适用场景
所有涉及向境外传输中国境内个人信息的中国出海企业,无论规模大小,均需关注。尤其是在业务拓展、国际合作、员工管理等环节涉及数据跨境传输的企业,在2023年6月1日《个人信息出境标准合同办法》实施后,应立即启动或完善相关合规工作。
核心要点
1. SCC备案的性质与前置准备
个人信息出境标准合同(SCC)备案是在合同签署生效后进行的程序,并非行政审批,但监管机构可能进行人工或机器审查并提出反馈。企业应将个人信息保护影响评估(PIA)作为备案的核心前置工作,确保备案材料的充分性和合规性。
2. 不合规的数据出境风险
未能依法进行SCC备案或数据出境安全评估,企业将面临中国《个人信息保护法》下最高5000万元或上一年度营业额5%的巨额罚款,相关责任人可能承担刑事责任,并可能参考国际案例面临境外监管机构的严厉处罚。
3. SCC与安全评估的路径选择
SCC备案与数据出境安全评估是个人信息出境的两种替代路径。企业需根据自身处理的个人信息数量、敏感信息类型等,判断是否达到安全评估的门槛。监管明确禁止通过拆分数据量等手段规避安全评估,企业需对数据量划分提供充分的合理解释和论证。
4. SCC合同谈判与体系化管理
与境外接收方(特别是关联度低或强势方)谈判SCC条款时,需重点关注境外接收方义务、违约责任分配及附录二的约定。同时,应将SCC视为整个数据跨境传输合同体系的一部分,确保其与商务合同、系统搭建合同等其他协议的条款一致性和衔接性。
5. 备案后的持续合规义务
完成SCC备案并非一劳永逸。企业需持续监测业务发展和数据处理情况,一旦个人信息出境的数量、范围、目的等发生变化,可能触发新的安全评估门槛或需要重新备案。建立标准化流程和文本,并结合未来业务规划进行前瞻性管理至关重要。
实务建议
- 在签署SCC前,务必完成并完善个人信息保护影响评估(PIA)报告,这是备案的核心材料。
- 向公司管理层清晰传达不合规的法律风险(高额罚款、刑事责任)和国际监管趋势,争取高层对数据合规的重视和资源投入。
- 对于集团内部不同业务板块或实体,应独立评估其个人信息出境情况,确定是适用SCC备案还是数据出境安全评估。
- 如需对个人信息数量进行拆分以适用SCC路径,必须准备充分的论证材料,涵盖时间、数据类型、共享情况、隔离措施、系统部署、人员管理、权限及制度等多个维度。
- 与境外接收方谈判SCC时,重点关注境外接收方义务、违约责任条款,并充分利用附录二细化约定,确保合同条款符合企业利益和合规要求。
- 全面审阅与数据出境相关的商务合同、系统搭建合同等,确保SCC条款与这些合同的权利义务、争议解决等条款保持一致性。
- 在争议解决条款中,优先考虑选择仲裁,并确保其在整个合同体系中的衔接性,同时兼顾保密性、专业性、灵活性和域外可执行性。
- 对于员工个人信息全生命周期管理(招聘、入职、在职、离职等)或境外邮件服务器等常见场景,可考虑一揽子签署一份SCC协议,提高效率;对境外处理方(P)提出明确的合规要求。
- 建立标准化的SCC文本和备案工作流程,并结合企业未来2年的业务规划进行前瞻性设计,避免重复工作和业务中断风险。
- 积极寻求外部法律和技术专家的支持,利用专业的数据出境监测平台和扫描系统,提升数据合规管理的效率和准确性。
风险提示
- SCC备案并非自动通过,监管机构可能对提交材料进行审查并要求补充说明或整改。
- 不合规的数据出境行为可能导致企业面临中国境内巨额罚款(最高可达5%年营业额)和刑事责任,以及境外监管机构的处罚。
- 监管机构明令禁止通过不合理拆分数据量来规避数据出境安全评估,一旦被发现,将面临严重后果。
- SCC备案后并非一劳永逸,企业业务发展、数据量或数据处理目的的变化,可能随时触发重新备案或更高门槛的安全评估。
- 与境外非关联方或强势方谈判SCC条款时,可能面临较大阻力,尤其是在责任分配和义务履行方面。
- 未能将SCC与企业其他商业合同进行整合,可能导致合同条款冲突、法律责任不清,影响业务连续性。
- 争议解决条款选择不当,可能导致纠纷解决效率低下、成本高昂,甚至出现不同合同判决或裁决矛盾的情况。
- 忽视员工视频会议、境外邮件服务器等“小场景”的数据出境合规,可能累积形成合规漏洞,带来潜在风险。