适用场景
所有涉及中国境内数据出境的中国出海企业,特别是开展国际贸易、跨国生产制造、营销活动、学术合作以及涉及员工和客户个人信息处理的企业,无论规模大小,均需立即关注并评估其数据出境合规策略。
核心要点
1. 多类跨境数据传输场景获豁免
新规明确了多种无需进行网信部门安全评估、标准合同备案或个人信息保护认证的豁免情形。这包括不含个人信息或重要数据的跨境业务,以及在境外收集并在境内处理后出境的数据(不含境内融入的个人信息或重要数据)。
2. 特定个人信息出境的豁免条件
针对个人信息出境,新规提供了特殊豁免。例如,为履行个人作为一方当事人的合同(如跨境购物、机票酒店预订)或依法实施人力资源管理而必须出境的个人信息,以及紧急情况下为保护生命健康财产安全而传输的个人信息,均可豁免。
3. 小额非敏感个人信息出境豁免
非关键信息基础设施运营者(CIIO)自当年1月1日以来,累计向境外提供非敏感个人信息不满10万人次的,可豁免上述合规流程。但需注意,敏感个人信息的出境仍是触发合规要求的关键。
4. 数据量计算周期与触发门槛调整
数据量计算周期由过去的“去年1月1日”或“预计一年内”调整为“当年1月1日至今”,通常意味着计算周期缩短。同时,新规提高了非敏感个人信息出境的触发门槛,但任何敏感个人信息的出境(除非符合小额豁免),仍将自动触发安全评估或标准合同备案/认证要求。
5. 自贸区数据出境负面清单试点
新规允许自贸区在国家数据分类分级保护框架下,制定跨境数据传输负面清单。对于未列入清单的数据,经省级网信部门批准并报国家网信部门和国家数据局备案后,可自由出境。
实务建议
- 立即对企业现有的跨境数据传输活动进行全面梳理和评估,确定是否符合新规的豁免条件或需要启动相应的合规流程。
- 对于涉及个人信息出境的业务,应根据新规要求,对当年1月1日至今的个人信息出境总量(去重后的人数)进行准确统计和预估,并纳入合规评估报告。
- 审视并完善企业内部的劳动合同、员工手册等规章制度,确保其能充分支持基于人力资源管理必要性的个人信息出境,并符合相关法律要求。
- 在判断“合同必要性”时,需仔细评估数据出境的目的和性质,确保其与核心商业目的紧密相关,而非仅仅是技术架构选择,并留存充分的证明材料。
- 持续关注国家和地方层面“重要数据目录”的发布动态,及时调整企业的数据分类分级和出境合规策略。
- 即使符合豁免条件,企业仍需履行《个人信息保护法》规定的基本义务,包括充分告知、获取同意(如适用)、开展个人信息保护影响评估,并采取必要的数据安全保护措施。
- 在豁免场景下,企业可选择签署标准合同作为内部管理和对外展示良好合规实践的方式,以增强数据保护水平。
风险提示
- 新规已于2024年3月22日即时生效,未设过渡期,企业需尽快行动,避免合规风险。
- 敏感个人信息出境是触发严格合规流程的关键因素,企业应高度重视,并确保对敏感个人信息进行识别和特殊保护。
- 对于“合同必要性”和“人力资源管理必要性”的判断,目前网信部门尚未提供明确标准,企业需自行审慎评估,并可能面临解释和证明的挑战。
- 在同时涉及敏感和非敏感个人信息出境的场景下,如何界定合规范围尚无定论,建议企业采取更为保守和全面的合规策略。
- 豁免的是特定的合规机制(如安全评估、备案),而非企业在数据安全和个人信息保护方面的全部法律义务,基础合规要求仍需严格遵守。