适用场景
所有涉及向境外提供个人信息的中国出海企业,尤其是在业务运营中需要将中国境内收集的个人数据传输至境外关联公司、服务商或数据中心的企业。
核心要点
1. 明确适用场景与合规路径
企业首先需判断自身是否存在个人信息出境活动。若存在,需根据数据量级(如是否处理超100万人信息、或累计出境超10万人/1万敏感信息)确定合规路径:触发门槛的需通过网信部门安全评估;未触发的,可在订立标准合同与通过个人信息保护认证中二选一。不得通过拆分数据量规避安全评估。
2. 标准合同的强制性与优先性
选择标准合同路径时,必须严格按照国家网信办发布的《个人信息出境标准合同》范本订立。企业可与境外接收方补充约定,但内容不得与范本冲突,且范本条款具有优先效力。
3. 签约前后的核心义务与流程
签约前,境内企业必须完成对个人信息主体的告知同意,并开展个人信息保护影响评估(PIA)。签约后,需在10个工作日内将合同及PIA报告向省级网信部门备案。合同双方需承担数据安全保护、配合监管、保障个人信息主体权利等连带责任。
4. 存量业务整改与动态管理
对于新规生效前已开展且持续的个人信息出境活动,企业需在6个月整改期内完成合规整改(补签合同并备案或通过认证)。若出境活动后续发生变化(如数据类型、接收方变更),需重新订立合同、开展PIA并重新备案。
5. 合同各方的责任与风险
境内数据提供方与境外接收方对个人信息主体承担连带赔偿责任。个人信息主体虽非合同签署方,但可作为第三方受益人依据合同维权。合同解除时,境外接收方必须删除或返还个人信息,技术无法删除的应停止处理并做好安全保护。
实务建议
- 立即开展数据出境情况盘点,识别所有向境外提供个人信息的场景与数据量级。
- 根据数据量判断适用路径:若未触发安全评估,尽快启动标准合同签署或认证准备工作。
- 严格按照官方范本起草合同,补充条款需经法律审核,确保不与范本冲突。
- 签约前务必完成PIA评估并获取必要的个人同意,保留好全流程记录。
- 合同生效后10个工作日内,向所在地省级网信部门提交合同及PIA报告备案。
- 建立合同与出境活动变更的监控机制,一旦变化立即启动重新评估与备案流程。
- 为境外接收方提供合规培训,明确其合同义务,并建立监督与审计机制。
风险提示
- 切勿试图通过拆分数据量、化整为零的方式规避数据出境安全评估义务,此行为违规风险极高。
- 标准合同范本为强制性文本,自行大幅修改或签署冲突条款可能导致合同无效,无法满足合规要求。
- 忽视对存量出境活动的整改,逾期(2023年12月1日后)可能面临监管处罚与业务中断风险。
- PIA评估和告知同意是签约前置条件,事后补做或缺失将导致整个合规流程存在根本缺陷。
- 合同备案非“一劳永逸”,业务变化后未及时重新履行手续,合规状态将失效。
- 低估连带责任风险,若境外接收方违规造成损害,境内企业将首先被追责。