适用场景
所有涉及向境外提供个人信息的中国出海企业,特别是未达到数据出境安全评估申报门槛、但需持续进行跨境数据传输的企业,应在业务启动前或法规过渡期内完成合规整改。
核心要点
1. 适用场景与路径选择
标准合同路径主要适用于向境外提供个人信息、但未触发安全评估申报门槛的企业。若涉及重要数据出境,则必须进行安全评估。企业需首先进行自评估,明确自身适用的合规路径,并警惕通过拆分数据量等方式规避安全评估的合规风险。
2. 核心流程与时间规划
采用标准合同路径需遵循“事前评估-自主缔约-事后备案”的基本流程。企业需预留充足时间,核心步骤包括开展个人信息保护影响评估、与境外接收方协商签署标准合同,并在合同生效后10个工作日内向省级网信部门备案。建议整体预留3-4个月的准备时间。
3. 合同要点与双方责任
标准合同明确了境内个人信息处理者与境外接收方的权利义务。关键变化包括:仅基于“同意”的跨境提供需获取单独同意;境外接收方在保存期满后须删除或返还信息,取消匿名化选项;强化了境外接收方在发生或可能发生数据泄露、以及接到境外司法执法机构提供信息要求时的通知义务。
4. 签署后的持续合规义务
完成备案并非终点,企业需建立持续合规机制。这包括监控出境目的、范围等是否发生变化以决定是否重新评估;关注境外法律政策变化;妥善处理个人信息主体行使权利的请求;以及依法应对境外数据安全事件或司法执法要求。
实务建议
- 立即开展数据出境场景梳理:全面盘点企业向境外提供个人信息的业务场景、数据类型、规模及接收方,准确判断应适用的合规路径。
- 启动个人信息保护影响评估(PIA):这是备案的必备材料,需建立内部评估制度,针对不同出境场景合理规划评估范围与方式。
- 尽早启动合同谈判与签署:标准合同范本中的补充条款及双方责任是谈判重点,应尽早与境外接收方沟通,避免因分歧延误进程。
- 按时完成备案手续:在标准合同生效后10个工作日内,向所在地省级网信部门提交已签署的合同及PIA报告进行备案。
- 建立持续监控与更新机制:定期复核出境活动,关注境内外法律变化,确保在业务或法规变动时能及时重新评估、补充或重签合同。
风险提示
- 切勿试图通过拆分数据量、分散出境主体等方式规避安全评估,此行为已被法规明确禁止,将带来严重合规风险。
- 标准合同条款为底线要求,补充条款不得与之冲突,特别是不能削弱任何一方的核心责任,否则可能导致条款无效。
- 若出境场景涉及集团内多家实体共享数据,需谨慎计算数据总量,避免因加总计算达到安全评估门槛而误用标准合同路径。
- 备案后并非一劳永逸,企业需对出境活动进行持续监管,任何重大变化都可能触发重新评估和备案的义务。