适用场景
在中国境内运营并收集、产生数据,需要向境外提供(传输、存储、访问等)数据,特别是涉及关键信息基础设施运营者、处理重要数据或大量个人信息的中国出海企业。
核心要点
1. 数据出境安全评估的触发条件
企业向境外提供境内运营中收集和产生的重要数据,或达到特定规模的个人信息(如处理个人信息达100万人,或累计向境外提供超过10万人个人信息/1万人敏感个人信息),以及关键信息基础设施运营者出境数据,均需申报安全评估。
2. 评估流程与核心内容
数据处理者需在数据出境前进行风险自评估,并向所在地省级网信部门申报,由国家网信部门组织安全评估。评估重点关注出境数据的合法性、必要性、对国家安全和个人权益的风险、数据安全保障能力以及与境外接收方合同的完备性。
3. 数据出境风险自评估要点
自评估需审视数据出境的目的、范围、方式的合法性与必要性,出境数据的数量、种类、敏感程度及潜在风险,数据处理者和境外接收方的安全管理与技术措施,以及数据出境合同中安全保护责任义务的约定。
4. 与境外接收方合同的关键要求
与境外接收方签订的合同必须明确数据出境的目的、范围、处理方式、境外保存期限、再转移限制、数据安全保障措施、违约责任、争议解决条款,并确保个人信息主体维护自身权益的渠道畅通。
5. 评估结果有效期与重新评估机制
数据出境安全评估结果有效期为两年。在有效期内,若出境目的、方式、范围、类型或境外接收方处理方式发生变化,或境外法律环境、双方控制权、合同内容等可能影响数据安全的情况,需重新申报评估。有效期届满需继续出境的,应提前60日重新申报。
实务建议
- 建立并常态化数据出境风险自评估机制,定期梳理并识别需进行安全评估的数据出境活动。
- 在规划数据出境前,提前准备申报材料,包括详细的自评估报告和与境外接收方拟签订的合规合同。
- 与境外接收方签订的数据处理协议应严格按照法规要求,明确约定数据安全保护责任义务,确保条款具有约束力和可执行性。
- 密切关注数据出境活动的变化,如数据类型、数量、目的或境外接收方情况发生变动,及时启动重新评估程序。
- 加强内部数据安全管理和技术防护能力,确保在数据转移和境外存储过程中,数据安全得到充分保障。
风险提示
- 未按规定进行数据出境安全评估而擅自出境数据,将面临《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规的严厉处罚。
- 故意提交虚假材料申报评估,将被视为评估不通过,并可能承担法律责任。
- 评估结果过期或在有效期内出现需重新评估的情形而未及时申报,将导致数据出境活动被要求终止。
- 与境外接收方签订的合同条款不符合要求,或境外接收方的数据保护水平不达标,可能导致评估不通过。
- 即使通过评估,若实际处理过程不再符合安全管理要求,评估结果可能被撤销,企业需立即终止数据出境活动并进行整改。