一、数据出境怎么合法?三条路径:安全评估、标准合同、认证
数据出境合规是《个人信息保护法》《数据安全法》《网络安全法》共同构建的监管体系中最复杂、也是企业违法风险最高的领域之一。我国目前为企业提供了三条合法向境外提供数据的路径:通过国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、按照标准合同与境外接收方订立合同。这三条路径的适用门槛和程序要求各不相同,企业需要根据自身的数据处理规模和数据类型来选择适合的路径。
三条路径的选择遵循"阶梯式"逻辑。最严格的路径——数据出境安全评估——适用于处理大规模个人信息或者重要数据的企业。根据《数据出境安全评估办法》,关键信息基础设施运营者、处理一百万人以上个人信息的数据处理者、自上年1月1日起累计向境外提供十万人以上个人信息或者一万人以上敏感个人信息的数据处理者,必须通过数据出境安全评估。对于不满足上述门槛的普通企业,可以选择标准合同或者认证路径。这种"管住大的、放活小的"的监管思路,体现了精准监管和比例原则的平衡。
二、什么情况必须走安全评估?重要数据和关键信息基础设施运营者是红线
安全评估是三条路径中审查最为严格的,由国家网信办统一组织。申报安全评估需要提交的材料包括:申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件、安全评估工作需要的其他材料。评估的核心内容包括:数据出境的目的、范围、方式的合法性、正当性和必要性;境外接收方所在国家或地区的数据保护法律环境对出境数据安全的影响;数据处理者与境外接收方订立的法律文件中约定的数据安全保护责任和义务是否充分;数据处理者和境外接收方的数据安全保障能力。
安全评估的有效期为两年。有效期届满或者在有效期内出现影响数据出境安全的情况时,需要重新申报评估。实务中企业最大的难点在于自评估报告的撰写——自评估要求企业全面盘点出境数据的类型、数量、范围、目的和接收方的情况,许多企业在数据资产梳理环节就遇到了困难。荣郑律师在2024年参与湖北省数据局数据资产入表项目,对企业数据资产盘点有丰富的实践经验,可以帮助企业高效完成自评估环节。
三、中小企业数据出境首选标准合同备案——流程怎么走?
对于不需要走安全评估路径的企业,标准合同备案是目前最便捷的数据出境合规路径。国家网信办发布的《个人信息出境标准合同办法》提供了标准合同范本,企业无需自行起草——直接使用范本与境外接收方签署即可,签署后在个人信息出境活动发生前向省级网信办备案。与安全评估的"审批制"不同,标准合同备案采用"备案制",程序上更为简便。
但标准合同不是"签了就完事"。企业需要在签署标准合同前完成个人信息保护影响评估,评估内容与安全评估中的自评估有相似之处。另外,备案后如果数据出境的目的、范围、类型、敏感程度、境外接收方等发生变化,或者延长个人信息境外保存期限的,需要重新签订标准合同并重新备案。最大误区是认为"已经签了标准合同就可以一直用"——标准合同是动态的文件,需要随着企业数据出境实际情况的变化而更新。
四、认证路径:面向特定场景的专业选择
认证路径目前主要适用于跨国集团公司内部的数据跨境传输等特定场景,由国家网信办认可的认证机构执行。认证的核心是评估数据处理者在数据处理全生命周期中是否符合个人信息保护的要求——包括数据收集、存储、使用、加工、传输、提供、公开、删除等各个环节。通过认证后,认证机构会持续对数据处理者进行监督审核。
认证路径的优势在于灵活性——它可以针对特定行业、特定场景进行定制化的认证方案;缺点在于认证标准较高且认证机构较少,企业寻找合适的认证机构可能需要较长时间。目前实践中选择认证路径的企业相对较少,大多数企业倾向于标准合同路径。
