企业数据合规：个人信息出境三种路径该如何选择？

随着近期数据出境领域相关标准规范的密集发布，数据出境已经成为目前数据合规领域最炙手可热的主题之一。

在《网络安全法》、随着近期数据出境领域相关标准规范的密集发布，数据出境已经成为目前数据合规领域最炙手可热的主题之一。在《网络安全法》、《数据安全法》中已经对数据出境行为进行了初步规定，在2021年11月生效的《个人信息保护法》中，更是开辟专章细化了个人信息跨境提供的规则，并在第三十八条规定了个人信息处理者向境外提供个人信息的三种路径：

（一）通过国家网信部门组织的安全评估；

（二）经专业机构进行个人信息保护认证；

（三）与境外接收方订立合同。

在上位法的宏观要求下，目前对应三种路径的实施规范也相继出炉。2022年7月7日，国家互联网信息办公室（以下简称“国家网信办”）发布了《数据出境安全评估办法》（以下简称《办法》），明确了数据处理者向境外提供数据时需要向国家网信部门申报安全评估的情形、内容、流程等。

2022年11月18日，国家市场监督管理总局、网信办发布《关于实施个人信息保护认证的公告》（以下简称“保护认证”），同时公布了附件《个人信息保护认证实施规则》。

2023年2月24日，国家网信办发布了《个人信息出境标准合同办法》（以下简称“《标准合同办法》”）及其附件《个人信息出境标准合同》（以下简称“《标准合同》”）。

至此，《个保法》第三十八条下的三种个人信息出境路径皆已明晰。对于有数据出境需求的相关企业和机构而言，应当结合自身的出境业务场景以及不同类别的数据，因地制宜地选择适用最适合自己的出境路径。

数据出境的三种路径对比

数据出境的每条路径都涉及不同的程序和要求，需要准备的材料及处理周期也略有不同。值得注意的是，数据出境安全评估由于具有法定强制性，因此应优先适用，一旦触发评估要求，必须向网信部门申报数据出境安全评估。只有在未触发安全评估的情况下，才可选择“保护认证”或“标准合同”作为出境的合法依据。三种路径具体对比如下：

数据出境安全评估的实务要点

关于数据出境安全评估，根据网信办发布的《数据出境安全评估办法》及《数据出境安全评估申报指南（第一版）》中的要求，全流程的申报工作重点如下图所示：

在具体实践中，结合我们在项目中工作的相关经验，建议企业在申报数据出境安全自评估过程中重点关注以下几个要点：

（1）动态关注企业可能触发安全评估的条件。如对跨国企业而言，首先，跨国企业在统计个人信息数量时需先考量在公众号、小程序、App或淘宝、天猫渠道收集个人信息的数量，往往公众号或者淘宝店铺的关注用户很容易触及100万个人信息的红线，便满足了申报条件。

其次，由于跨国集团境外总部集中管理的需要，可能会采用境外系统集中管理人力资源数据，如涉及员工或应聘者的（敏感）个人信息出境，数量也很容易触发安全评估的申报条件。

除此之外，由于企业处理个人信息的数量处于不断变化的状态，建议企业持续关注年度累计处理的个人信息数量，如有可能达到安全评估所要求的量级，可以提前为申报安全评估做好准备。

（2）对数据出境相关事宜进行内部培训。企业在开展数据出境风险自评估之前，宜提前在公司内部进行宣贯培训，或是以邮件的方式通知相关部门，向其科普当前法律背景下数据出境安全评估的紧迫性和重要性。

这有利于安全自评估小组更清晰地梳理数据出境场景、撰写自评估报告，同时，也有利于管理层更便利地协调不同业务部门，使得相关人员在访谈中更全面、具体地披露其所了解的情况。

（3）留足充分的时间与境外关联机构进行沟通。企业在开展数据出境风险自评估时，建议尽快梳理好企业内部的岗位分工架构、数据安全制度、数据安全技术能力、数据安全保障措施有效性证明及与境外的法律文件（数据处理协议）。

对于跨国企业而言，这些材料大部分需要与境外总部沟通、确认，实践中境外总部往往很难理解提供上述材料的必要性，故建议企业提前预留时间向境外获取材料，避免在报告即将完成时因材料不足影响后续工作。

（4）紧跟监管动态及时响应补充要求。企业在完成数据出境风险自评估之后，需先通过省级网信部门的完备性评估，再进入国家网信部门的受理环节和实质性审查。

企业在提交安全评估的准备申请材料，以及进入申请流程后的补充、更正材料时，应格外注意保证材料的真实性。另外，应在评估有效期持续监督，跟踪个人信息变化状况，视情况进行重新评估，若有效期届满或触发特定情形而未重新申请评估的，继续出境将被认定为违法。

个人信息保护认证的合规要点

2022年6月24日，信安标委发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》（以下简称“《认证规范V1.0》”），《认证规范V1.0》是我国首个个人信息保护认证方面的标准技术文件。

12月16日，信安标委再次发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》（下称“《认证规范V2.0》”），为个人信息跨境处理安全认证的落地提供标准化实践指引，为企业数据出境提供了新方案。

《认证规则》对个人信息保护认证实施程序做出了详细规定，规定获得认证需经过“认证申请-技术验证-现场审核-获证后监督”等一系列环节。具体流程如下图所示：

《认证规则》是个人信息保护领域首个综合性认证规范，在实践中仍面临着许多未知的挑战，我们总结了实践中可能需要关注的重点问题如下：

（1）认证依据：个人信息处理者不仅应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求，还需符合TC260-PG-2-222A《个人信息跨境处理活动安全认证规范》的要求。

（2）组织管理：《认证规范V2.0》明确要求，开展个人信息跨境处理活动的个人信息处理者与境外接受方均需既要指定个人信息保护负责人，又要设立个人信息保护机构。

（3）处理规则：根据《认证规范V2.0》，处理规则包括跨境处理个人信息的基本情况、目的、方式和范围、存储时间、中转国家、保障个人信息主体权益所需资源和措施及个人信息安全事件的赔偿、处置规则，且个人信息跨境处理者和境外接收方应约定并共同遵守同一个人信息跨境处理规则。

（4）个人信息保护影响评估：个人信息处理者应对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估，并形成个人信息保护影响评估报告，评估报告至少保存3年，与《个保法》的要求进行了衔接。

（5）获证后监督：个人信息处理者需要重点关注获证后认证机构的持续监管。通过认证仅能代表认证时符合相关标准规范，并不能一劳永逸，《认证规则》4.5.1规定，认证机构应当在认证有效期内，对获得认证的个人信息处理者进行持续监督，并合理确定监督频次。

个人信息处理者在通过个人信息保护认证后，还应进行必要的管理与技术投入，以确保“持续符合”各项监督评价要求。

（6）有效期内变更：若获得认证的个人信息处理者名称、注册地址，或认证要求、认证范围等发生变化时，认证委托人应当向认证机构提出变更委托。

标准合同条款的合规要点

2023年2月24日，国家网信办发布了《个人信息出境标准合同办法》及其附件《个人信息出境标准合同》，于2023年6月1日起施行，反映了尊重国际规则又适应中国国情的个人信息出境监管体系的新发展。以下是对《办法》的重点解读：

（1）适用范围限制：《办法》对于能够采取《标准合同》实施个人信息跨境的主体范围进行了非常明确的界定，包括：非关键信息基础设施运营者；处理个人信息不满100万人的；自上年1月1日起累计向境外提供个人信息不满10万人的；自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

个人信息处理者必须同时满足上述四项条件，才能够选择《标准合同》作为出境依据。且《办法》中特别明确“禁止个人信息处理者采取数量拆分等手段，规避数据出境安全评估”，所以将个人信息拆分至不同的公司实体、不同的时间周期都是不可取行为。

（2）合同内容限制：《标准合同》第九条规定，个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同如与《标准合同》冲突，《标准合同》条款优先适用，且个人信息处理者和境外接收方不能对《标准合同》的内容进行调整或删减，否则将视为未签订《个人信息保护法》第38条规定的标准合同。

若各方确需对个人信息的出境情况进行补充，补充条款不得与《标准合同》相冲突，且不得规定低于《标准合同》设置的义务和责任，特别是不得对个人信息主体的权利及其行使设定任何障碍或限制。

（3）生效条件：《办法》第七条要求个人信息处理者应当在《标准合同》生效之日起10个工作日内向所在地省级网信部门备案。该条明确了《标准合同》的生效不依赖于备案或任何前置条件，即使未备案，也不影响合同本身的有效性，标准合同生效后即可开展个人信息出境活动。

（4）备案限制：个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案应当提交以下材料：（一）标准合同；（二）个人信息保护影响评估报告。如果在合同有效期内发生重大的约定事项变化，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新签订《标准合同》并备案。

（5）过渡期：《标准合同办法》将于2023年6月1日施行，并为相关个人信息处理者设置了6个月的过渡期。适用《标准合同办法》的个人信息处理者如选择签署《标准合同》，需在过渡期结束前签署并完成《标准合同》的备案手续。

（6）有效期：标准合同没有期限规定，企业可以在标准合同中自主约定合同的有效期。但签订标准合同并备案也并非一劳永逸，在发生一定变化的情况下，企业应重新开展自评估、补充或重订标准合同、并履行备案手续。

（7）流程限制：个人信息处理者可参考如下流程通过签署《标准合同》向境外提供个人信息：

企业选择合规出境路径的建议

步骤一：

（1）是否构成关键信息基础设施运营者，或处理100万人以上个人信息的数据处理者。

（2）是否涉及重要数据，如《汽车数据安全管理若干规定（试行）》中对汽车重要数据进行了规定，因此企业应核实自身行业是否出台相关规定，判断是否涉及重要数据。

（3）从个人信息出境数量进行判断，是否自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息。

若符合上述情形之一的，除数据出境安全评估外，企业不存在其他出境路径的选择。企业应当立即着手进行数据出境风险自评估及其他准备工作。

步骤二：

未符合上述情形的，企业可选择个人信息保护认证或签订《标准合同》。从两种路径比较而言，认证流程和内容相对复杂，标准合同签订后至省网信部备案即可，流程较为简单，两种路径都存在有效期内需要重新申请认证/签订的情况。

其中，认证适用于个人信息处理者与境外接收方遵循统一的个人信息跨境处理规则，且个人信息传输的政策和规模应当较为稳定，更适用于频发、长期的数据传输活动，例如跨国集团、关联实体。

标准合同条款适用于少量、偶发，场景直接、清晰的个人信息出境，由于标准合同签订流程短、生效快，只要合同相对人达成合意，即可开展出境活动，且出境活动发生一定变动还需要重新签订合同，可能对正常的业务流程造成一定影响，因此标准合同更适合少量个人信息的单次出境活动，例如单次跨境商业交易或合作。

步骤三：

选择合适的出境路径后，个人信息处理者应当按照监管的相关要求执行相关的合规要求，履行相关数据安全保障等义务，如完成自评估工作、对境外接收方进行调查、签署相关法律文件等。

步骤四：

持续跟踪。数据出境安全评估结果的有效期只有2年，个人信息保护认证的有效期为3年，并且发生一定情形时还应当重新申报，标准合同在出境活动发生一定变化时需要重新签署，个人信息保护影响评估在一定条件下应重新进行。

企业应持续关注这些合规义务，注意识别是否发生相应应重新评估或申报的条件，也应持续监督境外接收方的个人信息处理活动，以及监管部门是否提出个人信息出境的补充合规要求。

三种出境路径的前置工作

对于个人信息处理者而言，无论选择安全评估、保护认证、标准合同中的哪一种出境路径，均需要满足以下三项必备条件：

同时，根据《个人信息保护法》第五十五条规定，向境外提供个人信息，个人信息处理者应当事前进行个人信息保护影响评估，因此无论选择哪一种个人信息出境路径，个人信息保护影响评估必须事前进行。

（3）与境外接收方签订完备的法律文件。通过网信办申报安全评估进行数据出境的，其中申报材料中就应包括“与境外接收方拟定的数据出境相关合同或者其他具有法律效力的文件”；采取认证方式出境的，《认证规范2.0》5.1条明确要签署具有法律约束力的协议；《标准合同》则直接为企业实施个人信息出境传输提供了合同模板。

据此，企业为合法实施数据和个人信息的出境传输，应与境外接收方签订完备的法律文件，确保出境数据和个人信息的安全。同时，与境外接收方签订符合规范的法律文件，也是《个保法》下涉及委托境外第三方处理个人信息时的法定义务，个人信息处理者必须与受托人约定处理的目的、期限、处理方式、种类、保护措施以及双方的权利义务等内容。

结语

数据出境目前成为了企业在数据合规道路上的一大难题。自2022年6月以来，我国出台了一系列与数据出境相关的法规，数据出境法规框架不断明晰，监管对于《个保法》第38条下的三种出境路径的实践指导也更加细化。对于企业而言，在选择适合自己的出境路径的同时，也应持续关注监管细则的不断更新，持续关注自身的数据出境情况，防范相应的合规风险。

线下活动

如果您对更多数据合规，数据要素内容感兴趣，欢迎参加我们社区举办的线下见面会，活动现场也会有律所专家老师分享数据合规的相关内容~

活动地点以及时间如下：

时间：2023年4月1日（本周六）下午14：00-17：00

地点：浙江省杭州市滨江区西兴街道联慧街188号安恒大厦

报名方式：扫码报名

END

# 好文推荐 #

起底“数据经纪商”源头！浅析欧美数据交易模式

《数据资产价值实现研究报告》发布，6万字详解数据价值

国内数据交易现状梳理及典型交易平台对比分析

数据交易道阻且长！国家队会下场吗？