适用场景
面向所有涉及向境外传输用户或员工个人信息的中国出海企业,尤其是在业务拓展、设立海外分支机构或使用海外云服务等场景下需要评估数据跨境流动合规性的阶段。
核心要点
1. 适用范围与门槛:标准合同并非万能钥匙
标准合同主要适用于非关键信息基础设施运营者,且处理个人信息规模未达到特定门槛的企业。具体门槛包括:处理个人信息不满100万人、累计向境外提供个人信息未达10万人、累计向境外提供敏感个人信息未达1万人。若超过任一门槛,则需进行数据出境安全评估。由于中国人口基数大,许多企业可能无法适用标准合同,需提前评估自身情况。
2. 备案管理与事后监管:签署后10个工作日内需备案
采用标准合同路径的企业,必须在合同生效之日起10个工作日内,向所在地省级网信部门完成备案。备案材料包括签署的标准合同及个人信息保护影响评估报告。这为监管机构提供了事后审查的抓手,若发现不合规,可要求终止出境活动并依法处罚。
3. 必须开展个人信息保护影响评估并细化内容
企业在签署标准合同前,必须依法开展个人信息保护影响评估。针对出境场景,评估需额外关注:境外接收方的承诺与能力、个人信息出境后的泄露滥用风险、以及接收方所在国家或地区的法律法规对合同履行的影响。评估报告需作为备案材料提交。
4. 关注二次传输与审计义务的严格规定
标准合同对个人信息出境后的“二次传输”(即境外接收方再向其他境外第三方提供)进行了严格规制,通常需取得个人单独同意并与第三方签订保障同等保护水平的协议。同时,合同赋予了境内提供方对境外接收方处理活动进行审计的权利,境外接收方有义务配合,审计结果可能需要提供给中国监管机构。
5. 保障个人知情权与平衡企业机密
个人有权向境内提供方或境外接收方要求获取标准合同的副本(可遮蔽商业秘密等机密信息,但需提供有效摘要)。这要求企业在设计合同时,需提前筹划如何平衡个人信息主体知情权与企业自身敏感信息的保护。
实务建议
- 立即自查:评估企业处理的个人信息总量、出境人数及敏感个人信息数量,判断自身适用标准合同还是安全评估路径。
- 提前规划PIA:按照法规要求,系统性地开展个人信息出境保护影响评估,并形成书面报告,重点关注境外接收方的法律环境和保护能力。
- 完善合同条款:在拟定或审核跨境数据合同时,参考标准合同范本,明确双方权利义务,特别是安全措施、二次传输限制、审计权和个人权利响应机制。
- 建立备案流程:若适用标准合同,确保在合同生效后10个工作日内,准备好合同及PIA报告,向省级网信部门完成备案。
- 设计响应机制:建立内部流程,以妥善处理个人提出的获取合同副本等行权请求,同时做好商业秘密信息的遮蔽处理。
- 审视技术措施:评估并实施适当的技术和管理措施(如加密、匿名化、访问控制)以保障跨境传输中的个人信息安全。
风险提示
- 误区:认为签署了标准合同就万事大吉。合规是持续过程,需确保合同条款得到履行,并接受事后监管。
- 误区:低估自身数据规模。企业整体数据量容易触及100万、10万等门槛,错误选择路径将导致合规失败。
- 注意事项:PIA报告和备案材料的质量至关重要,过于简略可能无法通过监管审查。
- 注意事项:与境外接收方谈判时,需明确其接受审计、限制二次传输等义务,这些可能是谈判难点。
- 注意事项:境外接收方所在国的法律(如某些国家的长臂管辖法案)可能影响标准合同的履行,必须在PIA中重点评估。