适用场景
任何从中国境内接收个人信息的境外实体,无论是否在中国设有运营机构,在涉及中国个人信息跨境传输时均需关注。
核心要点
1. 境外接收方定义与跨境传输识别
明确“境外接收方”指中国境外接收境内个人信息处理者传输数据的实体。跨境传输涵盖数据物理移动、服务器转移及境外访问境内数据等多种场景。
2. 境内处理者的核心出境义务
根据《个人信息保护法》(PIPL),境内个人信息处理者是跨境传输合规的主要责任方,需通过安全评估、标准合同备案或机构认证三种途径之一。
3. 境外接收方的支持性合规职责
境外接收方作为境内处理者的合作伙伴或供应商,需签订数据处理协议,配合境内方完成合规程序,并确保自身数据保护措施符合中国标准。
4. 数据出境豁免机制与一般义务
新规对部分数据出境场景(如少量非敏感数据、员工管理、合同履行等)提供豁免,但即使豁免,仍需履行告知同意、安全保护和PIA等一般义务。
5. PIPL的域外管辖与合规重要性
PIPL具有域外效力,境外接收方即使在中国无实体,也可能因不合规面临法律责任,并可能连带影响其中国合作伙伴。
实务建议
- 与境内合作方签订明确的数据处理协议,约定处理目的、方式、类型、保护措施及双方权责。
- 积极配合境内个人信息处理者完成数据出境安全评估、标准合同备案或认证等程序。
- 建立并持续完善符合中国法律要求的数据安全保护体系,确保数据处理过程安全可控。
- 定期审查和优化个人信息处理流程,确保所有环节均符合合规要求。
- 在合同终止时,严格按照约定删除或返还所有个人信息,并避免未经授权的转包。
- 对于涉及中国个人信息的业务,主动寻求中国数据合规专家的专业建议。
风险提示
- PIPL具有域外效力,即使境外实体在中国无运营,也可能承担法律责任。
- 境外接收方不合规可能导致其中国客户或合作伙伴面临行政处罚。
- 关键信息基础设施运营者(CIIO)数据和重要数据跨境传输有更严格的规定,不适用一般豁免。
- 即使符合豁免条件,仍需履行告知同意、安全保护、个人信息保护影响评估(PIA)等一般义务。
- 对“个人信息”和“跨境传输”的理解不准确可能导致合规漏洞。