适用场景
计划或正在向境外提供个人信息(包括员工、客户等数据)的中国出海企业,尤其是在选择数据出境合规路径阶段的企业。
核心要点
1. 什么是个人信息出境保护认证
这是《个人信息保护法》规定的三条主要数据出境合规路径之一,由经国家批准的第三方专业认证机构,对企业的个人信息出境活动进行评估和认证。它为企业提供了一种市场化的合规证明方式。
2. 认证的适用情形与路径选择
认证主要适用于非关键信息基础设施运营者,且不涉及重要数据、出境个人信息不满100万人或敏感个人信息不满1万人的场景。在此情况下,企业可在‘认证’与‘标准合同备案’中二选一。若涉及更大量级或特定数据类型,则必须申报数据出境安全评估。
3. 境内与境外申请主体的差异
境内个人信息处理者可自行申请认证。境外个人信息处理者(如跨国公司的境外总部)必须通过其在境内设立的专门机构或指定代表来协助申请,并由该境内主体承担相应法律责任。
4. 认证的核心评估内容
认证机构将重点评估六大方面:出境目的、范围、方式的合法正当必要;境外接收方所在国的法律与安全环境;境外接收方的保护水平是否达标;双方协议是否约定了保护义务;双方的组织、管理与技术保障措施;以及其他认证机构认为必要的事项。
5. 认证是一个持续监督的过程
认证证书有效期为3年,期间认证机构会进行持续监督。企业需确保出境活动持续符合要求,否则证书可能被暂停或撤销。认证是合规的起点,而非一劳永逸的终点。
实务建议
- 第一步:判断适用路径。根据出境主体身份、数据类型及数量,对照法规判断自身是否适用认证路径,还是必须进行安全评估或可选择标准合同。
- 第二步:准备核心论证材料。围绕认证的六大评估要点,系统准备材料,证明出境的合法性、必要性,并评估境外法律环境及接收方保护水平。已完成的《个人信息保护影响评估报告》是重要参考。
- 第三步:建立或完善内部管理体系。参考ISO/IEC 27701等隐私信息管理体系标准,建立系统的组织架构、政策流程和技术措施,以有效应对认证审核。
- 第四步:通过官方系统提交申请。通过‘个人信息保护认证管理系统’向认证机构提交申请,并积极配合后续的技术验证与现场审核环节。
- 第五步:规划持续合规。获证后,建立内部机制确保出境活动持续符合认证要求,并在证书到期前6个月内申请延期。
风险提示
- 误区:认为获得认证后就万事大吉。认证仅代表申请时的合规状态,企业需持续接受监督并动态调整,以应对业务变化和监管更新。
- 注意:境外企业必须通过境内实体申请。无境内法律实体的境外公司无法直接申请,必须指定代表或设立机构,并由其承担法律责任。
- 注意:准确界定‘数据出境’范围。存储在境内但境外可访问、调取的情形也属于出境,需纳入合规考量,避免遗漏。
- 警告:选择认证路径前务必准确进行数据盘点。误判自身数据量级或类型(如误将敏感信息视为一般信息),可能导致选择的路径根本不适格,构成违规。