适用场景
本指南适用于所有涉及中国境内数据出境,或处理中国居民个人信息的出海企业,尤其是在业务扩张、产品服务出海阶段,需关注数据合规的企业。
核心要点
1. 中国跨境数据传输监管框架与国家安全
中国已建立全面的跨境数据传输监管体系,强调将数据安全和保护视为国家安全的重要组成部分,所有相关评估和审查均以国家安全为核心考量。
2. 《个人信息保护法》的域外适用效力
即使企业运营地在中国境外,若其向中国境内居民提供产品或服务、分析评估其行为,或存在其他法律规定的情形,也可能受到中国《个人信息保护法》的管辖。
3. 三大跨境数据传输机制
中国法律规定了三种主要的跨境数据传输途径:通过国家网信部门(CAC)的安全评估、获得个人信息保护认证,或与境外接收方签署国家网信部门发布的标准合同。
4. 强制性CAC安全评估的触发条件
关键信息基础设施运营者、处理100万人以上个人信息的数据处理者、传输重要数据,或在过去一年内向境外提供累计10万人个人信息或1万人敏感个人信息的,必须进行CAC安全评估。
5. 数据出境风险自评估是前置要求
在申请CAC安全评估前,企业必须完成数据出境风险自评估,评估内容包括数据出境的合法性、必要性、对国家安全和个人权益的风险,以及境外接收方的数据保护能力等。
实务建议
- 全面评估企业自身业务是否涉及中国境内数据出境,或触及《个人信息保护法》的域外适用条件。
- 根据企业类型、数据处理量、数据敏感性及境外接收方情况,综合判断并选择最适合的跨境数据传输机制(安全评估、标准合同或认证)。
- 针对所选机制,提前准备并完善相应的法律文件,如CAC安全评估所需的承诺函、内部政策,或严格遵循中国标准合同模板。
- 在启动CAC安全评估流程前,认真开展数据出境风险自评估,并确保评估内容充分体现中国法律对国家安全和公共利益的特殊考量。
- 若境外司法或执法机构要求获取中国境内数据,务必事先获得中国主管机关的批准,避免直接提供数据。
风险提示
- 忽视中国法律在数据安全领域对国家安全和公共利益的特殊强调,可能导致严重合规风险。
- 未能准确识别《个人信息保护法》的域外适用范围,导致境外业务在不知情的情况下违反中国法律。
- 错误判断是否触发强制性CAC安全评估,或选择不当的传输机制,延误业务进程或面临处罚。
- 中国标准合同模板严格,无法进行实质性修改,企业需审慎评估其适用性及自身能否完全满足条款要求。
- 自评估过程中未能充分考虑中国法律下的特定风险因素,如数据出境对国家安全可能造成的影响,导致评估结果不被认可。