适用场景
涉及向境外提供个人信息的所有中国出海企业,尤其是在业务运营中需要将用户或员工数据传输至海外服务器、关联公司或第三方服务商(如SaaS、云服务)的企业,在启动数据传输前或法规过渡期内需重点关注。
核心要点
1. 备案核心材料准备要点
备案需提交授权委托书、承诺书、标准合同及个人信息保护影响评估报告等材料。所有材料需确保形式与内容符合指南要求,例如授权书需由法定代表人亲笔签名,且签名样式在不同文件间保持一致,以避免因真实性存疑被网信部门退回。
2. 个人信息保护影响评估关键要求
评估报告需在备案日期前三个月内完成,且内容在备案前无实质性变化。报告必须严格依据指南模板,全面评估出境活动,并详细说明数据处理目的、方式、涉及的个人数量,以及数据链路、数据中心(含云服务)名称、地址等关键信息。
3. 备案流程与重要时间节点
标准合同生效后10个工作日内需向省级网信部门提交备案。网信部门在收到材料后15个工作日内完成审核。若未通过,企业有10个工作日进行补充或更正。企业应注意协调合同生效日期,为材料准备留足时间。
4. 标准合同路径与安全评估路径的区分与衔接
企业需根据处理个人信息数量、是否关键信息基础设施运营者、是否涉及重要数据出境等标准,判断应走标准合同备案还是必须申报数据出境安全评估。两者评估要求有相似之处,完成备案的企业可为未来可能触发的安全评估申报积累基础。
5. 备案性质与审查重点
标准合同备案总体上属于形式审查,网信部门主要核对材料的完整性和规范性,不要求企业提交能力证明类支撑文件。但这不意味着准备可以松懈,材料本身必须严格符合指南的每一项形式要求。
实务建议
- 立即自查:判断自身个人信息出境活动是否满足标准合同备案的适用条件,还是必须申报安全评估。
- 授权材料把关:确保授权委托书、承诺书由法定代表人签署,授权期限覆盖标准合同整个有效期,且签名笔迹一致。
- 精准完成PIA:使用官方模板,在备案前3个月内完成个人信息保护影响评估,并确保评估覆盖所有数据链路和境内外数据中心(包括第三方云服务商的数据中心)的详细信息。
- 把控合同生效与备案时间:在标准合同中可考虑设置生效条件,为备案材料准备留出充足时间,确保在合同生效后10个工作日内完成提交。
- 材料一致性检查:在提交前,反复核对所有备案材料中的公司信息、数据描述、日期等关键内容是否完全一致。
风险提示
- 误区:认为使用第三方SaaS/云服务,无需提供数据中心信息。正解:无论数据中心归属,都必须按指南要求提供其名称、地址及所用系统信息。
- 误区:认为备案是形式审查,材料可以马虎。正解:任何形式瑕疵(如非原件、签名不一致)都可能导致材料被退回,重走流程。
- 注意事项:PIA报告具有时效性,完成超过三个月或业务发生实质变化后,需重新评估。
- 注意事项:业务发展可能改变合规路径。即使已完成备案,若后续出境规模扩大或性质变化(如触及安全评估门槛),需依法转为申报安全评估。