适用场景
适用于所有涉及向境外传输个人信息的中国出海企业,特别是那些处理个人信息数量未达到国家安全评估申报门槛的企业。在企业进行国际化业务拓展、数据跨境传输合规规划阶段需重点关注。
核心要点
1. 个人信息出境三大合规机制
根据《个人信息保护法》,中国企业向境外传输个人信息主要有安全评估、个人信息保护认证和标准合同三种合规路径,目前均已全面落地实施。
2. 标准合同的适用门槛与备案要求
标准合同适用于非关键信息基础设施运营者,且处理个人信息数量、向境外提供个人信息及敏感个人信息数量均未达到特定阈值的企业。企业在签订标准合同后,需在10个工作日内向所在地省级网信部门备案,并提交个人信息保护影响评估(PIA)报告。
3. 个人信息保护影响评估(PIA)是核心
在采用标准合同机制前,企业必须进行全面的个人信息保护影响评估,重点评估数据出境的合法性、必要性、风险,以及境外接收方的保护能力和境外法律环境对合同履行的影响。
4. 标准合同的持续合规义务
标准合同并非一劳永逸,当出境目的、范围、种类、敏感程度、方式、保存地点、境外接收方处理用途或境外接收地法律政策发生变化,可能影响个人信息权益时,企业需重新进行评估、补充或重订合同并履行备案手续。
5. 警惕“数量拆分”规避监管
企业不得通过将个人信息拆分至不同实体或时间周期等手段,规避达到安全评估门槛,此举可能被认定为违规行为并面临处罚。
实务建议
- 立即对企业所处理和拟出境的个人信息进行全面盘点,明确数据的种类、数量、敏感程度、处理目的和方式。
- 根据数据盘点结果,准确判断并选择最适合的个人信息出境合规机制(安全评估、认证或标准合同),避免违规操作。
- 提前设计并完成个人信息保护影响评估(PIA),确保评估内容全面、深入,涵盖数据出境的合法性、必要性、风险及境外接收方能力等。
- 严格按照国家网信办发布的标准合同模板进行缔约,并可在附录中补充不与标准条款冲突的、满足具体业务需求的条款。
- 建立持续合规审查机制,定期关注业务变化和境外法律法规动态,及时重新评估、补充或重订标准合同并履行备案手续。
- 在PIA中重点评估境外接收方的技术和管理能力,并进行传输影响评估(TIA),尤其关注境外政府调取数据的权力及接收方的应对义务。
风险提示
- 对于2023年6月1日前已开展的出境活动,务必在2023年12月1日前完成合规整改,逾期可能面临行政处罚。
- 严禁通过“数量拆分”等手段规避安全评估,一旦被发现将面临严重的法律后果和声誉风险。
- PIA报告内容不完整或评估不深入,可能导致备案不通过,或在后续监管中被认定为合规缺陷。
- 境外法律环境变化可能导致标准合同无法有效履行,影响个人信息权益,企业需持续关注并及时调整合规策略。
- 未能及时识别并履行重新评估、补充或重订合同及备案义务,可能导致已备案的合规方案失效,面临监管风险。