适用场景
任何计划或已将业务拓展至海外,需要处理中国境内收集的个人信息或重要数据,并将其传输至境外的中国出海企业。尤其适用于涉及跨国集团内部数据流转、向海外用户提供服务、或与海外合作伙伴共享数据的企业。
核心要点
1. 中国数据出境监管框架
中国建立了以《网络安全法》、《数据安全法》和《个人信息保护法》(PIPL)为核心的数据保护体系,并辅以《数据出境安全评估办法》等细则,对个人信息和重要数据的跨境传输进行分层分类监管。
2. 个人信息出境合规路径
PIPL为个人信息出境提供了主要的三种合规路径:通过国家网信部门组织的安全评估、获得专业机构的个人信息保护认证、或与境外接收方签订国家网信部门制定的标准合同。此外,还需确保境外接收方的数据处理达到PIPL规定的保护标准。
3. 重要数据出境的特殊要求
中国法律体系特别强调对“重要数据”的保护,并要求其出境必须通过国家网信部门组织的安全评估。重要数据指一旦被篡改、破坏、泄露或非法获取、利用,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
4. 数据出境的广泛定义
中国法规对数据出境的定义非常广泛,不仅包括将境内收集的数据传输至境外存储,也涵盖境外机构、组织或个人访问、使用存储在境内的中国数据(如跨国公司境外员工远程访问境内服务器)。
5. 数据二次出境与同意要求
如果已出境的个人信息需要再次从境外接收方传输给其他境外第三方,则需满足特定条件,包括基于真实业务需求、告知并获得个人同意,以及境外接收方与第三方签订书面协议等。
实务建议
- 数据分类分级管理: 建立完善的数据分类分级制度,明确识别并区分个人信息、敏感个人信息和重要数据,并根据其重要性采取差异化保护措施。
- 评估出境合规路径: 根据数据类型、数量、敏感程度及接收方情况,选择合适的个人信息出境合规路径(安全评估、认证或标准合同),并提前规划准备。
- 明确重要数据范围: 密切关注国家及行业主管部门发布的重要数据目录和识别指南,结合自身业务特点,界定企业的重要数据范围,并严格遵守其出境安全评估要求。
- 审慎处理远程访问: 认识到境外远程访问境内数据也构成数据出境,需将其纳入合规管理范畴,并采取相应的技术和管理措施。
- 完善合同条款与告知同意: 与境外数据接收方签订符合中国法律要求的合同,明确双方权利义务;在个人信息出境前,充分告知数据主体并获得其单独同意。
- 关注数据二次出境: 对于已出境数据的再次传输,务必确保符合中国法律对告知、同意及协议签署等方面的要求。
- 考虑数据匿名化: 在业务允许的情况下,对个人信息进行彻底的匿名化处理,使其无法识别特定自然人且无法复原,从而可能使其脱离PIPL的个人信息出境监管范围。
风险提示
- 忽视“重要数据”的特殊监管: 仅关注个人信息合规,而忽略了中国法律对“重要数据”的严格出境安全评估要求,可能面临重大法律风险。
- 误解“数据出境”的范围: 认为只有数据物理传输到境外才算数据出境,而忽视了境外远程访问境内数据等隐性出境场景,导致合规漏洞。
- 未充分履行告知同意义务: 未能向数据主体充分告知数据出境的详细情况,或未获得其单独、明确的同意,导致数据出境行为违法。
- 境外接收方合规能力不足: 未能有效评估和监督境外接收方的数据保护能力,导致数据在境外处理过程中未能达到中国法律要求的保护标准。
- 二次出境合规缺失: 对已出境数据的再次传输缺乏有效管理和合规措施,可能引发连锁合规问题。