适用场景
本指南适用于非关键信息基础设施运营者,且处理个人信息数量、向境外提供个人信息及敏感个人信息数量均未达到特定阈值的中国出海企业。这些企业在计划或已经向境外传输个人信息时,需要了解并遵循中国个人信息出境标准合同备案的合规要求。
核心要点
1. 标准合同适用条件与整改期限
满足特定条件(非关基运营者,处理个人信息少于100万人,累计向境外提供个人信息少于10万人,累计向境外提供敏感个人信息少于1万人)的企业,可选择标准合同路径。对于此前不合规的出境活动,有6个月的整改期,需在2023年12月1日前完成所有合规工作。
2. 个人信息出境合规四步法
利用标准合同进行个人信息出境需遵循四个核心步骤:事前开展个人信息保护影响评估(PIA),严格按照模板订立标准合同,在合同生效后10个工作日内向所在地省级网信部门备案,以及在出现特定情形时进行重新评估、补充或重新订立合同并备案。
3. 备案审查的实质性要求与广泛定义
备案并非简单提交材料,网信部门将进行实质性审查,可能不予通过。个人信息出境的定义广泛,不仅包括主动传输,境外人员查询、调取、下载境内信息,甚至使用服务器部署在境外的工具(如Workday、SAP系统)也可能构成个人信息出境,需履行备案流程。
4. 备案主体确定与场景筛查
备案主体将面临穿透要求,需准确确定备案主体并说明股权结构、实际控制人等,不得采取数量拆分等手段规避。企业需按照“业务基本情况—数据资产情况—信息系统情况—数据中心(云服务)情况—数据出境链路情况”的逻辑,详细盘点个人信息出境场景。
5. 持续合规与内部治理建设
备案通过后并非一劳永逸,企业需建立个人信息出境情况的监测预警机制,及时应对目的、范围、种类等变化。同时,应尽快建立并完善内部数据治理架构,包括指定个人信息保护负责人(DPO),以应对日益严格的监管要求。
实务建议
- 务必在2023年12月1日前完成所有整改工作,包括PIA、标准合同订立及备案。
- 严格按照官方模板订立标准合同,允许约定其他条款但不得与标准合同冲突,并注意与境外法律法规的潜在冲突。
- 全面梳理和盘点个人信息出境的业务场景、数据资产、信息系统及数据链路,确保评估报告内容详尽准确。
- 建立个人信息出境情况的常态化监测和预警机制,及时识别并应对可能触发重新评估或备案的情形。
- 准备备案材料时务必详细、准确,特别是个人信息保护影响评估报告,需具体阐述出境目的、方式、链路、数据情况及风险整改措施和效果。
- 持续提升自身数据安全能力,避免因过往处罚记录影响备案结果。
- 考虑引入专业的第三方机构(如律师事务所、数据安全公司)协助完成PIA和备案工作,提高效率和通过率。
- 尽快建立并完善内部数据治理架构,指定个人信息保护负责人(DPO),以应对日益严格的监管要求。
- 提前了解并确认所在地省级网信办的线下备案流程和联系方式,做好提交纸质材料和电子材料的规划,并预留排队等候时间。
风险提示
- 标准合同备案并非简单提交材料,网信部门将进行实质性审查,存在不予通过的风险。
- 未能按期(2023年12月1日前)完成整改或备案,可能面临合规风险和处罚。
- 即使未主动传输数据,但境外人员访问境内数据或使用境外服务器工具,也可能被认定为个人信息出境,需履行备案义务。
- 备案主体将面临穿透审查,集团公司应谨慎确定备案主体,不得采取数量拆分等手段规避监管。
- 过往数据安全处罚记录可能影响备案结果,企业需重视自身数据安全能力的建设。
- 个人信息保护影响评估报告中的问题发现、风险隐患及整改措施和效果是监管审查的重点和难点,需详细说明并争取监管认可。
- 经办人授权委托书明确不可转委托,需选择可靠且有能力的员工负责备案事宜,并注意授权的有效性。