在進(jìn)行個(gè)人信息出境活動(dòng)前，首先應(yīng)遵守以下三點(diǎn)基本要求：

1. 告知

個(gè)人信息處理者應(yīng)當(dāng)告知個(gè)人信息主體：

?

1）個(gè)人信息處理者的（i）名稱或者姓名和聯(lián)系方式，（ii）個(gè)人信息的處理目的、處理方式、處理的個(gè)人信息種類、保存期限，以及（iii）個(gè)人信息主體可向個(gè)人信息處理者行使《個(gè)保法》下規(guī)定權(quán)利的方式和程序[1]；

?

2）境外接收方的（i）名稱或者姓名、聯(lián)系方式，（ii）處理目的、處理方式、處理的個(gè)人信息種類，以及（iii）個(gè)人信息主體向境外接收方行使《個(gè)保法》下規(guī)定權(quán)利的方式和程序[2]。

2. 取得同意

個(gè)人信息處理者還應(yīng)當(dāng)：

?

1）就個(gè)人信息的處理向個(gè)人信息主體取得同意[3]；

?

2）就個(gè)人信息的出境向個(gè)人信息主體取得單獨(dú)同意。

3. 進(jìn)行個(gè)人信息保護(hù)影響評(píng)估（Personal Information Protection Impact Assessment, 以下簡(jiǎn)稱"PIPIA"）

向境外提供個(gè)人信息的情形下，還應(yīng)當(dāng)事前進(jìn)行PIPIA，并對(duì)處理情況進(jìn)行記錄。PIPIA報(bào)告和處理情況記錄至少保存三年[4]。

根據(jù)《個(gè)保法》第三十八條，個(gè)人信息出境有三條路徑，分別為：（i）安全評(píng)估，（ii）安全認(rèn)證，以及（iii）標(biāo)準(zhǔn)合同。

1. 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和達(dá)到 "規(guī)定數(shù)量"的個(gè)人信息處理者：安全評(píng)估

1）什么是"規(guī)定數(shù)量"

?

根據(jù)《出境評(píng)估辦法》第四條，"規(guī)定數(shù)量"指的是個(gè)人信息處理者處理或傳輸?shù)膫€(gè)人信息達(dá)到以下門檻的數(shù)量：

?

i）處理100萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者；

?

ii）自上年1月1日起累計(jì)向境外提供10萬(wàn)人個(gè)人信息或者1萬(wàn)人敏感個(gè)人信息的數(shù)據(jù)處理者。

?

2）達(dá)到"規(guī)定數(shù)量"的后果

?

對(duì)于達(dá)到上述"規(guī)定數(shù)量"的個(gè)人信息處理者向境外提供個(gè)人信息的，需要報(bào)網(wǎng)信辦進(jìn)行安全評(píng)估。

?

需要注意的是：

?

i）對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者來(lái)說(shuō)，不存在"規(guī)定數(shù)量"一說(shuō)，其任何個(gè)人信息出境，均需網(wǎng)信辦的安全評(píng)估；

?

ii）為判斷是否觸發(fā)數(shù)據(jù)出境安全評(píng)估而統(tǒng)計(jì)個(gè)人信息數(shù)量，需要考慮的是涉及的個(gè)人信息主體數(shù)量，而并非個(gè)人信息具體條數(shù)；以及

?

iii）對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理100萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者，哪怕出境數(shù)據(jù)只涉及一個(gè)信息主體、只有一條個(gè)人信息出境，理論上也需申報(bào)。

?

3）風(fēng)險(xiǎn)自評(píng)估

?

在觸發(fā)網(wǎng)信辦安全評(píng)估的情況下，數(shù)據(jù)出境方應(yīng)在進(jìn)行出境安全評(píng)估申報(bào)前3個(gè)月內(nèi)完成出境風(fēng)險(xiǎn)自評(píng)估，并將自評(píng)估報(bào)告以及其他申報(bào)材料（包括但不限于（i）申報(bào)書以及（ii）出境方與境外接收方擬訂立的法律文件）提交省網(wǎng)信辦報(bào)送國(guó)家網(wǎng)信辦審查。

?

4）申報(bào)流程

?

根據(jù)《出境評(píng)估申報(bào)指南》，安全評(píng)估申報(bào)流程大致如下：

?

i）申報(bào)評(píng)估

?

需要申報(bào)的個(gè)人信息處理者應(yīng)通過(guò)所在地省級(jí)網(wǎng)信部門提交申報(bào)材料。省級(jí)網(wǎng)信辦收到申報(bào)材料后，在5個(gè)工作日內(nèi)完成申報(bào)材料的完備性查驗(yàn)。通過(guò)完備性查驗(yàn)的，省級(jí)網(wǎng)信辦將申報(bào)材料上報(bào)國(guó)家網(wǎng)信辦；未通過(guò)完備性查驗(yàn)的，數(shù)據(jù)處理者將收到申報(bào)退回通知。

?

ii）開(kāi)展評(píng)估

?

國(guó)家網(wǎng)信部門自收到申報(bào)材料之日起7個(gè)工作日內(nèi)確定是否受理評(píng)估，并自出具書面受理通知書之日起45個(gè)工作日內(nèi)完成數(shù)據(jù)出境安全評(píng)估；情況復(fù)雜或者需要補(bǔ)充、更正材料的，國(guó)家網(wǎng)信部門可以適當(dāng)延長(zhǎng)并告知數(shù)據(jù)處理者預(yù)計(jì)延長(zhǎng)的時(shí)間。

?

iii）重新評(píng)估

?

評(píng)估結(jié)果有效期屆滿，或在有效期內(nèi)出現(xiàn)《出境評(píng)估辦法》第十四條中規(guī)定重新評(píng)估情形的，數(shù)據(jù)處理者應(yīng)當(dāng)重新申報(bào)數(shù)據(jù)出境安全評(píng)估。

?

已經(jīng)通過(guò)評(píng)估的數(shù)據(jù)出境活動(dòng)在實(shí)際處理過(guò)程中不再符合數(shù)據(jù)出境安全管理要求的，在收到國(guó)家網(wǎng)信部門書面通知后，數(shù)據(jù)處理者應(yīng)終止數(shù)據(jù)出境活動(dòng)并進(jìn)行整改。數(shù)據(jù)處理者應(yīng)在整改完成后重新申報(bào)評(píng)估[5]。

?

以下流程指引圖供參考：

點(diǎn)擊可查看大圖

2. 其他個(gè)人信息處理者：安全認(rèn)證

對(duì)于非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者以及未達(dá)到 "規(guī)定數(shù)量"的個(gè)人信息處理者，無(wú)須申報(bào)出境安全評(píng)估，可根據(jù)《個(gè)保法》第三十八條第（二）項(xiàng)，按照國(guó)家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證，完成數(shù)據(jù)出境的合規(guī)。

?

2022年11月8日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（"信安標(biāo)委"）發(fā)布了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0（征求意見(jiàn)稿）》（《認(rèn)證規(guī)范2.0》），對(duì)此前發(fā)布的《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》（《認(rèn)證規(guī)范1.0》）進(jìn)行了修改和細(xì)化。

?

1）適用范圍

?

《認(rèn)證規(guī)范1.0》規(guī)定的適用范圍非常局限，僅為：（i）跨國(guó)公司或者同一經(jīng)濟(jì)、事業(yè)實(shí)體下屬子公司或關(guān)聯(lián)公司之間的個(gè)人信息跨境處理活動(dòng)，以及（ii）境外個(gè)人信息處理者，在境外處理中華人民共和國(guó)境內(nèi)自然人個(gè)人信息的活動(dòng)。

?

《認(rèn)證規(guī)范2.0》刪除了《認(rèn)證規(guī)范1.0》中對(duì)于適用范圍的限制，改為"個(gè)人信息處理者開(kāi)展個(gè)人信息跨境處理活動(dòng)"，大大擴(kuò)充了安全認(rèn)證的適用范圍。此外，《認(rèn)證規(guī)范2.0》第2條"認(rèn)證主體"中還增加了"申請(qǐng)認(rèn)證的個(gè)人信息處理者應(yīng)取得合法的法人資格，正常經(jīng)營(yíng)且具有良好的信譽(yù)、商譽(yù)"這一要求。

?

2）法律文件

?

與安全評(píng)估情形類似，《認(rèn)證規(guī)范2.0》要求，開(kāi)展個(gè)人信息跨境處理活動(dòng)的個(gè)人信息處理者應(yīng)與境外接收方簽訂具有法律約束力和執(zhí)行力的文件。相較《認(rèn)證規(guī)范1.0》，《認(rèn)證規(guī)范2.0》對(duì)于法律文件內(nèi)容提出了更為細(xì)化的要求，我們將在下文第3點(diǎn)展開(kāi)說(shuō)明。

?

3）認(rèn)證要求

?

根據(jù)網(wǎng)信辦2022年11月4日發(fā)布的《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》（以下簡(jiǎn)稱《認(rèn)證實(shí)施規(guī)則》），進(jìn)行安全認(rèn)證的模式為：技術(shù)驗(yàn)證+現(xiàn)場(chǎng)審核+事后監(jiān)督。

?

認(rèn)證機(jī)構(gòu)評(píng)估材料后，對(duì)符合認(rèn)證要求的，頒發(fā)認(rèn)證證書。認(rèn)證證書有效期為3年。證書到期需延續(xù)使用的，認(rèn)證委托人應(yīng)當(dāng)在有效期屆滿前6個(gè)月內(nèi)提出認(rèn)證委托。

?

具體認(rèn)證程序?qū)嵤┘?xì)則，由各個(gè)認(rèn)證機(jī)構(gòu)根據(jù)《認(rèn)證實(shí)施規(guī)則》進(jìn)一步制定并公布。

3. 其他個(gè)人信息處理者：標(biāo)準(zhǔn)合同

1）什么是標(biāo)準(zhǔn)合同？

?

根據(jù)《個(gè)保法》第三十八條，對(duì)于非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者以及未達(dá)到 "規(guī)定數(shù)量"的個(gè)人信息處理者，可以 "按照國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)"。

?

2022年6月30日，國(guó)家網(wǎng)信辦發(fā)布《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見(jiàn)稿）》并附上了《個(gè)人信息出境標(biāo)準(zhǔn)合同》樣本。這一系列安排與歐盟GDPR的標(biāo)準(zhǔn)合同條款（Standard Contractual Clause, "SCC"）極為類似，因此被稱為"中國(guó)版SCC"。

?

2）標(biāo)準(zhǔn)合同和前兩種路徑下"法律文件"的對(duì)比

?

中國(guó)版SCC中對(duì)于（i）個(gè)人信息處理者的權(quán)利義務(wù)，（ii）境外接收方的權(quán)利義務(wù)，（iii）境外接收方當(dāng)?shù)貍€(gè)人信息保護(hù)政策法規(guī)對(duì)于中國(guó)版SCC的影響，（iv）個(gè)人信息主體的權(quán)利，（v）救濟(jì)，（vi）違約責(zé)任及（vii）適用法律與爭(zhēng)議解決均作出了詳細(xì)的規(guī)定。詳細(xì)內(nèi)容可見(jiàn)我們此前的分析文章：《Ins and Outs of China's SCC》。

?

我們將中國(guó)版SCC與前兩種路徑下"法律文件"的要求進(jìn)行了詳細(xì)對(duì)比，以下供參考：

點(diǎn)擊可查看大圖

由上表可見(jiàn)，相比《出境評(píng)估辦法》和《認(rèn)證規(guī)范2.0》中對(duì)于出境法律文件的要求，中國(guó)版SCC包含的要點(diǎn)是最廣的。因此，雖然中國(guó)版SCC尚在征求意見(jiàn)階段，實(shí)務(wù)中若參照中國(guó)版SCC與境外接收方簽署相關(guān)法律文件，大概率可以滿足前兩種路徑下對(duì)于法律文件的要求。

《數(shù)安法》要求，重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)、定期開(kāi)展風(fēng)險(xiǎn)評(píng)估并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。2021年11月網(wǎng)信辦發(fā)布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》（《管理?xiàng)l例》）第四章中，也對(duì)重要數(shù)據(jù)者在識(shí)別重要數(shù)據(jù)后的備案、成立數(shù)據(jù)安全管理機(jī)構(gòu)、制定數(shù)據(jù)安全培訓(xùn)計(jì)劃、開(kāi)展年度數(shù)據(jù)安全評(píng)估等要求作出了詳細(xì)規(guī)定。

?

但對(duì)于如何識(shí)別重要數(shù)據(jù)，目前法規(guī)尚不明確，主要有以下兩個(gè)問(wèn)題待澄清：

?

1. 重要數(shù)據(jù)目錄

?

《數(shù)安法》《管理?xiàng)l例》中，都提出要求本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域制定重要數(shù)據(jù)目錄。然而事實(shí)上目前除汽車行業(yè)和基礎(chǔ)電信行業(yè)已制定了重要數(shù)據(jù)目錄、工信行業(yè)的重要目錄正在擬訂中之外，其他行業(yè)領(lǐng)域的重要數(shù)據(jù)目錄仍為空白[6]。

?

2022年出臺(tái)的國(guó)標(biāo)《信息安全技術(shù) 重要數(shù)據(jù)識(shí)別指南》（下簡(jiǎn)稱《識(shí)別指南》）提出了重要數(shù)據(jù)的識(shí)別原則、識(shí)別因素，對(duì)于認(rèn)定何種數(shù)據(jù)屬于重要數(shù)據(jù)具有重大意義。2017年8月30日，信安標(biāo)委還曾發(fā)布過(guò)《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南》，其中詳細(xì)地羅列了多行業(yè)的重要數(shù)據(jù)識(shí)別指南。但以上國(guó)標(biāo)目前均未正式施行。

?

2. 重要數(shù)據(jù)是否包括個(gè)人信息

?

《網(wǎng)安法》第三十七條將個(gè)人信息與重要數(shù)據(jù)并列，似乎意味著"個(gè)人信息"與"重要數(shù)據(jù)"屬于不交叉的兩個(gè)類別。2022年9月14日發(fā)布的國(guó)標(biāo)《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)要求（征求意見(jiàn)稿）》中也提到，僅影響組織自身或公民個(gè)體的數(shù)據(jù)一般不作為重要數(shù)據(jù)。

?

但與此同時(shí)，目前未生效的《識(shí)別指南》表示，雖然重要數(shù)據(jù)不包括個(gè)人信息，但基于海量個(gè)人信息形成的統(tǒng)計(jì)數(shù)據(jù)、衍生數(shù)據(jù)有可能屬于重要數(shù)據(jù)。此外，汽車行業(yè)立法與實(shí)操中均已采納并實(shí)施的重要數(shù)據(jù)目錄里，更是明確包括了"涉及個(gè)人信息主體超過(guò)10萬(wàn)人的個(gè)人信息"。

?

由此可見(jiàn)，個(gè)人信息與重要數(shù)據(jù)之間目前似乎并不存在十分清晰的界線。

根據(jù)《出境評(píng)估辦法》，重要數(shù)據(jù)的出境必須通過(guò)安全評(píng)估。具體評(píng)估流程與個(gè)人信息出境安全評(píng)估的流程相同。

如果法律法規(guī)對(duì)于數(shù)據(jù)出境有其他合規(guī)要求的，還應(yīng)滿足該等要求。比如：

?

1.《網(wǎng)絡(luò)安全審查法》中規(guī)定，到達(dá)規(guī)定數(shù)據(jù)處理量的網(wǎng)絡(luò)平臺(tái)經(jīng)營(yíng)者在國(guó)外（不包括香港）上市，還需同時(shí)向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查；

?

2.《關(guān)于加強(qiáng)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作的通知》中規(guī)定，智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)、車聯(lián)網(wǎng)服務(wù)平臺(tái)運(yùn)營(yíng)企業(yè)需向境外提供重要數(shù)據(jù)的，還需同時(shí)向所在省（區(qū)、市）通信管理局、工業(yè)和信息化主管部門報(bào)備；

?

3.《個(gè)保法》[7]及《數(shù)安法》[8]還規(guī)定，對(duì)于外國(guó)司法或者執(zhí)法機(jī)構(gòu)關(guān)于提供存儲(chǔ)于境內(nèi)個(gè)人信息或數(shù)據(jù)的請(qǐng)求，中華人民共和國(guó)主管機(jī)關(guān)應(yīng)當(dāng)根據(jù)有關(guān)法律和中華人民共和國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定，或者按照平等互惠原則處理。

個(gè)人信息和重要數(shù)據(jù)的出境一直以來(lái)都是數(shù)據(jù)合規(guī)中的一大難題。2021年《個(gè)保法》剛出臺(tái)及生效時(shí)，對(duì)于第三十八條個(gè)人信息出境的路徑有多種解讀。但僅一年時(shí)間，數(shù)據(jù)出境相關(guān)法律法規(guī)及配套文件相繼出臺(tái)，各地網(wǎng)信辦也陸續(xù)公開(kāi)了咨詢通道、為企業(yè)的實(shí)踐給予指導(dǎo)。相比去年此時(shí)的模糊狀態(tài)，現(xiàn)在的數(shù)據(jù)出境監(jiān)管路徑正在逐漸變得清晰。對(duì)于企業(yè)來(lái)說(shuō)，隨著監(jiān)管細(xì)則的相繼出臺(tái)，其合規(guī)風(fēng)險(xiǎn)也會(huì)變得更加切實(shí)，因此應(yīng)當(dāng)盡快梳理其數(shù)據(jù)出境情況、及時(shí)采取相應(yīng)的措施，以防范和化解相應(yīng)的法律風(fēng)險(xiǎn)。