适用场景
业务涉及向境外(包括关联公司、服务商、客户等)提供中国境内个人信息的所有出海企业,尤其是在产品运营、客户服务、数据分析、人力资源管理等环节有跨境数据传输需求的企业。
核心要点
1. 三条核心合规路径
根据《个人信息保护法》,向境外提供个人信息必须满足以下条件之一:通过国家网信部门组织的安全评估;经专业机构进行个人信息保护认证;与境外接收方订立网信部门制定的标准合同。企业需根据自身情况选择适用路径。
2. 标准合同路径的适用与变化
《个人信息出境标准合同办法》已于2023年6月1日生效,明确了标准合同的适用范围、订立条件和备案要求。企业需注意,正式版办法强调不得通过拆分数据量等方式规避安全评估,并设立了6个月的整改过渡期。
3. 评估工作的区别与联系
所有个人信息出境活动都必须进行个人信息保护影响评估。如果企业触发安全评估条件,则还需额外进行数据出境风险自评估,后者评估范围更广,涵盖国家安全和公共利益风险。两项评估内容有重叠,可统筹进行。
4. 合同签署与备案要求
选择标准合同路径的企业,必须严格按照官方范本签署,不得修改正文,但可通过附录约定补充条款。合同签署后需向省级网信部门备案。若出境目的、范围、接收方政策等发生变化,需补充或重签合同并重新备案。
5. 路径选择与过渡期整改
未触发安全评估的企业,可在标准合同和个人信息保护认证中任选其一。目前标准合同路径因操作相对明确更受青睐。企业需特别注意两条路径的整改截止日期:安全评估路径已于2023年3月1日截止申报,标准合同路径需在2023年12月1日前完成整改。
实务建议
- 第一步:进行数据映射,厘清出境个人信息的种类、数量、敏感程度、目的、接收方及保存地点。
- 第二步:判断是否触发安全评估(如处理百万以上个人信息或敏感信息等),这是选择合规路径的前提。
- 第三步:根据判断结果选择合规路径。若无需安全评估,优先评估标准合同与保护认证的可行性。
- 第四步:无论选择哪条路径,都必须先完成个人信息保护影响评估并形成报告。
- 第五步:若选择标准合同,严格使用官方范本,通过附录进行补充约定,签署后及时准备备案材料。
- 第六步:密切关注业务变化(如数据范围扩大、接收方政策变动),及时触发合同重签或认证变更程序。
- 第七步:建立内部流程,确保在2023年12月1日前,对已开展的出境活动完成标准合同路径的整改(评估+签约+备案)。
风险提示
- 切勿试图通过拆分数据量、化整为零的方式规避本应进行的安全评估,此属违规行为。
- 如果已参考旧的征求意见稿签署了合同,选择标准合同路径的企业必须按正式范本重签,否则无法备案。
- 标准合同正文条款不可修改,补充约定只能写在附录中,且不得与正文冲突。
- “完成整改”不等于“通过评估/备案”。安全评估路径的“整改”指在截止日前提交申报;标准合同路径指完成签约并启动备案程序。
- 合规状态不是一劳永逸的。业务事实或境外法律环境变化后,需重新履行评估、签约或认证变更手续。
- 个人信息保护认证路径目前认证机构较少,流程尚在完善,选择时需考虑时间成本和不确定性。