适用场景
涉及国际贸易、跨境支付、大数据、云计算、数字科技等业务,或在日常运营中需要将在中国境内收集和产生的数据(尤其是个人信息和重要数据)提供给境外关联方、服务商或客户的中国企业。
核心要点
1. 理解数据出境的广泛定义
数据出境不仅指将数据物理传输至境外,还包括数据存储在境内但被境外机构访问或查看,以及集团内部数据从境内转移至境外等多种情形。企业需准确识别自身业务是否触发数据出境场景。
2. 掌握核心法律框架与义务
中国已形成以《网络安全法》、《数据安全法》、《个人信息保护法》为核心的数据合规法律体系。企业需重点关注自身是否属于“关键信息基础设施运营者”,这决定了更严格的数据本地化存储和出境安全评估义务。
3. 明确安全评估的触发条件与流程
向境外提供重要数据或达到规定数量的个人信息,必须依法申报并通过网信部门组织的安全评估。企业需提前准备评估材料,了解评估重点(如数据出境目的、接收方保护能力等)和流程。
4. 建立境外执法调取数据审批意识
非经中国主管机关批准,境内的组织或个人不得向外国司法或执法机构提供存储于中国境内的数据。企业需建立内部流程,在收到此类要求时,必须先行申请批准,不得擅自提供。
5. 遵循多法域合规要求
如果业务涉及欧盟、美国等其他法域,企业还需同时遵守如GDPR、Cloud法案等当地数据保护法规。合规需具备全球视野,避免因违反任一运营地的法律而遭受处罚。
实务建议
- 立即开展数据资产盘点,识别在境内收集和产生的数据,特别是个人信息和重要数据,并绘制其流向图,明确是否存在出境情形。
- 根据业务性质(如是否处理金融、交通、能源等关键领域数据)和规模,准确判断自身在法律法规下的角色定位(如是否为关键信息基础设施运营者)。
- 建立数据跨境传输内部审批制度,为业务人员提供明确的操作指引,规定在涉及数据出境或境外调取数据请求时必须上报合规部门。
- 若需进行数据出境安全评估,提前按照《数据出境安全评估办法》等规定准备自评估报告、数据出境合同等申报材料。
- 定期组织数据合规培训,提升全员风险意识,确保业务、技术和法务团队了解数据跨境的基本规则和红线。
风险提示
- 误区:认为只有将数据库服务器设在海外才算数据出境。正解:数据存储在境内但被境外机构远程访问,同样构成数据出境。
- 误区:集团内部数据共享无需考虑合规。正解:境内运营实体向境外母公司、子公司或关联方提供数据,若涉及境内收集产生的个人信息和重要数据,仍需履行合规义务。
- 注意事项:切勿在未获中国主管机关批准的情况下,直接响应境外司法或执法机构的数据提供要求,否则可能面临中国法律下的责任。
- 注意事项:数据出境合规不仅是法务部门职责,需要业务、IT、安全等部门协同,从数据收集、存储、处理的全生命周期进行管理。