适用场景
所有计划出海、已出海或涉及跨境数据处理的中国企业,特别是在境外上市、使用App、涉及重要数据或关键信息基础设施、以及利用算法推荐服务的企业,在进行全球化业务拓展和日常运营中均需关注。
核心要点
1. 中国网络安全与数据合规框架日趋完善
中国已构建起以《网络安全法》、《数据安全法》和《个人信息保护法》为核心的法律体系,并持续出台细化法规和国家标准,形成多部门协同监管格局,为企业出海提供了明确的合规指引。
2. 数据跨境传输合规路径明确
针对数据出境,中国确立了国家网信部门安全评估、个人信息保护认证、以及与境外接收方签订标准合同三大合规路径,并发布了详细的实施细则和申报指南,企业需根据自身数据类型和规模选择适用。
3. 重要数据与关键信息基础设施保护
法律法规对重要数据识别、分类分级管理及本地化存储提出要求,并持续完善关键信息基础设施(CII)的认定标准和保护体系,相关行业企业需主动识别并落实保护责任。
4. App与算法推荐服务合规
移动互联网应用(App)的个人信息保护监管已进入成熟期,强调“隐私设计”原则;同时,算法推荐服务也需遵循备案、安全评估及检查机制,企业应关注全生命周期合规。
5. 数据要素化与合规不起诉机制
中国积极推动数据要素市场建设,探索数据产权“三权分置”制度,鼓励数据交易流通;同时,司法实践中出现的“数据合规不起诉”案例,为企业通过主动合规防范法律风险提供了新思路。
实务建议
- 全面梳理数据资产:对企业所有数据进行盘点,明确数据类型、来源、处理目的、存储位置及跨境传输情况,进行分类分级管理。
- 评估数据出境合规风险:针对所有涉及数据出境的业务场景,对照《数据出境安全评估办法》等规定,判断是否需要进行安全评估、认证或签订标准合同,并提前准备申报材料。
- 建立健全内部合规制度:依据《数据安全法》、《个人信息保护法》及行业特定法规,建立完善的数据安全管理制度、个人信息保护政策、应急响应机制,并定期进行合规审计。
- 落实“隐私设计”理念:在产品(特别是App)和服务的研发初期就融入隐私保护原则,确保个人信息收集、使用、存储、共享等环节符合最小化、目的性、透明性要求。
- 关注行业特定监管要求:针对电信、自动驾驶、医疗、金融等特定行业,密切关注主管部门发布的细化法规和标准,确保业务合规。
- 加强与境外合作方的合同管理:与境外数据接收方签订明确的数据安全保护责任义务协议,参照标准合同范本,确保数据跨境传输的合法性和安全性。
- 积极探索数据合规不起诉机制:若企业不慎涉嫌数据违法违规,应积极构建和完善数据合规体系,争取通过合规整改获得不起诉机会。
- 关注算法合规要求:对于提供算法推荐服务的企业,应及时进行算法备案,并配合监管部门进行安全评估和监督检查,确保算法的公平、透明和安全。
风险提示
- 忽视数据跨境合规门槛:错误判断自身数据出境规模或数据类型,未及时申报安全评估或采取其他合规措施,面临高额罚款和业务中断风险。
- 重要数据识别不准确:未能准确识别和保护重要数据,导致数据泄露或非法出境,可能触犯国家安全红线。
- App过度收集个人信息:App在未告知或未经同意的情况下收集非必要个人信息,或强制捆绑授权,将面临监管处罚和用户投诉。
- 算法滥用与歧视:算法设计不当导致用户歧视、信息茧房或虚假信息传播,引发社会舆论风险和法律责任。
- 内部管理体系缺失:缺乏系统性的数据安全管理制度、人员培训和应急预案,难以应对突发数据安全事件。
- 境外上市数据合规风险:赴境外上市企业未充分履行网络安全审查义务,或在提交审计材料时未能妥善处理敏感数据,可能影响上市进程和国家安全。