适用场景
任何涉及中国境内个人信息或重要数据向境外传输的中国出海企业,无论规模大小,均需关注。尤其是在业务拓展、数据共享、云服务使用、集团内部数据流转等阶段。
核心要点
1. 中国数据出境法律框架基石
《网络安全法》、《数据安全法》和《个人信息保护法》共同构建了中国数据出境的监管体系,对个人信息和重要数据的跨境传输设定了严格的合规要求。
2. 个人信息出境三项前置条件
在个人信息出境前,企业必须履行充分告知义务、获得个人单独同意,并完成个人信息保护影响评估(PIPIA),且PIPIA报告及相关记录需至少保存三年。
3. 个人信息出境三种合规路径
根据数据处理者的身份(是否为关键信息基础设施运营者)及处理/出境个人信息的数量,企业可选择通过国家网信部门安全评估、专业机构安全认证或签订标准合同(中国SCC)三种方式之一实现合规。
4. 重要数据出境强制安全评估
所有重要数据的跨境传输,无论数据量大小,都必须无一例外地通过国家网信部门组织的安全评估,这是其出境的唯一合规路径。
5. 重要数据识别的挑战与不确定性
目前,重要数据目录尚不完善,且其与个人信息之间存在交叉,企业在实际操作中识别和界定重要数据时面临较大挑战和不确定性。
实务建议
- 全面梳理企业数据资产,明确所处理的个人信息和重要数据的类型、数量、敏感等级及出境目的。
- 建立健全内部数据出境管理制度和流程,确保告知、同意、PIPIA等环节的规范操作和记录留存。
- 根据企业自身情况(是否为CIIO、数据处理/出境量),准确判断应选择安全评估、安全认证或标准合同作为合规路径。
- 提前准备所需合规文件,如风险自评估报告、与境外接收方的法律协议(可参考中国SCC模板),并确保其内容符合监管要求。
- 持续关注国家及行业主管部门发布的重要数据目录和实施细则,及时调整和优化企业的数据出境合规策略。
- 定期进行合规审查,评估结果有效期通常为两年,需在期满前申请再评估,或在数据出境目的、方式、范围等发生重大变化时及时重新评估。
风险提示
- 忽视“重要数据”的识别风险,在缺乏明确目录指引下,可能低估某些数据的敏感性或重要性,导致未按要求进行安全评估。
- 未及时履行个人信息出境前的基本合规义务,如告知不充分、未获得单独同意或未进行PIPIA,将面临违规风险。
- 错过合规过渡期(已于2023年2月28日结束),未及时完成合规措施的企业将直接面临监管部门的审查和处罚。
- 对安全评估结果的有效期认识不足,未能及时申请再评估或在条件变化时重新评估,可能导致合规失效。
- 与境外接收方签订的法律文件(如数据处理协议)内容不规范或不具约束力,无法满足监管对数据保护责任的要求。