适用场景
所有涉及向境外传输中国境内收集或产生数据的企业,尤其是在华运营的跨国公司、处理大量个人信息或重要数据的企业,以及计划出海的中国企业,在数据传输的规划、执行和后续管理阶段均需关注。
核心要点
1. 中国数据出境合规的法律基石
中国《网络安全法》、《数据安全法》和《个人信息保护法》(“三支柱法”)共同构建了数据出境监管的基本框架。该框架强调对重要数据和个人信息的保护,并整合了事前安全评估、事后监测和持续监督机制。
2. 数据出境合规三阶段
中国的数据出境合规工作可概括为三个核心阶段:首先是企业进行事前风险自评估(PERSA);其次,针对特定情形,需向国家网信部门申请安全评估(COSA);最后,企业需每年提交数据出境安全年度报告(DESAR)。
3. 事前风险自评估(PERSA)要点
在数据出境前,所有涉及个人信息或重要数据的企业都必须进行风险自评估。评估内容包括数据传输的目的、范围、方式的合法性与必要性,数据敏感度及可能带来的风险,企业及境外接收方的数据安全保障能力,以及数据出境合同的保护条款等。
4. 网信部门安全评估(COSA)触发条件
当数据出境活动满足特定条件时,企业需向国家网信部门申请安全评估。这些条件包括关键信息基础设施运营者的数据出境、涉及重要数据、处理超过100万人的个人信息,或累计向境外提供超过10万人个人信息或1万人敏感个人信息等情形。
5. 数据出境安全年度报告(DESAR)要求
每年1月31日前,数据出境企业需向网信部门提交上一年度的数据出境安全年度报告。报告内容应涵盖境外接收方信息、数据类型与目的、境外存储情况、用户投诉处理、安全事件及后续转传输等关键信息。
实务建议
- 全面梳理企业数据出境场景,识别涉及的个人信息和重要数据,并明确相应的合规要求。
- 对于涉及重要数据或特定类型个人信息的企业,应积极考虑建立本地化存储系统。
- 对照数据出境安全管理要求,审视并更新现有数据跨境传输政策、流程和制度。
- 严格按照要求开展数据出境风险自评估(PERSA)。
- 审查并更新与境外数据接收方签订的合同,确保其中包含充分的数据保护义务条款。
- 若企业数据出境活动可能触发网信部门安全评估(COSA),应提前启动内部合规系统建设,以缩短评估准备时间。
风险提示
- 中国数据出境监管框架仍在快速发展,适用范围广泛,执法实践可能持续变化,企业需保持高度关注。
- 未能有效制定、实施和监控数据出境合规措施将面临重大法律风险。
- 违规行为可能导致高达1000万元人民币的罚款,直接负责的主管人员及其他责任人员可能面临最高100万元人民币的罚款。
- 除罚款外,还可能面临责令改正、暂停业务、吊销营业执照等运营处罚。
- 若数据出境违规同时触犯《网络安全法》、《数据安全法》或《个人信息保护法》等“三支柱法”,将可能面临更严厉的法律责任。