适用场景
所有在运营中收集中国境内用户个人信息,并计划或正在将数据传输至境外的中国企业(网络运营者),在业务启动、数据跨境传输前及传输过程中均需关注。
核心要点
1. 强制申报评估
只要涉及个人信息出境,企业必须向所在地省级网信部门申报安全评估,这与之前的部分情形评估要求不同,覆盖范围更广。评估结论有效期为2年,或当出境目的、类型、保存时间发生变化时需重新评估。
2. 合同条款为核心抓手
与境外接收方签订的合同是评估重点,合同必须包含特定强制性条款,如明确个人信息主体为受益人、接收方义务、法律环境变化应对机制等。合同成为约束境外接收方、保障数据安全的关键法律文件。
3. 强化境外接收方监督与责任
通过合同设计,企业需承担对境外接收方的监督责任。若个人信息主体无法从接收方获得赔偿,企业需先行赔付。这促使企业必须审慎选择合作伙伴,并通过合同条款有效约束对方行为。
4. 保障个人信息主体权利
企业必须保障出境场景下个人信息主体的知情权、访问权、更正删除权及索赔权。具体包括告知出境详情、应请求提供合同副本、响应个人信息主体诉求并转达给接收方等。
5. 建立全流程记录与报告机制
企业需建立并至少保存5年的个人信息出境记录,包括时间、接收方、数据类型与数量等。同时,需每年向省级网信部门提交年度出境情况与合同履行报告,发生安全事件需及时报告。
实务建议
- 在启动任何数据出境业务前,立即着手准备向省级网信部门的安全评估申报材料,包括申报书、合同草案及安全风险分析报告。
- 严格按照要求起草与境外接收方的合同,确保包含所有强制性条款,特别是关于目的限定、保存时限、主体权利、先行赔付及法律环境变化应对的条款。
- 建立内部数据出境台账系统,详细记录每次出境的日期、接收方信息、数据类型与数量,并确保记录至少保存5年。
- 制定年度合规日历,确保在每年12月31日前完成向网信部门的年度报告提交工作。
- 在合作协议中,明确约定当境外接收方所在法律环境发生变化可能影响合同时,其有及时通知我方的义务,并设定相应的合同终止或重新评估触发机制。
- 若涉及个人敏感信息向第三方再传输,务必事先通过有效方式告知个人信息主体并获得其明确同意,同时在合同中明确接收方停止传输及要求第三方销毁数据的义务。
风险提示
- 切勿认为向同一接收方多次传输数据可以‘一劳永逸’,必须关注2年有效期及目的、类型变更等重新评估的触发条件。
- 不要忽视对境外接收方的背景调查与持续监督,其过往的‘黑历史’(如数据泄露事件)可能直接影响本次安全评估结果。
- 避免在合同中使用模糊或缺失强制性条款的模板,不合规的合同将无法通过安全评估。
- 注意区分向不同接收方提供数据需分别申报评估,不能合并处理。
- 境外机构通过互联网收集境内个人信息,也需通过其在境内的代表或机构履行本办法义务,企业与之合作时需确认其合规能力。