适用场景
计划或正在向境外传输数据(含个人信息)的中国出海企业,特别是涉及用户数据、员工信息、业务运营数据跨境流动的互联网、电商、金融科技、SaaS服务等企业。
核心要点
1. 三大合规路径:安全评估、标准合同与认证
根据《个人信息保护法》,数据出境主要有三条路径:通过国家网信部门的安全评估、签订国家制定的标准合同、或通过专业机构认证。企业需根据自身数据类型和规模选择适用路径,不可随意选择。
2. 必须申报安全评估的四种情形
企业若涉及传输“重要数据”、是关键信息基础设施运营者、处理超100万人个人信息,或上一年累计向境外提供10万人普通信息或1万人敏感信息,必须通过网信部门安全评估。评估结果有效期两年。
3. 标准合同路径的适用与备案
对于不满足强制安全评估条件但需出境个人信息的企业,可选用标准合同路径。企业需先开展个人信息保护影响评估,与境外接收方签订标准合同,并向网信部门备案。标准合同条款为底线要求,不得减损。
4. 认证路径现状与展望
目前已有认证技术规范作为行业实践参考,但具体哪些机构有资质开展认证、认证申请流程如何,尚未有官方明确细则,因此该路径在实际操作中尚不成熟。
5. 监管动态:新规草案带来的潜在豁免
最新征求意见稿拟对部分场景放宽要求,例如为人力资源管理跨境提供员工信息,或预计一年内出境个人信息不足1万人的,可能免于安全评估、标准合同或认证。但该草案尚未生效,需密切关注最终版本。
实务建议
- 第一步:数据盘点与分类。全面梳理出境数据,明确是否含“重要数据”或“个人信息”,并统计个人信息数量(区分普通与敏感信息)。
- 第二步:判定适用路径。对照法规的量化门槛(如100万人、10万人、1万人等),确定企业应走安全评估、标准合同还是未来可选的认证路径。
- 第三步:提前开展自评或PIA。若需安全评估,提前准备数据出境风险自评估报告;若走标准合同路径,则完成个人信息保护影响评估(PIA)。
- 第四步:准备并提交材料。根据选定路径,严格按照网信部门要求的格式和清单准备申请材料,并留意提交时限(如标准合同备案曾有明确截止日)。
- 第五步:关注流程与时效。安全评估流程复杂,涉及省级网信办形式审查和国家网信办实质评估(法定45个工作日),需预留充足时间并配合补充材料。
- 第六步:动态跟踪监管变化。密切关注《规范和促进数据跨境流动规定》等新规的最终落地情况,其豁免条款可能改变企业的合规义务。
风险提示
- 误区:认为数据不涉及“国家安全”就不算“重要数据”。“重要数据”范围广泛,包括经济、社会、公共健康安全等多领域,需参考行业识别指南。
- 误区:与境外关联方传输数据可“内部豁免”。集团内部数据传输同样受监管,需满足上述三条路径之一。
- 注意事项:安全评估和标准合同备案均有有效期(如评估结果2年),到期前需重新办理。数据出境目的、方式、范围等发生重大变化也需重新申报。
- 注意事项:标准合同(SCCs)是强制性最低要求,企业与境外接收方签订的任何附加条款均不得与之冲突或降低保护水平。
- 风险:合规滞后风险。尽管目前完成安全评估或备案的企业数量不多,但监管要求明确,未合规即出境数据存在被责令暂停、罚款等执法风险。