适用场景
所有涉及向境外传输数据,特别是个人信息和重要数据的中国出海企业,无论规模大小和出海阶段,都需关注并及时调整其数据管理和合规策略。
核心要点
1. 新规生效与合规路径明确
2024年3月22日,中国网信办发布《规范和促进数据跨境流动规定》并即时生效,同时发布了数据出境安全评估和个人信息出境标准合同备案指南。新规明确了数据出境的三种主要合规路径:数据出境安全评估、个人信息出境标准合同、个人信息保护认证。
2. 敏感与非敏感个人信息差异化管理
新规对敏感个人信息和非敏感个人信息的出境设置了不同的数量门槛和合规要求。对于非关键信息基础设施运营者,非敏感个人信息出境数量在10万至100万之间需签订标准合同或认证,超过100万则需安全评估;而敏感个人信息即使数量不足1万,也需签订标准合同或认证。
3. 关键信息基础设施运营者(CIIO)与重要数据
关键信息基础设施运营者(CIIO)出境个人信息或重要数据必须进行安全评估。对于重要数据,若未被相关部门明确告知或公开认定,企业无需基于“重要数据”属性进行安全评估,这为企业提供了更大的确定性。
4. 多项数据出境豁免情形
新规列举了多种可豁免安全评估、标准合同或认证的情形,包括国际贸易、跨境运输等特定业务数据,境外收集处理后回传且未引入境内数据,以及为履行合同、人力资源管理、紧急情况等特定场景下的个人信息出境。
5. 持续合规义务不容忽视
即使符合豁免条件,企业仍需履行告知、单独同意、个人信息保护影响评估等持续性义务,并采取必要措施确保数据安全,在发生数据安全事件时及时报告。
实务建议
- 全面梳理并重新评估企业所有数据出境场景,明确数据类型、数量及接收方,对照新规确定应履行的合规义务。
- 重点识别并区分业务中涉及的敏感个人信息和非敏感个人信息,尤其关注小量敏感个人信息出境的合规要求。
- 利用官方提供的“数据出境申报系统”(https://sjcj.cac.gov.cn)进行安全评估申请或标准合同备案,确保流程合规。
- 对于符合豁免条件的数据出境,仍需建立完善的数据安全管理制度,确保数据全生命周期的安全,并履行告知、同意等基本义务。
- 密切关注自贸区数据跨境流动负面清单的发布,利用自贸区政策便利化数据出境。
风险提示
- 误认为小量敏感个人信息出境无需任何合规手续,新规明确即使不足1万条也需签订标准合同或认证。
- 忽视“重要数据”和“关键信息基础设施运营者”的认定标准,未及时关注相关部门的通知或公开信息。
- 即使符合豁免情形,仍可能因未履行告知、同意、个人信息保护影响评估(PIPIA)等持续性义务而面临合规风险。
- 对数据分类分级工作不到位,无法准确识别敏感个人信息和重要数据,导致合规路径选择错误。
- 未及时利用官方申报系统,或申报材料准备不充分,影响合规进程。