适用场景
计划或正在向境外提供个人信息(如用户数据、员工信息)的中国出海企业,特别是处理数据量未达安全评估门槛的中小型企业或初创公司。
核心要点
1. 标准合同的适用条件与门槛
企业需同时满足四个条件才可选择签署标准合同作为出境路径:非关键信息基础设施运营者;处理个人信息不满100万人;上一年度起累计向境外提供个人信息未达10万人;累计向境外提供敏感个人信息未达1万人。任一条件不满足,则必须申报数据出境安全评估。
2. 出境前的强制自评估要求
在个人信息出境前,企业必须开展个人信息保护影响评估。评估重点包括:出境目的、范围、方式的合法性、正当性与必要性;出境数据的数量、类型、敏感程度及风险;境外接收方的安全保障能力与责任义务;数据出境后泄露、滥用等风险及个人维权渠道是否通畅;境外法律政策对合同履行的影响。
3. 备案管理:自主缔约与事后备案相结合
采用标准合同路径,需在合同生效之日起10个工作日内,向所在地省级网信部门提交标准合同及个人信息保护影响评估报告进行备案。备案是事后监督手段,不影响合同生效与出境活动启动,但未备案或提交虚假材料将面临行政处罚。
4. 合同核心内容与境内方责任
标准合同需明确双方基本信息、出境目的、范围、类型、数量、保存期限等,并约定双方保护个人信息的责任与义务。值得注意的是,境内个人信息处理者需作为首要责任方,对因出境活动造成的损害承担法律责任,之后再依据合同向境外接收方追偿。
5. 动态合规与合同重新签署情形
企业需建立动态监测机制。当出境目的、范围、类型、敏感程度、数量、方式、保存期限等发生变化,或境外法律政策变化可能影响权益时,必须重新签署标准合同并履行备案手续。这意味着合规不是一劳永逸的。
实务建议
- 第一步:进行合规自检。立即核查自身是否属于关键信息基础设施运营者,并统计处理的个人信息总量以及上一年度起累计出境的人数和敏感个人信息人数,以明确适用路径。
- 第二步:开展全面评估。参照《个人信息保护影响评估指南》及法规要求,制定详细的评估清单,对出境活动的合法性、必要性、风险及境外接收方保障能力进行全面评估,并形成报告。
- 第三步:规范合同签署与备案。使用国家网信部门发布的标准合同范本,确保与其他协议无冲突。合同生效后10个工作日内,务必向省级网信部门完成备案。
- 第四步:建立动态监控机制。设立内部流程,持续监控出境活动要素(如数量、类型)及境外法律环境的变化,一旦触发重新签署条件,及时启动合同更新与重新备案程序。
- 第五步:明确内部责任与追偿机制。在内部合规体系及与境外接收方的商业合同中,明确因境外方过错导致违规时的内部责任划分与对外追偿权利,以管控风险。
风险提示
- 误区:认为签署标准合同即完成全部合规义务。正解:签署后10个工作日内必须完成备案,且需持续进行动态合规管理。
- 误区:仅评估数据出境对个人权益的风险。正解:评估应尽可能全面,建议涵盖对国家安全、公共利益及组织合法权益的潜在影响,以防未来监管口径变化。
- 注意事项:标准合同条款优先。企业与境外接收方签订的任何其他相关合同,均不得与标准合同条款相冲突,否则标准合同条款优先适用。
- 注意事项:数量变化的模糊性。“出境数量”变化需重新签约备案,但法规未明确具体阈值。建议企业采取审慎原则,对出境人数或数据量的显著变化保持敏感,必要时咨询专业意见。
- 致命错误:试图通过“化整为零”等方式规避安全评估。如果企业实际处理规模或累计出境规模已触及安全评估门槛,却故意拆分以适用标准合同,将面临严重的法律后果。