适用场景
中国出海企业,尤其是涉及向境外传输个人信息,且符合特定规模限制的非关键信息基础设施运营者(CIIO),在规划和执行数据跨境传输时需要关注。
核心要点
1. 标准合同的定位与适用条件
标准合同是中国《个人信息保护法》(PIPL)规定的三种个人信息出境合规路径之一。它主要适用于非关键信息基础设施运营者,且处理个人信息数量、自上年1月1日起累计向境外提供个人信息数量、以及敏感个人信息数量均未达到特定高阈值的企业。
2. 合同内容与灵活性
标准合同包含强制性条款模板,企业与境外接收方签署的相关协议不得与模板主体内容冲突,但可在附件中补充不矛盾的条款。目前该合同仅有一个版本,对于委托处理场景下的签署主体仍有待进一步明确。
3. 强制性个人信息保护影响评估(PIPIA)
在利用标准合同传输数据前,企业必须进行PIPIA。评估内容除PIPL一般要求外,还需特别关注目的国家或地区的个人信息保护政策法规,及其对标准合同可执行性的影响。
4. 传输方与接收方义务
传输方需确保出境数据最小化、持续监督境外接收方履约,并保障个人信息主体权利。境外接收方则需遵守中国个人信息保护相关法律,配合监管查询,并及时响应个人信息主体请求及数据泄露通知。
5. 备案要求
标准合同生效后,个人信息处理者需在10个工作日内,将已签署的标准合同及PIPIA报告提交至企业所在地的省级网信部门进行备案。
实务建议
- 全面梳理企业跨境数据流,识别所有涉及个人信息出境的场景和数据类型。
- 根据企业规模、数据处理量及出境量,评估是否符合标准合同的适用条件,或需采取安全评估、认证等其他合规路径。
- 在数据出境前,严格按照要求开展个人信息保护影响评估(PIPIA),并重点关注目的国法律环境对合同执行的影响。
- 参照网信办发布的标准合同模板,与境外接收方签署合规协议,确保补充条款不与主条款冲突。
- 建立并执行对境外接收方的持续监督机制,确保其履行合同义务并遵守中国法律法规。
- 准备好签署后的标准合同及PIPIA报告,在规定时限内向地方网信部门完成备案。
风险提示
- 超出标准合同适用范围,却未按规定进行安全评估或认证,面临严重的违规风险。
- PIPIA评估不充分,特别是对境外法律环境的评估不足,可能导致合规漏洞和合同执行风险。
- 标准合同条款被随意修改,与强制性内容冲突,可能导致合同无效或不被认可。
- 未按时或未提交备案,可能面临行政处罚及合规风险。
- 境外接收方未能有效履行个人信息保护义务,可能导致中国境内传输方承担连带责任。