适用场景
本指南面向提供重要互联网平台服务、用户数量巨大、业务类型复杂的中国出海企业,尤其适用于被认定为或可能被认定为“守门人”、“大型互联网平台”或“超级平台”的企业。无论企业处于全球化扩张初期,还是已在全球范围内开展业务并面临数据出境合规整改期,均需重点关注。
核心要点
1. 识别“守门人”身份与特征
“守门人”目前尚无明确量化标准,但通常指提供重要互联网平台服务、用户数量巨大、业务类型复杂的企业。企业可参考用户规模(如5000万或5亿活跃用户)、业务广度、市场体量及对互联网生态的控制力等因素进行自我评估,判断是否可能被认定为“守门人”或类似的大型平台主体。
2. 数据出境路径与关联义务
“守门人”因其特性,常与“重要数据”、“关键信息基础设施运营者”(CIIO)以及处理百万级以上个人信息等概念密切关联。这意味着此类企业的数据出境活动极高概率需通过最严格的“数据出境安全评估”路径,并可能面临在境内存储所收集和产生的个人信息的特殊义务。
3. 多部门协同监管与强化责任
“守门人”的数据出境合规受网信部门、市场监督管理部门、国家安全机关等多部门共同监管。企业需承担更严格的平台主体责任,包括建立健全数据安全审查与内控机制、定期进行风险评估与第三方审计、以及在特定情况下(如掌握百万用户数据赴国外上市)申报网络安全审查等。
4. 全球视野下的数据流动规划
“守门人”的全球业务布局要求其从全球视野审视数据出境合规,不仅要关注中国法规,还要全面梳理境外接收国或目标市场的数据安全和隐私保护要求。这包括评估境外数据环境、寻找国际协定或便捷出境机制,并进行全面的战略性数据流动方案设计。
5. 主动沟通与风险应对
鉴于“守门人”数据出境合规的复杂性和高风险性,企业应采取从严态度,主动与监管部门进行沟通,确保整改方案和自评估方案符合监管预期。同时,需充分评估安全评估不通过或无法按期完成整改的风险,并提前设计备选方案或应急预案,以保障业务连续性。
实务建议
- 构建全球数据出境全景图,重新审视并优化数据存储方案和IT架构。
- 成立由最高层领导的数据出境专项小组,从战略、成本、风险等多维度规划全球数据流动方案。
- 全面盘点企业内部所有数据跨境业务场景,明确数据规模、种类、敏感度及境外接收方处理情况,并告知关联方配合义务。
- 充分利用市场上的数据出境安全评估工具,提高数据出境场景梳理、监测和技术保障的效率。
- 深入梳理境外接收国或目标市场的数据合规要求,包括数据本地化存储规定,并评估是否存在国际协定或便捷出境机制。
- 针对2021年1月1日以来的数据出境情况,设计多元化、针对性的整改方案,包括数据匿名化、销毁或业务本地化部署等。
- 提前评估数据出境安全评估不通过或整改期内无法完成的风险,并准备替代方案或备选方案,必要时向监管部门申请延期。
- 主动进行网络安全审查申报评估,尤其关注数据出境是否存在国家安全风险,并停止不必要的数据出境活动。
- 提前、主动与监管部门沟通整改方案和自评估方案,确保理解一致,以从严态度拥抱监管,保障评估顺利进行。
风险提示
- “守门人”定义尚不明确,企业需密切关注相关法规动态,并结合自身情况进行审慎判断。
- 高概率触发数据出境安全评估,该路径要求最为严格,准备周期长,需投入大量资源。
- 可能面临数据本地化存储要求,对全球业务布局和IT架构带来挑战。
- 多部门协同监管,合规义务复杂且可能存在交叉,需全面考量。
- 整改期短,工作量巨大,若无法按期完成可能面临业务中断风险。
- 海外上市可能触发网络安全审查,需提前规划和申报。