适用场景
所有涉及向境外传输数据(包括员工信息、用户信息、业务数据等)的中国出海企业,尤其是在业务扩张、系统部署(如使用海外CRM/ERP)、或设立海外分支机构阶段的企业。
核心要点
1. 重要数据出境门槛明确
企业若未被监管部门明确告知或公开认定为处理“重要数据”,则无需就数据出境申请安全评估。这减轻了企业在“重要数据”定义模糊阶段的合规负担,但企业仍需保持对监管动态的关注。
2. 个人信息出境分级管理
新规草案根据出境个人信息数量设立了分级管理机制。预计一年内出境个人信息少于1万人的可豁免合规路径;1万至100万人之间需通过标准合同或认证;超过100万人则必须申报安全评估。企业需据此评估自身业务量级。
3. 特定场景的豁免情形
为人力资源管理必需而出境员工个人信息、出境非源自国内收集的个人信息、为履行合同所必需等特定场景,可豁免于三条常规合规路径。但“必要性”的判断标准仍需后续明确。
4. 豁免不等于无责任
即使符合豁免条件,企业仍需履行获取个人单独同意、开展个人信息保护影响评估(PIA)等法定义务。豁免仅指免于安全评估、标准合同或认证这三条具体路径,而非免除所有合规责任。
5. 自贸区的特殊政策
在自贸区内注册的企业,若出境的数据不落在当地发布的“负面清单”内,也可豁免。企业需密切关注所在自贸区清单的发布情况。
实务建议
- 立即开展数据出境情况盘点:梳理出境数据的类型(是否含个人信息)、数量、目的、接收方及法律依据。
- 预估年度数据出境体量:基于业务规划,估算未来一年可能出境的个人信息数量(区分员工与用户),以确定适用的合规路径。
- 建立并完善个人信息保护影响评估(PIA)机制:无论是否豁免,PIA都是法定要求,应形成标准化流程与报告模板。
- 审查并优化告知同意流程:确保向个人信息主体履行充分告知义务,并获取其对于数据出境的单独、明确同意。
- 关注立法动态与细则出台:特别是对“人力资源管理必需”、“一年内”起算点等关键概念的解释,及时调整合规策略。
- 自贸区企业主动对接监管:了解所在自贸区关于数据出境的“负面清单”或具体政策,充分利用区域便利。
风险提示
- 误区:认为“豁免”等于“不用管”。豁免特定路径后,告知同意、PIA等基础义务依然存在,切勿忽视。
- 误区:对“一年内”出境人数估算过于乐观或静态。需基于业务增长做动态、保守的预估,避免因低估而误用豁免条款导致违规。
- 注意:员工个人信息出境虽可能豁免路径,但“必要性”的证明责任在企业,需有规章制度和合同作为依据。
- 注意:历史出境数据量在新规下的处理方式可能变化,需以最新规定和未来预期为准进行判断,而非仅看历史。
- 注意:标准合同与认证并非一劳永逸,需在情况发生变化(如出境目的、方式、数据量大幅增加)时重新评估或办理。