适用场景
任何涉及数据跨境传输的中国出海企业,无论数据是否包含个人信息、核心数据或重要数据,尤其是在处理大量个人信息(超过100万)或涉及重要数据的企业,均需关注并遵守相关规定。
核心要点
1. 数据出境前置条件与豁免
数据处理者向境外提供数据,需满足通过国家网信部门安全评估、获得专业机构认证或与境外接收方签订标准合同三项条件之一。部分情形可豁免,如为履行与个人的合同所必需,或为保护个人生命健康财产所必需。
2. 个人信息出境单独同意要求
向境外提供个人信息时,数据处理者必须向个人详细告知境外接收方信息、处理目的、方式、类型及权利行使途径,并取得个人的单独同意。若在收集时已获得充分的单独同意且出境行为符合该同意范围,则无需再次取得。
3. 数据出境安全评估触发条件
以下情况必须通过国家网信部门组织的数据出境安全评估:涉及重要数据出境,或关键信息基础设施运营者向境外提供个人信息,或处理100万以上个人信息的数据处理者向境外提供个人信息。
4. 数据出境年度报告义务
所有涉及个人信息或重要数据出境的数据处理者,需在每年1月31日前向市级网信部门提交上一年度的数据出境安全报告,内容包括接收方、数据类型、数量、目的、境外存储使用、用户投诉及安全事件等。
5. 其他数据出境合规义务
数据处理者需对数据出境造成的损害承担法律责任,并保留数据出境日志和审批记录至少三年。若网信部门认定数据不应出境,企业须立即停止并采取补救措施。个人信息再转移需事先与个人约定条件并明确境外接收方的安全保护义务。
实务建议
- 全面梳理企业数据资产,识别并分类管理出境数据(个人信息、重要数据、一般数据)。
- 评估现有数据出境路径和方式,对照安全评估、认证和标准合同要求,制定合规方案。
- 建立健全个人信息收集和出境的同意机制,确保告知充分、同意明确且可追溯。
- 密切关注国家网信部门关于标准合同、安全评估细则及豁免范围的进一步规定。
- 建立数据出境日志记录和审批流程,确保记录保存至少三年,并指定专人负责年度报告的编制与提交。
- 与境外数据接收方签订合规协议,明确双方责任、数据保护义务,并限制数据再转移。
- 确保所有数据传输方式合法合规,避免使用或提供任何非法绕过数据跨境安全网关的工具或服务。
风险提示
- 《网络数据安全管理条例》将数据出境合规要求扩展至所有网络数据,显著增加了企业的合规成本和难度。
- 部分豁免条款和“单独同意”与“合同必要”之间的关系尚待明确,存在解释和适用风险。
- 违反数据出境合规义务将面临高额罚款(最高可达1000万元人民币)、业务暂停、吊销许可证等严厉处罚。
- 数据处理者需对境外接收方造成的数据损害承担连带责任,加大了企业风险。
- 年度报告义务覆盖范围广,任何涉及个人信息出境的企业都需履行,需提前规划并建立常态化报告机制。