这些案例警示:数据跨境传输不再是“技术问题”,而是“法律红线”。
在全球化的浪潮中,数据跨境传输已成为企业拓展国际市场的“必选项”,但稍有不慎,就可能因合规问题“翻船”。数据如何安全“出海”?本文结合现行法律法规与案例,拆解数据跨境传输的生存法则,帮助企业避开雷区、稳健航行!
1.数据分类分级:区分“普通包裹”与“危险品”
核心要求:
(1)根据GB/T43697-2024《数据安全技术数据分类分级的规则》规定,数据分为:
附图:数据分类分级
核心数据(如地理测绘信息、金融交易数据):原则上禁止出境。[3]
重要数据(如医疗健康数据、能源管网信息):需通过安全评估方可出境。
一般数据(如公开市场信息):可依标准合同或认证出境。
(2)企业需建立数据分类清单,明确跨境传输范围,并进行动态更新。
2.安全评估:出境的“通关文牒”
适用范围:
(1)处理100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息[4],或累计向境外提供10万人个人信息的企业[5],必须通过国家网信办安全评估。
(2)评估流程包括自评报告、省级初审、国家终审。
附图:数据出境安全评估申报门槛
3.标准合同与认证:合规的“双保险”
(1)标准合同:适用于中小规模企业(如非关键信息基础设施运营者;处理个人信息<100万人的;自上年1月1日起累计向境外提供个人信息不满10万人的;自上年1月1日起累计向境外提供敏感个人信息<1万人的),需使用网信办模板,明确双方权责。[6]
(2)安全认证:通过第三方机构(如中国网络安全审查认证中心CCRS)认证,可简化流程。
(3)动态更新:个人信息处理者与境外接收方订立的合同内容发生实质性变化时,需重新开展个人信息保护影响评估并补充或重新订立合同。[7]
4.单独同意:用户的“授权钥匙”
需以“显著方式”告知用户出境目的、接收方、数据类型,并取得单独同意(非捆绑式勾选)。[8]
5.技术保障:防黑客的“金钟罩”
加密与脱敏:采用AES-256加密、联邦学习等技术,确保数据匿名化。
王某与某咨询公司、某国际酒店公司个人信息保护纠纷案((2022)粤0192初6486号)
案情概要
王某通过某咨询公司运营的微信公众号购买了某国际酒店公司住宿服务,并在某国际酒店公司的移动应用APP上预定了境外酒店。预定过程中,王某点击勾选了某国际酒店公司的《客户个人数据保护章程》,并提交了姓名、国籍、电话号码、电子邮箱地址、银行卡号等个人信息。事后,王某发现依据《客户个人数据保护章程》规定,其提交的个人信息将被传送共享至全球多个地区和接收主体。王某认为两公司跨境处理中国公民个人信息行为违反相关规定,遂向广州互联网法院提起诉讼。
法院判决
广州互联网法院生效判决认为,被告公司为消费者预定域外酒店服务收集案涉个人信息,此种情况下的个人信息出境,属于履行合同必需,不须单独同意。经审理查明,被告公司在其《客户个人数据保护章程》中,未遵循公开透明原则,真实、准确、完整告知其处理规则,未能依法正确履行告知义务。另查明,被告公司基于商业营销目的,还向位于美国和爱尔兰的某第三方公司传输处理相关个人信息,该处理行为及其处理目的超出履行合同必需,也未向王某充分告知并取得其单独同意,属于违法处理行为,侵害了王某的个人信息权益,应当承担民事侵权责任
合规解析
在跨境个人信息处理场景中,核心合法性依据为《个人信息保护法》第三十九条规定的双重路径,即:
1、取得个人单独同意;
2、确属订立、履行合同所必需。
无论基于何种合法性基础,个人信息处理者均须严格履行《个人信息保护法》第十七条规定的充分告知义务,此为法定强制性义务。具体分析如下:
一、基于"个人单独同意"的合规要点
1、禁止概括性告知
本案被告所使用的《客户个人数据保护章程》采用"收集您的信息用于业务运营"等概括性告知条款,不符合《个人信息保护法》第十四条"事前充分、明确告知"的要求。
裁判规则延伸:用户对概括条款的勾选行为不构成有效的"单独同意"。
2、增强告知的触发条件
若跨境处理行为超出原告知范围(如新增共享对象、变更使用目的),则必须依据《个人信息出境标准合同办法》第八条重新履行增强告知义务,具体包括[9]:
·以弹窗等显著方式明示跨境场景
·逐项列明境外接收方名称、处理目的、数据类型
·提供"同意/拒绝"的独立勾选项
二、基于"履行合同必需"的免责边界
依据《个人信息保护法》第十三条,适用该条款需同时满足:
1、必要性:收集范围严格限于实现合同目的的最小必要(如跨境支付场景仅需银行卡号,不得收集生物识别信息);
2、不可替代性:该处理行为无法通过其他非个人信息处理方式实现合同目的;
3、风险可控性:已采取加密、去标识化等技术措施[10]。
三、合规建议
建议企业建立双轨制合规框架:
·对非必需数据(如用户行为画像)严格采用"单独同意+增强告知"模式;
·对必需数据实施《数据出境风险自评估指南》要求的"最小够用"技术验证,并留存审计日志备查。
合规不是成本,而是竞争力。
数据跨境传输的合规之路,既是法律要求,更是企业国际化经营的“通行证”。那些早早布局合规的企业,正在收获规避罚款、用户信任、国际市场准入的三重红利。
数据安全无小事,
合规方能行稳致远。
【注】
[1]《国家网络安全宣传周|网络与数据安全典型案例汇编(第一期)》:https://www.163.com/dy/article/JAK3HN6G0514R23C.html#
[2]人民法院报:https://www.chinacourt.org/article/detail/2024/11/id/8216859.shtml
[3]《工业和信息化领域数据安全管理办法(试行)》(工信部网安〔2022〕166号)第二十一条:工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。
[4]《促进和规范数据跨境流动规定》(国家互联网信息办公室令第16号)第七条:数据处理者向境外提供数据,符合下列条件之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
[5]《促进和规范数据跨境流动规定》(国家互联网信息办公室令第16号)第五条:数据处理者向境外提供个人信息,符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:(四)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
[6]《个人信息出境标准合同办法》第四条:个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形:(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供个人信息不满10万人的;(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。法律、行政法规或者国家网信部门另有规定的,从其规定。
[7]《个人信息出境标准合同办法》第八条
[8]《个人信息保护法》第三十九条:个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
[9]《GB/T 42574—2023 信息安全技术 个人信息处理中告知和同意的实施指南》
[10]《GB/T 35273—2020 信息安全技术个人信息安全规范》7.3