适用场景
适用于所有计划或已开展跨境业务、涉及数据出境的中国企业,尤其是在全球化运营、信息服务、数据存储、技术研发及网络平台等领域的企业,在数据合规体系建设初期及持续运营阶段均需重点关注。
核心要点
1. 数据出境评估范围广泛化
数据出境安全评估要求已从最初的关键信息基础设施运营者扩展至所有网络运营者,并可能通过参照适用覆盖其他组织,意味着几乎所有涉及数据跨境传输的企业都将面临合规要求。
2. 评估内容全面细致
评估关注数据出境的必要性、涉及个人信息的数量、类型、敏感度及主体同意情况,重要数据的类型与敏感度,境外接收方的安全保障能力,以及数据泄露、滥用风险和对国家安全、公共利益的潜在影响。
3. 分级评估与报告机制
针对特定情形,如涉及50万人以上个人信息、数据量超过1000GB、或包含敏感国家安全数据等,企业需向行业主管部门报告并组织安全评估,而非仅进行企业内部自评估。
4. 明确数据出境限制
在未获得个人信息主体同意或数据出境可能损害国家安全、公共利益及个人权益的情况下,相关数据被明确禁止出境。
5. 企业承担主体责任
企业是数据出境安全评估的第一责任人,无论采取自评估还是向主管部门报告评估,企业都需对评估结果负责,并承担未合规操作可能带来的法律责任。
实务建议
- 建立健全内部数据出境管理制度和安全评估机制,并对照最新合规要求定期审查和更新。
- 详细梳理和分析企业出境数据的类型、数量、目的及接收方,确保数据出境的合法性、必要性和最小化原则。
- 提升信息保护软硬件能力,了解数据接收方所在国家或地区的网络安全环境,并确保与境外接收方签订有效的安全保障协议。
- 在数据出境前,积极与相关行业主管部门沟通,明确数据出境是否需要进行自评估或报送评估,以有效降低合规成本和风险。
- 确保在传输个人信息前,已向信息主体充分告知出境目的、范围、接收方等信息,并依法取得明确同意,涉及未成年人数据需获得监护人同意。
风险提示
- “重要数据”和“关键信息基础设施”等概念的定义在实践中可能存在模糊性,导致企业在判断自身是否适用时面临不确定性。
- 未能有效获取个人信息主体同意,特别是对于用户基数庞大的互联网、金融、医疗等行业,可能面临重大合规风险。
- 未按规定进行安全评估、隐瞒真实情况或欺诈行为,将可能导致监管机构要求整改甚至施加行政处罚。
- 在数据接收方变更、出境目的/范围/数量/类型发生重大变化,或发生重大安全事件时,未及时进行重新评估,将构成违规。