跨境数据传输合规:数据本地化存储要求、标准合同条款(SCCs)应用、数据出境安全评估触发条件
各位同学,今天我们来聊一个让很多Android开发者头疼的话题——跨境数据传输。说实话,我刚入行那会儿,觉得数据放哪儿不都一样吗?直到有一次,我们App的用户数据被自动同步到了海外服务器,结果被监管部门约谈……嗯,从那以后,我再也不敢小看这个环节了。
跨境数据传输,说白了就是你的App收集的用户数据,能不能放到国外去?如果能,怎么放才合法?今天我就把这块的硬骨头给大家啃下来。
一、数据本地化存储要求:不是所有数据都能“出国”
先说说数据本地化。这个概念其实很简单:某些数据必须留在中国境内,不能传出去。
哪些数据必须本地化?
- 个人信息:根据《个人信息保护法》,处理个人信息达到一定规模的,原则上应当在境内存储。
- 重要数据:比如金融、医疗、交通等领域的数据,必须本地化。
- 关键信息基础设施运营者(CIIO)的数据:这类企业收集的个人信息和重要数据,原则上不得出境。
核心原则:能本地存,就别往外传。这是最安全的做法。
我在项目中遇到过一家做跨境电商的App,他们想把用户订单数据直接存到AWS新加坡节点。我一看,这不行啊——订单数据里包含用户姓名、电话、地址,这属于个人信息,而且业务规模已经达到了“处理100万人以上个人信息”的标准,必须本地化存储。最后我们改成了国内服务器做主存储,海外节点只存脱敏后的分析数据。
二、标准合同条款(SCCs)应用:给数据出境上个“保险”
如果确实需要把数据传出去,怎么办?别急,国家给了你一条路——签标准合同。
什么是SCCs?
标准合同条款(Standard Contractual Clauses,简称SCCs)是网信办发布的模板合同。数据出境方和境外接收方签了这个合同,就相当于承诺了数据保护义务。说白了,就是给数据出境上个法律保险。
什么时候用SCCs?
- 你不是CIIO
- 处理个人信息未达到“100万人”或“10万条敏感个人信息”等门槛
- 数据出境属于“一般情况”,不需要走安全评估
我的建议:SCCs不是签了就完事了。你得确保境外接收方真的有技术能力履行合同义务。我曾经见过一家公司签了合同,结果对方连基本的数据加密都没做……这种合同签了也白签。
SCCs的核心条款包括:
- 数据保护义务(境外方必须采取同等保护措施)
- 数据主体权利(用户有权查询、更正、删除)
- 违约责任(境外方违规,你也要担责)
- 监管配合(接受中国监管机构检查)
三、数据出境安全评估触发条件:什么时候必须“过审”?
有些情况,光签合同不够,你得先过安全评估。这就像出国签证,不是谁都能免签的。
触发安全评估的条件:
| 场景 | 触发条件 |
|---|---|
| CIIO | 任何数据出境都必须安全评估 |
| 处理100万人以上个人信息 | 数据出境必须安全评估 |
| 累计向境外提供10万人以上个人信息 | 数据出境必须安全评估 |
| 累计向境外提供1万人以上敏感个人信息 | 数据出境必须安全评估 |
| 其他情形 | 网信办认为有必要评估的 |
注意:安全评估不是走形式。你得提交自评估报告、数据出境方案、境外方保护能力证明等材料。我曾经帮一家金融科技公司准备评估材料,光数据映射表就整理了两个月……
四、知识体系总览:一张图看懂跨境数据传输合规
下面这张图是我自己整理的,把整个逻辑串起来了。你想想看,从数据分类开始,到判断是否本地化,再到选择出境路径,每一步都有明确规则。
五、实战中的避坑指南
讲完理论,我分享几个实际踩过的坑。
坑1:以为用了海外云服务就万事大吉
我曾经遇到一个团队,他们把数据存在AWS中国区,觉得“反正AWS是国际大厂,合规肯定没问题”。结果呢?AWS中国区的运营方是光环新网,数据仍然在中国境内,但他们的合同条款里写的是“数据可能传输至美国总部”……这就触发了安全评估条件。最后我们不得不重新签合同,明确数据不离开中国。
坑2:忽略“间接出境”
你的App用了第三方SDK,这个SDK把数据传到了海外——这也算跨境数据传输!我见过一个社交App,集成了某海外推送SDK,结果用户设备信息、IP地址全被传到了欧洲。嗯,这锅你得背,因为你是数据控制者。
我的建议:在集成任何第三方SDK之前,先问清楚:数据存哪儿?会不会出境?如果会,对方有没有SCCs或者安全评估?把这些写进合同里。
坑3:以为签了SCCs就一劳永逸
SCCs不是免死金牌。你得定期检查境外接收方是否真的履行了合同义务。我建议每半年做一次合规审计,看看对方的数据保护措施有没有变化。如果对方换了服务器位置或者增加了数据处理方,你得重新评估。
六、总结一下
跨境数据传输合规,说白了就是三件事:
- 能本地存,就别往外传——这是最省事的
- 必须传,先看要不要安全评估——别硬闯
- 不需要评估,就签SCCs——但别忘了持续监督
我在做合规咨询时,经常跟团队说一句话:数据出境不是技术问题,是法律问题。技术上你一秒就能把数据传到地球另一端,但法律上你可能要花几个月才能拿到“通行证”。所以,提前规划,别等上线了才补课。
好了,这一章的内容就到这里。记住,合规不是束缚,而是保护——保护你的用户,也保护你自己。
公众号:蓝海资料掘金营,微信deep3321