数据出境全解析之出境路径篇（上）

(一) 路径概述

《数据出境安全评估办法》（以下简称《评估办法》）第一条规定数据出境安全评估的制度目的是“保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动”，因而，数据出境安全评估的标准中包含大量的国家安全考量，数据出境安全评估制度也是我国监管部门管理数据出境行为的有力抓手。

《评估办法》于2022年9月1日起正式实施，拉开了数据出境安全评估申报的序幕。

根据上海市网信办披露的数据，截至2023年4月28日，上海市网信办已解答咨询电话3300余通，接收涉及金融、零售、商务服务、汽车、医疗等重点领域的申报材料超400件，通过完备性查验并报送国家网信办申报材料近60件。

根据北京市网信办2023年2月22日披露的数据，自《评估办法》实施以来，北京市网信办收到48家单位正式提交的申报材料，142家单位初步表达了申报意愿，120余家单位咨询申报事宜。

根据浙江省网信办披露的数据，截至2023年2月28日，浙江省网信办已解答咨询电话200余次，接收正式申报材料69份，其中通过完备性查验并报送国家网信办32件，主要涉及电商平台、金融、物流、安防、通信等领域。

伴随着申报数量持续上升，上海、浙江、江苏等地网信办也陆续发布了多版实务问答，并积极组织政策宣讲解读活动回应社会关切，可以看到，数据出境安全评估的政策趋势、监管思路逐步明朗，行业实践也在不断丰富。

(二) 适用情形

根据《评估办法》《数据出境安全评估申报指南（第一版）》，存在以下情形之一的，则触发数据出境安全评估：

1. 出境标的包含重要数据

数据处理者向境外提供重要数据时，需进行数据出境安全评估。

笔者在《植物新品种重要数据安全与保护的法律规定》一文中梳理了重要数据的监管规则和概念。如果企业掌握着可以反映特定行业、领域、群体、区域特征的数据，建议就该数据是否构成重要数据主动与主管部门沟通。

2. 出境主体涉及特殊主体

数据处理者为关键信息基础设施运营者（以下简称“CIIO”）时，需进行数据出境安全评估。

笔者在《数据出境全解析之基础概念篇》一文中对数据处理者、CIIO的定义进行了拆解。《关键信息基础设施安全保护条例》明确了CIIO的定义及认定标准，判断企业是否为CIIO的最直接的方法是查看、核实企业是否收到了主管部门的认定通知，如是，则属于CIIO。

3. 数据规模达到一定标准

数据处理者：（1）处理个人信息达100万人以上；或（2）自上年1月1日起累计向境外提供10万人个人信息；或（3）自上年1月1日起累计向境外提供1万人敏感个人信息时，需进行数据出境安全评估。

关于数据规模计算标准，需注意以下问题：（1）应以企业业务整体为标准，不能单看业务线；（2）人数的计算不只为业务开展过程中收集的信息，还包括企业内员工、客户、供应商等；（3）申报的出境数据应为未来两年的拟出境数据；（4）规模计算以“人”为单位，而非以“人次”或“条数”为单位；（5）自然人数量应按人数计算，并标注是否去重；（6）认定敏感个人信息，可参考《个人信息保护法》第二十八条第一款，关于个人信息的敏感程度，可参考国家标准《信息安全技术 个人信息安全规范》。

(三) 申报流程

《评估办法》《数据出境安全评估申报指南（第一版）》对数据出境安全评估的申报流程作出了详细规定，具体流程及所需时间如下图所示：

总体而言，目前数据出境安全评估工作以属地申报为原则，数据处理者通过所在地省级网信办向国家网信办申报数据出境安全评估。省级网信办对申报材料进行完备性查验，通过完备性查验后，申报材料才会上报国家网信办。

为更好地服务当地数据出境安全评估申报工作，各地网信办结合地方实践发布了多版实务问答，例如：

(四) 申报材料及合规要点

《评估办法》《数据出境安全评估申报指南（第一版）》列举了申报数据出境安全评估应当提交的材料并就授权委托书、数据出境安全评估申报书、数据出境风险自评估报告提供模板，各地网信办的实务问答也对提交与填写原则、具体细节等予以明确。

笔者根据《评估办法》《数据出境安全评估申报指南（第一版）》，结合各地网信办的实务问答，就申报材料及其中重点材料的合规要点分析如下：

由上可见，数据出境安全评估申报材料准备是一项较为繁琐的工作，需要根据要求应填尽填、保持完整性，同时也要注意材料页码及格式是否符合相关规定。

(一) 路径概述

标准合同的监管逻辑是为了确保境外接收方处理个人信息的活动达到本国法律规定的个人信息保护标准，通过合同的约定明确个人信息处理者与境外接收方个人信息保护的权利和义务，个人信息处理者与境外接收方依据官方模板所签署的标准合同，为监管部门监管个人信息出境活动提供了抓手。

标准合同是国际上应用最广的个人信息出境路径，欧盟、英国、香港等均推出自己的官方标准合同模板。标准合同作为官方模板合同，以高认可度、可直接引用、成本低、效率高等特点而更具有实操性，也更受市场主体的青睐。

2023年2月24日，国家网信办发布了《个人信息出境标准合同办法》（以下简称《标准合同办法》）以及相应的个人信息出境标准合同文本（以下简称《标准合同》），其将自今年6月起实施。

(二) 适用情形

《标准合同办法》规定了标准合同的适用情形，即同时符合下列情形的个人信息处理者：（1）非CIIO；（2）处理个人信息不满100万人的；（3）自上年1月1日起累计向境外提供个人信息不满10万人的；（4）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

简而言之，不需要进行个人信息出境安全评估的企业可以通过订立《标准合同》的方式向境外提供个人信息。

笔者注意到，个人信息出境安全评估中也需要提交“与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件”，尽管各地网信办明确表态“法律文件形式无限制”，但标准合同显然属于前述范围，那么是否意味着，对于需要进行个人信息出境安全评估的企业，既要签订标准合同，又要申报安全评估呢？笔者此后将对这个问题进行进一步剖析。

此外，《标准合同办法》强调个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。实务中常见的数量拆分手段包括将个人信息拆分至不同的主体，但根据目前“实质审查”的要求，个人信息处理者难以通过协议安排等方式，规避个人信息出境安全评估。

(三) 备案要求与工作流程

尽管《标准合同》无需监管部门事前批准即可生效，但《标准合同办法》规定个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信办备案，同时还应提交个人信息保护影响评估报告。

在标准合同履行过程中，如果向境外提供的个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；或境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的，应当重新签订标准合同及备案。

企业拟通过与境外接收方签署《标准合同》实现个人信息出境，可采用以下工作流程：

(四) 重要内容及合规要点

《标准合同》的条款结构、形式与国际上普遍认可的合同条款形式相同，主要条款共有九条，囊括了定义、个人信息处理者的义务、境外接收方的义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利、救济、合同解除、违约责任以及其他通用条款。《标准合同》的重要条款如下：

1. 出境场景

根据《标准合同》第一条定义，“个人信息处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的，向中华人民共和国境外提供个人信息的组织、个人；“境外接收方”是指在中华人民共和国境外自个人信息处理者处接收个人信息的组织、个人。

《标准合同》并未明确“境外接收方”为“自主决定处理目的、处理方式的组织、个人”还是“受个人信息处理者委托处理个人信息的组织、个人”，综合全文来看，《标准合同》应该覆盖了前述两种情形，即《标准合同》包括“控制者与控制者之间传输”“控制者与处理者之间传输”两种场景，这与欧盟推出的标准合同存在较大不同。

2. 不可修改性

《标准合同》的订立双方不得修改合同条款，但《标准合同》允许在不与合同正文内容相冲突的前提下，在附录二中约定其他条款。

3. 个人信息处理者与境外接收方的义务

个人信息处理者的义务主要见于《标准合同》第二条，包括遵守必要原则、充分告知及单独同意、第三方受益人告知、监督和配合境外接收方履行义务、采取技术和管理措施、接受监管询问、开展个人信息保护影响评估、承担合同履行的举证责任。

境外接收方的义务主要见于《标准合同》第三条，包括限定处理范围、向个人信息主体提供合同副本、影响最小、存储最短、采取技术和管理措施、数据泄漏处理义务、限制向其他境外第三方提供个人信息、限制转委托、依法开展自动化决策、提供所有必要信息、记录义务、接受监管等。

4. 第三方受益人

《标准合同》赋予了个人信息主体作为合同第三方受益人所享有的权利，包括知情权、决定权、限制或拒绝他人对其个人信息进行处理的权利、查阅权、复制权、更正与补充的权利、删除权，以及要求对其个人信息处理规则进行解释说明的权利等。

第三方受益人的设计突破合同相对性，让个人信息主体在并非是《标准合同》订立主体的情况下，也可以据此主张并维护自身权益。

因此，当个人信息处理者或境外接收方未履行《标准合同》义务且侵害个人信息权益时，个人信息主体有权根据合同条款主张违约方承担违约责任，亦可根据《个人信息保护法》等法律主张侵害个人信息权益方承担侵权责任。

5. 法律适用及管辖

《标准合同》明确“本合同的成立、效力、履行、解释、因本合同引起的双方间的任何争议，适用中华人民共和国相关法律法规”，个人信息处理者和境外接收方可在《标准合同》中选择仲裁或向我国有管辖权的人民法院提起诉讼的争议解决方式，仲裁机构包括我国的仲裁机构及其他《承认及执行外国仲裁裁决公约》成员的仲裁机构。

(一) 路径概述

根据《认证认可条例》，认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。因而，认证制度的基本作用是由经官方认可监督的认证机构按照基本认证规范、认证规则进行认证活动，由于认证相关事项须经监管部门批准，认证制度可以为监管部门提供有力抓手。

在我国个人信息保护体系中，存在个人信息保护认证制度及个人信息跨境处理认证制度。

个人信息保护认证是一个总体概念，个人信息跨境处理认证是其中一种情形，无论个人信息是否出境，个人信息处理者都可以进行个人信息保护认证，只有在特定的数据出境的场景下，为满足特殊要求，需要进行个人信息跨境处理认证。

因而，当我们在数据出境的语境中讨论个人信息跨境处理认证制度时，既要关注其制度本身，也要关注个人信息保护认证，认证依据包括《个人信息保护认证实施规则》（以下简称《认证规则》）、信安标委发布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》（以下简称《认证规范2.0》）、推荐性国家标准GB/T 35273《信息安全技术 个人信息安全规范》以及正在征求意见中的《信息安全技术 个人信息跨境传输认证要求》（以下简称《认证要求》）。

笔者此前在《比较法视野下的个人信息跨境处理认证制度》中对比了我国的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》（以下简称《认证规范1.0》）与欧盟的《认证指南》关于认证制度要点的异同，现将结合《认证规范2.0》《认证要求》对个人信息跨境处理认证制度进行梳理。

(二) 适用情形

根据《认证要求》，个人信息跨境处理认证制度适用于认证机构对个人信息处理者跨境提供个人信息活动开展个人信息保护认证，也适用于主管部门、第三方评估机构等组织对个人信息处理者跨境提供个人信息活动进行监督、管理和评估。

《认证规范2.0》的适用情形与《认证要求》基本相同，相较于《认证规范1.0》，其删除了具体的两类个人信息处理者的跨境数据处理活动，但《认证规范2.0》第二条仍对两类特殊主体“跨国公司或者同一经济、事业实体下属子公司或关联公司”和“《个人信息保护法》第三条第二款规定的境外个人信息处理者”的认证主体进行了特别提示。

结合上述规定可见，不需要进行个人信息出境安全评估的企业除标准合同外，也可以选择通过开展认证的方式向境外提供个人信息，需要注意的是，相较于标准合同，认证制度明确要求个人信息处理者、境外接收方应指定个人信息保护负责人、设立个人信息保护机构，这项要求可能增加企业成本。

(三) 认证流程

《认证规则》提出了“技术验证+现场审核+获证后监督”的认证模式，具体认证实施程序如下：

《认证规则》规定认证证书有效期为3年，并给出了认证标志图样。虽然《认证规则》《认证规范2.0》均未明确具体认证机构，但中国网络安全审查技术与认证中心（CCRC）已经上线了“个人信息保护认证业务管理系统”（网址：isccc.gov.cn），可以进行数据出境认证工作。

(四) 基本要求及合规要点

《认证规则》与《认证规范2.0》关于认证基本要求的内容基本一致，要点如下：

1. 具有法律约束力的文件

在认证制度下，开展个人信息跨境处理活动的个人信息处理者和境外接收方需签订具有法律约束力和可执行的文件，确保个人信息主体权益得到充分的保障。

2. 组织管理

个人信息处理者和境外接收方需指定个人信息保护负责人，设立个人信息保护机构。

需要注意的是，这项要求可能加重企业的成本。《个人信息保护法》第五十二条规定，处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，但对于选择认证制度的企业而言，必须设立个人信息保护负责人。

3. 个人信息跨境处理规则

个人信息处理者和境外接收方需约定并且共同遵守同一个处理规则，处理规则应至少包括《认证规则》《认证规范2.0》列明的内容。

从《认证规则》《认证规范2.0》的规定来看，个人信息跨境处理规则显然不同于“具有法律约束力的文件”。

4. 个人信息保护影响评估

个人信息处理者应对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估，并形成个人信息保护影响评估报告，评估报告至少保存3年。

从底层逻辑来看，数据出境的三种路径各不相同，监管抓手与流程也存在差异，但仔细分析各项路径的重要内容，其在形式上存在诸多相似元素，如个人信息处理者均需与境外接收方签署具有约束力的法律文件、个人信息处理者在开展个人信息出境活动前均需开展个人信息保护影响评估/数据出境风险自评估、个人信息处理者均需对境外接收方所在国家或者地区的个人信息保护政策法规的影响进行考量等，笔者将在下篇中对该问题进行进一步剖析。

【 特别声明：本篇文章所阐述和说明的观点仅代表作者本人意见，仅供参考和交流，不代表本所或其律师出具的任何形式之法律意见或建议。】