适用场景
适用于所有涉及中国境内数据向境外传输的中国出海企业,特别是需要处理大量个人信息或敏感个人信息,且非关键信息基础设施运营者的企业。在规划国际业务、拓展海外市场、进行集团内部数据共享或与境外合作伙伴进行数据交换时,均需关注此指南。
核心要点
1. 中国数据出境监管体系
中国已构建“3+1=4”的数据跨境流动法规体系,包括《网络安全法》、《数据安全法》、《个人信息保护法》及《网络数据安全管理条例》,并辅以《数据出境安全评估办法》、《个人信息出境标准合同办法》、《个人信息出境认证办法》和《促进和规范数据跨境流动规定》等部门规章,为数据出境提供了多路径、精细化的合规框架。
2. 数据出境路径选择与类型区分
企业需根据自身是否为关键信息基础设施运营者(CIIO)、数据类型(个人信息、重要数据)及个人信息数量,选择合适的出境路径。主要路径包括国家网信部门组织的安全评估、订立个人信息出境标准合同,以及通过专业机构进行个人信息保护认证。重要数据原则上需通过安全评估出境。
3. 个人信息出境认证核心要点
个人信息保护认证适用于非CIIO,且不涉及重要数据,个人信息(非敏感)累计10万至100万人或敏感个人信息不足1万人的场景。申请认证需满足主体和数据处理活动适格、履行充分告知义务并取得个人单独同意(法律另有规定除外),以及完成个人信息保护影响评估(PIA)。
4. 认证与标准合同的适用场景
保护认证更适用于跨国公司内部、长期、多场景的数据跨境处理活动,侧重于对数据保护管理体系的系统性认证,并能提升企业在国际业务中的信用评价。而标准合同则相对适合短期、偶发的特定数据出境活动,侧重于“一事一议”的合同约束。
5. 持续合规与监管趋势
数据出境合规并非一劳永逸,即使通过认证,企业仍需建立持续的合规机制,定期进行风险评估和整改。中国监管机构正加大执法力度,通过行政处罚、司法裁判、刑事打击及专项行动等方式,确保企业严格遵守数据跨境流动规定。
实务建议
- 自我评估主体身份:明确自身是否为关键信息基础设施运营者,这是确定数据出境合规义务的第一步。
- 数据分类分级:对拟出境数据进行全面梳理,识别个人信息(包括敏感个人信息)和重要数据,并评估其规模和敏感程度。
- 选择合适路径:根据数据类型、数量和业务场景,审慎选择数据出境安全评估、标准合同或保护认证中最适合的合规路径。
- 强化告知同意机制:确保在向境外提供个人信息前,已充分告知个人境外接收方信息、处理目的方式等,并依法取得单独同意(除非法律另有规定)。
- 开展个人信息保护影响评估(PIA):针对高风险数据处理活动(如数据出境),定期进行PIA,评估风险并采取有效保护措施,并妥善保存评估报告。
- 建立系统化合规体系:将数据出境合规融入企业日常运营,建立健全数据安全管理制度、风险评估机制和用户信息保护制度,从被动合规转向主动治理。
- 关注自贸区负面清单:参考相关自贸区发布的数据出境负面清单,作为识别重要数据和规划数据出境的重要参考。
风险提示
- 忽视主体身份认定:未正确判断自身是否为关键信息基础设施运营者,可能导致选择错误的合规路径,面临更高风险。
- 数据分类不准确:未能准确识别个人信息和重要数据,或低估数据规模和敏感性,可能导致未履行相应的合规义务。
- 告知同意不充分:未能履行充分告知义务或未依法取得单独同意,是常见的违规行为,可能导致行政处罚或法律诉讼。
- PIA流于形式:个人信息保护影响评估(PIA)未实质性开展或评估报告不完整,无法有效识别和防范风险。
- 合规“一劳永逸”心态:认为通过一次性认证或备案即可高枕无忧,忽视持续合规义务和监管检查,可能导致后期违规。
- 未及时关注政策更新:数据出境政策体系仍在不断完善,未能及时了解最新法规和执法动态,可能导致合规措施滞后。