适用场景
所有涉及从中国境内向境外传输个人信息的中国出海企业,尤其是在考虑采用标准合同路径进行数据出境合规的企业,应在合同生效后10个工作日内启动备案流程,并关注6个月的过渡期要求。
核心要点
1. 标准合同备案路径概述
标准合同是继安全评估和认证之后,个人信息出境的第三种合规路径。因其适用范围广、实施灵活,为多数出海企业提供了重要的合规选择,相关指引的发布标志着该路径的正式开启。
2. 备案流程与时限要求
企业需在标准合同生效之日起10个工作日内,向所在地省级网信部门提交备案材料。值得注意的是,个人信息保护影响评估(PIA)报告必须在提交备案材料前的3个月内完成,且期间不得发生重大变化。
3. 备案所需核心材料
备案材料清单包括:统一社会信用代码证复印件、法定代表人及经办人身份证明复印件、授权委托书、承诺书、已签署的标准合同以及个人信息保护影响评估(PIA)报告。若PIA工作涉及第三方机构,报告需加盖第三方机构公章。
4. PIA报告侧重与评估要点
与数据出境安全评估的自评估报告不同,标准合同备案的PIA报告更侧重于评估个人信息出境对个人信息主体权益的影响。报告需详细说明敏感个人信息处理、自动化决策、向第三方提供信息以及合同条款落实等情况。
5. 备案结果与再备案情形
备案结果可能为“通过”或“不通过”,表明监管机构可能进行实质性审查。当个人信息处理目的、范围、类型、敏感度、存储地点或境外接收方处理方式发生重大变化时,企业需重新进行PIA并履行再备案程序。
实务建议
- 尽早启动合规准备,利用好6个月的过渡期(至2023年11月30日),避免因未能及时完成备案而产生合规风险。
- 严格按照网信部门发布的标准合同范本签署合同,并确保个人信息保护影响评估(PIA)在提交备案材料前3个月内完成。
- 预留充足的备案时间,考虑到可能需要多轮补充材料,每次补充材料的审核周期为15个工作日,整个流程可能耗时较长。
- 对企业内部数据处理活动进行全面梳理和评估,识别所有涉及个人信息出境的场景,并根据PIA报告模板进行整改。
- 若集团内部已存在数据传输协议(如IGDTA),需明确其不能替代中国标准合同,但可在标准合同附件中详细说明或通过引用方式保持一致性。
- 在授权委托代理人时,应适当延长授权期限,以应对备案过程中可能出现的延期。
风险提示
- 备案并非形式审查,网信部门可能进行实质性审查,存在备案不通过的风险,且目前对备案失败的法律责任尚不明确。
- 个人信息保护影响评估(PIA)要求并未大幅简化,其复杂程度与数据出境安全评估的自评估报告相似,需要投入大量资源。
- 若备案材料补充周期过长,可能导致已完成的PIA报告超出3个月有效期,需要重新进行PIA。
- 对于集团内关联公司是否可以联合备案,以及国内受托方是否可以签署标准合同等问题,目前尚无明确指引,需根据具体情况谨慎判断。
- 标准合同与补充材料/重新备案的界限模糊,企业在判断是否需要重新备案时可能面临不确定性。