适用场景
本指南适用于所有中国出海企业,特别是那些在境外开展业务、提供服务或产品,需要向中国境外传输、访问或存储个人信息的企业。无论企业规模大小,只要涉及个人信息出境,都需关注,尤其当企业被认定为关键信息基础设施运营者或处理的个人信息达到国家网信部门规定数量时。
核心要点
1. 个人信息跨境传输的定义与范围
个人信息跨境传输指中国境内的个人信息处理者向境外提供个人信息的行为。这不仅包括直接的数据转移,也涵盖数据虽存储境内但被境外机构、组织或个人访问查看的情形,以及企业集团内部的数据跨境流动。
2. 《个人信息保护法》下的核心前提条件
根据《个人信息保护法》规定,企业进行个人信息跨境传输需满足四种前提之一:通过国家网信部门安全评估、获得专业机构个人信息保护认证、与境外接收方签订国家网信部门制定的标准合同,或符合法律法规规定的其他条件。
3. 关键信息基础设施运营者与数量门槛
关键信息基础设施运营者(CIIO)以及处理达到国家网信部门规定数量(如汽车行业涉及10万人以上)的个人信息处理者,必须通过国家网信部门组织的安全评估才能跨境传输数据,并优先在境内存储。
4. 持续性的合规义务与保障措施
除了满足前提条件,企业还需确保境外接收方的个人信息保护水平不低于中国法律要求,所有跨境活动都应遵循合法、正当、必要原则,并事先进行个人信息保护影响评估。同时,必须向个人充分告知并取得单独同意,并遵守特定情况下的特殊规定。
5. 个人信息保护影响评估(PIPIA)与记录
在跨境传输前,企业必须进行个人信息保护影响评估(PIPIA),评估传输的合法性、必要性、对个人权益的影响及安全风险,并记录处理情况,评估报告和记录需至少保存三年。
实务建议
- 对境外接收方进行全面的尽职调查,评估其合规能力、技术能力、管理能力及所在国家/地区的个人信息保护水平。
- 严格按照《个人信息保护法》要求进行个人信息保护影响评估(PIPIA),并详细记录评估过程和结果,保存至少三年。
- 确保企业在境内的个人信息处理活动本身合法合规,特别是敏感个人信息的收集和处理,避免在境内留下合规瑕疵。
- 以单独声明等形式向个人信息主体充分告知境外接收方信息、处理目的、方式、个人信息种类等,并取得其单独同意。
- 与境外接收方签订个人信息跨境传输合同,明确双方权利义务,保障个人信息主体权益,可参考欧盟SCC或未来中国版标准合同。
- 持续关注境外接收方的动态(如处理方式、安全措施),若有重大变化可能影响数据主体权益,及时评估并调整合作。
- 密切关注境外接收方所在国家/地区的立法、政策及执法动态,以便及时调整合规策略。
- 定期开展个人信息保护影响评估,并在数据出境目的、范围、数量、类型等发生重大变化时,及时重新评估。
- 建立畅通的个人信息主体权利行使渠道,及时响应并处理查阅、复制、更正、删除等请求。
- 密切关注国家网信部门及行业主管部门的立法和执法动态,及时调整企业内部合规计划。
- 当个人信息跨境提供不再必要时,及时要求境外接收方删除相关个人信息,并获取删除证明和保存记录,必要时进行审计。
风险提示
- 关键信息基础设施运营者(CIIO)和“规定数量”的认定标准尚不完全明确,企业需密切关注后续细则。
- 获取“单独同意”是合规难点,企业需平衡合规要求与用户体验,设计合理的用户交互流程。
- 企业可能面临境外司法或执法机构要求提供数据的风险,需提前了解并遵守相关审批程序。
- 需警惕向被国家网信部门列入限制或禁止清单的境外主体提供个人信息,以及境外国家/地区对中国采取歧视性措施的情况。
- 《个人信息保护法》相关细则仍在完善中,企业需持续关注监管动态,及时调整合规策略,避免因政策变化导致违规。