适用场景
所有涉及向境外提供在境内收集的个人信息的中国网络运营者(出海企业),在业务启动、数据跨境传输前及运营过程中均需关注。
核心要点
1. 评估主体与对象全覆盖
新规要求所有涉及个人信息出境的网络运营者,无论规模大小或行业类型,都必须向所在地省级网信部门申报安全评估。这改变了以往仅针对关键信息基础设施运营者的限制,监管范围显著扩大。
2. 评估流程:申报前置与合同核心
企业必须在数据出境前完成自评估并向省级网信部门申报,评估材料中与境外接收方签订的合同是关键审查对象。合同需明确出境目的、类型、保存时限,并充分保障个人信息主体的权益,其条款能否得到有效执行是评估重点。
3. 评估内容聚焦合法性、合同与历史记录
安全评估重点审查六大方面:业务合法性、合同对个人权益的保障程度、合同可执行性、企业与接收方是否有损害用户权益或发生安全事件的历史、个人信息获取是否合法正当。企业需提前准备对应的证明材料和风险分析报告。
4. 动态评估与持续监管义务
安全评估并非一劳永逸。企业需每两年重新评估一次,或在出境目的、类型、保存时间发生变化时重新评估。此外,企业必须建立并至少保存5年出境记录,并每年向网信部门报告出境情况及合同履行情况,接受持续监管。
5. 国际实践参考:标准合同与公司准则
参考GDPR、APEC CBPR体系等国际实践,采用经批准的标准合同条款(SCC)或有约束力的公司准则(BCR)是常见的合规路径。这既能降低企业个案评估成本,也有利于通过监管审批,企业可根据自身业务架构参考借鉴。
实务建议
- 立即梳理业务:识别所有涉及个人信息出境的业务场景、数据类型、接收方及目的。
- 准备标准合同模板:参照法规要求,起草或修订与境外数据接收方的合同,明确双方权责,特别是对个人信息主体的保护条款和赔偿机制。
- 建立内部评估机制:设立流程,在数据出境前进行合规自评估,并准备完整的申报材料(申报书、合同、风险分析报告等)。
- 规划申报时间:向省级网信部门申报,法定评估周期为15个工作日,需为可能的延迟预留时间。
- 建立数据出境台账:系统记录每次出境的日期、接收方信息、数据类型与数量,并确保记录至少保存5年。
- 制定年度报告机制:确保每年12月31日前能向省级网信部门提交上一年度的个人信息出境情况与合同履行报告。
- 关注动态变化:当出境目的、类型、保存时间或接收方发生变化时,主动触发重新评估程序。
风险提示
- 误区:认为只有大型企业或特定行业才需申报。实际上,所有涉及个人信息出境的网络运营者均需申报,无一例外。
- 误区:将评估视为一次性任务。忽视后续的两年重评、年度报告和持续记录保存义务会导致违规风险。
- 注意事项:与境外接收方签订的合同是审查核心,切勿使用“阴阳合同”或使合同流于形式,需确保其条款可执行且能真正保障用户权益。
- 注意事项:企业需对获取个人信息的合法性、正当性负责,这是评估的基础,源头不合规将直接导致出境被否。
- 注意事项:若对省级网信部门的评估结论有异议,可向国家网信部门提出申诉,这是法定的救济渠道。