适用场景
面向所有涉及处理中国境内自然人个人信息的出海企业,特别是业务涉及向境外提供数据、或在境外分析评估境内用户行为的企业,在业务启动或数据跨境活动前需重点关注。
核心要点
1. 认证制度的性质与定位
个人信息跨境处理活动认证是中国《个人信息保护法》规定的数据出境合规路径之一,属于国家推荐的自愿性认证。目前,具体的认证机构、实施程序和有效期等执行细节尚待国家网信部门进一步明确,企业需持续关注后续规则。
2. 广泛的适用情形
认证规范不仅适用于传统的“数据出境”场景,还适用于《个人信息保护法》的“长臂管辖”情形。这意味着,即使企业主体在境外,只要其处理境内自然人个人信息的目的涉及向境内提供产品或服务、或分析评估境内自然人行为,就可能需要遵循该认证要求。
3. 认证主体的特殊性
与欧盟将境外数据接收方作为认证主体不同,中国的认证主体要求落在境内。这通常意味着,应由境内一方的个人信息处理者,或境外处理者在境内设置的专门机构或指定代表,来作为申请和承担责任的认证主体。
4. 认证的核心要求
申请认证需满足多项实质性要求,包括签订具备法律约束力的文件、设立个人信息保护负责人与专职机构、遵守个人信息处理规则,并完成个人信息保护影响评估。其中,具有法律约束力的文件是认证的基础条件。
5. 与标准合同的关系
虽然认证规范未明确要求必须签署标准合同,但鉴于国家网信部门已推出《个人信息出境标准合同规定》,签署标准合同很可能成为认证过程中评判法律文件合规性的重要参照或隐性要求,企业需予以重视。
实务建议
- 立即开展数据映射:梳理业务中涉及的个人信息跨境流动情况,明确数据发送方、接收方、数据类型、传输目的与路径。
- 确定境内责任主体:若涉及境外处理境内信息,应尽早规划并设立境内的专门机构或指定代表,以履行认证申请及后续合规责任。
- 提前准备法律文件:参照《个人信息出境标准合同(征求意见稿)》等模板,与境外接收方起草并签订权责清晰、具备强制执行力的法律文件。
- 建立内部治理架构:任命个人信息保护负责人,设立或指定内部机构(如DPO部门)负责跨境处理活动的合规管理与监督。
- 进行保护影响评估:对拟进行的个人信息跨境处理活动开展评估,识别风险并制定相应的安全保护措施。
- 关注规则动态:密切留意国家网信部门关于指定认证机构、发布认证实施细则等后续通知,以便及时调整合规策略。
风险提示
- 误区:认为公司注册在境外或服务器在境外就不受中国数据出境规则约束。实际上,只要处理中国境内自然人信息用于特定目的,即可能触发合规义务。
- 误区:将“认证”简单理解为一次性证书获取。认证更应被视为一个需要持续满足内部治理、协议约束和监管要求的动态合规过程。
- 注意:认证规范与安全评估、标准合同是并列的合规路径,企业需根据自身情况(如数据量、敏感程度)选择适用,并注意不同路径间的交叉要求。
- 注意:与境外接收方签订的法律文件至关重要,其内容需确保能约束境外方遵守中国法规,并明确中国监管机构的管辖权和个人的救济权利。
- 注意:即使最终不申请认证,规范中关于内部管理、协议签订、影响评估等要求,也反映了监管对跨境数据处理活动的普遍期望,具有重要参考价值。