中国跨境数据传输合规性

数据出境合规 是企业开展跨境业务的关键。自信应对中国跨境数据传输监管要求,保障业务安全,实现全球合规运营。

为什么数据出境合规至关重要?

  • 法律要求:中国《个人信息保护法》(PIPL)与《数据安全法》对跨境数据传输实施严格监管,若不合规,企业将面临高额罚款及法律责任。
  • 业务连续性:数据出境合规是企业开展全球运营、采用云服务、服务国际客户的基础保障。
  • 声誉与信任:合规经营有助于增强合作伙伴、客户及全球监管机构的信任,树立企业可信品牌形象。
  • 风险防控:通过合法合规地传输数据,企业可有效规避罚款、业务中断及声誉受损等严重后果。
  • 竞争优势:提前实现数据出境合规,有助于企业顺利与跨国客户和合作伙伴开展业务,提升市场竞争力。

数据出境合规 法律框架

数据出境合规
  • 《个人信息保护法》 (PIPL): 明确规定将个人信息出境必须满足严格要求。
  • 《数据安全法》 (DSL): 对重要数据和核心国家数据的跨境传输设定严格监管。
  • 《网络安全法》 (CSL): 针对网络运营者和关键信息基础设施。
  • 《网信办条例》: 国家互联网信息办公室(CAC)作为监管机构,负责解释、执行以上法律,并发布具体实施细则、指南和申报流程。

数据出境合规的主要法律途径

  • 数据出境安全评估:大规模个人信息处理、敏感个人信息,或传输被定义为“重要数据”时,需向国家网信办申请进行数据出境安全评估。
  • 标准合同:对于大多数日常的个人信息跨境传输场景,企业可采用由国家网信办制定的标准合同模板,与海外接收方签署后完成备案。

数据出境合规 常见业务场景

  • 使用全球云或 SaaS 平台(例如 Salesforce、AWS、Microsoft 365)
  • 境外员工或合作伙伴远程访问国内系统
  • 向海外总部或关联公司传输数据
  • 开展国际电商、跨境物流或支付业务
  • 跨境研发、数据分析或技术支持

数据出境合规 关键要求

  • 在任何跨境传输之前,需开展个人信息保护影响评估 (PIPIA)。
  • 个人信息出境,需从信息主体处获得明确、知情的同意。
  • 选择并实施正确的法律途径:政府安全评估、标准合同或认证机制。
  • 按规定将相关文档和合同报送国家互联网信息办公室(CAC)备案 。
  • 实施稳健的技术和组织性安全保障措施,确保数据安全与隐私保护。

数据出境合规 分步流程

  1. 场景评估:识别数据流动路径、具体业务场景及对应的法律合规要求。
  2. 影响分析:开展个人信息保护影响评估(PIPIA),记录潜在风险及缓解措施。
  3. 路径选择:判断是否需进行政府安全评估、签署标准合同,或通过认证机制。
  4. 合规整改:解决安全、隐私保护和文档方面的缺口,确保合规性。
  5. 备案与审批:根据要求向国家网信办(CAC)或相关主管部门提交所需材料,并获取审批或备案确认。。
  6. 持续监控:业务或法规发生变动时,及时更新评估报告,确保持续合规。

应对这些合规要求过程复杂、法规严谨。——我们的专家团队可协助您选择正确路径、准备合规文档,并确保数据跨境流动安全、合规、顺畅。

不合规的风险

  • 最高可处5000万元罚款,或按上一年度营业额的5%计罚(以高者为准)
  • 面临业务暂停、资质吊销等行政处罚
  • 企业声誉受损,客户与合作伙伴信任流失
  • 相关责任人可能承担法律责任甚至刑事责任

真实案例

深圳市华大基因技术服务有限公司非法将基因数据转移到境外。

常见问题

问:

收集的数据是否来自中国?

答:

  • 数据处理者不限于在中国注册的实体。它适用于任何向中国提供服务并从中国收集数据的实体。
  • 若数据为中间数据,且未在中国境内处理,则不适用于相关数据出境合规要求。

问:

如何定义“跨境数据传输”?

答:

  • 包括:
  • 服务器托管在中国境外,中国境内公司通过客户端或浏览器输入数据。
  • 数据存储在中国,但同步或传输至海外总部,或总部可按需远程访问/读取该数据(即使数据仍托管在中国)。
  • 香港、澳门和台湾在涉及出入境管理要求时,亦被视为“境外”。
  • 向外国公司驻中国代表处传输数据,同样适用数据出境的监管要求。

问:

企业应选择哪种合规方式?

答:

标准合同和安全评估是两种不同的合规路径。若满足评估触发条件(如传输重要数据、大量个人信息等),必须进行安全评估,并同时签署标准合同。
若不满足评估条件,仅传输一般个人信息,可通过标准合同备案完成合规。

问:

谁可以使用标准合同?

答:

  • 将重要数据出境的数据处理者; 
  • 非关键信息基础设施运营者,或处理超过100万个人个人信息的数据处理者,且上述任何一种情况均未将个人信息出境; 
  • 非自上一年度1月1日起累计向境外提供个人信息超过10万个人,或敏感个人信息超过1万个人的数据处理者;
  • 国家网信部门要求对数据出境进行安全评估的其他情形。

总结:标准合同适用于不满足安全评估触发条件的数据处理者。

问:

如果不需要网信办的安全评估,标准合同就足够了吗?

答:

不够。法规明确指出,标准合同不是唯一合规要求。如果企业符合安全评估的触发条件,仍必须进行数据出境安全评估。反之,仅做了评估但涉及个人信息出境,仍需签署标准合同以满足完整合规路径。因此,我们建议:如条件触发,应同时完成标准合同与安全评估。

我们如何提供帮助

  • 提供中国数据出境法律法规及合规实践的专家咨询指导
  • 协助开展个人信息保护影响评估(PIPIA),并支持相关文档撰写
  • 制定并执行合规整改方案,补齐安全与管理短板
  • 负责向网信办提交备案材料并沟通协调审批流程
  • 提供持续合规管理服务,应对业务变化与法规更新

想了解更多有关我们的数据出境合规服务吗?

您可以预约与我们面对面交流,或由我们的专家团队前往您的公司进行现场合规评估,共同探讨您的数据安全与合规需求。