适用场景
本指南适用于所有涉及个人信息跨境传输的中国出海企业,特别是那些不属于关键信息基础设施运营者,且处理或向境外提供个人信息数量未达到数据出境安全评估门槛的企业。企业在规划或已开展个人信息出境活动时,需关注并启动标准合同备案流程。
核心要点
1. 标准合同备案的适用范围与条件
明确了非关键信息基础设施运营者、处理个人信息数量及出境敏感信息数量未达安全评估门槛的企业,可通过签署并备案标准合同进行个人信息出境,或选择进行个人信息保护认证。此机制与安全评估互补,旨在覆盖更广泛的出境场景。
2. 个人信息出境的界定
个人信息出境不仅包括境内收集和产生的个人信息被传输至境外存储,也涵盖境内存储的个人信息可被境外机构、组织或个人访问、查询、下载或导出等情形。监管机构保留了对其他复杂出境活动进行认定的灵活性。
3. 备案流程与时限要求
企业需在标准合同生效之日起10个工作日内,向省级网信部门提交书面及电子版备案材料。备案流程包括材料提交、审查、结果反馈,以及可能需要的补充材料或重新备案,审查时限通常为15个工作日。
4. 备案结果与应对策略
备案结果分为“通过”和“不通过”两种。若备案不通过,企业将收到不通过通知及理由,并有10个工作日提交补充材料或重新备案。建议企业首次提交即力求完整准确,避免因不通过而面临合规风险。
5. 核心材料:个人信息保护影响评估(PIPIA)报告
个人信息保护影响评估(PIPIA)报告是备案的关键文件,其模板与数据出境安全评估的风险自评估报告在评估要素上高度一致。报告需详细说明评估过程、数据出境情况、对出境影响的评估以及境外接收方的安全保障能力等。
实务建议
- 尽早启动准备工作,包括全面梳理数据、撰写PIPIA报告、与境外接收方协商并签署标准合同。
- 首次备案务必提交完整且高质量的材料,力求一次性通过,避免因补充材料而延误或增加风险。
- PIPIA报告需在备案前三个月内完成,并确保报告内容在备案时无重大实质性变更。
- 授权备案负责人时,确保授权书在整个备案审查期间持续有效,并赋予其与监管机构沟通的充分权限。
风险提示
- 严禁通过拆分个人信息数量等方式规避数据出境安全评估,此举可能导致严重合规风险。
- 备案失败可能导致个人信息出境活动缺乏法律依据,企业可能被迫停止相关业务。
- 补充材料的提交时限较短(10个工作日),企业需高效响应,否则可能导致备案失败。
- 部分备案细节,如集团内不同实体间的数据传输是否可合并备案、委托处理方作为数据出境方如何签署标准合同等,尚待监管机构进一步明确。
- PIPIA报告的要求比GDPR下的数据传输影响评估(TIA)更为详细和具体,企业需投入更多精力准备。