适用场景
涉及向境外提供中国境内用户个人信息的出海企业,特别是跨国公司集团内部、或向境外提供产品或服务并分析评估境内用户行为的企业,在业务启动或数据传输前需要重点关注。
核心要点
1. 合规路径选择:安全评估、认证与标准合同
企业需首先判断自身是否触发强制安全评估条件,如处理超100万人信息、累计出境超10万人信息等。若未触发,则可在安全认证与标准合同路径中二选一。对于集团内部频繁、日常的数据跨境,安全认证通常是更便捷的选择。
2. 安全认证的核心原则与要求
认证遵循六大原则,包括合法正当、公开透明、信息质量、同等保护、责任明确及自愿认证。核心要求是:与境外接收方签订具备特定条款的法律协议,设立个人信息保护负责人及专门机构,并在传输前完成个人信息保护影响评估。
3. 对个人信息主体权益的强化保障
企业需保障用户的知情、决定、查阅、删除等权利,并取得向境外提供信息的单独同意。用户可向境内处理者或境外接收方任何一方行使权利或索赔,这要求境内企业需建立有效的内外协同机制以履行责任。
4. 企业与境外接收方的具体责任义务
双方需保障用户知情权,承诺不擅自向第三方转提供数据,并制定数据泄露等安全事件的应急预案与通知流程。此外,应客观记录跨境处理活动并保存至少3年,并应要求向用户提供协议中涉及其权益部分的副本。
实务建议
- 第一步:进行数据出境场景盘点,明确传输目的、数据类型(特别是敏感个人信息)、数量及频率,据此判断适用安全评估、认证还是标准合同路径。
- 若选择认证路径:立即着手与境外接收方协商并签署包含‘同等保护’、‘接受中国法律管辖’等必备条款的法律约束性协议。
- 组织建设:无论处理信息数量是否达标,都必须指定由决策层成员担任的个人信息保护负责人,并设立专门的个人信息保护机构。
- 开展评估:在数据传输前,严格参照相关国标完成个人信息保护影响评估,形成报告并至少保存3年。
- 用户沟通:更新隐私政策,以清晰方式向用户告知境外接收方信息、处理目的等,并设计流程获取用户的单独同意。
- 建立协同机制:与境外接收方明确用户行权、安全事件响应、记录保存等方面的内部责任分工与对接流程。
风险提示
- 误区:认为未触发安全评估就可高枕无忧。未触发评估仍需在认证或标准合同中二选一,否则仍属违规。
- 注意:单独同意不能通过一次性勾选多项内容的方式获取,必须针对向境外提供个人信息这一特定活动单独取得。
- 注意:境内个人信息处理者可能需要对境外接收方的违规行为承担连带责任,协议中应明确责任划分但对外部(用户)责任可能无法完全隔离。
- 注意:安全认证路径下,一旦发生个人信息泄露、篡改、丢失,目前看通知个人的义务可能无法免除,企业需制定完备的应急预案。
- 注意:认证要求具有前瞻性并参考国际标准,企业合规体系应兼顾中国法规与境外接收方所在地法律,确保保护水平不低于中国标准。