跳至主要內容

ThingsCloud 数据跨境传输政策

约 4941 字大约 16 分钟

ThingsCloud 数据跨境传输政策

更新日期:2024年1月8日

生效日期:2024年1月8日

一、政策概述

本《ThingsCloud 数据跨境传输政策》(以下简称"本政策")旨在说明 ThingsCloud 物联网平台(以下简称"本平台"或"我们")在处理数据跨境传输相关事项时的规则和要求。

数据跨境传输涉及复杂的法律合规要求,我们高度重视数据的合法、安全跨境流动。本政策与《ThingsCloud 隐私政策》《ThingsCloud 数据处理协议》共同构成我们数据处理的完整规则体系。

二、适用范围

2.1 适用主体

本政策适用于以下主体:

  • 注册用户:在本平台注册账号的个人或组织;
  • 数据控制者:决定数据处理目的和方式的用户;
  • 数据处理者:代表数据控制者处理数据的主体;
  • 数据主体:个人信息所标识或可识别的自然人。

2.2 适用数据类型

本政策适用于以下数据类型的跨境传输:

  • 个人信息:以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息;
  • 敏感个人信息:一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息;
  • 设备数据:物联网设备产生的数据,如涉及个人信息则适用本政策;
  • 重要数据:根据法律法规认定为重要的数据。

2.3 适用地域范围

本政策适用于以下场景的数据传输:

  • 从中华人民共和国境内向境外传输数据;
  • 从欧盟成员国向欧盟以外地区传输数据;
  • 其他需要符合数据跨境传输法律法规的情形。

三、数据跨境传输的定义

3.1 跨境传输的情形

以下情形构成数据跨境传输:

3.1.1 跨境存储传输

您选择将项目数据存储在数据主体所在国家或地区之外的区域,即构成数据跨境传输。例如:

  • 中国内地用户选择欧洲区域存储数据;
  • 欧盟用户选择中国内地区域存储数据;
  • 欧盟用户选择北美区域存储数据。

3.1.2 跨境设备接入

设备从一国或地区接入位于另一国或地区的项目,构成数据跨境传输。例如:

  • 位于中国的设备接入位于新加坡区域的项目;
  • 位于欧洲的设备接入位于北京区域的项目。

3.1.3 跨境数据访问

您或项目用户从一国或地区访问存储在另一国或地区的项目数据,可能构成数据跨境传输。例如:

  • 中国内地的用户访问存储在欧洲区域的项目数据;
  • 欧盟的用户访问存储在中国区域的项目数据。

3.1.4 其他跨境传输

其他可能构成数据跨境传输的情形包括:

  • 通过本平台将数据转发至位于境外的第三方系统;
  • 通过 API 调用将数据传输至境外的应用或服务;
  • 其他法律法规认定为数据跨境传输的情形。

3.2 不构成跨境传输的情形

以下情形一般不构成数据跨境传输:

  • 数据在境内存储,仅通过境内网络访问;
  • 数据进行匿名化处理,无法识别特定自然人且不能复原;
  • 其他法律法规明确不属于跨境传输的情形。

四、我们的全球区域部署

4.1 可用区域

我们在全球部署了以下数据中心区域:

地理范围可用区域地理位置
中国内地北京、上海、广州中国境内
亚太地区中国香港、中国台湾、新加坡、印尼、韩国、印度亚太地区
欧洲地区欧洲欧盟成员国或欧洲地区
北美地区北美北美地区
其他地区中东、南美、澳大利亚、非洲相应地区

4.2 区域独立性

每个区域具备以下特性:

  • 独立部署:每个区域部署独立的服务器集群和数据处理设施;
  • 数据隔离:不同区域的数据物理隔离,互不干扰;
  • 合规管理:各区域遵守当地的法律法规要求;
  • 同等保护:各区域采用同等的数据安全保护标准。

4.3 您的区域选择

当您创建项目时,应当:

  • 自主选择:根据业务需求、设备分布、合规要求自主选择区域;
  • 审慎评估:评估选择该区域可能产生的法律风险和合规义务;
  • 不可更改:项目创建后,所选区域不可更改;
  • 承担后果:承担因选择该区域而产生的一切法律后果。

五、您的权利与义务

5.1 您的权利

作为数据控制者,您享有以下权利:

5.1.1 知情权

您有权知悉:

  • 数据的存储地理位置;
  • 数据跨境传输的具体情形;
  • 数据跨境传输的法律风险;
  • 数据主体享有的权利。

5.1.2 选择权

您有权:

  • 选择合适的数据存储区域;
  • 决定是否进行数据跨境传输;
  • 选择合适的数据传输方式。

5.1.3 撤回权

在符合法律法规的前提下,您有权:

  • 撤回对数据跨境传输的同意;
  • 要求将数据迁移至其他区域;
  • 停止进行数据跨境传输。

5.2 您的义务

作为数据控制者,您应当履行以下义务:

5.2.1 合规评估义务

您应当:

  • 事前评估:在数据跨境传输前,进行数据出境安全评估;
  • 风险评估:评估数据跨境传输可能带来的安全风险;
  • 影响评估:评估数据跨境传输对数据主体权益的影响;
  • 记录保存:保存评估记录至少 3 年。

5.2.2 获取同意义务

您应当:

  • 单独同意:就数据跨境传输获得数据主体的单独同意;
  • 明确告知:向数据主体明确告知数据跨境传输的目的、方式、范围;
  • 撤回机制:为数据主体提供便捷的撤回同意方式;
  • 记录保存:保存同意记录。

5.2.3 告知义务

您应当向数据主体告知:

  • 数据跨境传输的目的、方式、范围;
  • 数据跨境传输可能带来的风险;
  • 数据主体享有的权利及行使方式;
  • 数据跨境传输的安全保障措施。

5.2.4 安全保护义务

您应当:

  • 采取保护措施:采取必要的安全保护措施保障数据安全;
  • 应急处理:建立数据安全事件的应急处理机制。

5.2.5 配合监管义务

您应当:

  • 配合检查:配合监管部门的监督检查;
  • 报告义务:按照要求报告数据跨境传输情况;
  • 整改义务:对监管部门发现的问题及时整改;
  • 文件提供:按照要求提供相关文件和资料。

六、中国内地用户特别指引

6.1 法律法规依据

中国内地用户进行数据跨境传输,应当遵守以下法律法规:

  • 《中华人民共和国网络安全法》
  • 《中华人民共和国数据安全法》
  • 《中华人民共和国个人信息保护法》
  • 《数据出境安全评估办法》
  • 《个人信息出境标准合同办法》
  • 其他相关法律法规

6.2 数据出境安全评估

6.2.1 应当通过安全评估的情形

符合下列情形之一的,应当通过数据出境安全评估:

  • 处理一百万人以上个人信息的;
  • 累计向境外提供十万人以上个人信息或者一万人以上敏感个人信息的;
  • 自上年 1 月 1 日起累计向境外提供个人信息达到规定数量的(具体数量由国家网信部门规定);
  • 国家网信部门规定的其他情形。

6.2.2 安全评估申报流程

数据出境安全评估应当按照以下流程进行:

  1. 申报准备:准备数据出境安全评估申报材料;
  2. 提交申报:通过国家网信部门规定的渠道提交申报;
  3. 材料审核:网信部门对申报材料进行审核;
  4. 评估审查:网信部门进行安全评估审查;
  5. 评估结果:网信部门作出评估结论;
  6. 结果公布:公布评估结果。

6.2.3 安全评估申报材料

申报数据出境安全评估应当提交以下材料:

  • 数据出境安全评估申报书;
  • 数据出境风险自评估报告;
  • 数据出境安全保障措施;
  • 网信部门要求的其他材料。

6.3 个人信息出境标准合同

6.3.1 适用情形

不属于应当通过数据出境安全评估的情形,但确需向境外提供个人信息的,可以订立标准合同。

6.3.2 标准合同备案

订立标准合同的,应当按照以下流程办理:

  1. 订立合同:与境外接收方订立国家网信部门制定的标准合同;
  2. 备案申报:在合同生效之日起 10 个工作日内,通过所在地省级网信部门备案;
  3. 材料提交:提交以下材料:
    • 标准合同;
    • 个人信息保护影响评估报告。
  4. 备案完成:省级网信部门收到材料后 15 个工作日内完成备案。

6.3.3 合同内容要求

标准合同应当包括以下内容:

  • 出境个人信息的范围;
  • 境外接收方的权利和义务;
  • 境外接收方所在国家或者地区的个人信息保护政策和法规对合同履行的影响;
  • 违约责任;
  • 合同终止后的个人信息处理方式;
  • 其他必要条款。

6.4 其他合规路径

除上述两种方式外,还可以通过以下方式实现数据跨境传输:

  • 认证:通过国家网信部门组织的个人信息保护认证;
  • 法律规定的其他情形:如为订立、履行个人作为一方当事人的合同所必需等。

6.5 重要数据出境

重要数据的出境应当遵守以下规定:

  • 本地存储:关键信息基础设施运营者收集和产生的个人信息和重要数据应当在境内存储;
  • 安全评估:确需向境外提供的,应当通过国家网信部门组织的安全评估;
  • 行业规定:遵守行业主管部门关于重要数据出境的特殊规定。

七、欧盟用户特别指引

7.1 法律法规依据

欧盟用户进行数据跨境传输,应当遵守以下法律法规:

  • 《通用数据保护条例》(GDPR)
  • 《欧盟电子隐私指令》
  • 其他适用的欧盟法律法规

7.2 GDPR 合规要求

7.2.1 第五章要求

将欧盟数据主体的个人信息传输至欧盟以外的地区,应当符合 GDPR 第五章的要求,满足以下条件之一:

  • 获得数据主体的明确同意;
  • 为履行数据主体作为一方当事人的合同所必需;
  • 为订立或履行数据控制者与第三方的合同所必需;
  • 为数据控制者的重大利益所必需;
  • 为公共利益、行使官方授权所必需;
  • 为法律诉求的设立、行使或辩护所必需;
  • 为保护数据主体的重大利益所必需;
  • 在适当保障措施的前提下进行传输。

7.2.2 充分性认定

向获得欧盟委员会充分性认定的国家或地区传输个人信息的,可以无需额外授权。截至本政策发布之日,获得充分性认定的国家或地区包括但不限于:

  • 日本
  • 英国
  • 韩国
  • 加拿大(商业组织)
  • 瑞士
  • 其他获得充分性认定的国家或地区

7.2.3 适当保障措施

向未获得充分性认定的国家或地区传输个人信息的,应当提供适当的保障措施,包括但不限于:

  • 有约束力的公司规则(BCR)
  • 标准合同条款(SCC)
  • 行为准则
  • 认证机制
  • 合同条款

7.2.4 减损情形

在特定情形下,可以向未获得充分性认定的国家或地区传输个人信息,前提是:

  • 数据传输是偶尔的;
  • 涉及有限数量的数据主体;
  • 为数据控制者的重大利益所必需;
  • 不影响数据主体的权利和自由;
  • 数据控制者已评估并保障数据主体的合法权益。

7.3 数据保护影响评估(DPIA)

在进行高风险的数据处理活动(包括大规模数据跨境传输)时,应当进行数据保护影响评估,评估内容包括:

  • 数据处理的性质、范围、目的和背景;
  • 数据处理可能对数据主体权利和自由带来的风险;
  • 为应对风险而采取的措施。

八、其他地区用户指引

8.1 印度用户

印度用户应当遵守:

  • 《2019年个人数据保护法案》(2023年数据保护法案)
  • 数据本地化要求:关键个人信息必须存储在印度境内;
  • 跨境传输条件:向境外传输个人信息需获得数据主体的明确同意,并通过特定的标准合同或其他合法方式进行。

8.2 中东地区用户

中东地区用户应当注意:

  • 沙特阿拉伯:《个人数据保护法》(PDPL),要求数据本地存储;
  • 阿联酋:《阿联酋数据保护法》,对数据跨境传输有严格要求;
  • 卡塔尔:《个人数据保护法》,要求数据本地存储;
  • 其他中东国家的数据保护法律法规。

8.3 其他地区

其他地区用户应当遵守当地的数据保护法律法规,建议:

  • 咨询当地法律顾问;
  • 了解当地数据出境的合规要求;
  • 按照当地法律法规要求进行数据跨境传输。

九、我们的支持与保障

9.1 我们的安全保障措施

无论您选择哪个区域存储数据,我们都采取以下安全保障措施:

9.1.1 技术措施

  • 加密传输:采用 TLS 1.2 及以上版本的加密协议传输数据;
  • 加密存储:对存储的数据进行加密;
  • 访问控制:对数据访问实施严格的权限控制;
  • 完整性保护:保障数据的完整性,防止数据被篡改;
  • 安全审计:记录所有数据访问和操作行为。

9.1.2 管理措施

  • 安全制度:建立完善的信息安全管理制度;
  • 人员管理:对员工进行安全培训,签署保密协议;
  • 应急响应:建立数据安全事件的应急响应机制;
  • 合规审计:定期进行合规性审计和评估。

9.1.3 区域保障

  • 同等保护:各区域采用同等的数据安全保护标准;
  • 定期评估:定期评估各区域的安全状况。

9.2 数据主体权利支持

我们协助您保障数据主体的权利:

  • 访问权:支持数据主体访问其个人信息;
  • 更正权:支持数据主体更正其个人信息;
  • 删除权:支持数据主体删除其个人信息;
  • 限制处理权:支持数据主体限制对其个人信息的处理;
  • 数据可携权:支持数据主体转移其个人信息;

十、违规处理

10.1 违规情形

以下行为视为违反本政策:

  • 未按照本政策要求进行数据跨境传输;
  • 未获得必要授权或许可进行数据跨境传输;
  • 未履行告知义务进行数据跨境传输;
  • 未采取必要的安全保护措施;
  • 其他违反本政策或相关法律法规的行为。

10.2 处理措施

对于违反本政策的用户,我们有权采取以下措施:

  • 警告通知:发送违规通知并要求限期整改;
  • 限制功能:限制相关功能的使用;
  • 暂停服务:暂停向您提供服务;
  • 终止服务:永久终止向您提供服务;
  • 法律追责:追究违规者的法律责任。

10.3 免责条款

因您违反本政策导致的以下后果,我们不承担责任:

  • 监管部门的处罚;
  • 数据主体的索赔;
  • 声誉损失;
  • 其他损失或损害。

十一、政策更新

11.1 更新机制

我们可能根据法律法规变化或业务需要适时修订本政策。当政策条款发生变更时,我们会通过以下方式提示:

  • 平台公告:在控制台发布公告;
  • 站内通知:通过系统通知告知;
  • 邮件通知:向您注册的邮箱发送通知;
  • 弹窗提示:重大变更时弹窗提示。

11.2 重新同意

按照法律规定需要重新取得您的同意的,我们会重新征求您的同意。

11.3 不同意变更

如您不同意变更后的政策,您可以选择:

  • 停止使用:停止使用我们的产品和服务;
  • 注销账号:申请注销您的账号;
  • 迁移数据:将数据迁移至其他区域(如可行)。

请您知悉,您停止使用服务、账号注销之前的行为和活动仍受本政策的约束。

十二、联系我们

12.1 联系方式

如您对本政策或数据跨境传输有任何疑问、意见或建议,您可以通过以下方式联系我们:

  • 数据保护咨询:就数据跨境传输相关事宜,发送邮件至 privacy@weilaiwanwu.com
  • 技术支持:登录控制台后,通过右上角的技术支持联系我们

附录:关键术语定义

术语定义
数据跨境传输将个人信息或重要数据从一国或地区传输至另一国或地区
数据控制者决定个人信息处理目的、方式的组织或个人
数据处理者代表数据控制者处理个人信息的组织或个人
数据主体个人信息所标识或可识别的自然人
个人信息以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息
敏感个人信息一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息
重要数据一旦泄露可能危害国家安全、公共利益的数据
标准合同条款由监管部门制定的用于规范数据跨境传输的合同条款
充分性认定欧盟委员会对第三国个人信息保护水平等同于欧盟的认定
数据保护影响评估(DPIA)评估数据处理活动可能对数据主体权利和自由带来的影响的过程

本政策自发布之日起生效,取代之前发布的数据跨境传输相关规则。

未来万物(北京)科技有限公司

ThingsCloud
Copyright © 2026 ThingsCloud