数据出境需要哪些审批?哪些数据不能出境?数据出境合规如何落地?本文详解数据出境合规的法律要求和实务操作。
引言
随着跨境业务的增多,企业数据出境的需求不断增加。数据出境涉及国家安全、企业商业秘密和个人信息保护等多重法律问题,需要严格遵守相关规定。
一、数据出境的法律框架
我国已经形成了以《网络安全法》《数据安全法》《个人信息保护法》为核心的数据出境法律框架。
| 法律法规 | 核心内容 | 适用范围 |
|---|---|---|
| 《数据安全法》 | 数据出境安全管理 | 各类数据处理者 |
| 《个人信息保护法》 | 个人信息出境条件 | 个人信息处理者 |
| 《数据出境安全评估办法》 | 出境安全评估 | 关键信息基础设施运营者等 |
| 《个人信息出境标准合同办法》 | 标准合同备案 | 非关键信息基础设施运营者 |
二、必须通过安全评估的情形
根据相关规定,以下情形的数据出境必须通过国家网信部门组织的安全评估:关键信息基础设施的运营者向境外提供任何个人信息;处理一百万人以上个人信息的处理者向境外提供个人信息;自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的处理者向境外提供个人信息;国家网信部门规定的其他情形。
三、数据出境的合法路径
(一)通过安全评估
向国家网信部门申报数据出境安全评估,评估通过后方可出境。
(二)个人信息保护认证
通过专业机构进行个人信息保护认证,证明数据出境活动符合法律要求。
(三)标准合同
与境外接收方订立个人信息出境标准合同,并向省级网信部门备案。
(四)其他法定条件
法律、行政法规规定的其他条件。
四、数据出境安全评估的程序
| 阶段 | 具体内容 | 注意事项 |
|---|---|---|
| 申报准备 | 准备评估申报材料 | 全面真实 |
| 提交申请 | 向国家网信部门提交 | 通过省级网信部门 |
| 受理审查 | 评估机构审查材料 | 齐全性 |
| 实质评估 | 评估数据出境风险 | 全面性 |
| 出具结论 | 出具评估结论 | 严格性 |
| 复议救济 | 不服结论可申请复议 | 法定权利 |
五、数据出境的法律风险
| 风险类型 | 典型表现 | 法律后果 |
|---|---|---|
| 未经评估出境 | 未申报擅自出境 | 责令限期改正、罚款 |
| 虚假申报 | 提供虚假材料 | 撤销许可、罚款 |
| 违规传输 | 超出评估范围 | 罚款、吊销许可 |
| 泄密事件 | 出境数据被泄露 | 法律责任、刑事责任 |
| 损害国家利益 | 涉及国家安全数据 | 严重法律后果 |
六、企业数据出境合规建议
(一)建立数据分类分级制度
企业应当建立数据分类分级制度,明确哪些数据属于重要数据、敏感数据、关键数据,并对不同等级的数据采取不同的出境管控措施。
(二)开展数据出境评估
在数据出境前,企业应当自行开展数据出境风险评估,识别可能的风险点并采取应对措施。
(三)选择合法出境路径
根据自身情况选择合法的出境路径:符合安全评估条件的选择安全评估;不符合的可以选择标准合同或认证。
(四)签订规范的合同协议
与境外接收方签订符合法律要求的合同或协议,明确数据保护责任和义务。
(五)建立数据出境登记台账
企业应当建立数据出境登记台账,详细记录每次数据出境的情况,包括出境数据的内容、接收方、用途、传输方式等。
七、跨境数据传输的特别要求
(一)关键信息基础设施的运营者
关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。需要向境外提供的,应当通过国家网信部门的安全评估。
(二)数据本地化要求
某些行业和领域存在数据本地化要求:金融行业、电信行业、医疗行业等有特殊规定。
八、律师提示
数据出境合规是企业跨境业务的重要环节。建议企业在开展涉及数据出境的业务前,咨询专业律师和网络安全专家,评估合规风险并设计合规方案。如遇数据出境相关调查或处罚,及时委托专业律师协助处理。
本文仅供参考,不构成法律意见。具体问题请咨询专业律师。