适用场景
所有涉及向境外提供数据(包括个人信息和重要数据)的中国出海企业,尤其是在业务运营、客户服务、技术研发或集团内部管理中需要跨境传输数据的企业。
核心要点
1. 三大合规路径及其适用场景
企业向境外提供数据,必须根据自身情况选择并履行以下三种路径之一:数据出境安全评估、订立标准合同、或通过个人信息跨境处理认证。选择的关键在于判断企业是否属于关键信息基础设施运营者、处理的数据是否包含重要数据,以及处理个人信息的规模是否达到法定门槛。
2. 数据出境安全评估:强监管路径
这是监管最严格的路径,适用于处理重要数据、属于关键信息基础设施运营者,或处理/出境个人信息规模达到特定标准(如处理超100万人信息)的企业。申报流程需通过省级网信办提交至国家网信办,材料准备复杂,审查周期较长。
3. 标准合同:灵活高效的常用选择
适用于不满足安全评估强制条件的大多数企业。企业需与境外接收方签订国家网信办发布的标准合同范本,并在合同生效后10个工作日内向省级网信办备案,同时提交个人信息保护影响评估报告。此路径合同条款不可修改,但允许在不冲突的前提下补充约定。
4. 个人信息跨境处理认证:体系化证明
企业可通过经认可的认证机构(如中国网络安全审查技术与认证中心)进行认证,以证明其跨境数据处理活动符合国家标准。此路径要求企业设立个人信息保护负责人和专门机构,并签订具有法律约束力的文件。认证证书有效期为3年。
5. 核心共性义务与禁止行为
无论选择哪种路径,企业都必须履行几项核心义务:与境外接收方签订法律文件、开展数据出境风险自评估或个人信息保护影响评估、评估境外接收方所在国的法律环境。严禁通过拆分数据量、协议安排等方式规避本应进行的安全评估。
实务建议
- 第一步:自我诊断。立即梳理企业数据类型(是否含重要数据)、个人信息处理规模(累计计算)、以及自身是否被认定为关键信息基础设施运营者,以确定适用的合规路径。
- 第二步:开展前置评估。在数据出境前,必须完成数据出境风险自评估或个人信息保护影响评估,并形成书面报告,报告需至少保存3年。
- 第三步:签订合规法律文件。根据所选路径,与境外接收方签订标准合同或其他具有法律约束力的文件,明确双方权利义务,特别是数据保护责任。
- 第四步:履行备案或申报程序。选择标准合同路径的,需在合同生效后10个工作日内向省级网信办备案;触发安全评估的,需通过省级网信办向国家网信办提交全套申报材料。
- 第五步:建立内部管理机制。特别是选择认证路径或处理大量个人信息的企业,应指定个人信息保护负责人,并考虑设立专门的个人信息保护机构。
- 第六步:动态监控与更新。持续关注境外接收方所在国家或地区的法律变化,若出现可能影响数据安全或个人信息权益的情形,需重新评估并更新法律文件及履行相应程序。
风险提示
- 误区:认为只有“收集”的数据才计入处理规模。正确:企业持有的所有个人信息,包括员工、客户、供应商信息,均应计入处理总量,用于判断是否触发安全评估。
- 误区:试图通过将数据拆分给多个境外实体来规避安全评估。正确:监管机构会进行实质审查,此类规避行为风险极高,一旦发现将面临处罚。
- 注意事项:计算个人信息数量时,以“人数”为单位(需去重),而非“人次”或“条数”,且申报时应基于未来两年的拟出境数据规模进行预判。
- 注意事项:标准合同条款为强制性文本,主体部分不可修改,仅能在附录中补充不冲突的条款,切勿擅自改动核心义务条款。
- 注意事项:即使选择标准合同或认证路径,企业也负有监督境外接收方履行数据保护义务的责任,并非签约或获证后即可高枕无忧。