适用场景
任何在中国境内收集、处理个人数据并计划将其传输至境外的中国出海企业,无论是否为关键信息基础设施运营者(CIIO),以及数据处理量达到一定规模的企业,都需关注本指南。
核心要点
1. 中国数据保护法律框架
中国已建立以《网络安全法》(CSL)、《数据安全法》(DSL)和《个人信息保护法》(PIPL)为核心的全面数据保护法律体系,对数据跨境传输提出明确要求,企业出海前必须深入理解并遵守。
2. 数据本地化与跨境传输路径
关键信息基础设施运营者(CIIO)及处理达到特定数量个人数据的处理者,原则上需在中国境内存储数据,确需出境须通过国家网信部门的安全评估。其他数据处理者则可选择安全评估、个人信息保护认证或签订标准合同三种路径之一。
3. 安全评估的触发条件与流程
满足以下任一条件的数据处理者需进行安全评估:处理超过100万人的个人信息;累计向境外提供超过10万人个人信息;累计向境外提供超过1万人敏感个人信息。评估流程包括企业自评估、向网信部门提交申请及接受审查。
4. 认证与标准合同机制
对于不满足安全评估条件的数据处理者,可选择通过专业机构的个人信息保护认证,或与境外接收方签订国家网信部门发布的标准合同(目前尚未发布),作为数据合法出境的替代途径。
5. 数据主体权利与单独同意
无论选择何种路径,数据处理者在跨境传输前必须向数据主体告知境外接收方信息、处理目的、方式、范围等,并获得数据主体的单独同意,确保其知情权和选择权。
实务建议
- 明确企业身份与数据规模:识别自身是否为CIIO,并定期评估所处理的个人数据量及敏感个人数据量,以确定适用的跨境传输路径。
- 开展数据跨境传输风险自评估:在计划数据出境前,进行全面的安全风险自评估,分析对国家安全、公共利益及个人权益的影响,并评估自身数据安全保障能力。
- 提前规划并准备安全评估材料:若需进行安全评估,应提前准备自评估报告、申请表、与境外接收方的数据传输协议等文件,并了解评估流程和审查重点。
- 关注并等待标准合同发布:对于不满足安全评估条件的企业,应密切关注国家网信部门发布的标准合同范本,并提前研究其可能包含的条款,以便未来快速采纳。
- 建立健全数据保护管理体系:任命数据保护负责人,设立数据保护部门,确保数据跨境传输活动符合合法、正当、必要原则,并采取与风险等级相匹配的保护措施。
- 获取充分的数据主体同意:在数据收集和跨境传输环节,确保已向数据主体充分告知相关信息,并取得其单独、明确的同意。
风险提示
- CIIO认定范围广:关键信息基础设施的定义广泛,涵盖多个行业,且存在兜底条款,企业需审慎评估自身是否可能被认定为CIIO。
- 法律法规动态变化:中国数据保护法律体系仍在快速发展完善中,多项配套细则(如标准合同、认证具体流程)仍在制定或征求意见阶段,企业需持续关注最新动态。
- 安全评估有效期与再评估:安全评估结果有效期为两年,且在数据传输目的、方式、范围、类型、境外接收方控制权变更或目的国法律环境变化等情况下,需重新申请评估。
- 行业特定更高要求:特定行业(如汽车数据)可能存在比通用规定更严格的数据跨境传输要求,企业需关注行业监管规定。
- 合规成本与时间:数据跨境传输合规涉及复杂的评估、认证或合同签订流程,可能产生较高的合规成本和较长的准备时间。