适用场景
适用于所有在中国境内收集、处理数据并需向境外传输的中国出海企业,无论其规模大小或所处行业,尤其是在国际业务拓展、全球化运营、供应链管理、人力资源跨境协作等阶段。
核心要点
1. 新规背景与核心变化
2024年3月22日,中国发布《促进和规范数据跨境流动规定》,旨在简化数据跨境传输的合规流程,减轻企业负担,为全球业务运营提供更大便利和确定性。
2. 重要数据传输与范围明确
涉及重要数据的出境传输仍需通过国家网信部门的安全评估,无豁免。但新规明确,在监管机构未通知或未公布重要数据目录前,企业可推定其不处理重要数据,这提供了更大的确定性。
3. 个人信息传输豁免场景
新规引入多项个人信息出境豁免,包括:境外收集、境内处理后出境且不含境内个人信息或重要数据;履行合同所必需(如国际电商、跨境支付等);跨境人力资源管理所必需;紧急情况下为保护生命健康财产安全。
4. 个人信息传输分级管理
非关键信息基础设施运营者(非CIIO)的个人信息出境,根据累计传输量实行分级管理:低于特定阈值可豁免,达到一定量级需通过标准合同备案/认证,更高量级则需安全评估。CIIO无论传输量大小,均需安全评估(豁免场景除外)。
5. 其他数据与强制要求
不含个人信息和重要数据的常规数据出境通常不受限制。但所有个人信息出境,无论是否豁免,仍需履行告知同意(单独同意)和个人信息保护影响评估(PIPIA)的法定义务。
实务建议
- 立即对现有及规划中的跨境数据传输项目进行全面评估,判断是否适用新规豁免条款或应采取何种合规路径。
- 对于正在进行中的安全评估或备案申请,可根据新规选择撤回或继续,权衡利弊后作出决策。
- 确保所有个人信息出境活动,即使符合豁免条件,也必须履行单独告知同意和完成个人信息保护影响评估(PIPIA)。
- 明确企业自身是否属于关键信息基础设施运营者(CIIO),这将直接影响个人信息出境的合规要求。
- 对于在自贸区注册的企业,关注所在自贸区是否发布数据跨境传输负面清单,并了解其具体适用范围。
- 建立健全数据传输台账,准确记录并累计个人信息出境数量,以便及时判断是否达到触发安全评估、标准合同或认证的阈值。
风险提示
- 即使新规放宽了部分限制,但“重要数据”的跨境传输仍是严格监管的重点,企业需密切关注相关目录发布。
- 个人信息出境的豁免并不意味着完全免除合规义务,单独同意和PIPIA是始终强制要求的。
- 关键信息基础设施运营者(CIIO)在个人信息出境方面面临更严格的监管,几乎所有非豁免情况都需要安全评估。
- 自贸区负面清单的实施细节尚待明确,如数据来源地、存储地等,企业需持续关注官方指引。
- 数据跨境传输至境外司法或执法机构,无论数据类型,均需事先获得中国主管机关批准。
- 在计算累计传输量时,已通过豁免场景传输的数据不计入总数,需准确区分。