适用场景
所有在运营中收集中国境内用户个人信息,并计划或正在向境外传输这些信息的出海企业,尤其是在互联网、电商、金融科技、社交、游戏等领域的网络运营者。
核心要点
1. 评估对象与适用范围
所有向境外提供在中国境内运营中收集的个人信息的行为,都需要向省级网信部门申报安全评估。此规定不仅适用于境内网络运营者,也适用于通过互联网等渠道收集境内用户个人信息的境外机构,后者需通过其在境内的代表履行义务。
2. 评估程序与申报主体
安全评估的申报主体是作为数据发送方的网络运营者,而非境外接收方。评估次数取决于接收方数量,向不同接收方提供数据需分别申报,但向同一接收方多次或连续提供则无需重复评估。正常评估周期为15个工作日。
3. 评估重点内容
评估核心聚焦于:出境行为是否符合中国法律法规;与接收方签订的合同是否能充分保障个人信息主体权益并有效执行;网络运营者或接收方是否有损害用户权益或发生重大网络安全事件的历史;以及个人信息收集的合法正当性。
4. 必备法律文件:出境合同
网络运营者必须与境外接收方签订具有法律效力的合同。合同必须明确约定个人信息出境的具体安排、双方的责任义务,并严格限制接收方向第三方再次传输数据。合同需明确,当用户权益受损时,用户可向任一方或双方索赔,运营者在某些情况下需先行赔付。
5. 关键申报材料:风险分析报告
申报时必须提交《个人信息出境安全风险及安全保障措施分析报告》。报告需涵盖网络运营者与接收方的基本情况、详细的个人信息出境计划,以及对出境风险的全面分析和拟采取的具体保护措施。
实务建议
- 立即自查:梳理业务中是否存在向境外(包括关联公司、云服务器、第三方服务商等)传输中国用户个人信息的情况。
- 合同先行:与每一个境外数据接收方签订符合要求的个人信息出境合同,明确权责和再传输限制。
- 准备核心文件:提前起草《个人信息出境安全风险及安全保障措施分析报告》,作为申报必备材料。
- 区分接收方:若向多个境外实体传输数据,需为每个接收方准备独立的申报材料。
- 关注接收方历史:在合作前,评估境外数据接收方的合规记录和网络安全事件历史。
- 建立通知机制:在合同中约定,若境外法律变更可能影响数据安全,接收方有义务主动通知我方。
风险提示
- 误区:认为只有大规模数据出境才需申报。正解:所有个人信息出境行为,无论规模大小,原则上均需申报安全评估。
- 误区:由境外母公司或接收方主导申报。正解:申报主体必须是境内作为数据发送方的网络运营者。
- 注意事项:与接收方签订的合同是关键合规文件,内容不完整或权责不清将导致评估无法通过。
- 注意事项:若境外接收方曾发生重大数据泄露或合规丑闻,将严重影响安全评估结果。
- 注意事项:即使获得评估通过,也需接受网信部门的定期监督检查,并非一劳永逸。