适用场景
适用于所有涉及向境外传输个人信息或重要数据的中国出海企业,无论规模大小,尤其是在数据处理量达到一定阈值或涉及关键信息基础设施时。
核心要点
1. PIPL确立三大合法路径
中国《个人信息保护法》(PIPL)为个人信息出境设定了三条合法路径:通过国家网信部门(CAC)的安全评估、获得专业机构的数据安全认证,或与境外接收方签订国家网信部门制定的标准合同。
2. 安全评估的触发条件与流程
企业若属于关键信息基础设施运营者、处理重要数据、处理超过一百万人的个人信息,或累计向境外传输十万人以上个人信息或一万人以上敏感个人信息,则必须进行安全评估。流程包括企业自评估、向省级网信部门提交申请,并由国家网信部门进行审查,审查重点涵盖传输的合法性、必要性、数据规模、敏感度及境外接收方的保护能力等。
3. 标准合同的适用范围与要求
不属于关键信息基础设施运营者,且处理个人信息数量、累计向境外传输的个人信息和敏感个人信息数量均未达到安全评估阈值的企业,可选择签署标准合同。签署后,企业需在规定时间内将合同及个人信息保护影响评估报告备案至网信部门。
4. 评估结果有效期与再评估
安全评估结果有效期为两年。若在此期间,跨境传输的目的、方式、范围、类型发生重大变化,或境外接收方所在国家/地区的数据保护政策、网络安全环境、双方控制权或法律文件发生变动,可能影响数据安全时,企业需重新申请评估。如需在有效期后继续传输,应提前申请再评估。
实务建议
- 全面梳理企业数据资产,识别个人信息和重要数据,明确所有跨境传输场景。
- 根据企业自身情况和数据处理传输量,精准判断应适用安全评估还是标准合同,并提前规划合规路径。
- 在申请安全评估或备案标准合同前,进行全面的个人信息保护影响评估,特别要分析境外法律政策对数据传输合规性的潜在影响。
- 与境外接收方签订符合中国法律要求的法律文件,明确双方责任义务,可参考国家网信部门发布的标准合同模板。
- 对于跨国企业已有的集团内部数据传输协议(如基于GDPR的BCR),应考虑将中国标准合同作为附件,或在现有协议中明确其对中国境内数据处理者的适用性。
- 建立常态化合规审查机制,定期对跨境数据传输活动进行合规性审查,确保持续合规。
风险提示
- 数据识别与分类不准确:未能准确识别和分类个人信息、敏感个人信息及重要数据,可能导致合规路径选择错误或遗漏关键合规义务。
- 未履行法定合规义务:未按规定进行安全评估、备案标准合同或未通过认证,将面临监管部门的行政处罚、业务暂停甚至刑事责任。
- 境外接收方合规风险:境外接收方的数据保护能力不足、管理措施不健全,或其所在国家/地区的数据保护政策变化,可能导致数据泄露、滥用等安全事件。
- 境外法律政策影响评估不足:未充分评估境外法律政策对标准合同履行或数据传输安全的影响,可能导致合规文件形同虚设。
- 集团内部合规体系脱节:跨国企业集团内部的数据传输协议未能有效结合中国法规要求,可能造成合规盲区或冲突。