适用场景
适用于所有在中国境内收集、产生个人信息或重要数据,并需将其传输至境外的中国出海企业。无论企业规模大小,只要涉及数据跨境传输,均需关注。
核心要点
1. 广泛的适用范围与数据本地化原则
数据跨境传输安全评估的适用范围超越《网络安全法》第37条,覆盖所有网络运营者。基本原则是境内数据本地存储,数据出境是例外情况,需进行安全评估。
2. 数据出境的明确定义
数据出境不仅指直接网络传输,还包括允许境外主体访问境内数据,或通过其他非网络方式(如携带)向境外提供境内收集和产生的个人信息及重要数据。
3. 分级评估机制
评估分为企业自评估和监管部门评估两种模式。一般数据由企业自行评估并承担责任;特定数据则由监管部门组织评估并决定是否允许出境,预计未来会有行业主管机构出台具体实施细则。
4. 常态化与动态评估要求
数据出境安全评估至少每年进行一次。若数据接收方、出境目的、范围、数量、类型发生重大变化,或接收方/出境数据发生重大安全事件,则需重新进行评估。
5. 评估核心要素与禁止出境情形
评估需证明数据出境的必要性,并考量数据性质、数量、接收方安全措施、接收方所在国法律环境及数据滥用风险。若未经个人信息主体同意或可能危害国家安全、社会公共利益,则禁止出境。
实务建议
- 全面梳理企业内部数据流向,识别所有涉及中国境内数据跨境传输的场景和数据类型。
- 建立健全内部数据安全评估机制,明确评估流程、责任人及风险应对措施。
- 对于个人信息出境,务必获取个人信息主体的明确、可验证的书面同意。
- 密切关注行业主管机构(如金融、证券、工信等)发布的针对数据出境安全评估的具体实施细则和指南。
- 定期对境外数据接收方的安全保障能力和其所在地的法律环境进行审查,确保符合合规要求。
- 制定并严格执行数据出境年度评估计划,并在发生重大变化时及时启动重新评估。
风险提示
- 误认为数据出境仅限于网络传输,忽视境外访问或物理携带等其他形式。
- 未能充分识别“重要数据”的范围,导致评估遗漏或不充分。
- 未取得个人信息主体明确同意,或同意方式不符合法律要求,面临合规风险。
- 忽视年度评估和重大变化后的重新评估要求,可能导致违规。
- 低估数据出境可能对国家安全和社会公共利益造成的影响,导致数据被禁止出境。