适用场景
计划或正在向境外提供个人信息的中国出海企业,特别是处理数据量未达安全评估门槛的非关键信息基础设施运营者。
核心要点
1. 明确适用条件,选择正确路径
企业需首先判断自身是否适用《标准合同办法》。核心条件是:非关键信息基础设施运营者、处理个人信息不满100万人、上年起累计向境外提供个人信息不满10万人且敏感个人信息不满1万人。若任一条件不满足,则必须申报数据出境安全评估,不能使用标准合同。
2. 强制开展个人信息保护影响评估
在通过标准合同出境前,企业必须开展个人信息保护影响评估。评估重点包括:出境目的与方式的合法性、正当性、必要性;数据规模、种类与敏感程度带来的风险;境外接收方的安全保障能力;以及境外法律环境对合同履行的影响。评估报告需至少保存3年。
3. 标准合同的签署、生效与备案流程
企业需与境外接收方签署网信办发布的标准合同。合同生效后即可开展数据出境活动,但必须在生效之日起10个工作日内,向所在地省级网信部门提交标准合同及个人信息保护影响评估报告进行备案。备案是事后监督,不影响合同生效。
4. 动态监控与合同重新评估义务
企业需建立动态监控机制。当出境目的、范围、种类、敏感程度、方式、保存地点或境外接收方处理用途发生变化,或境外法律环境变化可能影响个人信息权益时,必须重新开展评估,补充或重签合同并备案。严禁通过拆分数据量等方式规避安全评估。
实务建议
- 第一步:立即进行数据盘点。统计自上年1月1日起累计处理的个人信息主体数量、已出境的主体数量及敏感个人信息数量,以判断合规路径。
- 第二步:建立出境场景清单。梳理所有向境外提供个人信息的业务场景、目的、数据类型、接收方及传输频率。
- 第三步:参照官方模板开展评估。依据《个人信息保护影响评估指南》及《标准合同办法》要求,全面评估出境风险,并形成书面报告。
- 第四步:签署标准合同并内部归档。使用官方标准合同模板,确保合同条款完整,并在生效后10个工作日内完成向省级网信部门的备案。
- 第五步:设立定期审查机制。至少每半年或在业务发生重大变化时,重新审视数据出境情况,判断是否需要重新评估或调整合规措施。
风险提示
- 误区:认为只要数据量小就万事大吉。即使数据量小,若企业被认定为关键信息基础设施运营者,也必须进行安全评估。
- 误区:将备案等同于前置审批。备案是事后报备,合同生效即可出境,但未备案将面临行政处罚。
- 注意事项:标准合同条款具有优先性。企业与境外接收方约定的其他条款不得与标准合同冲突,冲突时以标准合同为准。
- 注意事项:警惕境外法律环境变化。需持续关注接收方所在国家或地区的隐私保护政策变动,这可能触发重新评估和备案义务。
- 严重警告:严禁通过拆分数据、分批出境等方式故意规避应当进行的安全评估,此行为违法且风险极高。