适用场景
所有涉及中国境内数据出境的中国出海企业,尤其是在国际贸易、跨国生产制造、市场营销、人力资源管理等领域有数据跨境传输需求的企业,以及关注数据合规成本优化的企业。
核心要点
1. 现有跨境数据传输合规框架
目前,企业向境外传输个人信息或重要数据主要有三种合规路径:通过国家网信部门组织的安全评估、获得个人信息保护认证,或与境外接收方签订标准合同。这些程序旨在确保数据出境的安全与合规。
2. 新规草案的核心目的与影响
中国网信办发布的《规定》草案旨在减轻企业在数据出境方面的合规负担,明确合规义务,并引入一系列具体的豁免情形。这对于许多面临数据出境挑战的企业而言,是积极的政策信号,有望降低合规成本并提升运营效率。
3. 六大豁免场景详解
草案明确了六类无需履行现有数据出境合规程序的场景,包括不涉及个人信息或重要数据的国际贸易、学术合作等日常业务;未在中国境内收集的个人信息出境;为履行个人作为当事人的合同所必需(如境外购物、订票);跨国企业内部人力资源管理所需;紧急情况下为保护生命健康财产安全;以及一年内向境外提供个人信息累计不满1万人的情形。
4. 关键信息基础设施运营者的特殊要求
尽管存在豁免,但关键信息基础设施运营者(CIIO)在涉及重要数据出境时,仍需严格遵守相关法律法规,并进行数据出境安全评估。这体现了对国家关键领域数据安全的更高要求和审慎态度。
5. 借鉴国际数据保护实践
新规草案中的部分豁免条款与欧盟GDPR(通用数据保护条例)的特定情境减损条款具有相似之处,例如基于数据主体同意、合同履行必要性、紧急情况等。这表明中国在制定数据出境规则时,也参考了国际先进的数据保护立法经验。
实务建议
- 全面评估企业现有数据出境活动,对照新规草案的豁免条款,识别哪些业务场景可能符合豁免条件,以便优化合规策略。
- 清晰区分企业处理的数据类型(普通数据、个人信息、重要数据)及其来源地(中国境内或境外),这是判断是否适用豁免的关键前提。
- 对于涉及员工个人信息出境的跨国企业,应确保相关数据传输安排已合法纳入企业规章制度或集体合同,并已充分告知员工。
- 密切关注新规草案的最终发布版本及配套实施细则,及时调整企业的内部数据合规政策和流程,确保与最新法规保持一致。
- 即使符合豁免条件,企业仍需遵守《个人信息保护法》等法律中关于个人信息处理的其他合规义务,如告知同意、数据安全保护措施等。
风险提示
- 新规目前仍处于草案阶段,最终发布版本可能存在调整,企业不应过早完全依赖草案内容进行决策。
- 部分豁免条款中“必要性”等标准(如合同履行、紧急情况)的界定仍有待官方进一步明确,实际操作中可能存在解释空间。
- 关键信息基础设施运营者(CIIO)和涉及重要数据出境的企业,即使在某些豁免场景下,仍需履行更严格的安全评估义务,不能一概而论。
- 即使数据出境获得豁免,企业仍需全面遵守《个人信息保护法》等法律中关于个人信息收集、存储、使用等环节的其他合规要求。
- 对于“未在中国境内收集”的数据,实际操作中如何有效界定和举证其来源,可能成为企业面临的挑战。