适用场景
所有涉及收集、处理中国境内个人信息并可能向境外传输的中国出海企业,特别是在设立海外分支机构、使用全球IT系统、开展跨境电商或跨境服务业务时。
核心要点
1. 个人信息出境的界定与常见场景
个人信息出境不仅指数据物理转移到境外服务器,也包括境内数据被境外机构访问或查看。常见场景包括:跨国公司向境外母公司传输员工管理信息;跨境电商将用户数据存储在海外;因境外诉讼、调查需向境外提供含个人信息的材料。
2. 核心规制框架与安全评估义务
中国以《网络安全法》为基础,确立了个人信息境内存储为原则、出境需安全评估的监管框架。所有‘网络运营者’(定义广泛,包括使用网络处理信息的企业)在个人信息出境前,原则上需向所在地省级网信部门申报安全评估,评估重点包括数据获取的合法性、出境合同能否保障个人权益等。
3. 安全评估的流程与关键材料
企业需提交申报书、与境外接收方签订的合同、安全风险及保障措施分析报告等材料。合同需明确双方权利义务,保障个人信息主体的访问、更正、删除权。评估并非一劳永逸,需每两年或出境情况变化时重新评估,并每年提交年度报告。
4. 企业与境外接收方的双重义务
出境企业(网络运营者)负有告知信息主体、提供合同副本、先行赔付等义务。境外接收方则需保障信息主体权利、在所在地法律环境变化时及时报告,且合同终止后相关保护义务并不当然免除。法规甚至可能域外适用于向中国用户提供服务的境外机构。
5. 违法出境的法律责任与风险
违法出境可能引发民事与行政双重责任。信息主体可依法索赔,企业可能面临警告、罚款、责令停业,甚至吊销执照的处罚。在人类遗传资源等特殊领域,未经批准出境已有多起公开处罚案例,风险极高。
实务建议
- 立即开展数据出境自查:梳理企业收集和存储的个人信息类型、数量、出境场景及接收方,评估现有流程的合规风险。
- 建立并完善内部个人信息保护制度:明确信息收集、存储、使用、共享规则,特别是针对员工信息向集团内部共享的情形,应事先获得员工单独同意。
- 提前准备安全评估核心文件:参照监管思路,草拟符合要求的个人信息出境合同,并准备安全风险分析报告,未雨绸缪。
- 对出境文件进行筛查与脱敏处理:在因调查、诉讼等需向境外提供文件时,务必筛查其中包含的个人信息,并进行匿名化或脱敏处理。
- 关注特殊行业规定:若属于金融、医疗、网约车等行业,需额外遵守该行业关于数据境内存储的专门规定,合规要求更为严格。
风险提示
- 误区:认为只有将数据物理传输到海外才算‘出境’。实际上,境外机构远程访问、查看境内存储的数据也可能被认定为出境。
- 误区:认为内部集团数据传输无需特别关注。向境外母公司、关联方传输中国员工或客户信息,是最常见的出境场景,必须纳入合规管理。
- 注意事项:安全评估的配套办法虽未正式出台,但监管趋势明确且严格。以现有征求意见稿和《网络安全法》为基准进行合规建设是当务之急。
- 注意事项:境外接收方所在地的法律环境是安全评估的重点之一。若目的地法律无法提供充分保护,或与我国法律冲突,出境可能无法获批。