适用场景
任何在中国境内运营并计划向境外传输数据(包括个人信息和重要数据)的中国出海企业,尤其是在数据处理量达到一定规模、涉及关键信息基础设施运营或处理重要数据的企业,在数据出境前及日常运营中均需关注。
核心要点
1. 统一的数据出境评估框架
中国的数据出境安全评估机制已整合个人信息和重要数据,不再区分处理,为企业提供了统一的合规路径,简化了此前可能存在的规则混淆。
2. 评估主体范围显著扩大
评估对象已从最初仅限于关键信息基础设施运营者(CIIO),扩展至所有达到特定数据处理门槛的数据处理者,即对数据处理目的和方式拥有决定权的企业。
3. 自评估是申报网信部门评估的前提
企业在向国家网信部门申报数据出境安全评估前,必须先行完成内部风险自评估。即使未触发网信部门评估,自评估也是企业了解自身数据安全状况的重要工具。
4. 明确的网信部门评估触发条件
网信部门安全评估的触发条件包括:出境重要数据、CIIO或处理超100万人个人信息的数据处理者出境个人信息、自上年1月1日起累计出境超10万人个人信息或超1万人敏感个人信息,以及网信部门规定的其他情形。
5. 数据出境法律文件是必备要件
除了评估本身,数据处理者与境外接收方之间必须签订具有法律约束力的文件,明确双方在数据出境、存储、使用等方面的责任和义务,并作为申报材料提交。
实务建议
- 定期进行数据出境风险自评估,识别并管理潜在合规风险,确保数据处理活动合法、正当、必要。
- 建立健全数据分类分级管理制度,特别是识别和保护“重要数据”及“敏感个人信息”,明确其出境流程和要求。
- 密切关注并精确统计数据出境的个人信息和敏感个人信息数量,及时判断是否触发网信部门评估,并提前做好准备。
- 与境外数据接收方签订详细的数据出境法律文件,明确数据处理目的、方式、存储期限、安全保障措施、违约责任等关键条款。
- 指定专人负责数据出境合规事务,并持续关注中国及目的国数据保护法律法规的最新动态,确保合规策略的及时更新。
- 对于可能同时触发数据出境安全评估和网络安全审查的情况,应提前规划并协同应对,避免重复工作或遗漏环节。
风险提示
- “重要数据”的定义和识别标准尚待进一步明确,企业需密切关注行业和地方性规定,避免误判。
- 数据出境数量的“累计计算”规则可能导致企业在不知不觉中达到评估触发门槛,需持续监测和记录数据出境情况。
- 网信部门在评估中拥有较大的自由裁量权,企业需全面准备,确保提交材料的完整性和合规性。
- 评估结果有效期为两年,期间若数据出境目的、方式、范围、类型等发生变化,或出现影响数据安全的情况,需重新申报评估。
- 忽视自评估的重要性,或未准备充分的法律文件,可能导致网信部门评估申报受阻或延长评估周期。