适用场景
所有涉及数据跨境传输的中国出海企业,无论规模大小,在规划国际业务、拓展海外市场或日常运营中,均需关注并提前布局数据跨境合规。
核心要点
1. 完善的数据跨境监管框架
《网络数据安全管理条例(征求意见稿)》在《网络安全法》、《数据安全法》和《个人信息保护法》等上位法基础上,进一步细化了数据跨境传输规则,旨在平衡国家安全、个人信息主体权益与企业发展需求,构建更全面、可操作的监管体系。
2. 多重合法性基础与细化要求
数据出境需以安全评估、专业机构认证或标准合同为合法性基础。值得注意的是,《条例》明确要求数据处理者和境外数据接收方均需通过专业机构认证,并新增了为履行合同或保护生命健康、财产安全等特定情形下的合法性基础豁免。
3. 个人信息同意机制的优化
个人信息跨境传输原则上需取得个人单独同意。《条例》进一步明确,若首次收集个人信息时已就出境事项取得单独同意,且后续出境未超出原授权范围,则无需再次取得单独同意,有效减轻了企业重复授权的负担。
4. 强化数据出境后的安全保障
《条例》规定,若国家网信部门认定数据不得出境,企业须立即停止传输并对已出境数据采取补救措施。此外,个人信息出境后如需再转移,必须事先与个人约定再转移条件,并明确境外接收方的安全保护义务,加强了对数据全生命周期的监管。
5. 技术与行为层面的监管深化
国家将建立“数据跨境安全网关”以阻断非法数据入境,并明确禁止提供穿透、绕过数据安全网关的程序或工具。同时,境内用户访问境内网络时,其流量不得被路由至境外,体现了监管从规则到实践的深入。
实务建议
- 全面梳理并评估企业现有及规划中的数据跨境传输活动,识别潜在合规风险。
- 根据业务需求,选择合适的合法性基础(安全评估、认证或标准合同),并启动相关准备工作。
- 更新用户隐私政策和同意协议,确保清晰告知数据跨境传输的目的、范围、接收方及再转移条件,并获取有效单独同意。
- 与境外数据接收方签订数据处理协议,明确其安全保护义务,并在必要时要求其配合完成认证。
- 建立数据跨境传输的内部管理制度,包括日志记录、审批流程、用户投诉处理机制,并确保记录保存三年以上。
- 加强网络安全技术防护,确保境内用户流量不被路由至境外,并杜绝提供或使用非法“翻墙”工具。
- 密切关注《条例》及相关配套细则的最终落地情况,及时调整合规策略。
风险提示
- 误解豁免条款:部分豁免仅针对合法性基础或同意,不代表完全免除所有合规义务,企业仍需全面评估。
- 忽视境外接收方责任:未将境外接收方纳入合规考量,可能导致整体数据跨境链条存在安全漏洞和合规风险。
- 自评估不足:未进行充分的内部风险自评估,可能在后续监管审查中面临被叫停或处罚的风险。
- 技术违规风险:提供或使用“翻墙”工具、境内流量路由境外等行为可能面临严厉处罚。
- 记录缺失:未能有效留存数据跨境传输的日志和审批记录,导致无法在监管核验时自证合规。