适用场景
任何在中国境内收集、产生数据并计划向境外传输的中国出海企业,特别是涉及大量个人信息或重要数据的网络运营者,在数据出境前和运营过程中均需关注。
核心要点
1. 适用范围扩大与数据本地化要求
《网络安全法》及其配套措施将数据出境安全评估义务从关键信息基础设施运营者扩展至所有“网络运营者”。明确要求在中国境内收集和产生的所有个人信息和重要数据必须存储在中国境内。
2. “重要数据”的模糊定义与影响
草案对“重要数据”给出了宽泛定义,指“与国家安全、经济发展、社会公共利益密切相关的数据”,具体范围待后续国家标准和识别指南明确,这为企业合规带来不确定性。
3. 双重评估机制
数据出境采取“自评估”与“政府评估”相结合的模式。所有数据出境均需网络运营者自行开展安全评估;达到特定阈值(如累计50万人以上个人信息、1000GB以上数据量)或涉及敏感领域数据时,需向行业主管或国家网信部门提交政府评估。
4. 评估关注要点
评估内容聚焦于数据出境的必要性、数据类型与敏感度、个人信息主体同意情况、境外接收方的安全保障能力、数据泄露/篡改/滥用风险,以及对国家安全、公共利益和个人合法权益的潜在影响。
5. 禁止出境的情形
若个人信息主体未同意或其权益受损、可能危害国家安全或公共利益,或主管机关明确禁止,则数据不得出境。
实务建议
- 全面梳理并识别企业自身是否属于“网络运营者”,并对所处理的数据进行分类分级,区分个人信息和重要数据。
- 优先考虑在中国境内存储所有收集和产生的数据,仅在确有业务必要时才考虑数据出境。
- 建立健全内部数据出境自评估机制,定期(至少每年一次)对数据出境活动进行安全评估,并在数据出境目的、范围、类型等发生重大变化时及时重新评估。
- 密切关注国家网信部门及相关行业主管机构发布的“重要数据”具体识别指南和国家标准,及时调整合规策略。
- 在数据出境前,务必确保已获得个人信息主体的明确同意,并与境外接收方签订具有法律约束力的数据保护协议,明确双方责任和义务。
- 加强对境外接收方的数据安全管理能力和所在国家或地区数据保护法律环境的尽职调查。
风险提示
- “重要数据”定义宽泛且具体范围待定,可能导致企业在识别和合规上存在盲区和不确定性。
- 数据出境安全评估义务的扩大化,意味着更多出海企业将面临合规挑战,可能对现有IT架构和业务流程产生重大影响。
- 未按规定进行安全评估或违规出境数据,可能面临行政处罚、业务中断甚至法律诉讼等风险。
- 忽视个人信息主体同意和境外接收方安全保障能力,将直接触犯合规红线。