适用场景
业务涉及向境外传输数据的所有中国出海企业,特别是处理大量个人信息、重要数据或属于关键信息基础设施运营者的企业,在业务启动或数据跨境传输前需重点关注。
核心要点
1. 准确识别申报门槛与场景
企业首先需明确自身数据出境的具体场景,例如数据存储至境外服务器或允许境外访问境内数据库。其次,必须评估是否触发法定的安全评估申报义务,主要标准包括:向境外提供重要数据;关键信息基础设施运营者或处理超100万人个人信息的数据处理者向境外提供个人信息;以及累计向境外提供10万人个人信息或1万人敏感个人信息。
2. 预留充足申报与评估时间
数据出境安全评估流程复杂,法规规定的官方审查周期约为57个工作日,但实际耗时往往远超于此。企业需要额外预留大量时间用于内部数据盘点、风险自评估、材料准备以及与网信部门的沟通修改。务必提前规划,为业务合规留出缓冲期。
3. 明确申报主体与分场景申报
对于集团企业,可选择总公司或一家主要实体作为申报主体,但需在材料中清晰说明集团内数据共享关系。在申报时,必须将不同业务场景(如员工信息出境与客户信息出境)以及不同类型数据(重要数据与个人信息)区分开来,进行分场景、分批次申报。
4. 高度重视重要数据合规
重要数据的出境管理是合规重中之重。若对非个人信息是否属于“重要数据”存疑,建议采取审慎原则,必要时通过申报请监管部门予以明确。合规的数据出境评估程序,能在面临《反间谍法》等更严格法规的潜在风险时,成为证明企业无主观恶意的重要依据。
实务建议
- 立即开展数据出境场景盘点:系统梳理业务中所有可能的数据跨境场景,明确数据流向、类型与数量。
- 成立跨部门专项工作组:争取高层支持,统筹法务、合规、IT、业务等部门资源,共同推进评估与申报。
- 指定内部申报经办人:确定一名企业内部员工作为与网信部门对接的固定联系人。
- 严格审查跨境法律文件:参照《个人信息出境标准合同》模板,与境外接收方签订协议,确保合同内容与申报场景完全对应。
- 寻求专业支持开展自评估:委托内部专家或外部顾问,严格按照指南要求进行数据出境风险自评估并准备申报材料,提升通过效率。
风险提示
- 误区:认为只有“主动发送”数据才算出境。注意:境外机构能“访问”或“调取”存储在境内的数据,同样构成数据出境。
- 误区:低估申报所需时间。注意:从准备到获批全程可能长达数月,切勿临近业务上线才启动。
- 注意事项:申报材料中数据出境场景描述必须清晰、具体,且与法律文件约定保持一致,否则会被要求反复修改。
- 注意事项:对于在境内无实体的跨国企业,若从中国境内收集数据并出境,必须依法指定境内代表负责申报等事宜。