适用场景
计划或正在向境外传输数据(含个人信息和重要数据)的中国出海企业,特别是涉及大规模用户数据处理、或业务依赖跨境数据流动的企业。
核心要点
1. 触发安全评估的五大场景
企业需向网信部门申报数据出境安全评估的场景包括:关键信息基础设施运营者出境数据;出境数据包含重要数据;处理超100万人个人信息的数据处理者出境个人信息;累计出境10万人个人信息或1万人敏感个人信息;以及国家网信部门规定的其他情形。这是对《个人信息保护法》出境规则的具体细化。
2. 安全评估的七大核心关注领域
监管评估将重点关注:数据出境目的、范围、方式的合法正当必要;境外接收方所在国的数据保护水平及政策环境;出境数据的数量、范围、类型、敏感度及泄露等风险;数据安全与个人信息权益能否得到保障;相关合同是否充分约定了数据安全保护义务;以及整体的法律合规性。
3. 强制性的风险自评估义务
无论数据出境是否触发安全评估申报,所有数据处理者在向境外提供数据前,都必须自行开展风险自评估。自评估需涵盖出境的合法必要性、可能风险、境外接收方义务履行能力、合同条款充分性等关键要素,这是企业必须履行的前置合规步骤。
4. 评估有效期与动态管理
安全评估结果有效期为2年。在有效期内,若出境目的、方式、范围变更,或境外接收方数据处理政策发生重大变化,企业需重新申报评估。这意味着数据出境合规不是一劳永逸的,需要持续的动态监控与管理。
实务建议
- 立即开展数据出境情况摸底:梳理企业业务中涉及的数据出境场景、数据类型、数量、目的地及接收方。
- 对照五大触发场景进行自查:判断自身业务是否达到申报安全评估的门槛,避免因未申报而产生违规风险。
- 建立并执行数据出境风险自评估流程:将自评估作为任何数据出境前的强制性内部审查环节,并形成书面报告留存。
- 审阅并完善与境外接收方的合同:确保合同包含充分的数据安全保护责任条款,明确双方权利义务。
- 提前规划申报时间:安全评估法定审查周期为45个工作日,复杂情况可能延长,需为业务上线或合作留足合规时间。
- 建立数据出境变更管理机制:业务或数据处理方式发生变更时,及时判断是否需重新申报评估。
风险提示
- 误区:认为只有大型平台或CIIO才需关注。实际上,处理10万人个人信息或1万人敏感个人信息出境即可能触发评估,许多中小规模出海企业也可能触及。
- 误区:将风险自评估视为可选项。这是法律规定的强制性义务,未进行自评估即出境数据本身即构成违规。
- 注意事项:出境数据中的“重要数据”范围需结合行业和监管规定具体判断,企业应保持关注。
- 注意事项:与境外接收方的合同不能仅使用通用模板,必须包含满足中国法规要求的具体数据保护条款。
- 注意事项:评估有效期2年并非“安全期”,业务或数据处理的任何重大变化都可能触发重新评估。