中问｜数据合规合辑之（一）

——个人信息数据处理者如何依法开展个人信息数据出境活动？

《中华人民共和国个人信息保护法》自2021年11月1日生效实施以来，该法第三十八条等有关个人信息数据出境处理的规定引发了社会的广泛关注。尤其对于个人信息处理者的企业一方来说，如何依法开展个人信息数据出境活动，是必须直面的重要话题。

围绕前述话题并基于《中华人民共和国个人信息保护法》等相关法律法规的规定，本文主要就个人信息数据出境处理的合法路径进行分析，梳理相关配套细则，结合实务解析相关实操要点，供读者参考。

一、个人信息数据出境安全管理制度

（一）个人信息数据出境安全管理的三大法律基石

1.   2017年6月1日实施生效的《中华人民共和国网络安全法》（以下称“《网络安全法》”）第三十七条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定”。

2.   2021年9月1日实施生效的《中华人民共和国数据安全法》（以下称“《数据安全法》”）第三十一条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定”。

3.   2021年11月1日实施生效的《中华人民共和国个人信息保护法》（以下称“《个人信息保护法》”）第三十八条规定“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”；

第四十条规定“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定”。

（二）个人信息数据出境安全管理制度演进

1.监管对象：关键信息基础设施的运营者à+其他数据处理者à+个人信息处理者

《网络安全法》规定关键信息基础设施的运营者在境内收集产生的个人信息和重要数据的出境处理需按规定进行安全评估，但对其他数据处理者处理数据出境未作规定；

《数据安全法》重申关键信息基础设施的运营者在境内收集产生的重要数据的出境处理需按规定进行安全评估，并进一步把其他数据处理者处理重要数据出境纳入安全管理范围；

《个人信息保护法》重申关键信息基础设施的运营者在境内收集产生的重要数据的出境处理需按规定进行安全评估，并进一步明确了具体针对个人信息处理者处理个人信息数据出境所应满足的条件。

2.合法路径：安全评估的单一途径à安全评估、个人信息保护认证、签订标准合同等多途径

除按规定需进行安全评估获得合法出境外，个人信息处理者还可以通过《个人信息保护法》第三十八条第一款规定的个人信息保护认证、按标准合同与境外方订立合同、按国际条约协定的规定等路径获得合法出境。

二、个人信息处理者处理个人信息数据出境的合法路径

（一）   达到规定数量：申报数据出境安全评估

1.   依据《个人信息保护法》第三十八、四十条等有关规定，处理个人信息达到国家网信部门规定数量的个人信息处理者处理数据出境应当按规定申报安全评估。

2022年9月1日实施生效的《数据出境安全评估办法》（以下称“《评估办法》”）第四条对前述“规定数量”作出明确规定，即“处理100万人以上个人信息的数据处理者向境外提供个人信息”或“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”；

2.   有关“个人信息”、“敏感个人信息”的界定，目前可参《信息安全技术 个人信息安全规范》附录A“个人信息示例”、附录B“个人敏感信息判定”中的有关规定予以判定。

例如，姓名、出生日期、家庭住址等能够单独或与其他信息结合识别特定自然人身份的信息为个人信息；银行账号、身份证、指纹等一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致名誉、身心健康受损等的个人信息为个人敏感信息。

（二）   未达到规定数量：个人信息保护认证、签订标准合同等路径

2022年7月7日国家互联网信息办公室发布的《<数据出境安全评估办法>答记者问》中提及，就安全评估与标准合同、个人信息保护认证三种方式衔接的问题，《评估办法》已经明确对于适用安全评估的个人信息处理者的数据出境情形应当申报安全评估；《评估办法》适用范围外的个人信息处理者的数据出境情形，可以通过个人信息保护认证或者签订国家网信部门制定的标准合同来满足个人信息跨境提供条件，便利个人信息处理者依法开展数据出境活动。

经梳理目前能搜索到的已公开的文件，个人信息保护认证、签订标准合同有关的具体适用等配套细则基本处于制定或征求意见当中，可见该等路径的实操落地还在探索中。目前相关规定可参下述：

1.   有关个人信息保护认证

全国信息安全标准化技术委员会于2022年11月8日发布《关于对<网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0（征求意见稿）>公开征求意见的通知》，于2022年11月14日发布《关于征集<信息安全技术 个人信息跨境传输认证要求>标准参编单位的通知》。

2.   有关标准合同

2022年6月30日中共中央网络安全和信息化委员会办公室发布《国家互联网信息办公室关于<个人信息出境标准合同规定（征求意见稿）>公开征求意见的通知》。

三、申报数据出境安全评估的实务要点

有关申报数据出境安全评估的操作指引主要依据2022年9月1日施行的《评估办法》以及《数据出境安全评估申报指南（第一版）》（以下称“《申报指南》”），该等规定对《个人信息保护法》第三十八条第一款第（一）项规定的个人信息数据出境安全评估要求进行了细化落实。对于作为申报主体的境内个人信息处理者而言，下述方面要点值得关注：

（一）   评估原则

《评估办法》第三条规定，数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。

（二）   适用范围

《评估办法》第四条规定了应当申报数据出境安全评估的情形，包括：处理100万人以上个人信息的数据处理者向境外提供个人信息，自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息等。

另，《申报指南》第一条还对数据出境行为进行了界定：数据处理者将在境内运营中收集和产生的数据传输、存储至境外；数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；网信办规定的其他数据出境行为。

（三）   评估条件

《评估办法》第五条规定，申报数据出境安全评估前，数据处理者应当开展出境风险自评估。重点评估事项包括：数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性；数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；境外接收方承诺承担的责任义务；与境外接收方订立的合同是否充分约定了数据安保义务等。

（四）   评估重点

《评估办法》第八条明确了数据出境安全评估的重点为数据出境活动对国家安全、公共利益、个人或组织合法权益带来的风险，重点评估事项：除前述自评估有关事项外，还包括境外接收方所在国家或地区政策法规、网络安全环境对出境数据安全的影响，境外接收方数据保护水平是否达到中国法律法规规定和强制性国家标准的要求等。

（五）   评估程序

《评估办法》第六、七、十~十三条等条款规定了安全评估的程序，并在第十四条明确了在数据出境安全评估结果2年有效期内出现影响数据出境安全的情形应当重新申报评估。

四、注意事项

1. 现阶段，对于个人信息处理者来说，如属需申报数据出境安全评估的情形且尚未开展数据出境活动的，则提请依据《评估办法》、《申报指南》等有关规定及时申报安全评估；已开展数据出境活动的，提请注意按规定在《评估办法》施行之日（2022年9月1日）起6个月之内进行整改；

2．对于不属于需申报安全评估情形的个人信息处理者，已开展或计划开展相关数据出境活动的，建议重点关注个人信息保护认证、个人信息出境标准合同相关规定的征求意见稿及后续生效文稿，为该等规定生效执行后应履行的程序等作好预案准备；

3.个人信息处理工作是一项系统工程，无论是否涉及数据出境、是否属于需申报数据出境安全评估的情形，个人信息处理者均应当依据《个人信息保护法》等规定中有关个人信息处理的基础性要求开展个人信息处理活动，如数据分级分类管理、个人知情同意等，在依法处理个人信息的基础上才能进一步确保数据出境活动合法合规。

特别提示：

本文观点基于个人对截止撰稿日的法律规定的理解和把握，仅供参考，不作为处理具体案件的法律意见。具体到个案，应根据个案实际情况进行专业研判，建议必要时征询专业法律人员出具专项法律意见。