数治入门 | 数据出境合规路径判断和实施流程落地

如何判断是否需要申报数据出境安全评估，或订立并备案个人信息出境标准合同，或通过个人信息保护认证？能够采取哪些方法和手段防范数据出境安全风险？

在数字经济背景下，数据已经成为国家战略资源和关键生产要素，也是企业的核心竞争资产。伴随着经济全球化，数据跨境活动日益频繁，数据出境场景越来越多，防范数据出境安全风险，保障数据依法有序自由流动成为我国关注的重要方面。目前，我国数据出境安全管理体系已经初步构建形成。《网络安全法》《数据安全法》《个人信息保护法》确立了数据出境的基本原则和主要路径，《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息保护认证实施规则》等进一步明确了不同数据出境路径的具体要求。

企业作为数据跨境活动最活跃的主体之一，无可避免的成为履行数据跨境合规义务的重要主体，但在具体实践中，如何采取相应的措施、采取哪些措施仍面临许多问题，比如：如何判断是否需要申报数据出境安全评估，或订立并备案个人信息出境标准合同，或通过个人信息保护认证？三条路径具体应如何实施？能够采取哪些方法和手段防范数据出境安全风险？……

一、数据出境合规路径判断方法

根据我国现行法律法规政策要求，企业在数据出境时应结合自身的主体类型、出境数据类型和数量等因素，综合判断是否需要申报并通过数据出境安全评估；订立并备案个人信息出境标准合同；或通过个人信息保护认证。具体应当适用何种路径，可参考如下判断方法。

1. 判断出境数据类型

重要数据出境，应当申报数据出境安全评估。
个人信息出境，则需进一步判断数据出境主体的性质、涉及个人信息主体数量。
向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的，依照有关法律、行政法规、部门规章规定执行。

2. 判断数据出境主体

个人信息出境，如果出境主体属于关键信息基础设施运营者，确因业务需要向境外提供，应当申报数据出境安全评估。如果不属于，则需进一步判断出境所涉及的个人信息主体数量。

3. 判断出境数据数量

若《规定（征求意见稿）》正式出台的版本与本次征求意见稿内容保持一致，那么数据出境数量对应的合规路径的判断方法如下：

预计一年内向境外提供 100 万人以上个人信息的，应当申报数据出境安全评估。
预计一年内向境外提供 1 万人以上、不满 100 万人个人信息的，需要进行个人信息出境标准合同备案或个人信息保护认证，但可以不申报数据出境安全评估。
预计一年内向境外提供不满 1 万人个人信息的，属于豁免情形，即不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

需要说明的是，企业在实际工作中，应以当时的生效规定为准。

4. 判断是否属于豁免情形

《规定（征求意见稿）》列明了不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形，以下情况属于豁免情形。

不包含个人信息或者重要数据：国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境，不包含个人信息或者重要数据的。
个人信息过境：不是在境内收集产生的个人信息向境外提供。
履行合同所必需：为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的。
人力资源管理所必须：按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的。
紧急情况所必须：紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息的。
未列入自贸区负面清单的数据：自贸区可自行制定数据出境“负面清单”，报经省级网络安全和信息化委员会批准后，报国家网信部门备案后生效。自贸区企业向境外传输“负面清单”之外的数据，无需适用三大数据出境合规路径。

上述豁免场景中提及的部分定义仍需被进一步阐释说明，涉及的数据类型和范围也需要被进一步明确。此外，虽然《规定（征求意见稿）》阐述了多类出境豁免情形，但这并不意味着由此豁免了企业数据出境活动的事前数据安全保护义务、管理义务和安全事件发生后的报告义务。因此，企业应关注《规定（征求意见稿）》正式稿的发布情况，对企业自身数据出境涉及的豁免情形进行识别认定，以满足数据出境合规义务要求。

另外，还须注意的是，数据出境安全评估是法律的强制要求。企业一旦达到触发条件，则必须开展安全评估，不存在所谓选择数据出境路径的问题。

二、数据出境合规路径实施流程

2.1 数据出境安全评估

若企业适用数据出境安全评估路径，则需要遵守《评估办法》《评估申报指南》中明确的数据出境安全评估的申报方式及相关流程。

其中，企业应按要求提交申报材料，包括统一社会信用代码证件影印件、法定代表人身份证件影印件、经办人身份证件影印件、经办人授权委托书、数据出境安全评估申报书、与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件、数据出境风险自评估报告以及安全评估工作需要的其他材料。提交材料形式包括书面材料和电子版材料。此外，因《评估申报指南》要求提交的材料的语言必须是中文，如果企业准备的材料只有非中文版本，则必须同时提交准确的中文译本。企业还应严格按照《评估申报指南》准备和提交上述各项材料，如提交的材料不够完整，申请可能被退回。

根据《评估办法》的要求，数据出境安全评估整体流程期间为57+N 天（5+7+45+N，N 代表补充材料审核时间）；如涉及复评的，则为 72+N（57+N+15）天。具体流程如图 2-1 所示。

图 2-1 数据出境安全评估流程

2.2 个人信息出境标准合同

若企业适用个人信息出境标准合同路径，则需要明确个人信息出境标准合同的签署及备案流程。其中，企业需要重点关注以下义务：

首先，根据《个人信息保护法》第五十五条、第五十六条以及《合同办法》第五条规定，企业应当事前针对个人信息出境活动进行个人信息保护影响评估，并对处理情况进行记录，形成个人信息保护影响评估报告并至少保存三年。

其次，企业在签署标准合同后，应遵守《合同办法》第三、六、七条的规定，履行标准合同备案要求，即在标准合同生效后方可开展个人信息出境活动，在标准合同生效之日起 10 个工作日内，向所在地省级网信部门提交标准合同和个人信息保护影响评估报告等材料进行备案。省级网信部门在收到材料后，会在 15 个工作日内完成材料完备性查验，并通知个人信息处理者备案结果。具体流程如图 2-2 所示。

图 2-2 个人信息出境标准合同备案流程

2.3 个人信息保护认证

若企业适用个人信息保护认证路径，则需要遵守《关于开展个人信息保护认证工作的公告》及《认证实施规则》中关于个人信息保护认证流程的相关规定。对于跨境数据处理活动的个人信息保护认证的依据则为《信息安全技术个人信息安全规范》以及《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》。

具体的认证模式为“技术验证+现场审核+获证后监督”。其中，技术验证是指由专门技术验证机构按照认证方案实施技术验证，并出具技术验证报告。现场审核是指由认证机构实施现场审核，并出具现场审核报告。认证机构会根据技术验证报告、现场审核报告和其他相关资料信息进行综合评价，并作出认证决定。对符合认证要求的，颁发认证证书；对暂不符合认证要求的，可要求限期整改，整改后仍不符合的，以书面形式通知终止认证。此外，认证机构会在认证有效期内采取适当的方式实施获证后监督，确保获得认证的个人信息处理者持续符合认证要求。

需要注意的是，除上述数据出境合规路径之外，企业的数据跨境传输活动还可能同时会触发其他的审批程序。例如，根据《网络安全审查办法》第二条，企业的数据出境活动影响或者可能影响国家安全的，应按照该办法进行网络安全审查等。

三、数据出境所涉基本概念

数据出境场景复杂，尤其是数据类别、数据处理者身份等因素的不同，也会导致所适用的数据出境合规路径大有不同。因此，准确把握相关基本概念对有效识别数据出境合规路径及相应风险意义重大。

本部分以相关法律法规和规范性文件为基础，对数据出境所涉及的几项基本概念展开介绍。

3.1 重要数据

根据《评估办法》，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

3.2 个人信息

《个人信息保护法》明确了个人信息与敏感个人信息的概念，即个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

判断处理的信息是否为个人信息时，应重点关注其是否“已识别” 或“可识别”自然人个人身份，只要有可能识别到特定个人，则应按个人信息的标准对待和处理。只有被真正匿名化处理过的信息，才不属于个人信息。判断处理的信息是否涉及敏感个人信息，可以结合该信息对数据主体权益的影响程度、是否属于特殊类型数据、以及结合《信息安全技术个人信息安全规范》的附录举例表等进行综合判断。

3.3 关键信息基础设施

《关键信息基础设施安全保护条例》明确了关键信息基础设施的定义，即关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

四、数据出境典型场景

综合《个人信息保护法》《评估申报指南》等相关法律规章及国家标准的规定，在判断数据处理行为是否涉及构成数据出境时，可以结合业务场景分别从“被传输数据是否在‘境内运营中’收集和产生” 以及“是否属于数据出境活动”两方面来判断。

4.1 被传输数据是否属于在“境内运营中”收集和产生

对于“境内运营”的概念，现行生效的政策文件尚未明确定义，但实务中一般认定为是网络运营者在中国境内开展业务，或向中国境内提供产品或服务的活动。判断网络运营者是否在境内运营不以其是否在境内注册实体，而是关注企业是否面向境内开展业务，或提供产品或服务，包括但不限于以下参考因素：

是否以为中国境内居民提供服务为目的；
提供产品和服务的过程中是否使用了中文；
是否提供了可以用人民币作为结算货币的选项；
是否向中国境内配送物流等。

在实践中，如果境内外的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务，且不涉及境内公民个人信息和重要数据的，均不视为境内运营。

4.2 是否属于数据出境活动

《评估申报指南》明确数据出境活动主要包括两种行为模式。一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外；二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问、查询、调取、下载、导出。在上述两种行为模式下，实践中企业常见的几类数据出境场景分别如下所示。

数据出境行为模式一：数据处理者将在境内运营中收集和产生的数据传输、存储至境外

① 境内主体将在境内运营中收集和产生的数据从境内服务器传输至境外的服务器。例：某公司将收集的境内业务数据上传至境内服务器，随后传输至境外母公司服务器。

② 境内运营的终端（如 App 等应用）采集的数据“直接存储”至境外服务器。例：某款服务器位于新加坡的App将在境内收集的用户数据直接存储于新加坡。

③ 境外主体委托境内或境外第三方供应商代为收集境内主体在境内运营中产生的数据。例：公司聘请第三方机构代为招聘员工，由第三方机构将收集的拟聘请员工数据传输至境外，供境外母公司进一步评估考核。

④ 境内主体委托境内或境外第三方供应商处理其在境内运营中产生的数据，并传输给境外主体。例：境内子公司委托境外数据分析供应商处理境内运营数据，供应商按照子公司委托将数据进一步传输至境外母公司。

⑤ 境外公司直接向中国境内个人或用户提供产品或服务，且于境外直接收集境内产生的用户数据。例1：在公司招聘的过程中，由应聘人员直接访问境外企业网站填写相关个人信息。例2：境外母公司通过部署在境外的全球人力资源管理系统直接收集境内子公司的员工数据。

数据出境行为模式二：数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用（公开信息、网页访问除外）

① 跨国公司或者同一经济、事业实体下属子公司或关联公司访问或调用境内主体存储于境内的数据。例：企业将境内员工个人信息上传至境内服务器，境外母公司可以通过登录系统直接访问、调取境内服务器上的员工数据。

② 境外员工或人员到境内出差，访问境内系统或在境内接收数据。例：企业将境内业务运营信息上传至境内服务器，境外母公司来华视察的高管直接访问并拷贝境内服务器上的运营信息。

此外，一般而言，“数据过境”的情况不属于数据出境，即并非是在我国境内产生和收集的个人信息和重要数据，即使经由我国境内中转出境或是在我国进行了存储、加工处理后出境的，也均不属于数据出境。但需要注意的是，如果该等在境外产生和收集数据与境内产生收集的数据“混存”在同一境内服务器上（尽管进行了逻辑隔离），或在该服务器上对境内外数据进行融合加工分析，那么当境外主体或应用可访问、调用该境内服务器上的数据时，此类场景也可能会被认定为数据出境。

本文摘编自中国联通、中兴通讯和北京市环球律师事务所发布的《企业数据跨境合规与技术应用白皮书》，全文下载：