适用场景
所有涉及向境外提供个人信息的中国出海企业,特别是未达到数据出境安全评估申报门槛、但需持续进行数据跨境传输的企业,需在业务开展前或过渡期内完成合规整改。
核心要点
1. 适用场景与路径选择
标准合同路径主要适用于向境外提供个人信息、但未触发安全评估申报门槛的企业。若涉及重要数据出境,则必须走安全评估路径。企业需首先进行自评估,明确自身适用的合规路径,并警惕通过拆分数据量等方式规避安全评估的合规风险。
2. 核心流程与时间规划
采用标准合同路径需遵循“事前评估-自主缔约-事后备案”的基本流程。企业需预留充足时间,建议至少提前3-4个月启动准备工作,并注意在标准合同生效后10个工作日内完成向省级网信部门的备案。
3. 合同签署与核心条款变化
标准合同范本为唯一版本,适用于“处理者-处理者”和“处理者-受托人”两种场景。与征求意见稿相比,正式版在单独同意适用、个人信息删除后处理、安全事件通知、境外司法机构要求响应及个人信息主体权利救济等方面有重要调整,整体更侧重保护个人信息主体权益并增强可操作性。
4. 落地执行步骤
企业应系统梳理所有个人信息出境场景,明确境内外签署主体,开展个人信息保护影响评估(PIA),根据业务情况完善合同补充条款并与境外接收方磋商签署,最后及时完成备案。对于集团内有多家实体涉及数据出境的,需审慎判断数据是否需合并计算以确定合规路径。
5. 备案后持续合规义务
完成备案并非终点。企业需建立持续内控机制,监控出境目的、范围等是否发生变化,关注境外法律政策变动,妥善处理个人信息主体行权请求,并依法应对境外司法执法机构的数据提供要求或安全事件,必要时需重新评估、补充或重签合同。
实务建议
- 立即启动数据出境场景梳理与自评估,明确是否触发安全评估或适用标准合同路径。
- 为合规流程预留至少3-4个月时间,制定详细项目计划,确保在法规要求的整改期限内完成。
- 严格按照要求开展个人信息保护影响评估(PIA),并确保评估报告作为备案必备材料。
- 尽早与境外数据接收方就标准合同补充条款、双方义务及争议解决等展开磋商,避免后期延误。
- 合同签署生效后,务必在10个工作日内向所在地省级网信部门提交合同及PIA报告完成备案。
- 建立数据出境持续监控机制,定期审查出境活动是否发生变化,判断是否需要重新评估或缔约。
风险提示
- 严禁通过拆分数据数量、化整为零等方式规避本应进行的安全评估,此行为面临监管处罚风险。
- 标准合同为底线要求,自行补充的条款不得与标准合同核心义务相冲突,尤其是不得减轻或免除责任。
- 若出境数据涉及“重要数据”,无论数量多少,都必须申报安全评估,不能采用标准合同路径。
- 集团企业需特别注意境内关联公司间的数据共享是否构成“出境”,并审慎合并计算数据量以准确选择路径。
- 备案后并非一劳永逸,出境场景、境外法律或接收方情况发生变化时,可能触发重新评估和备案义务。
- 基于“同意”出境需获取个人信息主体的“单独同意”,基于其他合法性基础需有充分法律依据并审慎评估。