个人信息跨境提供中的企业合规

摘要

企业在实施个人信息境外提供行为时，须建立完善的专项合规计划，否则既可能无法完成相关跨境业务，也可能因个人信息跨境流动违规而遭受行政处罚或刑事追诉风险。企业应以前提条件、目的条件、内部条件、外部条件为主体内容，构建个人信息跨境提供的专项合规计划。从前提条件来看，企业需要以可识别性、相关性等要素为基础有效甄别个人信息；从目的条件来看，企业须围绕“因业务等需要”的目的限定原则确立个人信息跨境流动的必要范围；从内部条件来看，企业需从自然人处取得对其个人信息向境外提供的有效授权，遵循“知情-同意”规则设置的各项标准；从外部条件来看，企业需结合自身类型等因素选择适用“安全评估”“个人信息保护认证”“订立标准合同”等法定条件。个人信息跨境提供的法律关系复杂、环节众多，企业在个人信息跨境提供专项合规计划中应任命专门的个人信息保护负责人，将其纳入合规管理部门，制定个人信息跨境流动的企业政策和内部规则，监督企业员工和境外接收方在个人信息跨境提供活动的合规性。