适用场景
涉及将中国境内员工或用户个人信息传输至境外的出海企业,特别是数据处理规模中小型、未达到国家网信办强制安全评估门槛的企业,在开展跨境业务或集团内部数据共享阶段需重点关注。
核心要点
1. 明确适用门槛与前置条件
企业采用标准合同(SCC)作为数据出海路径需满足特定规模限制:非关键信息基础设施运营者,处理个人信息总数不足100万,且自上年1月1日起累计出境一般个人信息不足10万条或敏感信息不足1万条。若超出此门槛,则必须依法申报数据出境安全评估。
2. 严格落实备案机制
签署SCC后,境内企业必须在合同生效起10个工作日内向省级网信部门完成备案手续。虽然备案本身不作为合同生效或数据出境的绝对前提,但它是监管机构进行事中事后监管的核心抓手,企业必须按时履行。
3. 压实境内处理者核心义务
境内数据提供方需承担主要合规责任,包括落实数据传输的“最小必要”原则、依法获取个人的单独同意、开展并保存至少三年的个人信息保护影响评估(PIPIA)。此外,境内方需对境外接收方进行合规监督,并在面对监管问询时承担举证责任。
4. 约束境外接收方对等保护
境外接收方需受合同严格约束,提供与中国法律同等水平的数据保护。这要求其在约定范围内处理数据、限制数据留存期限、采取严格的技术安全措施,并有义务配合境内处理者应对中国监管机构的检查与审计。
实务建议
- 建立动态数据出境台账,精准盘点自上年1月1日以来的累计出境数据量(严格区分一般信息和敏感信息),以准确判断企业是否适用SCC路径。
- 在向境外实际传输数据前,务必依法开展个人信息保护影响评估(PIPIA),并妥善归档评估报告至少三年以备监管查验。
- 更新用户隐私政策和前端交互设计,明确告知境外接收方的名称、联系方式、处理目的及行权方式,并依法获取用户的“单独同意”。
- 准备一份可供提供给个人信息主体的SCC脱敏简版(隐藏商业机密及知识产权信息),以应对用户随时可能提出的查阅请求。
- 在集团内部数据共享协议或与外部供应商的商业合同中,将SCC作为核心附件嵌入,并明确约定境外接收方若不配合中国监管检查的违约赔偿责任。
风险提示
- 常见误区:认为只要签了SCC就可以随意向境外传输数据。注意:数据出境仍需严格遵守“最小必要”原则,且必须按时完成省级网信办的备案手续。
- 常见误区:境外机构直接收集境内数据可直接套用SCC。注意:境外机构直接收集境内个人信息可能不属于典型的“数据出境”场景,若受《个人信息保护法》管辖,应优先考虑通过其境内代表或机构申请个人信息保护认证。
- 合规风险:忽视对境外接收方的实质性监督。若境外方发生数据泄露或违规处理,境内提供方将成为监管执法的首要目标,并需对个人信息主体的损失承担连带赔偿责任。
- 实务盲区:未充分评估目的国法律环境。若境外当地法律(如数据调取权限)与SCC条款存在严重冲突,可能导致合同无法实际履行,引发深层次合规危机。