适用场景
适用于在中国境内处理个人信息并计划将其传输至境外,或境外企业向中国境内自然人提供服务并涉及个人信息处理的跨国公司、集团企业及其关联公司,以及所有涉及个人信息跨境传输的出海企业。
核心要点
1. PIPL下的跨境传输路径之一:认证机制
《个人信息保护法》(PIPL)规定了四种个人信息跨境传输途径,其中之一是通过专业机构进行个人信息保护认证。本指南聚焦于此认证机制,为企业提供详细解读。
2. 认证机制的适用范围与境外效力
该认证机制主要适用于跨国公司或经济实体内部子公司、关联公司间的个人信息跨境处理,以及受PIPL域外效力管辖、向中国境内自然人提供服务的境外公司,这可能扩大了PIPL的域外适用范围。
3. 认证申请主体与法律责任
境外个人信息处理者需指定或设立境内代表进行认证申请,并由该境内代表承担相应法律责任。然而,境内代表的具体要求及法律责任范围目前尚未完全明确。
4. 核心认证要求细化
认证要求数据控制者与境外接收方签署具有法律约束力的协议,明确传输信息类别、目的、保护措施、境内责任方等。双方均需指定数据保护官并设立专门部门,并进行数据保护影响评估。
5. 待明确事项与监管趋势
尽管认证规范已生效,但个人信息传输规模门槛、具体认证机构、详细申请流程等关键问题仍待进一步明确。然而,中国政府对跨境数据传输的监管日益趋严,企业应密切关注。
实务建议
- 持续关注国家网信办及相关部门发布的关于个人信息跨境传输的最新法规、实施细则和官方指引。
- 全面梳理和评估企业内部涉及中国境内个人信息的跨境传输活动,识别潜在合规风险点。
- 提前在企业内部建立健全数据保护管理体系,包括指定数据保护官(DPO)和设立专门的数据安全保护部门。
- 与境外接收方协商并准备符合中国法律要求的、具有法律约束力的个人信息跨境传输协议框架。
- 定期开展数据保护影响评估,特别是关注境外法律和网络安全环境变化对数据主体权益的潜在影响。
风险提示
- 当前认证规范在个人信息传输规模门槛、具体认证机构和详细申请流程等方面存在不确定性,可能影响企业合规路径选择。
- 认证机制虽被描述为“自愿性”,但在未来实际执行中,对于特定规模或类型的跨境传输,可能演变为事实上的强制要求。
- 境外企业向中国境内自然人提供服务时,即使未明确将数据“传输”出境,也可能被要求遵守认证机制,面临额外的合规负担。
- 境内代表的法律责任范围尚不清晰,可能给企业带来不确定性风险。
- 忽视或延误对跨境数据传输合规的投入,可能导致未来面临监管审查、罚款或业务中断等风险。