارچوب نظارتی فعلی، نظارت بر داده‌های عمومی و تنظیم داده‌های عمومی توسط مجموعه‌ای از قوانین و مقررات مانند “قانون امنیت سایبری جمهوری خلق چین” تشکیل شده است. و “قانون حفاظت از اطلاعات شخصی جمهوری خلق چین” رابطه بین نظارت بر داده های مالی ایجاد شده توسط قوانین، مقررات و استانداردهای صنعت صادر شده توسط بانک خلق چین، کمیسیون تنظیم مقررات بانکی و بیمه چین و غیره هنوز نامشخص است. همه نهادها باید همچنان به آخرین تحولات قوانین و مقررات توجه کنند.

در زمینه جمع‌آوری و استفاده از داده‌ها، موسسات باید ابتدا از ضرورت جمع‌آوری داده‌ها اطمینان حاصل کنند، یعنی آن‌ها را در حداقل محدوده مورد نیاز برای کسب‌وکار جمع‌آوری کنند، ثانیاً مؤسسات باید هنگام کسب رضایت از افرادی که از آنها رضایت دارند، توجه کنند داده ها در حال جمع آوری هستند. فرآیند رضایت فوق الذکر، اسناد مربوطه و سایر نهادها باید سوابق خود را حفظ کنند.

از نظر ذخیره‌سازی داده‌ها، خواه تعهدات حفاظتی امنیتی مانند طبقه‌بندی و درجه‌بندی در کل فرآیند باشد یا الزاماتی مانند ثبت مجدد و اعلام زمانی که فعالیت‌های داده تغییر می‌کند، سازمان‌ها ملزم به ادامه مدیریت پویا هستند. بنابراین، به منظور جلوگیری از نقض قوانین و مقررات مربوط به داده ها، سازمان ها باید یک سیستم مدیریت داده نرمال ایجاد کنند، به طور منظم وضعیت مدیریت داده های سازمان را ارزیابی کنند و خطرات مربوط به انطباق را نظارت کنند.

از نظر صادرات داده ها، اول از همه، به دلیل اینکه استانداردهای طبقه بندی داده های فعلی نسبتا مبهم هستند و قوانین شناسایی برای سناریوهای قابل اجرا پیچیده تر هستند، هر موسسه باید به دقت ارزیابی کند که آیا در وضعیتی است که نیاز به اعلامیه ارزیابی امنیتی دارد یا خیر. . هنگامی که وضعیتی نیاز به اعلامیه ارزیابی امنیتی دارد، مواد مربوطه باید با جزئیات مطابق با الزامات مربوطه در بیانیه تهیه شود، زیرا فرآیند ارزیابی شامل قابلیت های حفاظت از اطلاعات شخصی گیرنده خارج از کشور و قوانین و مقررات حفاظت از اطلاعات شخصی کشور است. یا منطقه ای که در آن قرار دارد برای ارزیابی کلی، می توان از دریافت کنندگان خارج از کشور و وکلای خارج از کشور برای کارهای مرتبط درخواست کرد. با قضاوت در مورد پرونده های کاربردی موفق موجود، برخی از شرکت ها در طول فرآیند درخواست با اداره فضای مجازی محلی چین تماس نزدیک دارند، بنابراین، موسسات متقاضی می توانند در طول فرآیند درخواست از اداره فضای مجازی محلی چین کمک بگیرند. ثانیاً، از آنجایی که هنوز راهنمایی های مربوطه در مورد گواهی حفاظت از اطلاعات شخصی وجود ندارد، در مواقعی که نیازی به اعلام ارزیابی امنیتی نیست، امضای قرارداد استاندارد برای تشکیل پرونده بهترین گزینه برای سازمان ها است. در مورد متن قرارداد استاندارد، “اقدامات استاندارد قرارداد برای انتقال اطلاعات شخصی به خارج از کشور” دارای مقررات نسبتاً سختگیرانه ای است، یعنی قرارداد استاندارد باید کاملاً مطابق با شرایط مدل منعقد شود و سایر شرایط توافق شود. توسط هر دو طرف نباید با قرارداد استاندارد تضاد داشته باشد32. بنابراین، قراردادهای تحت استانداردهای بین المللی که ممکن است موسسات قبل از صدور این مقررات منعقد کرده باشند، مانند BCR ها و موافقت نامه های انتقال داده های جهانی تحت مقررات حفاظت از داده های عمومی اتحادیه اروپا (“GDPR”)، نمی توانند جایگزین قراردادهای استاندارد تحت قوانین چین شوند همچنان متون جدید را با دریافت کنندگان خارج از کشور مطابق با این مقررات امضا می کند. در عین حال، “اقدامات استاندارد قرارداد برای انتقال اطلاعات شخصی به خارج از کشور” الزامات مشخص و سختگیرانه ای را برای تعهدات گیرنده خارج از کشور از جمله مدت زمان نگهداری اطلاعات شخصی، حذف پس از انقضا، پذیرش نظارت توسط اداره فضای مجازی تعیین می کند. و غیره.