月度归档:10 月 2023

图片

复恩法律理事长陆璇律师受邀为云南省社会组织负责人能力建设培训班授课

近日,复恩法律理事长陆璇律师受邀为“2023年云南省社会组织负责人能力建设培训班(第二期)”的学员们讲授了“社会组织(一般社团、社会服务机构)法律风险防范”专题课程。该培训班由云南省民政厅委托民政部培训中心于10月24日至10月26日在浙江省宁波市举办,旨在加强云南省省级一般社团和社会服务机构的专业能力建设,推动社会组织的持续健康有序发展。

 

图片

本期培训班共吸引了80位来自云南省民政厅选派的省级一般社团和社会服务机构的负责人参加。陆璇律师以丰富的法律知识和实践经验为基础,通过生动的讲解和案例分析,向学员们传授了社会组织在内部治理、财产管理和使用、募捐行为、与商业合作、合同管理、服务活动人力资源以及知识产权等方面的法律风险防范技巧和策略。

为了加强理论联系实际,陆璇律师还特别组织了分组讨论环节。学员们通过深入探讨社会组织的法律风险,进一步认识到了组织合规管理与法律风险方面的重要性和紧迫性。他们纷纷表示,此次培训班不仅提高了自身的领导能力和专业水平,还为社会组织的健康发展提供了有力的法律支持。

图片

首届公益组织知识产权风险识别和管理课顺利结束!

10月8日,在北京市银杏公益基金会银杏伙伴合作基金资助下,上海复恩社会组织法律研究与服务中心与银杏伙伴王愉、阿强、陆璇发起的“公益组织知识产权风险识别和管理指南”项目已顺利结束!

接下来,将为您带来首届的知识产权公开课的导师和学员们的真实体验!

课程概览   

本次课程我们一共招募了11家机构20多位学员参与开展四次线上课程

课程旨在为大家讲解知识产权法的基本知识,解决大家遇到的知识产权问题,并帮助大家建立所在机构的知识产权管理方案。

第一节由复恩理事长陆璇为大家讲解了知识产权法概述,为大家在整体上搭建起知识产权知识体系,并就公益组织知识产权管理真问题开设了专题工作坊进行讨论分析。

第二三四节课上讲师彭梓越分别给大家讲解了著作权、商标权、商业秘密并结合大家遇到的问题分析了公益组织常见的知识产权情境。

课程中,学员也在复恩的导师们的指导下,设计出了所在机构的知识产权管理方案

讲师课程点评  

作为一名新人教师,梓越导师对于本次课程,有不少自己的感受:

“在授课的过程中,我发现公益组织对于知识产权的重视程度和了解程度还有待提升。因此在这四次课程中,我通过不断地提醒与讲解典型案例,提升大家对知识产权的认识,所以在课程接近尾声时,大部分学员进步非常快,已经能自主发现机构中存在的知识产权问题了。但同时我也非常希望,有越来越多的公益组织能多多学习知识产权相关知识,避免机构因知识产权触碰到了红线。

并且作为一名讲师,精心准备课程后,我能在课上听到大家积极的问题反馈,以及大家对于课程内容的认可,确实很让自己欣慰。如果学员在今后的工作中可以用到今天之所学,那么对我的付出来说就非常值得了!”

学员分享  

妇源汇孙海华

我是陕西妇源汇性别发展中心孙海华,主要从事儿童项目的管理和执行。

此次参加“公益组织知识产权与管理”的学习,虽然主要是通过回放视频学习,但还是收获良多。此次课程的内容设计非常贴近我们的日常工作,特别是作业的设置具有互动性,虽然也看到老师每次催交作业很辛苦,但是老师能够根据学员的作业,有针对性的进行课程设计,增强了学员的学习动力,能将所学知识结合机构实务进行梳理,增加了课程的活力。

当然,我理解短短的四次课肯定无法让我们完善机构知识产权制度(而且还是在无法全勤投入学习的状况下),但是通过这次学习,至少我个人更加深入的了解了知识产权涉及的内容,也知道以后需要的时候应该查询什么或者寻求谁的帮助,很有价值,再次表示感谢。

雪境尹杭

我是觉得我每次听这个知识产权的课,有的时候我还会反复听一下,然后一反复听的时候,我就觉得之前怎么好像没听过,有种隔行如隔山的感觉,所以还是挺敬佩的,我觉得这些实质性的内容对于机构的帮助还是很大的,谢谢!

本次课程的顺利开展不仅有授课老师们辛勤的付出,也离不开学员们的积极参与,正因有了这些愿意汲取新知识、丰富新技能的公益人,才造就了中国公益坚实的根基,同时也促使着复恩法律孕育出更加负有知识型、趣味性的公益课程,吸引越来越多的公益人参与到公益知识的赋能项目,推动着公益事业长久健康的发展!

最后,再次感谢北京市银杏公益基金会银杏伙伴合作基金,与银杏伙伴王愉、阿强

图片

首届公益组织知识产权风险识别和管理课顺利结束!

10月8日,在北京市银杏公益基金会银杏伙伴合作基金资助下,上海复恩社会组织法律研究与服务中心与银杏伙伴王愉、阿强、陆璇发起的“公益组织知识产权风险识别和管理指南”项目已顺利结束!

接下来,将为您带来首届的知识产权公开课的导师和学员们的真实体验!

课程概览   

本次课程我们一共招募了11家机构20多位学员参与开展四次线上课程

课程旨在为大家讲解知识产权法的基本知识,解决大家遇到的知识产权问题,并帮助大家建立所在机构的知识产权管理方案。

第一节由复恩理事长陆璇为大家讲解了知识产权法概述,为大家在整体上搭建起知识产权知识体系,并就公益组织知识产权管理真问题开设了专题工作坊进行讨论分析。

第二三四节课上讲师彭梓越分别给大家讲解了著作权、商标权、商业秘密并结合大家遇到的问题分析了公益组织常见的知识产权情境。

课程中,学员也在复恩的导师们的指导下,设计出了所在机构的知识产权管理方案

讲师课程点评  

作为一名新人教师,梓越导师对于本次课程,有不少自己的感受:

“在授课的过程中,我发现公益组织对于知识产权的重视程度和了解程度还有待提升。因此在这四次课程中,我通过不断地提醒与讲解典型案例,提升大家对知识产权的认识,所以在课程接近尾声时,大部分学员进步非常快,已经能自主发现机构中存在的知识产权问题了。但同时我也非常希望,有越来越多的公益组织能多多学习知识产权相关知识,避免机构因知识产权触碰到了红线。

并且作为一名讲师,精心准备课程后,我能在课上听到大家积极的问题反馈,以及大家对于课程内容的认可,确实很让自己欣慰。如果学员在今后的工作中可以用到今天之所学,那么对我的付出来说就非常值得了!”

学员分享  

妇源汇孙海华

我是陕西妇源汇性别发展中心孙海华,主要从事儿童项目的管理和执行。

此次参加“公益组织知识产权与管理”的学习,虽然主要是通过回放视频学习,但还是收获良多。此次课程的内容设计非常贴近我们的日常工作,特别是作业的设置具有互动性,虽然也看到老师每次催交作业很辛苦,但是老师能够根据学员的作业,有针对性的进行课程设计,增强了学员的学习动力,能将所学知识结合机构实务进行梳理,增加了课程的活力。

当然,我理解短短的四次课肯定无法让我们完善机构知识产权制度(而且还是在无法全勤投入学习的状况下),但是通过这次学习,至少我个人更加深入的了解了知识产权涉及的内容,也知道以后需要的时候应该查询什么或者寻求谁的帮助,很有价值,再次表示感谢。

雪境尹杭

我是觉得我每次听这个知识产权的课,有的时候我还会反复听一下,然后一反复听的时候,我就觉得之前怎么好像没听过,有种隔行如隔山的感觉,所以还是挺敬佩的,我觉得这些实质性的内容对于机构的帮助还是很大的,谢谢!

本次课程的顺利开展不仅有授课老师们辛勤的付出,也离不开学员们的积极参与,正因有了这些愿意汲取新知识、丰富新技能的公益人,才造就了中国公益坚实的根基,同时也促使着复恩法律孕育出更加负有知识型、趣味性的公益课程,吸引越来越多的公益人参与到公益知识的赋能项目,推动着公益事业长久健康的发展!

最后,再次感谢北京市银杏公益基金会银杏伙伴合作基金,与银杏伙伴王愉、阿强

TIPS:尽管课程已经结束,但课堂上的精彩片段仍可以在复恩法律的视频号上进行观看哦~

图片

公益项目中涉及个人信息,社会组织应当如何处理?

距离9月复恩法律举办的“提高中国环保社会组织法律意识和合规能力”项目三场直播课程,已过去半个月啦,你是否还记得直播中老师们讲授的知识呢?

为帮助大家温故知新,复恩的授课老师专门准备了以下实践案例并附带详细解析,帮助各位巩固复习在课堂中所学的公益法律知识~

在公益实践过程中,常常涉及到了受益人、被访谈人的个人信息?匿名化处理真的就够了吗?

本文通过案例分析的方式,呈现了公益项目中个人信息处理方式,特别说明了涉及个人信息公益项目,资助合同应该如何签订?

案例分析

民非A向境内基金会F提交了一份可持续农业调研项目申请书。在该项目中,民非A将在中国某村庄开展耕作习惯调研。A期望通过本次调研,对应对气候变化的农业耕作情况进行评估,并提出农业可持续发展相关建议。

在调研中,A将通过被访谈人问卷填写的方式收集50名农民的姓名、家庭地址、年收入、耕作习惯、土地产量等信息,该问卷未提及上述信息用途及确认信息是否可以使用。

经过民非A与基金会F的沟通,基金会F决定资助民非A开展项目工作。双方开始签订资助合同,资助合同为基金会F的资助标准模板。

这套资助合同标准模板在基金会F资助业务中已使用多年,未出过任何问题。最近几年国家也出台了一些与合同相关的法规,比如个人信息保护、数据安全,但基金会F资助方面没出过任何问题,也就没再更新资助合同标准模板。

根据以上案例,请回答下列问题👇

图片
图片
案例解析

虽然对方已经实际提供了个人信息,是可以推出TA是同意的,不然就会直接拒绝了,但是,仍然建议要单独签署知情同意书。

原因

1. 要履行充分告知的义务。当事人同意的决定必须是在他获得了充足信息背景条件下作出的,以确保他作出的决定是合理的。

法律明确要求个人信息的处理者在收集个人信息之前必须充分地告知当事人相关信息,包括处理者的身份、联系方式、处理目的、处理方式、涉及的个人信息种类、保存期限,以及当事人行使自身权利的途径等等。

例如,这里A是否有可能向F提供个人信息,如果A需要提供的话,则需要向当事人明确说明,并且获得同意;

 

2. 法律对于当事人的同意有严格的要求

首先,同意必须是明确的。

其次,《个人信息保护法》对于一些特殊情况下的同意有额外的要求。

例如,收集和处理敏感个人信息的、跨境提供个人信息的,以及委托第三方处理个人信息的,都需要单独取得当事人的同意;提前告知的内容中发生变化的,比如处理目的从起草项目执行报告变为对外发布研究报告的,应当重新告知、重新获得当事人的同意。

公益律芽发掘计划特别季——环保与可持续发展再度开启

自今年6月“公益律芽发掘计划”特别季开启以来,受到了众多热心人士的关注,在这众多的反馈中,有一群特别的人与我们联系,他们是报名截止后看到律芽招募计划的朋友,希望有机会能参与到项目学习中。经过协调、项目加速迭代,终于在这个十月我们再度开启公益律芽发掘计划“特别季——环保与可持续发展”

本次我们计划招募15位关心关注并愿意致力于公益实践的青年法律人通过自主学习和小组共学的方式开展线上课程学习,并邀请部分学员参与线下训练营,实地走访公益实践项目地,深入一线了解公益组织环保与可持续发展实践。

线上课程
第一部分:环境与法律

  • 环境保护的国际法背景及国际合作
  • 环境治理中的公正转型
  • 环境法律政策倡导

第二部分:双碳目标:碳达峰与碳中和

  • 数字赋能的气候行动
  • 环境污染控制
  • 可持续农业
  • 金融在环境保护中发挥的作用

第八期律芽相关课程链接:

第八期律芽第一讲 | 王灿发:环境保护的国际法背景及国际合作

第八期律芽第二讲 | 林燕梅:环境治理中的公正转型

第八期律芽第三讲|刘金梅:自然之友环境策略公益诉讼案例分享

第八期律芽第四讲|马军:数字赋能的双碳行动

第八期律芽第五讲|周翔、宋慧:污染防治——环境污染控制

第八期律芽第六讲|石嫣:生态保护——可持续农业

第八期律芽第七讲|朱聆:金融在环境保护中的发挥的作用

时间安排
线上课程(自学+团队学习):时间:10月20日-12月10日

形式:

1)7次自主学习,学习时间自由安排;

2)4次小组共学,周四/周六19:00-21:00

线下参访

时间:2024年1月21日-1月30日之间(暂定)

地点:江浙沪周边地区

费用:培训费减免(不包含其它费用支出)

成为公益律芽你将获得👇

  • 一次深度环保与可持续发展的课程学习、研讨机会,拓展公益法律的实践认知
  • 成为中国独一无二的复恩“公益律芽”青年社群成员,拥有一百多位不同背景却兴趣相投同行伙伴
  • 长期学习和深度参与中国非营利组织法律研究
  • 与资深公益人近距离交流互动
  • 作为“公益律芽”社群成员,享受复恩内推参与非营利组织实习

申请资格

  • 在校法学院学生(年龄不限)
  • 对非营利法律、环境保护议题及中国公益行业抱有浓厚兴趣
  • 可稳定参与公益律芽的活动与安排
申请流程
01
提交申请表扫描推文中的二维码填写表单报名

报名截止时间:2023年10月15日晚24:00

图片
02
参与线上课程自学线上课程,并与同伴深度研讨

03
入选线下训练营综合表现,通过面试选拔部分律芽,参加线下训练营,走访长三角的环保与可持续发展领域的公益机构、社会企业等

参访机构
01
上海静安区爱芬环保科技咨询服务中心一家致力于解决城市生活垃圾问题的环保公益机构,为城市社区提供垃圾分类解决方案。截至2022年底,已在343个社区(含小区和村)推动垃圾分类工作,覆盖超过20万户居民。

02
青山自然学校青山自然学校是由阿里巴巴公益基金会、万向信托和大自然保护协会(TNC)联合发起并捐赠支持建立的自然教育基地所在地,由本地社会企业运营。

该基地采用中国传统夯土建筑工艺,实现对废弃村小的再利用改造。青山自然学校团队从2016年开始驻地青山村,协助将本地饮用水源恢复为一类水质,并在青山村本地社区开展多样化的社区支持、公众参与工作,践行用商业模式推动公益可持续发展。

03
千岛湖水基金水基金致力于通过科学实验、实地示范,政策研究促进水环境的提升和水源地的长效保护;借助环境教育活动带动公众了解和参与生态保护;同时联合政府、企业、公益组织等多元伙伴共同推动市场化、多元化的生态补偿机制的落地,探索人类社会发展与水资源保护的可持续平衡关系

04
黄山九龙峰保护区九龙峰地处黄山山脉主峰西南,此保护区建立于2001年4月,属森林生态类型自然保护区。保护区森林覆盖率97.5%,拥有高等植物1295种,珍惜植物42种,重点保护动物35种,被誉为”华东物种基因库”。

近年来,九龙峰保护区引入公益保护组织和社会企业,积极探索政府主导、公益组织和社会企业参与的”三驾马车”自然保护区管理新模式,该模式入选全国生物多样性保护典型案例。

05
上海绿洲公益发展中心(绿洲盛食社)国内首家食物银行,也是全球食物银行网络(GFN)在中国大陆的唯一授权会员单位。自2014年起,绿洲开始在上海探索本土食物银行项目的运作,以“打造中国食物银行网络”为愿景,以“食物零浪费 社区可持续 人人有其食”为使命,致力于友善处理余量食物,实现食物再分配,减少食物浪费。

《规范和促进数据跨境流动规定(征求意见稿)》发布(附法条全文英文翻译)

2023年9月28日国家互联网信息办公室就《规范和促进数据跨境流动规定》(以下简称为“《规定》”)向社会公开征求意见,截止到10月15日(点击阅读原文查看)。《规定》是国家互联网信息办公室在发布《个人信息出境标准合同办法》和《数据出境安全评估办法》之后,制定的又一部与数据出境相关的部门规章。

《规定》旨在促进数据跨境安全、自由流动,在对《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》中有关数据出境的要求进行细化和具体的同时,对《个人信息出境标准合同办法》和《数据出境安全评估办法》中有关数据出境的要求进行了简化,具体如下:

一、

相关概念的进一步明确

1.重要数据定义的进一步明确

《数据出境安全评估办法》中对于“重要数据”的定义比较宽泛,即指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。如何辨别自身跨境提供的数据是否属于重要数据以及是否需要申报数据出境安全评估,是数据处理者在实践中经常会遇到的难题之一。而结果导向的判定标准使得数据处理者在处理数据时不得不采取非常保守的态度。《规定》则特别对此进行了说明,只要未被相关部门、地区告知或者公开发布为重要数据的,就不需要作为重要数据申报数据出境安全评估。这意味着数据处理者只需要检索所在的行业、地区公开发布的信息,确认自身跨境提供的数据是否已经被相关部门、地区的通知和公开文件划分为重要数据即可,不需要自行对数据本身的重要程度进行分析和界定。这一标准相较之前明确很多。

2.数据出境定义的进一步明确

《规定》强调了构成个人信息跨境的前提之一是向境外提供的个人信息是在境内收集产生的,否则该行为不属于个人信息出境,也不适用申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证等相关法律要求。

二、

数据出境要求的优化和简化

根据现执行的《个人信息出境标准合同办法》和《数据出境安全评估办法》,数据处理者需要从以下四个角维度判断和识别自身在进行数据跨境传输之前要满足的前置法律要求:

(1)自身是否属于关键信息基础设施运营者;

(2)自身向境外提供的数据是否是重要数据;

(3)自身在此次数据跨境传输之前累计处理的个人信息数量;以及

(4)自身在此次数据跨境传输之前累计向境外提供的个人信息或敏感个人信息的数量。

以上四个维度集中在跨境传输的数据性质以及数据处理者过往累积的个人信息处理数量之上,导致在目前操作中,只要满足安全评估的门槛,即使日常只有少量个人信息出境的数据处理者,也需要进行数据出境安全评估(例如,处理100万人以上个人信息的数据处理者以及自上年1月1日起累计向境外提供10万人个人信息或1万人敏感个人信息的数据处理者);同时,对于可以通过签订标准合同的形式向境外提供信息的,同样适用范围较广,一些较少数量的个人信息出境,仍然需要完成签订标准合同+个人信息保护影响评估+备案这三个步骤。合规成本较高,流程也较为复杂。而此次《规定》将上述四个维度调整为了以下维度:

(1)自身是否属于关键信息基础设施运营者(不变);

(2)自身向境外提供的数据是否是重要数据(不变);

(3)自身在此次数据跨境传输之前累计向境外提供的敏感个人信息的数量(不变);

(4)自身预计1年内向境外提供的个人信息数量(新规);以及

(5)自身此次向境外提供的个人信息数量(新规)。

除了跨境传输的数据性质以外,以上维度更加关注数据处理者将来会跨境传输的个人信息数量,使得日常只有少量个人信息出境的数据处理者不再需要履行前置的法律要求,合规成本大大降低。

此外,《规定》还明确了3种不需要履行任何前置合规要求的即可进行个人信息跨境传输的例外情况,并给予了自由贸易试验区自行制定需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称“”负面清单“”)的权利。

综上,具体要求对比如下:

数据跨境情形

现行要求

《规定》要求

(尚未生效)

处理100万人以上个人信息的数据处理者,或者自上年1月1日起已经累计向境外提供10万人及以上个人信息的数据处理者向境外提供任何数量的个人信息

通过所在地省级网信部门向国家网信部门申报数据出境安全评估

• 如果需要向境外提供100万人以上个人信息的,应当申报数据出境安全评估

• 如果预计一年内向境外提供不满1万人个人信息,无需申报数据出境安全评估即可出境

• 如果预计一年内向境外提供1万人以上、不满100万人个人信息,可以不申报数据出境安全评估,但需要与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证

• 如果是为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的,无需申报数据出境安全评估即可出境

• 如果是按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的,无需申报数据出境安全评估即可出境

• 如果是紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的,无需申报数据出境安全评估即可出境

累积处理个人信息不满100万人、自上年1月1日起累计向境外提供个人信息不满10万人且不是关键信息基础设施运营者的数据处理者向境外提供任何个人信息

需要与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证

• 如果预计一年内向境外提供不满1万人个人信息,无需订立个人信息出境标准合同或通过个人信息保护认证即可出境

• 如果是为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的,无需订立个人信息出境标准合同或通过个人信息保护认证即可出境

• 如果是按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的,无需订立个人信息出境标准合同或通过个人信息保护认证即可出境

• 如果是紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的,无需订立个人信息出境标准合同或通过个人信息保护认证即可出境

自由贸易试验区自行制定并经过相应政府部门批准备案后的负面清单之外的数据出境

需按要求分别申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证

无需申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证即可出境

三、

涉密敏感信息不在《规定》调整范围内

除了上述两方面的变动之外,《规定》特别强调国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的,以及任何数据处理者向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,都还是按照原本的法律、行政法规、部门规章规定执行。

 

按照目前《规定》的内容,在其后续生效后,数据处理者应当着重从以下角度注意自身的数据出境行为,做好相关合规工作。

• 确认自身是否属于自贸试验区以及自身跨境提供的数据是否在该自贸试验区制定的负面清单范围之外

• 持续关注自身所在相关行业部门、地区制定和发布的有关重要数据的目录、清单和文件

• 核查需要进行跨境提供的数据的数量并与《规定》中最新的数量要求进行对比

• 核查需要进行跨境提供的数据的内容,属于涉密敏感类数据的仍按照原本的法律要求执行,涉及到订立和履行个人作为一方当事人的合同、依据劳动规章或集体合同实施人力资源管理以及紧急情况下为保护自然人的生命健康和财产安全等情形的,可能适用《规定》中的简化要求。

《规定》仅为意见征求稿,在未生效之前,仍应依据现行的效的法律法规执行。

《规范和促进数据跨境流动规定(征求意见稿)》英文版

Information of seeking public advice — ‘The Regulation for Standardizing and Promoting Cross-border Data Flow (Draft for Comments)’

Publisher: National Internet Information Office

Publish Date: September 28, 2023


 

To ensure national data security, protect personal information rights, and further regulate and promote data to flow freely in accordance with law and order, the office made following provisions, according to relevant laws and implementation of regulations on data export, such as “Assessment Methods of Data Export Security” and “Standard Contract Methods of Personal Information Export”:

1. Data generated from international trade, academic cooperation, cross-border production, and marketing activities that do not involve personal information or important data, are not required to report for assessment of data export security, establishment of standard contracts for personal information export and verification of personal information protection.

2. Data handlers are not required to report for assessment of data export security if they are not informed or publicly disclosed by relevant departments or regions as handling important data.
3. Providing foreign entities with personal information that was not collected within the borders is not required to report for assessment of data export security, establishment of standard contracts for personal information export and verification of personal information protection.
4. The following circumstances are not required to report for assessment of data export security, establishment of standard contracts for personal information export and verification of personal information protection:
(a) Providing foreign entities with personal information is required, for the necessity of conclusion or performance of a contract which the individual is one of the parties, such as cross-border shopping, remittances, plane tickets and hotel reservations, visa applications;
(b) Providing foreign entities with internal employee personal information is required, for the implementation of human resources management in accordance with legally formulated labor regulations and collective contracts;
(c) Providing foreign entities with personal information is required, for the protection of natural person’s life, health, and property security in emergency.
5. If it is predicted that foreign entities will be provided with less than 10,000 individuals’ personal information in a year, it is not required to report for assessment of data export security, establishment of standard contracts for personal information export and verification of personal information protection. However, if foreign entities are provided with personal information according to consent, it is required to receive the consent of the individual whose personal information is provided.
6. If it is predicted that foreign entities will be provided with more than 10,000 but less than one million individuals’ personal information in a year, but standard contracts for personal information export will be established with foreign recipients and provincial-level cyberspace administration will be filed, or personal information protection will be verified, it is not required to report for assessment of data export security. However, if foreign entities are provided with personal information according to consent, it is required to receive the consent of the individual whose personal information is provided.
7. Pilot free trade zones may independently formulate the data list (below referred to as the “negative list”) that is required to be included in the management of assessment of data export security, establishment of standard contracts for personal information export and verification of personal information protection. The negative list is required to be approved by the provincial-level cyberspace administration and filed to the national cyberspace administration.
Data export beyond the negative list is not required to report for assessment of data export security, establishment of standard contracts for personal information export and verification of personal information protection.
8. Providing foreign entities with personal information and important data, state organs and operators of key information infrastructure shall comply with relevant laws, administrative rules, and departmental regulations.

Providing foreign entities with sensitive information involving the Party, the government and the armed forces, sensitive information involving secret-related institutions and sensitive personal information, state organs and operators of key information infrastructure shall comply with relevant laws, administrative rules, and departmental regulations.

9. Providing foreign entities with important data and personal information, data handlers shall comply with laws and administrative rules, fulfill the obligations of data security protection and guarantee data export security. In occurrence of data export security incident or increased risk of data export security, data handlers shall take remedy measures and report to the cyberspace administration in time.
10. Local cyberspace administrations shall strengthen the guidance and supervision over data handlers’ data export activities, enhance regulation before, during, and after the data export activities and require data handlers to rectify and eliminate hidden risks in cases where significant risks are found in data export activities. If a data handler refuses to correct mistakes or the activities cause serious consequences, the data handler shall be required to stop data export activities in accordance with the law to ensure data security.
11. In case of any inconsistency between this regulation and relevant regulations, such as the “Methods for Data Export Security Assessment” and the “Methods for Standard Contracts of Personal Information Export,” this regulation shall prevail.

NOTE: Unofficial translation for reference only