适用场景
涉及向境外传输中国境内用户个人信息的出海企业,特别是跨国公司、集团内关联公司,或在境外直接处理境内个人信息的公司,在业务启动或数据跨境传输前需要重点关注。
核心要点
1. 安全认证的定位与价值
《个人信息跨境处理活动安全认证规范》为企业提供了一条自愿性的合规路径。通过认证,可在认证有效期内作为数据跨境传输的合法依据,是一种长效合规机制,尤其适用于内部关联关系稳定的集团内数据传输场景。
2. 明确四大适用场景
认证主要适用于四大场景:跨国公司内部、同一实体下属子公司之间、关联公司之间的个人信息跨境处理,以及境外处理者直接处理境内自然人个人信息的特定情形。企业需首先判断自身业务属于哪一类场景。
3. 构建组织与制度保障
认证要求企业建立完善的内部治理结构,包括任命具备决策权的高管担任个人信息保护负责人(DPO),并设立专门的执行机构。同时,必须制定统一的、对境内外双方均有约束力的个人信息跨境处理规则。
4. 签署具有法律约束力的协议
境内个人信息处理者与境外接收方必须签署协议,明确双方责任、处理目的、范围、保护标准、监管接受、法律适用与管辖等核心条款。这是认证的基础性文件,其要求与未来的标准合同条款(SCC)机制相互独立。
5. 强化个人信息主体权益保障
在跨境场景下,企业必须确保个人信息主体享有知情、同意(包括单独同意)、撤回同意、查阅、删除等权利,并为其提供有效的投诉举报及司法救济渠道。发生安全事件时,负有采取补救措施和向监管报告的义务。
实务建议
- 开展数据跨境活动前,必须依据相关国标并重点考虑跨境因素,完成个人信息保护影响评估(PIA)。
- 确保数据跨境处理活动不仅符合《个人信息保护法》,还需满足《数据安全法》等所有相关中国法律法规的保护标准。
- 为DPO配备足够的资源和管理权限,确保其能有效领导个人信息保护机构开展工作。
- 在跨境协议中明确约定,当难以保障数据传输安全时,应立即中止传输。
- 提前规划认证申请主体,通常由境内一方申请;对于境外直接处理境内信息的场景,需由其指定的境内代表申请并承担法律责任。
风险提示
- 切勿将安全认证机制与未来的标准合同条款(SCC)机制混淆,两者是平行的合规路径,要求和流程不同。
- 对于“境外处理者直接处理境内信息”这一特殊场景,其境内指定代表可能需要承担法律责任,选择代表需极为谨慎。
- 认证有有效期,期间若跨境处理活动发生实质性变化,需重新申请认证,企业需建立持续的合规监控机制。
- 目前官方指定的认证机构尚未公布,企业应关注网信部门后续公告,选择合规的认证渠道。