适用场景
所有涉及从中国境内向境外传输数据(包括传输给关联公司或第三方)的中国出海企业,以及接收中国境内源数据(如中国子公司运营数据或中国贸易伙伴数据)的境外实体,无论处于何种发展阶段,均需密切关注并提前部署合规措施。
核心要点
1. 评估范围与触发条件
数据出境安全评估(DESA)适用于中国境内收集或生成的重要数据,以及需进行安全评估的个人信息跨境传输。当涉及关键信息基础设施运营者、处理超100万个人信息、累计传输超10万个人信息或1万敏感个人信息等特定情况时,企业需向国家网信部门申请组织安全评估(OSA)。
2. 评估生命周期与持续监管
DESA是一个持续的合规过程,涵盖事前评估和事中事后监督。企业需持续监控数据跨境传输及后续活动,若发现不符合安全要求,此前通过的评估结果可能被撤销,企业需终止传输并重新申请评估。
3. 自我评估(RSA)与组织评估(OSA)的衔接
数据出境前,企业首先需进行风险自我评估(RSA),全面评估传输的合法性、必要性、数据敏感度、境外接收方安全能力及合同保护条款等。在满足特定条件时,完成RSA后,企业需向国家网信部门申请组织安全评估(OSA)。
4. 组织评估(OSA)的流程与考量
OSA流程包括向地方网信部门提交申请、网信部门在7个工作日内受理,并在45至60个工作日内完成评估。评估内容涵盖数据出境目的、范围、方式的合法性与必要性,以及境外接收方所在国家或地区的数据保护政策和法律环境等。
5. 数据出境合同的关键条款
数据出境合同在RSA和OSA中扮演关键角色,必须包含明确的条款,如数据传输目的、范围、使用方式、境外存储地点和期限、后续转让限制、接收方安全保障措施、违约责任以及个人信息权益的有效救济渠道等。
实务建议
- 全面梳理公司内部数据出境流程和场景,识别潜在合规要求。
- 考虑为个人信息和重要数据建立本地化存储系统,以降低跨境传输的合规风险。
- 审视并优化跨境数据传输政策,确保其满足中国《个人信息保护法》及全球如GDPR等最严格的合规标准。
- 将数据出境安全评估要求融入现有业务流程,进行嵌入式测试和演练。
- 根据潜在要求,主动开展风险自我评估,并审查和调整与境外接收方签订的合同中的数据安全保护义务。
- 对于可能触发组织安全评估的企业,尽早完善内部数据出境合规体系,以便新规实施后能迅速提交申请并缩短评估时间。
风险提示
- 未能有效监控数据出境后的活动,可能导致评估结果被撤销,并被要求终止数据传输。
- 提交组织安全评估材料不完整或不合规,可能导致评估流程中断或延长,甚至被终止。
- 故意提交虚假材料将直接导致评估不通过,并可能面临其他法律后果。
- 数据出境安全评估的适用范围广泛,未充分准备的企业可能面临严峻的合规挑战。
- 境外接收方所在国家或地区法律环境变化、实际控制权变更等,可能触发重新评估,企业需持续关注并及时应对。