适用场景
所有涉及向境外提供个人信息的中国出海企业,尤其是在跨国公司内部进行数据传输或境外主体直接处理境内个人信息的场景。
核心要点
1. 认证是三大合规路径之一
根据《个人信息保护法》,向境外提供个人信息需满足安全评估、安全认证或签署标准合同三者之一。安全认证是一种国家推荐的自愿性机制,旨在证明跨境处理活动符合中国法规要求。
2. 适用场景广泛,申请主体明确
认证适用于各类个人信息跨境处理活动。申请主体必须是境内法人,对于跨国公司内部传输,由境内一方申请;对于境外处理者直接处理境内信息,由其在中国境内设立的专门机构或指定代表申请。
3. 遵循六大基本原则
跨境处理活动需遵循合法正当必要诚信、公开透明、信息质量保障、同等保护、责任明确及自愿认证六大原则。其中,同等保护原则要求境外接收方的保护水平不低于中国标准。
4. 组织管理与协议要求具体
要求个人信息处理者与境外接收方均需指定个人信息保护负责人并设立保护机构。双方必须签署具备法律约束力的协议,协议内容需明确处理详情、双方责任、争议解决及接受中国法律管辖等核心条款。
5. 必须开展影响评估并制定处理规则
在个人信息出境前,必须进行个人信息保护影响评估并形成报告,报告至少保存3年。同时,需制定明确的个人信息跨境处理规则,涵盖数据基本情况、目的、存储期限、安全保障措施及安全事件处置等内容。
实务建议
- 首先进行数据出境路径判断:评估自身是否触发强制安全评估条件(如CIIO、处理百万人以上信息等),若未触发,方可考虑选择认证或标准合同路径。
- 明确申请主体:若为跨国公司内部传输,由境内实体作为申请方;若为境外公司直接服务中国用户,需确保其在中国境内设有指定代表或专门机构并由其申请。
- 完善内部治理:立即着手指定符合要求的个人信息保护负责人(决策层成员),并组建跨部门的个人信息保护机构,明确其职责。
- 签署完备法律协议:与境外接收方签订协议时,务必包含双方基本信息、处理详情、责任义务、争议解决、接受中国管辖及认证机构监督等《认证规范》要求的全部条款。
- 系统开展合规动作:按照规范要求,制定书面的个人信息跨境处理规则,并对拟出境的个人信息活动开展全面的保护影响评估,妥善保存评估报告。
风险提示
- 切勿混淆不同合规路径:安全评估、安全认证和标准合同适用条件不同,选择前必须进行准确判断,错误选择可能导致出境活动不合规。
- 责任主体并非仅为境内方:虽然由境内主体申请认证并承担主要法律责任,但境外接收方同样受认证机制约束,需在协议中明确其承诺与义务。
- 协议内容不能缺项:与境外接收方签署的法律文件必须涵盖《认证规范》列出的所有要点,特别是接受中国法律管辖和监督的条款,缺项可能影响认证通过。
- 组织架构要求是硬性规定:无论企业规模大小,只要选择认证路径,就必须设立个人信息保护负责人和保护机构,不能以已有其他部门为由省略。
- 影响评估不可流于形式:评估报告需详细、具体,并至少保存3年以备查验,敷衍了事的评估无法满足合规要求,也无法通过认证审核。