境内数据出境，你必须知道的那些事（五）个人信息出境的合规路径

发布时间 2023.07.05 作者杨澜波李琦

2022年7月22日《数据出境安全评估办法》（“《安全评估办法》”）出台后，我们发布了境内数据出境的系列文章（四）《新规出台，一文读懂数据出境合规路径》，对数据出境合规路径进行了全面梳理。国家互联网信息办公室（“国家网信办”）和国家市场监督管理总局于2022年11月24日发布《关于实施个人信息保护认证的公告》（“《认证公告》”）及附件《个人信息保护认证实施规则》（“《认证规则》”），全国信息安全标准化技术委员会于2022年12月16日发布更新版《网络安全标准实践指南—个人信息跨境处理活动安全认证规范 V2.0》（“《认证规范V2.0》”），国家网信办于今年2月发布的《个人信息出境标准合同办法》（“《标准合同办法》”）已于今年6月1日正式实施，至此中国关于个人信息出境的法律规制框架已经基本搭建完成。据北京网信办6月25日发布的消息，北京德亿信数据有限公司已经成功备案其与香港诺华诚信有限公司签订的个人信息出境标准合同，成为首家通过签订标准合同实现个人信息合规出境的企业¹。

多数企业在实际运营中可能或多或少会涉及个人信息出境，例如将个人信息传输至境外的服务器上，或者境外主体可以远程访问企业存储在中国的个人信息等。本篇我们结合最近刚刚完成的数据项目经验以及上述新规，对个人信息出境的合规路径做出详细解读，帮助企业了解个人信息出境合规的全图，有针对性的采取相应措施。根据《中华人民共和国个人信息保护法》（“《个保法》”），个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当同时符合三项要求：一、满足三种安全保护机制之一²；二、事前进行个人信息保护影响评估（“PIA”）并对处理情况进行记录³；三、应当向个人履行告知义务并取得个人的单独同意⁴。

一、满足三种安全保护机制之一

因业务需要确需向境外提供个人信息的企业，应当满足下列三种安全保护机制之一：（一）通过国家网信办组织的安全评估（“安全评估”）；（二）经专业机构进行个人信息保护认证（“认证”）；（三）按照国家网信办制定的标准合同与境外接收方订立合同，约定双方的权利和义务（“标准合同”）。安全评估需要通过国家网信办审查，是最为严格的数据出境程序，除必须申报安全评估的个人信息出境情形外，其余的个人信息出境情形，企业可以选择认证或签订标准合同。

（一）安全评估

1、必须进行安全评估的个人信息出境情形

根据《个保法》第40条和《安全评估办法》第4条，关键信息基础设施运营者和处理个人信息达到规定数量的个人信息处理者向境外提供在中国境内收集和产生的个人信息，应当通过所在地省级网信部门申报并通过国家网信办组织的安全评估，不能选择其他机制，具体如下。

1.关键信息基础设施运营者（CIIO）或处理100万人以上个人信息的数据处理者

如果企业属于CIIO，那么其个人信息出境均需申报安全评估。相关法律法规对关键信息基础设施进行了原则性规定。公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等属于关键信息基础设施⁵。企业是否属于CIIO主要取决于主管机构根据认定规则对相关行业、领域的关键信息基础设施作出认定，有关部门会及时将认定结果通知对应企业。建议相关企业持续关注上述重要行业和领域认定规则的发布和认定通知，一旦被认定为CIIO，应当立即就个人信息出境情况展开自查，完成安全评估合规程序。

处理个人信息涉及的人数达到100万人的企业，向境外提供个人信息需申报安全评估。需要注意的是，此处数量统计以“人”为单位，并非按照信息“条数”或“人次”。

2.自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者

如果企业不属于上述（1）的情形，但是出境的个人信息规模达到 “10万人个人信息”或者“1万人敏感个人信息”，也应当申报安全评估，此处的数量统计仍然以“人”为单位。此外，根据我们提供数据法律服务的实务经验，我们提示企业在统计个人信息人数时应当注意统计的全面性，不仅包括企业内部员工，从客户、供应商等获得的非员工个人信息（比如客户或供应商的联系人个人信息）也应当统计在内。

2、安全评估程序和注意事项

《安全评估办法》对安全评估的申报程序、资料等提供明确指引。根据《安全评估办法》和《数据出境安全评估申报指南（第一版）》（“《申报指南》”），申报安全评估，数据处理者应当提交的主要申报材料为（1）数据出境风险自评估报告和（2）与境外接收方拟订立的法律文件⁶。自评估应在提交申报前的3个月内完成，拟订立的法律文件中需要按规定要求明确约定数据安全保护责任义务⁷，自评估的要求之一为评估拟订立的法律文件是否充分约定了数据安全保护责任义务。《申报指南》对于申报安全评估应当提交的资料中并未要求提交PIA报告，我们理解，安全评估的自评估要求是对PIA评估要求的细化（见本文第二部分），已同时满足PIA的要求，因此《申报指南》未另行要求提供PIA报告，申报安全评估的企业仅需提供自评估报告。

（二）认证

根据《认证规则》，我国正式开始实施个人信息保护认证，鼓励个人信息处理者通过认证方式提升个人信息保护能力。希望通过获得认证来开展跨境处理活动的个人信息处理者，应当符合GB/T 35273《信息安全技术个人信息安全规范》的要求，还应符合《认证规范V2.0》针对个人信息出境所做的特别要求。

1.适用情形

根据《认证规范V2.0》，申请认证的个人信息处理者应当取得合法的法人资格，正常经营且具有良好的信誉、商誉；集团内关联公司之间个人信息跨境处理活动，可由境内一方申请认证并承担法律责任；中国境外的个人信息处理者直接处理境内个人信息的情形，可由其在境内设置的专门机构或指定代表申请认证，并承担法律责任。

2.认证基本要求和程序

《认证规范V2.0》作为开展认证的重要依据，对申请认证的个人信息处理者提出四项基本要求：

（1）与境外接收方签署具有法律约束力的文件；

（2）与境外接收方均应指定个人信息保护负责人并设立个人信息保护机构；

（3）与境外接收方约定并共同遵守同一个人信息跨境处理规则；

（4）对个人信息出境活动事先开展个人信息保护影响评估。

《认证公告》中明确，认证机构应当经批准后方可开展认证工作，但并未公布已获得批准的具体认证机构名单。根据中国网络安全审查技术与认证中心在其官方网站⁸发布的信息，该中心负责个人信息保护认证的具体实施工作，其“个人信息保护认证申办系统”⁹已经上线。有开展认证需求的企业可以予以关注。

认证的模式为技术验证+现场审核+获证后监督。具体而言，作为认证委托人，企业应当向认证机构提交认证机构明确要求的委托资料，认证机构确认受理后确定认证方案。技术验证由技术验证机构实施并出具技术验证报告，现场审核由认证机构实施并出具现场审核报告。最终，认证机构综合评价后作出认证决定，符合要求则颁发认证证书，有效期为3年。有效期内，认证机构会采取适当方式、合理频次实施监督，确保企业持续符合认证要求¹⁰。若在认证证书有效期内，企业的名称、注册地址，或认证要求、认证范围等发生变化，企业应当向认证机构提出变更委托，由认证机构确定是否批准变更¹¹。

（三）标准合同

《标准合同办法》于2023年6月1日生效前，国家网信办于2023年5月30日发布《个人信息出境标准合同备案指南（第一版）》，以指导和帮助个人信息处理者规范、有序完成标准合同备案程序。《标准合同办法》施行前已经开展的个人信息出境活动，不符合该办法规定的，企业应当自施行之日（2023年6月1日）起6个月内完成整改，也即在2023年11月30日前完成签署备案程序¹²。

1.适用情形

需要同时符合下述四个条件，才能采用《标准合同办法》：(1)非CIIO；(2)处理个人信息不满100万人；(3)自上年1月1日起累计向境外提供个人信息不满10万人；(4)自上年1月1日起累计向境外提供敏感个人信息不满1万人¹³。《标准合同办法》明确规定，企业不得采取数量拆分等手段，将应当通过安全评估方式出境的个人信息通过订立标准合同的方式向境外提供¹⁴。例如，企业原本自身处理个人信息的人数已到达《安全评估办法》所规定的100万、10万、1万这些数量级，但却通过将部分数量的个人信息交由集团内关联公司完成出境，或者通过签署协议的方式约定交由第三方完成出境，使得该企业从形式上看不符合应当申报安全评估的条件，规避其本应适用的法律规定。此种行为可能涉及违反《安全评估办法》、《个保法》等相关法规，构成犯罪的，会被依法追究刑事责任¹⁵。

2.标准合同程序和注意事项

《标准合同办法》要求企业严格按照国家网信办提供的标准合同模版订立，若与境外接收方约定其他条款，不得与标准合同相冲突¹⁶。这意味着，尽管签署标准合同双方可以在标准合同模版基础上进行补充约定，但补充条款不得与原有条款相冲突。标准合同生效后方可开展个人信息出境活动。

标准合同生效之日起10个工作日内，企业应当向所在地省级网信部门提交标准合同和PIA报告进行备案，并对所备案材料的真实性负责。

当企业出境的个人信息情形发生如下变化时，应当重新开展PIA，补充或者重新订立标准合同，并履行相应备案手续：（一）向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限；（二）境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益；（三）可能影响个人信息权益的其他情形¹⁷。

二、事前进行个人信息保护影响评估（“PIA”）

《个保法》第56条对PIA的评估内容仅作出三方面的原则性规定，三种安全保护机制根据其特点对具体评估项做出不同程度的细化要求，具体对比如下表。由下表可以看出，三种安全保护机制下评估要求的整体方向基本相同，但安全评估下的自评估要求评估“对国家安全、公共利益、个人或者组织合法权益带来的风险”，评估标准比《个保法》对PIA的评估要求更高，PIA仅要求评估对“个人权益”的影响和风险。

《个保法》第56条
个人信息保护影响评估应当包括下列内容：（一）个人信息的处理目的、处理方式等是否合法、正当、必要；（二）对个人权益的影响及安全风险；（三）所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。
《安全评估办法》第5条的自评估要求	《标准合同办法》第5条的PIA要求	《认证规范V2.0》第5.4条的PIA要求
数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，重点评估以下事项：（一）数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；（二）出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；（三）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；（四）数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；（五）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等（以下统称法律文件）是否充分约定了数据安全保护责任义务；（六）其他可能影响数据出境安全的事项。	个人信息处理者向境外提供个人信息前，应当开展个人信息保护影响评估，重点评估以下内容：（一）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；（二）出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；（三）境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；（四）个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；（五）境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；（六）其他可能影响个人信息出境安全的事项。	个人信息处理者应对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估，评估报告应至少包括下列事项：（一）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；（二）跨境处理个人信息的规模、范围、类型、敏感程度、频率，个人信息跨境处理可能对个人信息权益带来的风险；（三）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障跨境处理个人信息的安全；（四）个人信息跨境处理存在的泄露、损毁、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅等；（五）境外接收方所在国家或者地区的个人信息保护政策法规对履行个人信息保护义务和保障个人信息权益的影响；（六）其他可能影响个人信息跨境处理安全的事项。

《个保法》第56条

个人信息保护影响评估应当包括下列内容：

（一）个人信息的处理目的、处理方式等是否合法、正当、必要；

（二）对个人权益的影响及安全风险；

（三）所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

《安全评估办法》第5条的自评估要求

《标准合同办法》第5条的PIA要求

《认证规范V2.0》第5.4条的PIA要求

数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，重点评估以下事项：

（一）数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；

（二）出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；

（三）境外接收方承诺承担的责任义务，以及履行责任义务的管

理和技术措施、能力等能否保障出境数据的安全；

（四）数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；

（五）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等（以下统称法律文件）是否充分约定了数据安全保护责任义务；

（六）其他可能影响数据出境安全的事项。

个人信息处理者向境外提供个人信息前，应当开展个人信息保护影响评估，重点评估以下内容：

（一）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；

（二）出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；

（三）境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；

（四）个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；

（五）境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；

（六）其他可能影响个人信息出境安全的事项。

个人信息处理者应对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估，评估报告应至少包括下列事项：

（一）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；

（二）跨境处理个人信息的规模、范围、类型、敏感程度、频率，个人信息跨境处理可能对个人信息权益带来的风险；

（三）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障跨境处理个人信息的安全；

（四）个人信息跨境处理存在的泄露、损毁、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅等；

（五）境外接收方所在国家或者地区的个人信息保护政策法规对履行个人信息保护义务和保障个人信息权益的影响；

（六）其他可能影响个人信息跨境处理安全的事项。

三、结语

综上，我国个人信息出境合规的完整路径已基本搭建完成。我们建议，存在个人信息出境情形的企业应当及时自检自查，如果尚未符合法律要求，应当尽快按照以下要点完成整改，确保合法合规以免承担相关法律责任。

企业的个人信息出境属于应当进行安全评估的情形时，仅能选择安全评估，不允许通过拆分出境数量的方式采用认证或标准合同；不属于应当进行安全评估的个人信息出境情形，企业可以选择认证或标准合同履行出境合规程序。“标准合同”仅需出境方与境外接收方签署标准合同模版以及提交PIA报告完成备案。较之“标准合同”，“认证”所需满足的要求更多。“认证”要求出境方和境外接收方均指定个人信息保护负责人、均设立保护机构以及遵守同一个人信息跨境处理规则，出境方还需要同时符合GB/T 35273《信息安全技术个人信息安全规范》的要求。但是一旦获得认证，将获得3年有效期，在此期间个人信息出境将相对简便。

企业个人信息出境前应当按照所选择的安全保护机制事前完成对应的评估报告，其中“认证”与“标准合同”需要完成PIA报告，“安全评估”需提交自评估报告，无需另行提交PIA报告。

企业个人信息出境前应当向个人告知境外接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使《个保法》规定权利的方式和程序等事项，取得个人的单独同意，如上述告知事项发生变更，还应重新取得个人单独同意¹⁸。

随着我国数据相关法律法规的陆续出台，以及相关监管部门实践经验的日益积累，相信我国对个人信息出境等数据处理活动的监管将逐步完善，我们也会持续关注法律法规的更新动态，结合实务经验分享我们的观点和建议。

注释及参考文献：

1、 https://mp.weixin.qq.com/s/PCJluMb_6hdpB5BbMCsz5g

2、《中华人民共和国个人信息保护法》第38条。

3、《中华人民共和国个人信息保护法》第55条、56条。

4、《中华人民共和国个人信息保护法》第39条。

5、《中华人民共和国网络安全法》第31条，《关键信息基础设施安全保护条例》第2条。

6、《数据出境安全评估办法》第6条。

7、《数据出境安全评估办法》第9条。

8、 https://www.isccc.gov.cn/zxyw/sjaq/grxxbhrz/index.shtml

9、https://data.isccc.gov.cn/#/pip/login

10、《个人信息保护认证实施规则》第4条。

11、《个人信息保护认证实施规则》第5条。

12、《个人信息出境标准合同办法》第13条。

13、《个人信息出境标准合同办法》第4条第1款。

14、《个人信息出境标准合同办法》第4条第3款。

15、《数据出境安全评估办法》第18条。

16、《个人信息出境标准合同办法》第6条。

17、《个人信息出境标准合同办法》第8条。

18、《中华人民共和国个人信息保护法》第14条。