适用场景
所有涉及向中国境外传输用户或员工个人信息的出海企业,特别是在《个人信息出境标准合同办法》生效(2023年6月1日)前已开展相关活动,或计划开展跨境业务的企业。
核心要点
1. 三大跨境传输机制的选择逻辑
企业需根据自身情况,在安全评估、标准合同备案和个人信息保护认证三种机制中选择其一。核心原则是:首先判断是否触发强制安全评估(如处理超量个人信息或属于关键信息基础设施运营者),若未触发,则根据出境活动的期限、频次和主体关系,选择标准合同(适合短期、临时或具体交易)或保护认证(适合集团内部或生态链企业)。
2. 标准合同的核心义务与不可修改性
《标准合同》为境内个人信息处理者和境外接收方设定了五大类义务,涵盖处理活动的合法性透明性、安全保障、个人权益保护、协助履约与接受监管。合同文本必须严格按照国家网信部门发布的模板订立,不得修改,但可约定不冲突的补充条款。这体现了强监管属性,旨在确保跨境传输的个人信息获得同等保护水平。
3. 必须开展个人信息保护影响评估(PIA)
在签署标准合同并出境前,企业必须开展专门的个人信息保护影响评估,且评估报告需作为备案材料提交。评估需重点关注个人信息出境目的、范围、种类、敏感程度,境外接收方的保护能力,以及境外法律政策环境对合同履行的影响。这并非一次性工作,当出境活动发生实质性变化时需重新评估。
4. 备案是事后程序,但监管手段多样
标准合同路径采用“先出境,后备案”模式,合同生效后10个工作日内向省级网信部门备案即可。但这不意味着监管放松,网信部门可通过备案材料审查、接受举报、主动检查等方式进行监督,对存在较大风险或发生安全事件的企业,可采取约谈、要求整改等措施,违法企业仍需承担相应的行政、民事乃至刑事责任。
5. 历史出境活动的整改与长效机制
对于《办法》生效前已存在且持续的个人信息出境活动,企业有6个月的整改过渡期,必须补签标准合同、完成PIA并备案。企业应借此机会,不仅完成整改,更要建立数据跨境传输的长效合规机制,包括定期梳理出境场景、监控境外法律变化、制定内部合规手册,实现持续合规。
实务建议
- 立即开展数据出境场景盘点:梳理所有业务线,识别哪些环节涉及个人信息出境,明确数据量、类型、接收方及目的。
- 遵循“两步走”选择合规路径:先判断是否强制申报安全评估,如否,再根据业务特点(如临时性交易选标准合同,集团内部传输考虑认证)选择最合适机制。
- 启动个人信息保护影响评估(PIA):参考相关国标和法规要求,重点评估境外法律环境及对个人权益的风险,并形成正式报告。
- 准备签署并备案标准合同:使用官方不可修改的合同模板与境外接收方签署,在合同生效后10个工作日内向所在地省级网信部门提交合同及PIA报告备案。
- 建立定期审查与更新机制:监控业务变化及境外接收方所在国法律政策变动,一旦构成“实质性变化”,及时重新进行PIA、补充或重签合同并重新备案。
风险提示
- 切勿试图通过拆分数据量等方式规避强制安全评估申报,此属明确违规行为。
- 标准合同文本严禁修改,任何对模板条款的删改都将导致合同无法满足合规要求。
- 备案不是“免罪金牌”,即使完成备案,若出境活动违法违规或发生安全事件,仍会面临严厉监管和处罚。
- 已使用欧盟GDPR标准合同条款(SCCs)的企业,不能直接沿用,必须单独订立中国版《标准合同》以满足中国法规要求。
- 忽视对历史出境活动的整改,过渡期(6个月)结束后,未合规的持续出境活动将面临执法风险。