《環球律師事務所：數據跨境現狀調查與分析報告(2023)（53頁）.pdf》由會員分享，可在線閱讀，更多相關《環球律師事務所：數據跨境現狀調查與分析報告(2023)（53頁）.pdf（53頁珍藏版）》請在三個皮匠報告上搜索。

1、1/542/54數據跨境現狀調查與分析報告基礎問題與十個痛點的解決3/54目錄上篇：基礎問題篇.4一、我國有哪些數據跨境相關的法律法規要求？.4二、哪些行為屬于數據跨境傳輸行為？.5三、哪些情況下需要開展數據出境安全評估？.5四、什么數據是重要數據？現階段識別重要數據的參考依據有哪些？.6五、如何識別關鍵信息基礎設施及其運營者？如何針對相關數據進行評估？.6六、哪些情況下需要開展個人信息出境安全評估？.8七、如何定義出境數據的“境外接收方”？.9八、哪些屬于“法律、行政法規另有規定，依照其規定進行評估/批準”的情況？.10九、符合條件的企業應當向哪個/些機構申請數據出境安全評估？.10十、數據

2、出境安全評估流程是怎樣的，需要多長時間？.11十一、符合條件的企業申請數據出境安全評估時，應當準備哪些申請材料？.11十二、數據處理者與境外接收方擬訂立的法律文件與個人信息出境標準合同有何區別？.11十三、完成數據出境評估后，有效期為多久？什么情況下需要再次申請安全評估？.12十四、應申請安全評估但未申請出境數據，有何罰則？.12十五、還有哪些應當注意的具體事項？.13下篇：調查分析篇.14一、如何準確識別數據跨境傳輸場景.15二、如何準確識別跨境傳輸數據的類型.23三、如何正確盤點跨境傳輸數據的數量.27四、如何確認采取哪種出境安全保障機制.30五、如何完成數據出境安全評估.34六、如何評估

3、跨境傳輸相關法律文件完善程度.38七、如何評估數據處理者和境外接收方的技術和制度措施是否充分.41八、如何評估境外接收方法律與政策環境完善程度.43九、如何完成個人信息保護認證.48十、如何正確應對國際爭議解決場景下取證所涉的數據跨境傳輸.504/54上篇：基礎問題篇一、我國有哪些數據跨境相關的法律法規要求？隨著數字化成為我國重要的國家戰略，數據正逐漸被我國政府視為保障國家主權、對國家安全和經濟發展具有重大影響的重要資產。監管部門對數據跨境傳輸的合規情況亦越發關注。自 2017 年 6 月 1 日起施行的中華人民共和國網絡安全法（下稱網絡安全法）、2021 年 9 月 1 日起施行的中華人民共

4、和國數據安全法（下稱數據安全法）和 2021 年 11 月 1 日起施行的中華人民共和國個人信息保護法（下稱 個人信息保護法），均從法律層面對開展數據出境活動進行了規定。我國立法針對數據出境采用了“分層監管”的方式，即將關鍵信息基礎設施運營者與一般網絡運營者進行區分監管。企業應當根據自身屬性和出境數據的類型與性質的不同，判斷需要相應承擔的不同層次數據出境合規義務。從自身屬性角度看，當數據出境主體構成關鍵信息基礎設施運營者時，在境內運營期間收集和產生的個人信息與重要數據的出境活動是存在限制的；從數據類型角度看，個人信息、重要數據、國家核心數據、以及由特別法管轄下的特殊類型數據，則需要適用不同的出

5、境規則。（具體內容請見下篇：調查分析篇“如何準確識別數據跨境傳輸的類型”部分）為推動法律落地，在行政法規層面，國家互聯網信息辦公室（下稱“網信辦”）及相關中國數據保護和網絡安全監管機構也陸續發布了一系列的規章、國家標準和指南等文件。網信辦于 2021 年 11 月 14 日發布了網絡數據安全管理條例（征求意見稿）（下稱網數條例（征求意見稿），設專章對“數據跨境安全管理”作出具體規定，其正式稿也有望于今年出臺；在部門規章層面，2022 年 9 月 1 日施行的數據出境安全評估辦法對哪些數據出境主體需要申報數據出境安全評估以及申報的要求作出了規定，與之配套出臺的數據出境安全評估申報指南（第一版）（

6、下稱指南（第一版）對申報材料的具體要求作出了指引（具體內容請見下篇：調查分析篇“如何完成數據出境安全評估”部分）。網信辦于 2023 年 2 月 24 日發布、將于 2023 年 6 月 1 日施行的個人信息出境標準合同辦法（下稱標準合同辦法），對數據出境主體向境外提供個人信息時在何種條件下才應與境外接收方簽訂標準合同作出了規定，同時也提供了標準合同模板（具體內容請見下篇：調查分析篇“如何評估跨境傳輸相關法律文件完善程度”部分）。此外，全國信息安全標準化技術委員會（TC260）（下稱“信安標委”）于 2017 年 8 月 25 日發5/54布了信息安全技術 數據出境安全評估指南（征求意見稿）（

7、下稱安全評估指南（征求意見稿），在網信辦未發布數據出境安全評估辦法前規范數據出境安全評估流程、評估要點、評估方法等內容。同時信安標委在個人信息跨境處理活動安全認證規范（TC260-PG-20222A）的基礎上于 2022 年 12 月 16 日發布了更新版本網絡安全標準實踐指南個人信息跨境處理活動安全認證規范 V2.0（下稱認證規范 V2.0）。該認證規范旨在明確該認證機制的適用情況、專業機構認證的依據以及通過認證需要遵守的規則。雖然上述法規、辦法、標準中尚有個別未最終發布或生效，但這一系列文件為中國監管機構（如網信辦、中國證監會）在審查數據跨境傳輸活動和境外上市企業時提供了參考依據。由此可見

8、，涉及跨境傳輸數據的企業正面臨新一輪合規挑戰在沒有形成統一規則、缺乏最終清晰指引的情況下，其需要花費時間成本、人力、物力不斷完善多個業務線或部門的工作流程、調整現有的全球數據戰略規劃、創建新的數據存儲解決方案并修改或起草相關制度及合同文本等。二、哪些行為屬于數據出境？網信辦于 2022 年 8 月 31 日發布的指南（第一版）第一部分“適用范圍”中對屬于“數據出境”的行為做出了描述，將數據跨境傳輸的場景歸納為三種行為：1.數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外；2.數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出；及3.網信辦規定的其他

9、數據出境行為。（具體內容請見下篇：調查分析篇“如何準確識別數據跨境傳輸場景”部分）三、哪些情況下需要開展數據出境安全評估？根據數據出境安全評估辦法第四條，有下列情形之一的，應當申報數據出境安全評估：1.數據處理者向境外提供重要數據；2.關鍵信息基礎設施運營者和處理 100 萬人以上個人信息的數據處理者向境外提供個人信息；3.自上年 1 月 1 日起累計向境外提供 10 萬人個人信息或者 1 萬人敏感個人信息的數據處理者向境外提供個人信息；6/544.國家網信部門規定的其他需要申報數據出境安全評估的情形。（具體應如何判斷請見下篇：調查分析篇“如何確認采取哪種出境安全保障機制”部分）四、什么數據是

10、重要數據？現階段識別重要數據的參考依據有哪些？數據安全法首先提出了建立國家安全觀以及數據安全制度體系，要求國家數據安全工作協調機制統籌協調制定國家重要數據目錄，加強對重要數據的保護。因此，“什么是重要數據”以及“如何識別重要數據”成為影響當前國家數據安全工作進展的重大議題。數據出境安全評估辦法第十九條也對重要數據進行了定義，即重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。信安標委于 2022 年 1 月 13 日公布了調整后的信息安全技術 重要數據識別指南（征求意見稿）。2022 年 4月 26 日，曾有專家在公眾號

11、發布 信息安全技術 重要數據識別規則（征求意見稿）（下稱 重要數據識別規則（征求意見稿），作為信息安全技術 重要數據識別指南（征求意見稿）的最新過程稿，其劃分了重要數據的定義范圍，規定重要數據是指“特定領域、特定群體、特定區域或達到一定精度和規模的數據，一旦被泄露或篡改、損毀，可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全”。并且，信息安全技術 重要數據識別規則（征求意見稿）指明識別重要數據的基本原則、明確重要數據的識別因素等，不僅為各行業、地區、部門制定本行業、本地區、本部門的重要數據具體目錄提供參考，也為企業識別其自身掌握的重要數據提供實踐指引，從而進一步為國家重要數據安全保護工

12、作提供支撐。工業和信息化部（下稱“工信部”）也于去年底開始開展工業領域數據安全管理試點，其中要求試點企業按照工業數據分類分級指南（試行）工業領域重要數據和核心數據識別規則（草案）開展數據分類分級，制定重要數據清單，并向主管部門報備。（關于如何識別與界定重要數據具體內容請見下篇：調查分析篇“如何準確識別跨境傳輸數據的類型”部分）五、如何識別關鍵信息基礎設施及其運營者？如何針對相關數據進行評估？（一）識別關鍵信息基礎設施（下稱“CII”）和關鍵信息基礎設施的運營者（下稱“CIIO”）的法律依據有哪些？根據目前的立法現狀，關于識別和認定 CII 和 CIIO 方面，企業可以綜合參考網絡安全法、由國務

13、院發布并于 2021 年 9 月 1 日施行的關鍵信息基礎設施安全保護條例（下稱保護條例）、公安部于 2020 年發布的貫7/54徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見（下稱指導意見）、網信辦網絡安全協調局于 2016 年 6 月公布的國家網絡安全檢查操作指南，以及 2020 年 8 月發布的國家標準信息安全技術關鍵信息基礎設施邊界確定方法（征求意見稿）（下稱CII 邊界確定方法）。（二）判斷關鍵信息基礎設施的運營者的思路及方式是什么？一般而言，通過以下三個步驟識別 CIIO：1.判斷所涉業務是否涉及重要行業和領域根據網絡安全法第三十一條，CII 所涉的重點行業和領

14、域包括：公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的行業和領域。保護條例第二條則在網絡安全法的基礎上進一步補充，提出 CII 范圍包括：“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等?！贝送?，根據公安部發布的指導意見，“基礎網絡、大型專網、核心業務系統、云平臺、大數據平臺、物聯網、工業控制系統、智能制造系統、新型互聯網、新興通訊設施

15、等重點保護對象”有可能會被納入 CII。因此，不難看出，國家針對 CII 所涉行業和領域的劃分采用的是非窮盡列舉式抽象定義，并以“視具體情況認定重點行業和領域”的情形留有余地。2.識別關鍵業務及具體關鍵信息基礎設施在初步確認所涉業務可能會被認定為屬于上述重要行業和領域之后，企業可以依據CII 邊界確定方法進一步評估其是否存在“一旦遭到破壞或者喪失功能，會嚴重危害國家安全、經濟安全、社會穩定、公眾健康和安全的”、并且依賴信息化運行的業務，來識別、篩選關鍵業務。即當一個企業的屬性落入到第（1）點所列法規要求的 CII 所涉及的重點行業時，也不是該企業中的所有信息系統都是 CII 的范圍。只有所列行

16、業中的相關企業其高度支撐信息化運行且該系統的運行如果遭到破壞或者功能喪失有嚴重危害國家安全、經濟安全、社會穩定、公眾健康和安全后果的才有可能被納入 CII 的范圍。在初步判斷后，企業可以參考保護條例第九條來進一步梳理企業中“對本行業、本領域關鍵核心業務”“重要的”“一旦遭到破壞、喪失功能或者數據泄露對國家安全、社會穩定帶來危害”的網絡設施、信息系統；而該網絡設施、信息系統則極大可能會被認定為 CII。3.明確 CIIO8/54順接上述第（2）點，需要進一步明確的是，支撐同一關鍵業務的 CII 可能屬于一個運營者，也可能分屬于多個運營者。因此，在識別出關鍵業務和 CII 之后，應當根據關鍵業務對

17、信息化的依賴程度和依賴關系進行系統評估，梳理支撐同一關鍵業務的 CII 分布和運營情況，以明確對應到具體的 CIIO。需要提醒的是，從網絡安全審查辦法 指導意見到保護條例，均明確了 CII 及 CIIO 的認定工作由各自行業的主管部門負責，所以企業是否屬于我國認定的 CIIO 主要取決于主管機構的判定和通知。同時，考慮到 CII的定義以及范圍均比較寬泛，并且技術以及網絡安全的要求會不斷地更新迭代，主管機構對于行業內企業所擁有的CII 具體情況應該也是在一個持續的了解和動態認定的過程中，所以希望公司時刻保持關注。（三）如果外國公司在中國投資設立的公司（下稱“FIE”）被認定為 CIIO，該 FI

18、E 的個人信息出境活動應如何開展？是否可以直接向境外母公司傳輸個人信息？應當說明的是，我國現行有效的法律對于 CIIO 的個人信息出境活動（包括跨境傳輸員工個人信息的行為）有明確規制。網絡安全法第三十七條規定了 CIIO 向境外提供數據的安全評估義務。個人信息保護法第四十條進一步規定，CIIO 應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估。因此，若 FIE 被認定為 CIIO，則需要將在中國境內收集的個人信息存儲在境內；如FIE 確需向位于境外的母公司提供在境內運營中收集產生的個人信息的，應當根據數據出境評估辦法通過國家網信部門

19、組織的安全評估。在未履行上述要求的情況下，公司直接向境外母公司傳輸個人信息是存在合規風險的，可能會被要求承擔上篇問題十四中所述的相關責任。六、哪些個人信息出境情形需要申報數據出境安全評估？首先，企業應當識別出境數據中是否含有個人信息根據個人信息保護法，個人信息是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息。此外，信息安全技術 個人信息安全規范（GB/T352732020）作為推薦性國家標準，其附錄 A 列舉了部分個人信息類型，附錄 B 列舉了部分敏感個人信息類型，均可作為判斷出境數據中是否含有個人信息的依據。（具體內容請見下篇：調查分析篇“如何準確識別跨境傳輸數據的類型”

20、部分）。其次，企業應當結合法律要求判斷自身是否屬于以下情形：第一，處理 100 萬以上個人信息的數據處理者向境外提供個人信息。個人信息保護法第四十條規定，處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估。9/54數據出境安全評估辦法與其上位法保持一致，并進一步就個人信息保護法第四十條所提及的“數量”進行了明確。由此可見，對于處理 100 萬以上個人信息的處理者，法律法規規制的對象是某一類個人信息處理者，而非某一類處理行為。如處理 100 萬以上個人信息的數據處理者確有需要向境外提

21、供個人信息，則不論向境外提供的數據量為多少，都應當事先通過國家網信部門組織的安全評估。第二，累計向境外提供 10 萬人個人信息的數據處理者或者 1 萬人敏感個人信息的數據處理者。去年 9 月起施行的數據出境安全評估辦法明確了“10 萬人個人信息或者 1 萬人敏感個人信息”的起算時間，即從上年 1 月 1 日起。這一點也在標準合同辦法中得以體現。數據出境安全評估辦法對此情形中的兩個數量門檻設置較低，企業（尤其是跨國公司）很容易達到該標準進而被納入需要申報數據出境安全評估的范圍中，這體現了國家對于數據出境的管控日趨嚴格。我們建議企業盡快開展自查，充分了解內部已經累計向境外提供的個人信息數據量及流轉

22、情況，判斷是否達到了上述規定的標準或者還有多少余量將可能需要申請出境安全評估。需要注意的是，所述的“10 萬”“1 萬”，是指實際累計向境外傳輸個人信息所對應主體的人數，而非指人次。例如某公司向境外傳輸員工個人信息，通常需要考慮加上未來新入職的員工人數，以及已經傳輸過的離職人員的數量，如果從去年 1 月 1 日起累計向境外已傳輸超過 10 萬名員工，或者從去年 1 月 1 日起向境外傳輸 1 萬名員工的敏感個人信息（如身份證號碼），則該公司應當在去年 9 月 1 日數據出境安全評估辦法生效后考慮申報數據出境安全評估。需要注意的是，網信部門在收到申報材料后開展的數據出境安全評估與企業在提交數據出

23、境安全評估前實施和開展的個人信息保護影響評估和數據出境風險自評估在性質上是不同的，不可混為一談。（具體內容請見下篇：調查分析篇“如何確認采取哪種出境安全保障機制”部分）七、如何定義出境數據的“境外接收方”？如上篇問題二中所介紹的，即使數據未轉移存儲至本國以外的地方，但被境外的機構、組織、個人訪問查看或調用的（公開信息、網頁訪問除外），屬于數據出境；同理，國內企業聘用的境外服務供應商通過境外服務器收集產生于中國境內的個人信息，也是屬于數據出境?！熬惩饨邮辗健币话銉H指向第一手境外接收方，數據再傳輸活動涉及的第三方境外接收方所在國家或地區的相關情況一般不需要評估。涉及多個境外第一手數據接收方時，需在

24、自評估10/54報告中結合業務場景，根據數據出境規模、涉及國家或地區的風險程度等因素，分別評估各接收方所具備的數據安全保障能力。結合我們的經驗，從跨國企業和其供應商的關系看，一般跨國企業和其聘用的供應商多為委托處理關系，還大多屬于跨國公司總部直接委托境外供應商、簽署數據處理協議的情況（約定跨國企業及各分支機構均為數據處理者，供應商為受托方）。當從中國境內收集或者在境內產生的數據被傳輸給境外供應商后，如果境外母公司可以自行查閱、瀏覽存儲于境外服務供應商于境外服務器的中國子公司的數據，并且境外母公司供應商服務合同的相對方可以根據自己的目的進行處理（即以個人信息處理者的身份對中國境內生成的個人信息進

25、行處理），則中國子公司實質是將個人信息出境傳輸至其境外母公司（即使出境的數據存儲于境外服務供應商于第三國的服務器），境外母公司屬于數據處理者角色的境外接收方。八、哪些屬于“法律、行政法規另有規定，依照其規定進行評估/批準”的情況？除網絡安全法 數據安全法和個人信息保護法確立的數據和網絡安全整體體系外，企業還應當考慮其他相關法律法規的要求。例如，根據中華人民共和國保守國家秘密法第三十條，機關、單位對外交往與合作中需要提供國家秘密事項，或者任用、聘用的境外人員因工作需要知悉國家秘密的，應當報國務院有關主管部門或者省、自治區、直轄市人民政府有關主管部門批準，并與對方簽訂保密協議。如涉及健康醫療大數據

26、，則根據國家健康醫療大數據標準、安全和服務管理辦法（試行）第三十條，應當存儲在境內安全可信的服務器上，因業務需要確需向境外提供的，應當按照相關法律法規及有關要求進行安全評估審核。如涉及測繪成果，則根據中華人民共和國測繪法第三十四條，屬于國家秘密的，適用保密法律、行政法規的規定；需要對外提供的，按照國務院和中央軍事委員會規定的審批程序執行。如涉及人類遺傳資源信息，則根據中華人民共和國生物安全法第五十七條，向境外組織、個人及其設立或者實際控制的機構提供或者開放使用的，應當向國務院科學技術主管部門事先報告并提交信息備份。九、符合條件的企業應當向哪個/些機構申請數據出境安全評估？數據出境安全評估辦法第

27、四條明確，數據處理者向境外提供數據，應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估。11/54根據數據出境安全評估辦法第十條，國家網信部門受理申報后，根據申報情況組織國務院有關部門、省級網信部門、專門機構等進行安全評估?？梢?，數據出境安全評估辦法保留了一定的靈活性，網信辦可以根據實際情況組織相關行業主管部門參與出境安全評估。十、數據出境安全評估流程是怎樣的，需要多長時間？根據數據出境安全評估辦法第七條、第十二條、第十三條的要求，數據出境安全評估辦法中的整體評估時長為 57+N 天（N 代表補充材料審核時間）；如涉及復評的，則為 72+N 天。在整體評估流程中，數據出境安全評估辦法

28、第十一條還新增了數據處理者拒不補充或拒不更正材料的后果，即安全評估過程中，國家網信部門可以要求數據處理者補充或者更正材料，如數據處理者無正當理由不補充或者更正的，國家網信部門可以終止安全評估。此外，數據出境安全評估辦法第十三條為數據處理者提供了救濟方式。對評估結果有異議的，數據處理者可以在收到評估結果 15 個工作日內向國家網信部門申請復評，該復評結果則為最終結論。（具體內容請見下篇：調查分析篇“如何完成數據出境安全評估”部分）十一、符合條件的企業申請數據出境安全評估時，應當準備哪些申請材料？根據數據出境安全評估辦法第六條，申報數據出境安全評估，應當提交以下材料：1.申報書；2.數據出境風險自

29、評估報告；3.數據處理者與境外接收方擬訂立的法律文件；4.安全評估工作需要的其他材料。具體應如何準備相關申報材料，可參考網信辦發布指南（第一版）中的要求。十二、數據處理者與境外接收方擬訂立的法律文件與個人信息出境標準合同有何區別？12/54數據出境安全評估辦法第九條與標準合同辦法附件“個人信息出境標準合同”1，分別對數據處理者與境外接收方擬訂立的法律文件的內容和個人信息出境標準合同的訂立要求作出了規定。需要注意的是，根據標準合同辦法第六條，標準合同應當嚴格按照網信辦制定版本訂立，個人信息處理者可以與境外接收方約定其他條款，但不得與標準合同相沖突。當需要進行數據出境安全評估時，我們建議企業在起草

30、與境外接收方擬訂立的相關法律文件（如數據跨境傳輸協議）時，一方面應當完全按照標準合同辦法中“個人信息出境標準合同”模板，另一方面也應當按照數據出境安全評估辦法第九條額外提及的要點重點補充如下兩種情形下的處理措施：（1）境外接收方實際控制權或者經營范圍發生實質性變化；（2）接收方所在地網絡安全環境發生變化或發生其他不可抗力的情形。還應關注的是，網信辦有關負責人就數據出境安全評估辦法答記者問時，建議在法律文件中注明此文件須在通過數據安全評估后方可生效，以避免因出境安全評估未通過而造成合同主體的損失。十三、完成數據出境評估后，有效期為多久？什么情況下需要再次申請安全評估？根據數據出境安全評估辦法第十

31、四條，數據出境安全評估的結果有效期為兩年，自評估結果出具之日起算。換言之，有效期兩年是指在同一數據出境目的、方式、范圍、類型和境外數據接收方類型不變等情況下，不需要針對這些情況重新申請評估；當兩年有效期屆滿，則應在有效期屆滿 60 個工作日前重新申報評估。十四、應申請安全評估但未申請出境數據，有何罰則？數據出境安全評估辦法沒有額外規定違規責任與懲罰措施，而是援引了網絡安全法 數據安全法 個人信息保護法的相關罰則。同時，若數據處理者構成犯罪的，將依法追究刑事責任。根據網絡安全法第六十六條，關鍵信息基礎設施的運營者違反規定，在境外存儲網絡數據，或者向境外提供網絡數據的，由有關主管部門責令改正，給予

32、警告，沒收違法所得，處 5 萬元以上 50 萬元以下罰款，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處 1 萬元以上 10 萬元以下罰款。根據數據安全法第四十六條，違反規定向境外提供重要數據的，由有關主管部門責令改正，給予警告，可以并處 10 萬元以上 100 萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處 1 萬元以上 10 萬元以下1http:/ 100 萬元以上 1,000 萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處 1

33、0 萬元以上 100 萬元以下罰款。根據個人信息保護法第六十六條，若企業違法處理個人信息，例如未在出境前進行安全評估，則可能面臨最高 5,000 萬元以下或者上一年度營業額 5%以下罰款、停業整頓、吊銷相關業務許可或者吊銷營業執照等嚴厲的處罰措施；同時，針對直接負責的主管人員和其他直接責任人員，也有可能被處以 10 萬元以上 100 萬元以下罰款，并在一定期限內禁止擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。十五、還有哪些應當注意的具體事項？根據中華人民共和國保守國家秘密法，違反法律規定存在國家秘密出境行為的，則有可能構成犯罪并依法追究刑事責任。除此之外，企業還應當關注中華人民

34、共和國刑法（下稱刑法）規定的刑事責任，如刑法第一百一十一條規定，為境外竊取、刺探、收買、非法提供國家秘密、情報罪，規定了為境外的機構、組織、人員竊取、刺探、收買、非法提供國家秘密或者情報的，處五年以上十年以下有期徒刑；情節特別嚴重的，處十年以上有期徒刑或者無期徒刑；情節較輕的，處五年以下有期徒刑、拘役、管制或者剝奪政策權利。若涉及某特定領域或行業，公司還需要根據部門規章以確認是否存在相應的特殊規定以及罰則以及具體的處罰后果。14/54下篇：調查分析篇為了解當下境內企業數據跨境的現狀與困境，我們向 25 家涉及數據跨境的企業或機構發放了調查問卷，截至2023 年 2 月 22 日回收問卷 21

35、份。其中，一半企業為互聯網企業，5 家企業來自批發零售行業，兩家來自制造業，兩家為車企，其他企業則分布在科研、金融、教育等行業領域。在此基礎上，研究團隊還就數據跨境的具體問題與其中的九家企業及機構進行了訪談，以期對數據跨境實踐中的難點與解決之道有更具深度與實操性的分析。15/54一、如何準確識別數據跨境傳輸場景此次研究團隊回收的問卷中，有 9 份來自跨國企業，有超過 60%的參與調研企業數據跨境都采用“端到端傳輸”（由境內服務器向境外服務器傳輸）的方式，且有 16 家受訪企業都明確表示公司的數據出境正在或已經按照相關法律法規要求進行了安全評估等相關工作；但另一方面，有超過一半的受訪企業都表示在

36、相關工作中面臨著“公司業務和合規要求間存在沖突，難以短時間內調和”的困難，半數的企業認為“處理評估、整改和申報相關手續及流程的時間周期過長，對業務開展造成影響”；有超過三成的受訪企業認為，“履行評估、整改和申報義務所花費的經濟成本較高，企業難以承受”。作為最早一批聚焦出海業務的企業之一，匯量科技對數據出境已形成一套較為成熟的經驗。匯量科技在訪談中表示，很多涉及數據出境的企業多面臨專業知識缺乏，難以評估數據跨境風險和控制措施的有效性的現狀。一家參與訪談的車企也認為，由于當下與數據安全相關的政策法規密集，面臨監管多頭問題，企業在合規方面投入了大量時間和精力。匯量科技認為，一方面，近年來數據領域的法

37、律法規不斷發展完善，針對數據出境的監管能夠促進行業良性發展，塑造全球競爭力；另一方面對企業合規帶來了更大的挑戰，企業盈利一定程度上也會受到沖擊，相關成本亦隨之增加，因此，企業必須密切關注相關政策的變化，以確保數據跨境的合規性?！拔ㄓ泻粚崝祿踩碗[私保護的基座，才有底氣為全球企業提供安全穩定的產品與服務，連接企業端與用戶端?！眴柧碚{查的結果顯示，盡管困難重重，仍有超過半數的企業認為“履行相關數據出境的要求有利于業務開展”。企業實踐難點：1.從中國大陸向港澳臺地區傳輸數據的行為，是否屬于數據跨境傳輸？2.外資企業沒有在境內注冊主體，但在境內開展業務或向境內提供產品或服務的，是否屬于境內運營？3.

38、企業運營的產品僅向境外提供服務，不涉及收集境內的數據，是否屬于境內運營？境外主體將直接從境內采集的數據存儲在境內服務器，是否屬于數據跨境傳輸？4.境外主體訪問存儲在境內的數據，是否屬于數據跨境傳輸？5.境內主體向另一個位于境內的外資企業傳輸數據，是否屬于數據跨境傳輸？6.跨國集團內部傳輸，是否屬于數據跨境傳輸？7.境外員工或人員出差到境內，訪問境內的系統或是在境內接收數據，是否屬于數據跨境傳輸？16/54針對如何識別數據跨境傳輸行為，請參考上篇問題二中的內容，此處不再贅述。此外，信安標委對數據跨境活動發布的多部國家標準，一定程度上也解釋了數據跨境傳輸場景的識別問題，例如于 2017 年 8 月

39、 25 日發布的安全評估指南（征求意見稿）第 3.7 條注釋 1 中解釋了“數據出境”的具體情形2；于 2022 年 12 月發布的認證規范V2.0也通過明確跨國企業在個人信息跨境處理活動中進行認證的主體在一定程度上對數據出境場景進行了劃分3。綜合上述相關法律法規及國家標準的規定，企業在判斷公司業務處理數據的行為是否屬于“數據出境”時，需要注意：（1）該等數據是否在“境內運營過程中”收集和產生；以及（2）企業的行為是否屬于“向境外提供”，或被境外“訪問或調用”的場景。1.是否在“境內運營過程中”收集和產生在判斷是否屬于“境內運營過程中”收集和產生的數據，應理清“境內”及“境內運營”的含義。對于

40、“境內”的含義，我國目前分為“國境內”和“關境內”兩種類型。其中“國境內”指一個國家行使主權的領土范圍，其指代范圍包括中國大陸、香港特別行政區、澳門特別行政區、臺灣地區（以下統稱“港澳臺地區”）；“關境內”則指使用同一海關法或實行同一關稅制度的區域4。根據中華人民共和國出入境管理法附則中提到的定義，“出境”指由中國內地前往其他國家或地區，包括由中國內地前往香港特別行政區、澳門特別行政區，由中國大陸前往臺灣地區。在這種定義下港澳臺地區屬于“境外”范圍?，F行法律法規沒有明確規定數據處理過程中涉及“境內”的概念，但網信辦發布的網數條例（征求意見稿）第十三條提出“數據處理者赴香港上市，影響或者可能影響

41、國家安全的”需按有關規定申報網絡安全審查。從側面可以看出國家在數據跨境處理上以保證數據安全為主，對于“境內”的含義也傾向于“關境內”的角度進行解釋，即由中國大陸向港澳臺地區傳輸的數據的行為屬于“出境”行為。同時，根據安全評估指南（征求意見稿）第 3.7 條注釋 1 的規定，向本國境內，但不屬于本國司法管轄或未在境內注冊的主體提供個人信息和重要數據，也屬于數據出境的情形。由此可以看出對于數據“跨境”的判斷，并不拘泥于我們通常理解的數據跨越“關境”邊境的傳輸方式，更著重于強調境外主體是否屬于“本國司法管轄”或“境內注冊”。其判斷標準更偏重“屬人原則”而非“屬地原則”。因而因而，實踐中實踐中境外員工

42、或人員出差到境內境外員工或人員出差到境內，訪問境內系統或訪問境內系統或在境內接收數據在境內接收數據屬于數據跨境傳輸的范圍。屬于數據跨境傳輸的范圍。2注 1：以下情形屬于數據出境:a）向本國境內，但不屬于本國司法管轄或未在境內注冊的主體提供提供個人信息和重要數據；b）數據未轉移存儲至本國以外的地方，但被境外的機構、組織、個人訪問查看查看的（公開信息、網頁訪問除外（公開信息、網頁訪問除外）；c）網絡運營者集團內部集團內部數據由境內轉移至境外，涉及其在境內運營中收集和產生的個人信息和重要數據的。3認證主體：跨國公司或者同一經濟、事業實體下屬子公司或關聯公司之間的個人信息跨境處理活動可由境內一方申請認

43、證，并承擔法律責任。中華人民共和國個人信息保護法第三條第二款規定的境外個人信息處理者，可由其在境內設置的專門機構或指定代表申請認證，并承擔法律責任。4參考中國社會科學院法學研究所周漢華教授主編的條文精解與適用指引，北京：法律出版社，2022，P244。17/54對于“境內運營”的概念，根據信安標委于 2017 年發布的安全評估指南（征求意見稿）中規定，指網絡運營者在中國境內開展業務，提供產品或服務的活動。其判斷依據不以企業是否在境內注冊，而關注企業是否向境內開展業務，或向境內提供產品或服務，包括但不限于以下重點判斷因素：是否以為中國境內居民中國境內居民提供服務為目的；提供產品和服務的過程中是否

44、使用了中文中文；是否提供了可以用人民幣作為結算貨幣人民幣作為結算貨幣的選項；是否提供了向中國境內配送物流向中國境內配送物流的服務等。實踐中實踐中，如果如果企業運營的產品僅向境外提供服務企業運營的產品僅向境外提供服務，不涉及收集境內的數據不涉及收集境內的數據；或境內的網絡運營者僅向境外機構或境內的網絡運營者僅向境外機構、組織或個人開展業務、提供商品或服務，且不涉及境內公民個人信息和重要數據的，均不視為境內運營。組織或個人開展業務、提供商品或服務，且不涉及境內公民個人信息和重要數據的，均不視為境內運營。2.是否屬于跨境傳輸場景此外，對于企業實踐中涉及的數據出境行為通常分為以下三種類型：（1 1）數

45、據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外在實踐中，可能被認定為數據出境的場景包括：1 1境內運營中收集和產生的數據從境內服務器傳輸至境外的服務器（如下圖境內運營中收集和產生的數據從境內服務器傳輸至境外的服務器（如下圖 1 1）第種場景通常存在兩種傳輸方式：1）通過具有數據傳遞功能的軟件或硬件等物理介質向境外提供數據；及 2）境內主體通過上傳或存儲數據至位于海外的服務器或云端。第一種通過具有數據傳遞功能的軟件或硬件介質向境外提供數據，企業通常能夠意識到發生了數據出境，是較容易識別出的場景。其中傳遞數據的介質可以包括電子郵件、F

46、TP、跨境搭建的 VPN、API 或常見的 U 盤、移動硬盤或便攜式筆記本等。第二種數據出境的場景則相對隱蔽，往往被企業所忽視，從而導致違規風險。例如，外資企業的境內子公司使用境外母公司海外部署的數據庫作為文檔庫，上傳文檔至海外服務器；或員工在境內收集數據后錄入、應用收集境內數據后導入部署在境外的客戶關系管理（CRM）系統，以實現直接銷售、對客戶行為和歷史的預測和分析、員工訪問或調取信息等功能。境內運營中終端（如境內運營中終端（如 AppApp 等應用）采集的數據等應用）采集的數據“直接存儲直接存儲”至境外服務器（如下圖至境外服務器（如下圖 2 2）第種場景則屬于指南（第一版）中明確規定的數據

47、跨境傳輸的場景。18/54圖 1圖 2此外，除境內主體和境外主體以外，在數據傳輸的過程中往往會涉及第三方的情況，例如境外主體委托境內或境外第三方供應商代為收集境內運營中產生的數據（如下圖）。在這種情形下，盡管境外主體未直接收集數據，但如果第三方供應商是受境外主體委托而處理數據，則境外主體是數據處理者從而很可能被認定是數據的境外接收方。（2 2）數據處理者收集和產生的數據存儲在境內數據處理者收集和產生的數據存儲在境內，境外的機構境外的機構、組織或者個人可以訪問或者調用組織或者個人可以訪問或者調用（公開信息公開信息、網頁訪問除外）網頁訪問除外）評價是否屬于數據出境行為時，也應關注重“境外主體獲取/

48、訪問境內數據”這個因素，即無論境內主體與境外主體如何實施數據傳輸行為，只要存在于境內運營中產生的數據被境外數據處理者訪問、傳輸、存儲（如下圖）的情況，則屬于數據出境。19/54由此可見，跨國公司或者同一經濟、事業實體下屬子公司或關聯公司訪問或調用存儲于境內的數據，屬于數據出境。例如，若 FIE 的境外母公司可以訪問其存儲于中國服務器中的相關數據，該 FIE 也需要依法進行安全評估后方可被其境外母公司訪問或者調取。（3 3）境外產生收集的數據在境內存儲后再向境外傳輸境外產生收集的數據在境內存儲后再向境外傳輸具體來說，境外主體或應用（如 App）將“境外產生收集的數據”（下稱“境外數據”）傳輸至境

49、內，如果境外數據與境內產生收集的數據與境內產生收集的數據“混存混存”在同一境內服務器上在同一境內服務器上（盡管進行邏輯隔離），或在該服務器上對境內外數據進行融在該服務器上對境內外數據進行融合加工分析合加工分析，那么當境外主體或應用可訪問、調用該境內服務器上的數據（如下圖 1）時，此類場景也將被認定為數據出境。但如境外主體或應用將境外數據傳輸至境內服務器上，該服務器僅存儲境外數據僅存儲境外數據，境外主體或應用訪問、調用該服務器上的境外數據時，則不屬于數據的跨境場景（如下圖 2）。安全評估指南（征求意見稿）第 3.7 條注釋 2 與注釋 3，亦將上述場景列明為不屬于數據跨境傳輸的情形：（1）對于非

50、在境內運營中收集和產生的個人信息和重要數據經由中國出境，且未經任何變動或加工處理；或者（2）在境內存儲、加工處理后出境但不涉及境內運營中收集和產生的個人信息和重要數據的。20/54圖 1圖 2（4 4）其他特殊情形，如境外實體或應用直接收集境內產生的數據。其他特殊情形，如境外實體或應用直接收集境內產生的數據。除上述三種數據跨境傳輸的情形外，指南（第一版）提到數據出境行為還包括“網信辦規定的其他數據出境行為”。在實務中比較常見的類型為境外直接收集境內數據。例如，境外公司直接向中國境內用戶提供產品或服務，且于境外直接收集境內產生用戶數據，在該種情形下，雖然數據的處理行為均在中國境外進行，但其收集的

51、個人信息為向境內提供產品或服務時產生的，符合前述“境內運營”的描述，也屬于數據跨境傳輸的場景。在實踐中，上述跨境傳輸場景可能發生在境外供應商傳輸數據至境內企業后，結合境內運營中收集、產生的信息再回傳至境外主體。3.在實踐中企業可能涉及的數據跨境傳輸場景（1）人力資源數據出境場景人力資源數據出境場景1 1公司招聘（應聘者個人信息出境）公司招聘（應聘者個人信息出境）在公司招聘的過程中，可能被認定為涉及數據出境的典型場景如下：通過企業網站等方式招聘員工，由應聘人員直接訪問境外企業網站填寫相關個人信息（如下圖）。21/54企業將招聘時收集的境內個人信息上傳至境內服務器，隨后傳輸至境外母公司或境外母公司

52、直接訪問、調取境內服務器上的數據（如下圖）。企業聘請第三方機構代為招聘員工的場景中，由第三方機構將收集的數據傳輸至境外（如下圖）。此外，值得注意的是，在招聘過程中由于企業通常收集應聘者的姓名、性別、聯系方式、教育程度、工作經驗等個人信息用于篩選候選人或準備面試，尚未涉及簽署勞動合同，非個人信息保護法第十三條規定的（二）為按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需的情形。因此，在該種情形下，處理個人信息的合法性基礎為告知同意5，企業在實踐中需注意在招聘過程中獲取個人信息主體授權同意或單獨同意。2 2員工數據出境員工數據出境在公司人力資源管理的過程中，可能被認定為涉及數據

53、出境的典型場景如下：HR 等相關人員通過郵件或特定形式定期傳輸員工數據至境外主體（如下圖）；HR 等相關人員在境內系統上傳員工數據，境外主體于境外遠程訪問或境外員工出差至境內訪問系統（如下圖）；5個人信息保護法第三十九條 個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項，并取得個人的單獨同意。22/54境外通過全球人力資源管理系統直接收集境內員工數據（如下圖）（2）業務數據出境場景業務數據出境場景對于業務數據的出境場景中，可能被認定為涉及數據出境的典型情形

54、如下：企業收集數據（包括但不限于 To B 和 To C 用戶個人信息、生產、技術、經營業務數據（含商業秘密）、重要/核心數據等）并存儲至境內服務器中，但可被境外主體或應用訪問、調取、下載、導出等（如下圖）。（3）供應商數據出境場景供應商數據出境場景在企業委托供應商處理數據的場景中，可能被認定為涉及數據出境的典型場景如下：企業委托境外供應商處理數據，供應商按照企業委托將數據傳輸至境外或允許境外主體訪問供應商服務器上受托處理的數據（如下圖）。企業委托境外供應商處理數據，并將相關數據傳輸到境外主體（如下圖）。23/54企業使用供應商提供的技術或軟件將數據傳輸出境（如下圖）。值得注意的是，在以上場景

55、中，企業均是跨境傳輸場景中的數據處理者/數據提供方，供應商僅為受托方或技術提供方。二、如何準確識別跨境傳輸數據的類型重要數據的識別是識別跨境傳輸數據類型工作中的難點和重點。已在安全領域深耕多年的綠盟科技認為，目前數據出境合規工作中，企業對“重要數據”的定義和范圍不夠清晰，導致在出境數據自評估時不準確。綠盟科技提出，這種現狀需要國家監管及行業主管部門對重要數據做進一步的精細化分類。一家在海外設有研發機構的車企在訪談中也提到了上述困惑，“由于我們涉及出境的數據主要是雙方研發涉及的代碼，而代碼究竟算不算重要數據，這讓我們在日常的工作中感到很困惑，最終只能不確定的都按照最嚴格的要求來處理?！鄙钲跀祿?/p>

56、易所在近年支撐推動了大灣區地區數據跨境的相關案例實踐，其在訪談中也表達了類似觀點：由于重要數據的識別標準模糊，一方面，數據處理者因未識別到重要數據，故未履行出境前置程序，但實際上出境數據可能涉及重要數據，存在合規義務未履行的風險。另一方面，部分數據處理者所處理的數據雖安全級別較低，不屬于重要數據，但同樣由于重要數據識別標準模糊，數據處理者將無需進行安全評估的跨境數據事項向網信部門進行申報，造成了不必要的資源浪費及負擔加重?！皩χ匾獢祿膭澐指械綗o從下手”是研究團隊在訪談中提到次數最多的問題。調查問卷也顯示，有近半數受訪企業認為“對于重要數據、敏感個人信息等數據類型的標準認定存在模糊，難以做到準

57、確地區分”。有 5 家企業表示雖然跨境數據中包括敏感個人信息，但還未完成對個人信息進行完全的脫敏處理。有 8 家企業沒有（或不清楚）識別重要數據的企業標準。24/54企業實踐難點：1.如何識別重要數據？產品代碼是否是重要數據？2.如何識別個人信息及敏感個人信息？3.個人信息匿名化處理后是否仍識別為個人信息？4.敏感個人信息去標識化處理后是否識別為個人信息？5.如果涉及敏感個人信息出境，是否必須去標識化或匿名化處理后才被允許出境？我國法律法規按照企業屬性的不同，針對不同的數據類型的跨境傳輸提出了不同的要求，具體如下表所示：關鍵信息基礎設施運營者（CIIO）一般網絡運營者個人信息+重要數據個人信息

58、重要數據核心數據其他數據因業務需要，確需向境外提供在境內運營中收集和產生的個人信個人信息息 和 重 要 數 據重 要 數 據時，在根據國家網信部門會同國務院有關部門制定的辦法進行安全評估后方可提供。6向境外提供個人信息個人信息的，應當向個人告知個人信息的種類種類且征得個人信息主體（或其監護人）的單獨同意單獨同意，并滿足如下條件之一：（一）通過國家網信部門組織的安全評估；（二）按照國家網信部門的規定經專業機構進行個人信息保護認證；（三）按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；（四）法律、行政法規或者國家網信部門規定的其他條件。7數據處理者向境外提供重重要數據要數

59、據或達到一定數量級達到一定數量級的個人信息的個人信息或敏感個人信敏感個人信息息，需申報數據出境安全評估8；數據處理者在申報數據出境安全評估前，應當開展數據出境風險自評估，重點評估出境數據的種類、敏感程度，數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險。9有境內存儲要求的，應當在境內存儲，確需向境 外 提 供的，應當依法依規進行數據出境安全評估。10國家秘密國家秘密在對外提供時需要取得相關部門的批準并與對方簽訂保密協議；健康健康醫療大數據醫療大數據需要進行安全評估審核；測繪成果測繪成果需要按照國務院和中央軍事委員會規定的審批程序執行；而人類遺傳資源信息人類遺傳資源信息則需要事先

60、向國務院科學技術主管部門報告并提交信息備份。116網絡安全法第三十七條。7個人信息保護法三十八條、第三十九條。8數據出境安全評估辦法第四條。9數據出境安全評估辦法第四條、第五條。10工業和信息化領域數據安全管理辦法（試行）第二十一條。11具體可參見中華人民共和國保守國家秘密法第三十條，國家健康醫療大數據標準、安全和服務管理辦法（試行）第三十條，中華人民共和國測繪法第三十四條，中華人民共和國生物安全法第五十七條。25/54但在實踐中，企業往往遇到難以識別個人信息、敏感個人信息、重要數據的問題。1.個人信息的識別個人信息保護法與網絡安全法中均明確了個人信息的概念12，其判斷的標準主要在于是否“已識

61、別已識別”或或“可可識別識別”自然人個人身份自然人個人身份，而對于匿名化處理過的信息則不屬于個人信息的范疇。需要注意的是，企業通常對個人信息進行去標識化或匿名化處理。從效果上看，對經過匿名化后的個人信息無法再識別到個人，不再是個人信息；而去標識化后的個人信息在借助額外信息的情況下仍可再次識別到個人，仍屬于個人信息的范疇。例如企業曾向境外接收方傳輸用戶的手機號碼、地址、姓名等完整字段，境外接收方也在其數據庫中進行了保留，那么即使本次傳輸出境方企業使用了去標識化措施，境外接收方仍可以通過撞庫或者用戶 ID映射的方式識別到具體個人，此時，離岸后的數據在此場景下依然保留個人信息的屬性，應被認為屬于個人

62、信息出境。2.敏感個人信息的識別根據個人信息保護法，敏感個人信息是指一旦泄露或者非法使用一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或容易導致自然人的人格尊嚴受到侵害或者人身者人身、財產安全受到危害的個人信息財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。相較于個人信息，敏感個人信息遭到損害后會造成更為嚴重的影響，在跨境傳輸中的規定也更為嚴格13。信息安全技術 個人信息安全規范（GB/T 352732020）作為推薦性國家標準，在附錄 B 中列舉了部分敏感個人信息類型，也對企業合規實踐起到了指引的作

63、用。另外，對于敏感信息去標識化處理后在數據跨境傳輸中是否仍識別為敏感個人信息的問題，根據咨詢網信辦等監管部門的結果，如果通過去標識化處理的確能夠改變敏感個人信息的性質，使其即使被泄露或者非法使用，也并不會導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害，那么該等處理后的個人信息不屬于敏感個人信該等處理后的個人信息不屬于敏感個人信息息，在評估是否需要進行數據出境安全評估時也不需要再把此類數據納入“1 萬人敏感個人信息”的計算范圍內。但是，需要提醒注意的是，由于此類數據仍為個人信息，所以企業仍需要注意其他數據出境安全評估的門檻要求，比如是否總計處理了 100 萬人以上個人信息、是否自上年 1

64、 月 1 日起累計向境外提供 10 萬人個人信息。同時，監管部門也指出敏感個人信息也可以出境，并非一定要進行去標識化或匿名化處理。3.重要數據的識別12 個人信息保護法規定，個人信息是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息；網絡安全法規定，個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息。13 如數據出境安全評估中規定累計向境外提供 1 萬人敏感個人信息需申報數據出境安全評估，而對于個人信息的數量值則為 10 萬人。26/54現行的法律法規對于重要數據的定義規范的較為模糊，識別重要數據已經成為眾多企業在數據出境合規中的“攔路

65、虎”。在此背景下企業可以從定義、泄露后影響維度和識別要素多方面綜合識別重要數據。從定義上看，根據數據安全法第二十一條14及數據出境安全評估辦法第十九條15，重要數據指“一旦泄一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據”。目前行業中汽車和基礎電信兩個領域對重要數據制定了進一步指引，可為企業識別重要數據提供參考16。從數據泄露后可能影響的維度上看，根據網數條例（征求意見稿）及重要數據識別規則（征求意見稿），重要數據在篡改、破壞、泄露或者非法獲取、非法利用時，會對“國家政策、國土、軍事、經濟、文化、社會、科國

66、家政策、國土、軍事、經濟、文化、社會、科技、生態、資源、核設施、海外利益、生物、太空、極地、深海技、生態、資源、核設施、海外利益、生物、太空、極地、深?！钡染S度產生影響，企業可參考此內容識別重要數據。從識別要素上看，根據網數條例（征求意見稿）及江蘇省網信辦于 2022 年 9 月 2 日發布的江蘇省數據出境安全評估申報工作指引（第一版17，可針對是否屬于特定領域是否屬于特定領域1818、是否涉及特定群體是否涉及特定群體1919、是否涉及特定區域是否涉及特定區域2020、是否公開是否公開2121以及是否達到一定精度或規模以及是否達到一定精度或規模2222等方面進一步識別其是否屬于重要數據。例如，

67、對于代碼是否屬于重要數據的范疇，其需要根據其涉及的行業及泄露后的影響綜合判斷，若代碼中的內容涉及重要行業的信息，如與關鍵信息基礎設施相關的代碼，則很可能構成重要數據。此外，根據數據安全管理辦法（征求意見稿）第三十八條23，重要數據一般不包含個人信息，但個人信息與重要數據仍有交叉的部分，如網數條例（征求意見稿）第二十六條24規定數據處理者收集 100 萬人以上個人信息的，則需遵守處理重要數據的相關法律法規及標準；汽車數據安全管理若干規定（試行）規定25，重要數14 第二十一條 國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對

68、國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。15 第十九條 本辦法所稱重要數據，是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。16 具體內容可參見YD/T 3867-2021 基礎電信企業重要數據識別指南 汽車數據安全管理若干規定（試行）。17 具體可參見 http:/ 如與出口管制物項、關鍵信息基礎設施相關，工業、電信、能源、交通、水利、金融、國防科技工業、海關、稅務等重點行業和領域安全生產、運行的數據，關鍵

69、系統組件、設備供應鏈數據。19 如與國防科研生產單位相關。20 如軍事管理區。21 未公開的政務數據、情報數據和執法司法數據屬于重要數據。22 如達到一定規?；蚓鹊幕?、地理、礦產、氣象數據。23 第三十八條 重要數據，是指一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據，如未公開的政府信息，大面積人口、基因健康、地理、礦產資源等。重要數據一般不包括企業生產經營和內部管理信息、個人信息等。24 第二十六條 數據處理者處理一百萬人以上個人信息的，還應當遵守本條例第四章對重要數據的處理者作出的規定。25 重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國

70、家安全、公共利益或者個人、組織合法權益的數據，包括：（五）涉及個人信息主體超過 10 萬人的個人信息；27/54據包含涉及個人信息主體超過 10 萬人的個人信息。兩條款雖目前處于試行或征求意見稿階段，尚未正式生效，但仍對企業合規具有一定指導作用。實踐中，企業可通過對數據全生命周期中數據類型、具體實現方式、涉及相關方等要素的梳理，在全面識別其數據網絡中幾乎所有數據類型、數量、存儲位置、傳輸流等情況的同時，盤點在實踐中處理這些數據的目的和方法，完成以下目標：識別企業涉及的個人信息和重要數據；識別個人信息和重要數據跨境場景及鏈路；以及評估跨境對個人信息與重要數據影響程度等。在實踐中，企業可以通過人工

71、或與自動化結合的方法，全面識別和盤點各場景下的數據資產，其中包括業務數據、客戶數據、配置文件、記錄數據（如日志、審計記錄）、商務文件（合同、協議等）、技術文檔等結構化和非結構化數據。此外，在數據梳理和識別過程中，信安標委發布并生效于 2021 年 6 月 1 日的信息安全技術 個人信息安全影響評估指南（GB/T39335-2020）第 5.3 條提出，在數據映射分析時，除了需要考慮目前數據處理過程中涉及的資源26和相關方27外，還應當盡可能的考慮已下線系統、系統數據合并、企業收購、并購及全球化擴張等情況。對于數據映射的具體形式可參考下表28：數據處理活動/場景/特性或組件數據類型數據主體數據收

72、集、處理目的數據處理的合法事由數據處理者受托數據處理者是否涉及跨境轉移是否涉及第三方共享處理活動 A三、如何正確盤點跨境傳輸數據的數量數據出境安全評估辦法第四條規定，處理 100 萬人以上個人信息的數據處理者向境外提供個人信息；自上一年 1 月 1 日起，累計向境外提供 10 萬人個人信息或者 1 萬人敏感個人信息的數據處理者均應申報數據出境安全評估。26如內部信息系統。27如個人信息處理者、平臺經營者、外部服務供應商、云服務商等第三方。28詳細內容可參考信息安全技術 個人信息安全影響評估指南（GB/T39335-2020）附錄 C。28/54在此背景下，盤點跨境傳輸數據的數量成為數據跨境合規

73、工作中最基礎的一步，也是最困難的工作之一。匯量科技表示，當下很多企業部門眾多，數據散落在各個部門中，一旦缺乏統一的管理，想要識別和評估所有數據就難以實現，盤點數據數量更是無從談起。調查問卷結果顯示，有近七成的受訪企業都表示在相關工作中面臨著“公司業務和合規要求間存在沖突，難以短時間內調和”的困難，有超過三成的企業存在“對所需履行的申報義務及流程認識不夠完整，存在漏報、少報等情況”。企業實踐難點：1.達到多少數量級的個人信息需申報數據出境安全評估？2.如何統計跨境傳輸數據的數量？是否需考慮 To B 端處理的數據？3.境外訪問導致的跨境傳輸的數據量是否也應算入跨境傳輸總量中，是否以可訪問數據計算

74、？4.2022 年 9 月 1 日前已完成數據出境活動是否需要納入后續申報數量范圍？中國數據領域相關法律法規，根據企業跨境傳輸的數據類型不同對跨境傳輸數據的數量作出了不同的限制要求。其中，個人信息保護法 第四十條29在 網絡安全法 第三十七條30規定 CIIO 的基礎上增加了處理個人信息達到“國家網信部門規定數量”的個人信息處理者。對于這兩種主體，在中國境內運營中收集和產生的個人信息和重要數據應當在境內存儲；因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。數據出境安全評估辦法和網絡安全審查辦法等下位法，對于上述“規定數量”做出了細化。數據出境安全評估

75、辦法第四條規定，處理 100 萬人以上個人信息的數據處理者向境外提供個人信息；自上一年 1 月 1 日起，累計向境外提供 10 萬人個人信息或者 1 萬人敏感個人信息的數據處理者均應申報數據出境安全評估。此外，處理個人信息的數量也是影響能否采取簽訂標準合同的方式作為跨境傳輸的法律依據的標準之一（具體內容請見下篇：調查分析篇“如何評估跨境傳輸相關法律文件完善程度”部分）。值得注意的是，對于被識別為CIIO 的數據處理者，不論傳輸何種數據，均需申報數據出境安全評估31；而對于一般運營主體重要數據的跨境傳輸，不論傳輸多少數量級，也均需申報數據出境安全評估32。29第四十條 關鍵信息基礎設施運營者關鍵

76、信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估；法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定。30第三十七條 關鍵信息基礎設施的運營者關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。31參考網絡安全法第三十七條。3

77、2參考數據出境安全評估辦法第四條。29/54在盤點跨境傳輸的數據量時，企業可關注以下要點：1.在空間維度方面統計數據數量在空間維度上，統計跨境傳輸數據的數量時，應全面考慮數據處理流程中所涉及的相關方。例如，除公司收集的用戶個人信息外，企業內部員工及客戶、供應商等商務聯系人的信息均屬于個人信息，適用數據出境的一般規則。因此，企業在統計個人信息數量時，尤其在判斷是否達到了數據出境安全評估的門檻時，不僅需要計入 C 端用戶數量，也應計入內部員工及客戶、供應商等 B 端聯系人的數量。此外，統計跨境數據數量時，除境內傳輸數據至境外這一場景外，境外訪問境內運營中收集的數據也屬于數據跨境傳輸場景之一（具體內

78、容請見下篇：調查分析篇“如何準確識別數據跨境傳輸場景”部分），其涉及的數據量也應算入跨境傳輸總量中。例如，境外員工訪問國內數據庫以及外籍員工出差到中國訪問境內數據庫等場景下涉及的數據量也應算入出境數據總量進行評估。根據 2023 年 2 月 13 日咨詢監管機構的結果，對于境外數據處理者訪問境內數據這一情形的數量應以境外處理者可訪問的數據數量計算。例如境內主體在上一年已收集 11 萬人個人信息，如境外處理者僅可訪問 5000 人個人信息，則出境的數量為 5000 人，無需進行數據出境安全評估；如境外主體可訪問境內主體全部，則出境的數據數量為 11 萬人，需進行數據出境安全評估。2.在時間維度方

79、面統計數據數量在時間維度上，統計個人信息數量的時間點應為出境時該個人信息傳輸的數量33，即便出境后企業對該信息進行了匿名化處理乃至刪除處理，依然不減少已經出境的個人信息數量。如企業自上年 1 月 1 日起已向境外提供超過1 萬人敏感個人信息，即使企業在該等敏感個人信息出境后又進行了匿名化處理，但出境后個人信息的匿名化處理并沒有改變其出境時仍為敏感個人信息的事實，仍需要在出境前進行安全評估。另外，在統計跨境傳輸數據數量時，除擬進行跨境傳輸的數據外，還需要統計 2022 年 9 月 1 日數據出境安全評估辦法生效前已完成出境的數據。對此，浙江網信辦在 2022 年 11 月 22 日發布的浙江省數

80、據出境安全評332022 年 11 月 15 日咨詢網信辦等監管部門的反饋亦得以印證。30/54估申報工作問答中進行了進一步的解答，明確表示，對于數據出境安全評估辦法生效前已完成的數據出境活動無需單獨申報，但已出境數據需在此后申報中計入上一年 1 月 1 日后的累計出境數量。因此，如企業在數據出境安全評估辦法生效前自上一年 1 月 1 日已出境了 9 萬人個人信息，即使生效后僅出境 2 萬人個人信息，但統計數量為二者相加之和即 11 萬人個人信息，達到需申報數據出境安全評估的量級。四、如何確認采取哪種出境安全保障機制對于法律法規中作為出境安全保障機制劃分標準的“100 萬個人信息”這一數量，有

81、企業提出了不同觀點。一家零售行業的互聯網企業認為，100 萬的數量標準偏低，企業日常業務中很容易達到 100 萬?！皵祿缇车娜N路徑出境安全評估、安全認證和標準合同，安全評估覆蓋范圍過大，其他兩種市場化合規路徑就沒有了空間；而安全評估屬于事前許可，非常消耗合規資源”。此外，問卷顯示，有”33%的“不確定自己是否需要申報數據跨境安全評估”。企業實踐難點：1.在跨境傳輸數據之前，企業需要進行哪些安全風險評估？2.數據跨境傳輸場景下的個人信息保護影響評估（PIA）、數據出境安全風險自評估、數據出境安全評估是一回事嗎？3.數據跨境傳輸有哪些安全保障機制？4.如何確認采取哪種安全保障機制？在跨境傳輸數

82、據之前，企業需要確認采取一套適合自身情況的流程，依法評估數據出境的安全風險，并采取相應的安全保障機制，這對于數據跨境傳輸的合規至關重要。出境合規流程的第一步是企業自行組織評估數據出境的安全風險，包括如下兩個步驟：個人信息保護影響評估個人信息保護影響評估（PIAPIA）。根據個人信息保護法第五十五條，企業作為個人信息處理者，只要存在“向境外提供個人信息”的處理情況，無論向境外提供個人信息的數量或所涉及的人數，均應進行 PIA。個人信息保護法 第五十六條規定了 PIA 的內容主要包括：個人信息的處理目的、處理方式等是否合法、正當、必要；對個人權益的影響及安全風險；以及所采取的保護措施是否合法、有效

83、并與風險程度相適應。31/54實踐中，企業可以分四個環節開展 PIA：（1）梳理數據及識別跨境場景34；（2）對數據鏈路進行梳理并分析合規差距；（3）完成合規整改；（4）出具 PIA 報告35。數據出境風險自評估。數據出境風險自評估。根據數據出境安全評估辦法第四條，當企業滿足法定條件時36，企業需要向網信部門申報數據出境安全評估，而作為申報的前置程序，企業還應當組織開展數據出境風險自評估。（具體內容請見下篇：調查分析篇“如何完成數據出境安全評估”部分）。特別提示企業注意 PIA 與數據出境風險自評估的關系。一般情況下，如果企業擬向境外提供個人信息尚未達到數據出境安全評估辦法規定的申報門檻，則企

84、業僅需要完成 PIA，并在準備相應的安全保護機制（簽訂標準合同或進行個人信息保護認證）后即可向境外傳輸個人信息。但如果企業擬向境外提供的個人信息達到了數據出境安全評估辦法的申報要求，則企業開展 PIA 的同時還需要進行數據出境風險自評估。由于數據出境風險自評估的范圍不僅包括了 PIA 的評估內容，還增加了對境外接收方合規情況、法律環境等評估事項。因此在實踐中，PIA 往往可以與針對個人信息的數據出境風險自評估合并完成，企業無需評估兩次，而是在 PIA 內容的基礎上進一步補充評估，形成數據出境自評估報告。但需要注意，PIA 報告和處理情況記錄應當至少保存三年，如果企業對于兩個自評估合并操作的，則

85、該報告需要保存至少三年。在評估內容上，個人信息保護法第五十六條對 PIA 的內容作出了規定，與數據出境安全評估辦法第五條對數據出境風險自評估的規定相比，數據出境風險自評估的內容在 PIA 的基礎上增加了個人信息主體權益維護、出境方和境外接收方是否約定數據安全保護責任義務等內容。而根據數據出境安全評估辦法第八條，由網信部門開展的數據出境安全評估范圍相比于數據出境風險自評估范圍更大，不同數據出境風險評估在內容上的差異應引起企業注意。根據評估情況，企業可進一步確認個人信息出境相應的安全保護機制。個人信息保護法第三十八條提出了個人信息跨境傳輸的三種安全保護機制：（一）通過國家網信部門組織的出境安全評估

86、出境安全評估；（二）進行個人信息保護個人信息保護認證認證；（三）按照國家網信部門制定的標準合同與境外接收方訂立合同與境外接收方訂立合同；（四）法律、行政法規或者國家網信部門規定的其他條件。34實踐中，企業往往會同時涉及多個需要進行 PIA 的場景。例如，企業向一位于歐盟地區的數據控制者提供數據，其中包括敏感個人信息，因此不僅涉及“向境外提供個人信息”，還涉及“向其他個人信息處理者提供個人信息”和“處理敏感個人信息”。此時，企業可以將多個需要評估的場景進行合并處理。35PIA 報告和處理情況記錄應當保存至少三年。36數據出境安全評估辦法第四條：數據處理者向境外提供數據，有下列情形之一有下列情形之

87、一的，應當申報數據出境安全評估：（一）數據處理者向境外提供重要數據；（二）關鍵信息基礎設施運營者（CIIO）和處理 100 萬人以上個人信息的數據處理者向境外提供個人信息；（三）自上年 1 月 1 日起累計向境外提供 10 萬人個人信息或者 1 萬人敏感個人信息的數據處理者向境外提供個人信息；（四）國家網信部門規定的其他需要申報數據出境安全評估的情形。32/54出境安全評估出境安全評估，網信辦發布的數據出境安全評估辦法已于 2022 年 9 月 1 日生效（詳見本文“（五）如何完成數據出境安全評估”）。個人信息保護認證個人信息保護認證，2022 年 12 月 16 日，信安標委發布了認證規范

88、V2.0（詳見本文“（九）如何完成個人信息保護認證”）。訂立標準合同訂立標準合同，2023 年 2 月 24 日，網信辦發布了標準合同辦法正式稿，將于 2023 年 6 月 1 日起施行（詳見本文“（六）如何評估跨境傳輸相關法律文件完善”）。數據出境安全評估辦法認證規范 V2.0和近期出臺的標準合同辦法進一步補足、細化個人信息保護法第三十八條向境外提供個人信息的保護機制。然而，在實踐中，企業作為數據跨境傳輸活動中的出境方往往面臨難以決策選擇何種安全保護機制的難題。根據數據出境安全評估辦法第四條，數據處理者向境外提供數據，有下列情形之一有下列情形之一的，應當申報數據出境應當申報數據出境安全評估安

89、全評估：（一）數據處理者向境外提供重要數據；（二）CIIO 和處理 100 萬人以上個人信息的數據處理者向境外提供個人信息；（三）自上年 1 月 1 日起累計向境外提供 10 萬人個人信息或者 1 萬人敏感個人信息的數據處理者向境外提供個人信息；（四）國家網信部門規定的其他需要申報數據出境安全評估的情形。而根據標準合同辦法第四條，同時符合同時符合下列下列情形情形的，可以通過簽訂標準合同的方式向境外提供個人信息：（一）非 CIIO；（二）處理個人信33/54息不滿 100 萬人的；（三）自上年 1 月 1 日起累計向境外提供個人信息不滿 10 萬人的；（四）自上年 1 月 1 日起累計向境外提供

90、敏感個人信息不滿 1 萬人的。另外，在適用標準合同前，企業還應注意法律、行政法規或者國家網信部門針對出境的具體情形是否還有其他特殊規定。如果沒有，則可以采用與境外接收方簽署標準合同的措施后，向境外接收方傳輸個人信息。比對數據出境安全評估辦法和標準合同辦法（同屬網信辦發布的部門規章）的要求，可以發現，在涉及個人信息出境的情況下，企業如何選擇跨境傳輸安全保護機制需要重點考慮如下四點因素：（1）個人信息處理者是否被認定為 CIIO；（2）處理的個人信息所對應的主體是否超出 100 萬人；（3）累計向境外提供的個人信息所對應的主體是否達到 10 萬人以上（自上年 1 月 1 日起）；（4）累計向境外提

91、供的敏感個人信息對應的主體是否達到 1 萬人以上（自上年 1 月 1 日起）。如果上述四個問題中有一個答案為“是”，則個人信息向境外傳輸前必須通過申報數據出境安全評估后方能進行，無法僅采用訂立標準合同的方式作為個人信息跨境傳輸的安全保護機制。如果上述問題的答案均為“否”，則在與境外接收方簽署標準合同后向境外接收方提供個人信息即可以滿足合規要求。雖然個人信息保護法第三十八條要求個人信息處理者任選其一方式，但其實在選擇順序上需要先評估是否需要申報出境安全評估，只有當不適用時才能考慮適用出境標準合同或其他機制。另外，值得引起關注的是，如企業存在向境外跨境傳輸重要數據的情況，則選擇申報數據出境安全評估

92、為其唯一安全保護機制。34/54下文將對上圖所示三類安全保護機制做出解讀，以便企業更為清晰地了解三者的差異及關系，以及三類安全保護機制的具體要求，在個人信息出境前做出相關準備。五、如何完成數據出境安全評估從問卷調查結果來看，76%的受訪企業都進行了數據出境安全評估。但成本高、耗時長和缺乏系統指導是受訪企業談及出境安全評估時最常提及的詞語。某大型科技企業在訪談中表示，就其正在經歷的出境安全評估來說，省級網信辦審查的顆粒度比自己預期高，且更嚴格，審核周期也比預想的時間長、對報告形式要求也更高。在跨境數據自評估具有實操申報經驗的國科華盾科技有限公司在訪談中表示，很多企業自評估時，由于多元化服務模型中

93、涉及的系統關聯關系復雜、處理的數據類型豐富且方法差異大等原因，無法快速、精準、高效的完成自評估申報工作。隨著個人數據及重要數據監管的趨嚴，數據安全領域整體合規難度提高、涉及的評估及整改工作量大、周期長。建議企業特別是涉及數據出境的企業應制定長期目標，提早行動，盡快開始相關評估工作。35/54企業實踐難點：1.在達到何種標準時需要申報數據出境安全評估？2.如何確定自評估報告出具主體？3.如何確認出境接收方？4.數據跨境傳輸合規涉及企業哪些部門，哪個部門適合牽頭？5.如何按照數據出境安全評估辦法的要求進行數據出境安全自評估？如何在多系統多場景下高效經濟地完成評估工作？6.企業申報數據出境安全評估的

94、流程是什么？需要多長時間？如何把握申報時間，什么都還沒做的企業選擇“躺平”還是“狂彪”？通過數據出境安全評估后，在什么情況下需要再次申請評估？（一）在達到何種標準時需要申報數據出境安全評估？（一）在達到何種標準時需要申報數據出境安全評估？具體內容請見下篇：調查分析篇“如何確認采取哪種出境安全保障機制”部分，此處不再贅述。（二）（二）如何確定自評估報告出具主體？如何確定自評估報告出具主體？根據數據出境安全評估辦法第二條，數據出境安全評估的申報主體申報主體為向境外提供在中華人民共和國境內運營中收集和產生的重要數據和個人信息的數據處理者。對于境外主體直接從中國境內收集重要數據和個人信息、且該主體未在

95、中國境內設立辦事機構或分支機構的情況，我們理解也應落在第二條規定的范圍之內。即使該境外主體在境內沒有分支機構，但因根據個人信息保護法第五十三條的規定，以向境內自然人提供產品或者服務為目的或分析、評估境內自然人的行為的境外個人信息處理者應當在中華人民共和國境內設立專門機構或者指定代表，負責處理個人信息保護相關事務，并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。因此我們理解數據處理者通過境外直接獲取方式如果達到申報標準，也應通過國內指定機構代其進行申報。此外，在實踐中，企業通常遇到委托第三方供應商代為處理企業數據的情形。對于該種情形，申報主體需要根據雙方簽訂的協議綜合

96、判斷若第三方供應商僅按照企業委托的數據處理目的、數據處理范圍內進行數據處理，則屬于“代理人”的身份，不屬于數據處理者范疇，也不作為數據出境安全申報的主體。（三）如何識別境外接收方（三）如何識別境外接收方36/54具體內容請見上篇：基礎問題篇“如何定義出境數據的境外接收方”部分，此處不再贅述。需要注意的是，在識別到多個境外數據接收方時，需在自評估報告中結合業務場景，根據數據出境規模、涉及國家或地區的風險程度等因素，分別評估各接收方所具備的數據安全保障能力（具體內容請見下篇：調查分析篇“如何評估數據處理者和境外接收方的技術和制度措施是否充分”及“如何評估境外接收方法律與政策環境完善程度”部分內容。

97、（四）如何確定牽頭部門（四）如何確定牽頭部門企業在落實數據跨境傳輸合規措施的過程中，可能會涉及法務、信息安全與安全運維、審計內控、人力資源等多個部門聯動。其中，法務部門通常負責識別企業在業務開展過程中的各種數據類型，梳理各種類型數據的傳輸鏈路，確定企業與合作伙伴、供應商等各方間的數據處理關系是委托處理還是共享，并安排簽署相應的合同或其他法律文件等；信息安全與安全運維部門通常負責制定出境安全操作流程，制定安全管理制度，建立出境數據記錄，制定數據出境安全事件應急預案等；審計內控部門通常負責對數據出境安全策略、管理制度、出境操作流程以及對、安全措施的有效性進行審計，妥善保存審計記錄，并對審計記錄進行

98、定期備份，評估境外接收方所在國家或地區的法律及監管環境等。此外，根據數據出境場景的不同，數據跨境傳輸合規工作還可能涉及人力資源部門或其他相關業務部門。我們建議企業在開展數據跨境傳輸合規工作時建立特定部門/團隊（實踐中為法務部門牽頭居多）牽頭統籌協調，各相關部門聯動配合的工作機制，以法務部門或其聘請的第三方咨詢機構對法律法規和標準、指南的解讀及相關經驗作為合規工作的指引，確保數據出境各環節的合法合規。（五）如何準備申報數據出境安全評估（五）如何準備申報數據出境安全評估2022 年 8 月 31 日，在數據出境安全評估辦法正式生效實施的前夜，網信辦發布指南（第一版），就數據出境安全評估適用范圍、申

99、報方式及流程、申報材料、風險自評估、申報咨詢方式等具體要求作出了說明。指南（第一版）進一步明確了數據出境安全評估辦法所要求的四份主要材料要求（即申報材料、授權委托書、數據出境安全評估申報書、數據出境風險自評估報告），并補充了其他細化要求。指南（第一版）規定，提交表格是“加蓋公章的影印件”或“原始文件”，提交方式包括書面材料和電子版材料。此外，指南（第一版）要求提交的材料的語言必須是中文。如果只有非中文版本，則必須同時提交準確的中文譯本。數據處理者應嚴格按照 指南（第一版）準備和提交材料，如提交的材料不夠完整，申請將被退回。根據數據出境安全評估辦法的規定，企業在開展數據出境風險自評估時，應重點對

100、數據出境目的的合法性合法性、正當性和必要性正當性和必要性進行評估。參考安全評估指南（征求意見稿）的規定，合法性合法性要求出境不屬于法律法規明令禁止的，且不屬于國家網信部門、公安部門、安全部門等有關部門認定不能出境的情形；正當性正當性要求出境已經獲得個37/54人信息主體同意（未經個人信息主體同意但是危及公民生命財產安全等緊急情況除外）；必要性必要性要求企業在數據出境活動時需至少滿足如下情況之一：1）履行合同義務所必需的；2）同一機構、組織內部開展業務所必需的；3）我國政府部門履行公務所必需的；4）履行我國政府與其他國家和地區、國際組織簽署的條約、協議所必需的；5）其他維護網絡空間主權和國家安全

101、、經濟發展、社會公共利益和保護公民合法利益需要的。我們理解，數據出境目的的合法性、正當性和必要性涵蓋了監管部門對數據出境活動應符合法律法規規定、取得（個人信息主體）同意等強制性要求，因此，我們建議企業在數據出境風險自評估工作中，優先對合法性、正當性和必要性進行評估，待確定符合后再開展后續的其他自評估工作。值得注意的是，企業在實踐中，往往遇到難以在多系統多場景下高效經濟地完成評估工作的問題，尤其對于境外主體的配合及溝通上有一定的難點。對此，我們建議企業 1）可以先將中國的合規要求及事項傳達至境外，在其充分理解評估事項的目的下，由其填寫盡職調查清單；2）同時在清單問題的設置上，盡量避免開放式的問題

102、，采取選擇題等形式使境外接收方更容易填寫清單，減少反饋的時間。（六）（六）如何把握申報時間如何把握申報時間數據出境安全評估預計至少需要 57 個工作日，最多需要 72+N 個工作日（N 代表補充材料審核時間），上述時間均不包括準備材料的時間。數據出境安全評估申請流程如下：數據出境安全評估辦法已于 2022 年 9 月 1 日起施行，在施行前已經開展的數據出境活動，不符合數據出境安全評估辦法規定的，應當自數據出境安全評估辦法施行之日起 6 個月內完成整改。但應注意的是，雖然數據出境安全評估辦法規定了 6 個月的寬限期，但是企業在寬限期內如果因數據跨境傳輸而違反數據安全法或個人信息保護法時，企業仍

103、有可能承擔違法后果。根據數據出境安全評估辦法第十八條，違反數據出境安全評估辦法的法律后果以個人信息保護法 網絡安全法和數據安全法為依據；構成犯罪的，38/54依法追究相關數據處理者的刑事責任。時至今日，寬限期截止日期（2023 年 3 月 1 日）已至，建議已經提交數據出境安全評估的企業密切關注評估結果37；暫未啟動申報流程的企業應暫停數據出境活動，待通過出境安全評估后再另行開展，避免在寬限期屆滿后受到監管關注或處罰。企業可參考上圖對申報時間的介紹，結合自身業務情況合理安排申報進度，應盡量選擇“狂飆”盡快完成出境安全評估申報工作，以防因行政處罰給企業帶來經濟損失和聲譽上的不良影響。已通過數據出

104、境安全評估的企業應注意，根據數據出境安全評估辦法第十四條，數據出境安全評估的結果有效期為自評估結果出具之日起 2 年。在有效期屆滿后仍需繼續開展數據出境活動的，企業應在有效期屆滿 60 個工作日前重新申報評估。除此之外，如果企業在通過數據出境安全評估后出現向境外提供數據的目的、方式、范圍、種類和境外接收方處理數據的用途、方式發生變化影響出境數據安全的，或延長個人信息和重要數據保存期限的情形，以及數據出境安全評估辦法第十四條中規定的其他情形，企業應重新申報評估。我們同時以附件的方式列明了各地網信辦數據出境安全評估申報通道，便于企業咨詢了解申報工作的相關流程和要求。六、如何評估跨境傳輸相關法律文件

105、完善程度企業實踐難點：1.跨境傳輸數據需要簽署哪些法律文件？2.跨境傳輸相關法律文件中有哪些必須約定的事項？3.如境外接收方會將出境數據傳輸給境外第三方，應如何在相關法律文件中約定？4.在何種情況下可以適用簽署標準合同？5.將標準合同作為個人信息出境的安全保護機制，除簽署外還應注意什么？6.在使用監管機構發布的標準合同時是否可以對內容進行修改？7.如果已與境外接收方簽署數據處理協議（DPA），是否可將標準合同作為其附件？8.在標準合同辦法中存在一些不夠精確的表述，應如何理解？37截至 2023 年 1 月 20 日，北京市申報的首都醫科大學附屬北京友誼醫院與荷蘭阿姆斯特丹大學醫學中心合作研究項

106、目（全國首例）和中國國際航空股份有限公司項目已通過數據出境安全評估。參見 https:/ 2023 年 2 月 2 日。39/54首先，企業需要判斷其是否可以適用標準合同作為數據跨境傳輸機制，從下篇：調查分析篇“如何確認采取哪種出境安全保障機制”中的論述中可以看出，相較于出境安全評估，適用訂立標準合同的條件更為嚴苛，需要同時滿足四種情形，有任何一種情形不滿足，則企業不可以將簽署標準合同作為數據跨境傳輸的安全保護機制，需要借助個人信息保護法第三十八條規定的其他傳輸機制，如完成網信辦負責的強制性數據出境安全評估，或從認證機構獲得個人信息保護認證。針對標準合同的內容，網信辦于 2023 年 2 月

107、24 日發布的標準合同辦法改變了征求意見稿中采用的窮盡式列舉的方式，對具體合同內容進一步修訂、補充與更新留下轉圜余地和靈活操作空間。根據此次公布的標準合同辦法附件，目前版本的標準合同內容主要包括：（一）個人信息處理者和境外接收方的基本信息，包括但不限于名稱、地址、聯系人姓名/職務、聯系方式；（二）個人信息出境的目的、方式、規模、種類、傳輸方式、保存期限和地點等；（三）個人信息處理者和境外接收方保護個人信息的義務，以及為防范個人信息出境可能帶來安全風險所采取的技術和管理措施等；（四）境外接收方所在國家或者地區的個人信息保護政策法規對合同履行的影響；（五）個人信息主體的權利，以及保障個人信息主體權

108、利的途徑和方式；（六）救濟、合同解除、違約責任、爭議解決等。由于個人信息出境（跨境傳輸）是個人信息處理活動的一類，應當遵循個人信息保護法對于個人信息處理活動的基本要求，因此個人信息保護法對于個人信息處理活動的一般原則也體現在了標準合同模板的部分條款中。具體而言，標準合同主要規定出境方與接收方對于跨境傳輸個人信息應當履行的義務，未針對雙方在數據處理活動中的權利作出明確指引，這些內容可由雙方通過其他合同進行補充細化。需要注意的是，根據標準合同辦法第六條，個人信息處理者可以與境外接收方約定其他條款，但不得與標準合同相沖突。并且，如果標準合同在達成或訂立時與合同雙方已存在的任何其他協議發生沖突，標準合

109、同的條款需要優先適用。目前，我們從實踐中了解到，企業在業務開展過程中與境內外實體發生數據交互時，會在專業人士的指導下制定并簽署數據處理協議（下稱“DPA”）。目前公布的標準合同辦法并未說明標準合同可以作為主協議附件簽署，還是應直接作為主協議簽署。企業在簽署時應確保雙方簽署的其他合同（如 DPA）內容不與標準合同文本相沖突。此外，標準合同辦法第三條創新地提出了對簽署后的標準合同進行的備案要求，相關企業通過訂立標準合同的方式作為個人信息出境活動合規措施的，應堅持自主締約與備案管理相結合的模式。根據標準合同辦法第六條和第七條，個人信息處理者在標準合同生效后方可開展個人信息出境活動，在標準合同生效之日

110、起 10 個工作日內，個人信息處理者應當向所在地省級網信部門提交標準合同和個人信息保護影響評估報告進行備案。整體流程可以總結為“訂立合同合同生效開展個人信息出境活動合同備案”或“訂立合同合同生效合同備案開展個人信息出境活動”，可見備案本身并不是標準合同生效的必要條件。另外，標準合同辦法第八條規定了重新開40/54展個人信息保護影響評估、補充或者重新訂立標準合同并履行備案手續的情形，包括：（一）向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發生變化，或者延長個人信息境外保存期限的；（二）境外接收方所在國家或者地區的個人信息保護政策和法規發生變

111、化等可能影響個人信息權益的；（三）可能影響個人信息權益的其他情形。而當公司需要適用數據出境安全評估作為數據跨境傳輸機制、無法適用標準合同時，則需要注意評估其與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件（下稱“相關法律文件”）的完善程度。根據數據出境安全評估辦法第五條，企業在申報數據出境安全評估前的數據出境風險自評估中，應當對相關法律文件是否充分約定了數據安全保護責任義務數據安全保護責任義務重點進行評估。同時，根據數據出境安全評估辦法第八條，企業與境外接收方擬訂立的法律文件中是否充分約定了數據安全保護責任義務數據安全保護責任義務也是數據出境安全評估中重點評估的事項之一。另外，在

112、網信辦發布的指南（第一版）附件四數據出境風險自評估報告（模板）中，“法律文件約定數據安全保護責任義務的情況”也是企業在提交申報數據出境安全評估前必須填寫的內容。由此可見，企業在與境外接收方訂立合同時，應將傳輸雙方的數據安全保護責任義務作為核心內容進行約定。對于數據安全保護責任義務條款中至少應包括的內容，數據出境安全評估辦法第九條從數據出境的目的、數據在境外保存地點、對境外接收方將出境數據再轉移給其他組織等六方面38作出了明確規定，建議企業在起草相關法律文件時應將這些內容涵蓋其中。對于相關法律文件中除了數據安全保護責任義務之外的其他內容，企業則可以參考 標準合同辦法中的規定和附件擬訂。此外，在部

113、分業務場景中，如果境外接收方確需將所接收的個人信息再次提供給境外第三方的，在滿足向個人告知并取得單獨同意等個人信息保護法中所列明的條件的同時，建議境內企業在與境外數據接收方所簽訂的法律文件中以排他性列舉的方式明確境內企業所認可的境外第三方（即分處理者或次處理者）。約定未經境內個人信息處理者同意，不得再向境外第三方提供個人信息，并要求境外數據接收方對第三方的過錯承擔連帶責任。我國數據出境法律不斷完善的過程也是出境標準逐漸細化的過程，在監管部門針對相關法律文件出臺進一步指導意見之前，建議企業確保相關法律文件內容符合現有法律法規，并按照上述思路分別判斷與境外接收方訂立相關法律文件是否完善。38第九條

114、 數據處理者應當在與境外接收方訂立的法律文件中明確約定數據安全保護責任義務，至少包括以下內容：（一）數據出境的目的、方式和數據范圍，境外接收方處理數據的用途、方式等；（二）數據在境外保存地點、期限，以及達到保存期限、完成約定目的或者法律文件終止后出境數據的處理措施；（三）對于境外接收方將出境數據再轉移給其他組織、個人的約束性要求；（四）境外接收方在實際控制權或者經營范圍發生實質性變化，或者所在國家、地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形導致難以保障數據安全時，應當采取的安全措施；（五）違反法律文件約定的數據安全保護義務的補救措施、違約責任和爭議解決方式；（六）出

115、境數據遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險時，妥善開展應急處置的要求和保障個人維護其個人信息權益的途徑和方式。41/54七、如何評估數據處理者和境外接收方的技術和制度措施是否充分在實踐中，對境外數據接收方的考察往往并沒有預想的簡單?！皩嶋H上，我們面對的境外接收方可能就是網店、經銷商或者是一個中小企業，規模也比較小，沒有安全保障能力，而且它的安全保障能力可沒有想象的那么復雜；至于境外的大企業可能就不愿配合，會問為什么這么多細節？”一家大型互聯網公司在訪談中表示，境外數據接收方的態度和配合意愿也給合規工作帶來了不少阻礙。問卷調查的結果亦顯示，目前 77%的受訪企業仍主要是

116、靠“在合同中進行約定的方式”來完成判定境外主體履行責任義務的管理和技術措施、能力等保障出境數據的安全，僅有 6 家企業有能力“派遣公司內部人員進行實地考察判斷其管理和安全防護能力”，另有 6 家企業“要求對方自行就數據安全、合規進行評估并出具報告”。企業實踐難點：1.評估境外接收方數據安全保障能力的范圍是否與數據處理者一致？2.企業填寫的數據出境風險自評估報告是否應包含網信辦發布的數據出境風險自評估報告（模板）中評估數據安全保障能力的全部內容？3.實踐中，如何與境外接收方溝通，從而對其數據安全保障能力進行評估？4.境外接收方無意愿或無能力配合應該如何處理？數據出境安全評估辦法第五條提出，數據處

117、理者在申報數據出境安全評估前，應當開展數據出境風險自評估，其中將境外接收方履行責任義務的管理和技術措施、能力等能否保障出境數據的安全列為重點評估事項。此外，指南（第一版）中也將數據處理者及境外接收方的數據安全保障能力作為出境活動整體情況說明的重要部分。同時，根據 2023 年 2 月 15 日咨詢監管機構的結果，企業在填寫數據出境風險自評估報告時，境外接收方數據安全保障能力的評估范圍應與數據處理者一致，不因數據接收方為境外主體而有任何的變化。監管機構的工作人員也表示，在進行材料審查時，也會依據境外接收方的數據管理制度及數據處理的安全技術措施來判斷數據出境的風險情況。由此可見，正確評估數據處理者

118、和境外接收方的數據安全保障能力對企業完成數據出境至關重要，而如何正確、充分地評估數據安全保障能力往往是企業在開展數據出境風險自評估時的痛點。對此，網信辦在其發布的 數據出境風險自評估報告（模板）39中列舉了評估數據安全保障能力應包含的范圍：39參見指南（第一版）附件四的數據出境風險自評估報告（模板）。42/54（1）數據安全管理能力數據安全管理能力，包括管理組織體系和制度建設情況，全流程管理、分類分級、應急處置、風險評估、個人信息權益保護等制度及落實情況；（2）數據安全技術能力數據安全技術能力，包括數據收集、存儲、使用、加工、傳輸、提供、公開、刪除等全流程所采取的安全技術措施等；（3）數據安全

119、保障措施有效性證明數據安全保障措施有效性證明，例如開展的數據安全風險評估、數據安全能力認證、數據安全檢查測評、數據安全合規審計、網絡安全等級保護測評等情況；（4）遵守數據和網絡安全相關法律法規的情況遵守數據和網絡安全相關法律法規的情況。對于以上評估內容，根據 2023 年 2 月 15 日咨詢監管機構40的結果，監管機構在進行材料審查時會對企業內部相關制度和數據傳輸過程中的安全技術進行綜合審查，理論上來說上述內容均需要在企業的數據出境風險自評估報告中有所體現，并表示企業總結評估的內容越詳細，從監管角度上審查時也會認為其數據安全保障能力越強。由此，在實踐中，通常分為管理制度保障能力、技術手段保障

120、能力兩個方面進行評估：1.管理制度保障能力在管理制度保障能力方面，企業應當根據相關法律法規41詳細描述數據安全有關的管理組織體系和制度建設情況，例如企業內部的安全管理、人員管理、合同約束、審計機制、應急處理、個人信息權益保護等制度及落實情況42。該部分安全保障能力需要法務、安全、技術、審計等部門共同協作評估。2.技術手段保障能力在技術手段保障能力方面，企業應當具備總體安全防護技術手段、數據安全技術防護體系，保障所傳輸數據的保密性、完整性和可用性。在評估事項中詳細描述數據傳輸時的安全措施，針對數據安全事件的預防、檢測及響應能力、數據傳輸過程中實施身份鑒別和訪問控制的能力、保留數據發送日志的能力、

121、對數據發送、傳輸、銷毀等各階段進行審計的能力以及是否對數據出境傳輸的安全措施定期評估等43。由于該技術部分的評估僅通過制度或用戶端的測評無法全部體現，也建議企業在實際自評估時咨詢相關領域技術專家的意見，全面充分的評估該方面的保障能力。40北京市網信辦。41包括但不限于數據安全法 網數條例（征求意見稿）數據出境安全評估辦法 指南（第一版）。42可參考閱讀孟潔律師團隊著環球評論|數據出境合規指引之二依規開展數據出境安全評估，https:/ 指南（第一版）數據安全能力成熟度模型（GB/T 37988-2019）。43/54同時，企業仍需在數據出境風險自評估報告中提供數據安全保障措施有效性證明，例如開

122、展的數據安全風險評估、數據安全能力認證、數據安全檢查測評、數據安全合規審計、網絡安全等級保護測評、ISO 認證等情況44，進一步說明其數據安全保障能力。除此之外，在境外接收方數據安全保障能力的評估方面，根據 2023 年 2 月 15 日咨詢監管機構的結果45，境外接收方的評估資料應當與境內數據處理者形式和范圍保持一致，同時需要保證信息的真實性。在實踐中，企業往往擔心境外接收方不配合申報工作，難以充分評估境外方的數據安全保障能力。對此，我們建議企業在與境外主體溝通的過程中向其強調安全評估申報的重要性安全評估申報的重要性，即不完成評估將無法開展數據出境活動46；境外材料的必要性境外材料的必要性，

123、即境外材料是評估的重點對象47；以及完成評估時間的緊迫性完成評估時間的緊迫性，根據數據出境安全評估辦法第二十條規定，需進行安全評估的企業應在寬限期 6 個月內，即 2023 年 3 月 1 日前完成整改。八、如何評估境外接收方法律與政策環境完善程度在向境外提供個人信息或其他數據前，作為 PIA 及數據出境安全評估的重要組成部分，企業需要評估境外接收方所在國家或區域的法律與政策環境，以判斷數據出境活動可能存在的安全風險。但有企業認為，境外接收方的法律與政策環境相對穩定，由每個企業都獨立進行評估可能會帶來大量的重復勞動，如果有相關監管部門或第三方機構形成一份成熟的法律與政策環境評估結果，將能夠大大

124、增加合規效率，“如果嚴格按照要求所有目的地都要評估的話，假設跨境貿易如果要和 200 個國家合作，那就要評估 200 個國、地區，這個工作量是非常大的?！鄙钲跀到凰鶆t認為，目前境外接收方的合規義務難核查是一個重要問題。根據現行有效的法律法規等規范文件，對于數據出境鏈路及數據接收方的數據安全保障能力均有相應的要求，但在實際業務開展中，域外法律識別、政策法規和安全環境評價、接收方數據安全保障能力、數據處理全流程過程等事項核查因為涉及域外核查，開展實地調研及核查存在一定難度及較高成本，企業落實存在一定困難。44具體可參考指南（第一版）附件四的數據出境風險自評估報告（模板）。45北京市網信辦。46參見

125、個人信息保護法第六十六條、網絡安全法第六十六條、數據安全法第四十六條及中華人民共和國刑法第一百一十一條。47參見數據出境安全評估辦法第五條。44/54企業實踐難點：1.什么時候需要評估境外接收方的法律與政策環境？2.應當從哪些角度評估境外接收方法律與政策環境？應當關注哪些要點？3.實踐中，境外接收方法律與政策環境評估工作應當如何高效開展？根據數據出境安全評估辦法 申報指南（第一版）標準合同辦法以及認證規范 V2.0相關規定，數據出境安全評估的重點評估項包括：境外接收方所在國家或者地區的數據安全保護政策法規和網絡安全環境對出境數據安全的影響；境外接收方的數據保護水平是否達到中國法律、行政法規的規

126、定和強制性國家標準的要求；數據安全和個人信息權益是否能夠得到充分有效保障，境外接收方所在國家或者地區的個人信息保護政策法規對履行個人信息保護義務和保障個人信息權益的影響。具體而言，涉及個人信息出境時，境外接收方所在國家或地區的法律政策環境評估主要考慮的要素包括：（1）該國家或地區現行的個人信息保護法律法規及普遍適用的標準情況，以及與我國個人信息保護相關法律法規、標準情況的差異；（2）該國家或地區加入的區域或全球性的個人信息保護方面的組織，以及所做出的具有約束力的國際承諾；（3）該國家或地區落實個人信息保護的機制，如是否具備負責個人信息保護的監督執法機構和相關司法機構等。4848參見安全評估指南

127、（征求意見稿）第五條、標準合同辦法第五條以及認證規范 V2.0第 5.4 條 e 項。該三份法律文件均列出了此處三項評估事項。45/54以“高、中、低”三個等級評判個人信息接收方所在國家或地區的法律政策環境保障能力：49高等級中等級低等級個人信息保護方面的法律法規較為成熟且已形成體系化，廣泛使用了標準作為法律法規的補充，保障了個人信息主體的各項權利，有專門個人信息保護機構，同時具備完備、有效、多層次的救濟渠道。個人信息保護方面的法律法規標準基本齊備，保障了個人信息主體的部分權利，有個人信息保護相關負責部門，具備相應的行政、司法救濟渠道。個人信息保護方面的法律法規標準欠缺或不完備，個人僅能通過司

128、法救濟渠道維護權利。涉及重要數據出境時，法律政策環境評估的內容側重有所不同，主要包括：（1）該國家或地區在數據安全方面現行的法律法規及普遍適用的標準情況；（2）該國家或地區主管數據安全的執法機構和相關司法機構等；（3）該國家或地區的執法機構、司法機構等部門調取數據的權力和法律程序；（4）該國家或地區與其他國家或地區之間是否締結有關數據流通、共享等方面的雙邊或多邊協定，包括在執法、監管等方面數據流通、共享的雙多邊協定。以“高、中、低”三個等級評判重要數據接收方所在國家或地區的法律政策環境保障能力50：高等級中等級低等級網絡安全或數據安全方面的法律法規完備，主管或監管部門具備較強的監督和執法能力，

129、數據安全事件發生后具備有效的追責和監督機制。執法機構和司法機構調取數據的權力受法律的約束，且做到了公開透明，近期不存在相關的負面案例。網絡安全或數據安全方面的法律法規標準基本完備，主管或監管框架初步成型，對數據安全事件主要依靠行政監督，執法機構和司法機構調取數據需要遵循一定的程序。網絡安全或數據安全方面的法律法規標準欠缺或不完備，主管或監管部門不清晰或缺乏相應能力，缺乏在數據安全事件發生后有效追責的機制。執法機構和司法機構調取數據的權力基本不受約束，或近期存在相關的負面案例。49參見安全評估指南（征求意見稿）附錄 B.3.3.1。50參見安全評估指南（征求意見稿）附錄 B.3.3.2。46/5

130、4對境外接收方所在地法律政策環境的評估也可參考域外的經驗。在歐盟法院于 2020 年 7 月作出 Schrems II 案件的判決后51，為保證境外接收方可以達到與歐盟同等的個人數據保護水平，歐盟數據保護委員會（EDPB）于同年11 月發布了關于補充傳輸機制以確保遵守歐盟個人數據保護水平的建議（Recommendations 01/2020 onmeasures that supplement transfer tools to ensure compliance with the EU level of protection of personal data）及針對監控措施的關于歐盟重要保障

131、的建議（Recommendations 02/2020 on the European EssentialGuarantees for surveillance measures）52，就開展數據跨境傳輸評估（DTIA）提供指引，尤其強調要評估第三國的數據保護法律或實踐。在評估境外接收方所在第三國法律環境時，歐盟數據保護委員會明確了四項“歐盟重要保障”：（1）數據處理應當基于清晰、明確和公開規則。此處除了評估境外接收方第三國是否具有數據處理的法律基礎之外，還應當評估數據保護相關法律規定是否完整明確、是否穩定以及是否具有可預見性；（2）與合法目標之間的必要性和成比例性。此處特別強調的是，第三國的

132、立法或執法機構基于維護國家或公共安全的目的對個人權利及自由的限制是否必要及適當；（3）應當具備一個獨立、公正的監督機制；（4）數據主體應當獲得有效的救濟，包括行使數據主體權利、在權利受到損害時可以尋求司法及其他機構的救濟。綜合上述我國及歐盟法律法規的規定，可以總結得出境外接收方所在國家或區域的法律與政策環境的以下評估要點：（1）法律體系。境外接收方所在地的個人信息保護、網絡安全或數據安全的法律法規和標準情況，以及和我國法律體系相比的差異；51本案中，歐盟法院否定了“美國-歐盟隱私盾”數據傳輸機制的有效性，因為在此機制下，境外接收方（美國）未能提供與歐盟實質性相同的數據保護水平。522021 年

133、 6 月，歐盟委員會更新發布關于補充傳輸機制以確保遵守歐盟個人數據保護水平的建議（2.0 版）（Recommendations 01/2020 on measures thatsupplement transfer tools to ensure compliance with the EU level of protection of personal data Version 2.0）。47/54（2）國際承諾。境外接收方所在地加入區域或全球性的數據保護組織、所做出具有拘束力的國際承諾的情況；（3）落實機制。境外接收方所在地落實個人信息、網絡安全或數據安全保護的機制，如：是否具備負責相關的

134、監督執法機構和司法機構、機構的獨立性、機構的監督執法能力、數據安全事件發生后是否具有有效的追責和監督機制；（4）機構權力。境外接收方所在地的執法機構和司法機構等部門調取數據的權力和法律程序，權力是否受到有效的約束、是否能做到公開透明、近期是否存在相關的負面案例；境外接收方是否曾收到其所在地公共機關要求其提供個人信息請求及境外接收方應對的情況53；（5）個人信息主體救濟途徑。境外接收方所在地是否保障了個人信息主體的各項權利、是否有專門的個人信息保護機構、是否為個人信息主體提供了完備、有效、多層次的救濟渠道；（6）國際協定。境外接收方所在地與其他國家或地區之間是否締結有關數據流通、共享等方面的雙邊

135、或多邊協定，包括在執法、監管等方面數據流通、共享的雙多邊協定；（7）境外接收方所在地在數據方面是否對中國采取歧視性的禁止、限制或其他類似措施等。54在進行評估時，需要獲取大量有關境外接收方所在地法律政策環境的信息。如歐盟數據保護委員會在關于補充傳輸機制以確保遵守歐盟個人數據保護水平的建議（2.0 版）中建議，對第三國當地的法律政策環境進行評估可參考如下信息來源：例如歐盟法院（CJEU）和歐洲人權法院（ECtHR）的判例法；歐盟委員會的充分性認定；政府間組織和區域機構（如歐洲委員會和聯合國機構）的決議和報告；該國的判例法或相關獨立司法或行政機關作出的決定；獨立監督機構或議會機構的報告，商貿、外交

136、、投資機構以及其他相關專業人員制作的報告；學術機構和民間社會組織的報告等。除此之外，也可以參考境外接收方提供的“金絲雀安53參見認證規范 V2.0第 5.4 條 e)1)項。54參見蔡開明，阮東輝：簡析數據出境安全評估申報指南（第一版），2022 年 9 月。48/54全聲明（Warrant Canary）”55、透明度報告以及其他內部聲明或記錄，證明境外接收方在足夠長的時間內未收到數據訪問請求。56由于境外接收方法律政策環境評估工作的專業要求較高，需要評估人員對當地的相關政策、法律、文化、社會等各方面具有充分的理解，因此在具體評估實踐中，企業可通過與境外接收方內部法務等相關部門進行合作，或聘

137、請當地律師或其他跨國服務機構協助，以實現全面、深入的評估。九、如何完成個人信息保護認證個人信息保護法第三十八條提出個人信息處理者向境外提供個人信息時，需按照國家網信部門的規定經專業機構進行個人信息保護認證。在此基礎上，信安標委于 2022 年 12 月 16 日正式發布的認證規范 V2.0具體規定了在個人信息跨境處理活動中個人信息保護認證制度的適用情形、認證主體、基本原則、基本要求等內容，為認證機構對個人信息跨境處理活動進行個人信息保護認證提供了認證依據，同時也為企業作為個人信息處理者規范個人信息跨境處理活動提供了參考。在此次受訪的企業中，有 13 家企業進行了“個人信息影響評估”，有 8 家

138、企業進行了“個人信息保護認證”；同時，有 3 家企業涉及相關業務，但并未進行相關評估，5 家企業并未進行“個人信息保護認證”。企業實踐難點：1.個人信息保護認證的適用情形是什么？2.個人信息保護認證的申請主體有哪些？3.個人信息保護認證是否可以替代數據出境安全評估或個人信息出境標準合同，作為個人信息出境的唯一安全保護機制？4.企業需要向哪些認證機構申請個人信息保護認證？5.個人信息保護認證有哪些具體要求？6.個人信息保護認證的具體步驟有哪些？has not received secret requests for revealing users data to government or la

139、w enforcement officers.”56參見歐盟委員會（EDPB）關于補充傳輸機制以確保遵守歐盟個人數據保護水平的建議（2.0 版）Recommendations 01/2020 on measures that supplementtransfer tools to ensure compliance with the EU level of protection of personal data Version 2.0,18 June 2021.49/54根據認證規范 V2.0，個人信息保護認證的適用情形適用情形為個人信息處理者開展的跨境數據處理活動。作為認證申請主體申請主體的

140、個人信息處理者應為取得合法的法人資格、正常經營且具有良好的信譽、商譽的境內主體。認證規范V2.0對兩類特殊的數據跨境處理活動中申請認證的主體作出了特殊規定，具體如下表所示：數據跨境處理活動數據跨境處理活動申請主體（責任主體）申請主體（責任主體）跨國公司或者同一經濟、事業實體下屬子公司或關聯公司之間的個人信息跨境處理活動境內一方境外個人信息處理者直接收集中國境內的個人信息境外個人信息處理者在中國境內設置的專門機構或指定代表在基本原則部分，認證規范 V2.0明確了“自愿認證”的原則，即鼓勵開展個人信息跨境處理活動的個人信息處理者自愿申請個人信息保護認證，充分發揮認證在加強個人信息保護、提高個人信息

141、跨境處理效率方面的作用。因此，涉及個人信息跨境傳輸活動的個人信息處理者，是否選擇認證完全出于自愿：結合本報告其他三種安全保護機制適用條件的論述，企業在選擇是否認證前，需要優先判斷是否達到申報出境安全評估的條件，如果達到，則應優先申報出境安全評估。如果企業對自身合規要求基準高且內部預算比較充足，可考慮在申報出境安全評估的同時申請個人信息保護認證，認證為可選項、加分項，出境安全評估為必須項；如果企業未達到申報出境安全評估的條件，且跨境傳輸的數據涉及個人信息，則企業應當簽署出境標準合同并可申請個人信息保護認證（通常亦屬于對自身合規要求基準高的企業）；或者只選擇申請個人信息保護認證（標準合同與認證二選

142、一）。對于認證機構的選擇，關于實施個人信息保護認證的公告與國家市場監督管理總局于 2022 年 6 月 5 日發布的關于開展數據安全管理認證工作的公告中并未明確公布依法取得認證機構資質的企業名錄。但根據中國網絡安全審查技術與認證中心（下稱“CCRC”）在其官方網站57發布的信息表明，CCRC 負責個人信息保護認證的具體實施工作，且用于辦理個人信息保護認證業務的“個人信息保護認證業務管理系統”已經上線58。經 2023 年 2 月 2日向 CCRC 咨詢，CCRC 的個人信息保護認證可以涵蓋個人信息跨境傳輸活動，在認證要求、標準上與其他場景存在一定差異。因此，CCRC 可以作為企業對個人信息跨境

143、處理活動申請個人信息保護認證的認證機構。除 CCRC 以外還有哪些認證機構具備認證資格，尚待公布及觀察。認證規范 V2.0 提出了開展個人信息跨境處理活動的四項基本要求：個人信息處理者與境外接收方簽署具有法律約束力的文件；開展個人信息跨境處理活動的個人信息處理者和境外接收方均需要既指定個人信息保護負責人，又要設立個人信息保護機構；與境外接收方約定并共同遵守同一個人信息跨境處理規則，并明確了六項具57https:/ 2023 年 2 月 2 日。58https:/ 2023 年 2 月 2 日。50/54體內容；對擬向境外接收方提供個人信息的活動開展個人信息保護影響評估。建議企業在申請個人信息保

144、護認證前，按照認證規范 V2.0的基本要求，完成合規動作，以順利通過個人信息跨境處理活動個人信息保護認證。關于開展個人信息保護認證的步驟，2022 年 11 月 18 日，國家市場監督管理總局和國家互聯網信息辦公室發布的關于實施個人信息保護認證的公告的附件個人信息保護認證實施規則，對認證流程進行了進一步細節說明，具體包括認證委托、技術驗證、現場審核、認證結果評價和批準等。十、如何正確應對國際爭議解決場景下取證所涉的數據跨境傳輸隨著涉及數據跨境的國際訴訟或仲裁案件增多，國內企業特別是小商家面臨的合規義務與維權現狀引起頗多關注。近來頗受關注的亞馬遜商家“封號潮”引起的數據跨境爭議便是其中一例。20

145、21 年 4 月底以來，中國賣家遭遇亞馬遜封號潮，約有 600 個中國品牌和 3000 個賣家賬號被封。被封賬號如要申請回款，亞馬遜通知要求必須通過“視頻驗證”，成功后才有可能回款。但視頻驗證的正當性和必要性一直飽受廣大賣家的質疑，有效同意和告知等程序亦存在不足，驗證過程更是涉及到了賣家數據跨境的問題。目前，要求境外數據接收方依照我國法律法規對合規工作進行配合較為困難，但如果視頻驗證受阻，國內賣家回款又受到了阻礙，相關方呼吁監管部門能夠提供類似申報手冊的指引，幫助中國企業在國際爭議解決維權案件中保護自身利益，同時也能維護國家數據安全不受影響。在涉及國際爭議解決的場景下，難免會發生要求境內企業向

146、境外司法機構提供存儲于境內的數據或個人信息作為證據材料的情況，這便會涉及到數據跨境傳輸問題。數據安全法第三十六條和個人信息保護法第四十一條規定，企業向境外司法或者執法機構提供存儲于境內的數據或個人信息時，必須經中國主管機關的批準。2022 年 6月 24 日，司法部在國際民商事司法協助常見問題解答中強調，涉及到國際司法協助的，非經中國主管機關批準，境內的組織、個人不得向外國司法或者執法機構提供存儲于中國境內的數據或個人信息。不論是境內企業提供或外國司法機構調取，均應當提前向中國相關主管機關提出申請，相關主管機關將依據有關法律、中國締結或參與的國際條約和協定或者平等互惠原則來處理其關于提供存儲于

147、境內數據或個人信息的請求。具體來講：企業實踐難點：1.為訴訟之目的，向境外司法或執法機構提供存儲于境內的數據是否需要向我國監管部門申請審核？2.申請審批的部門、流程以及要求提交的材料是什么？51/54在國際刑事領域，國家監察委員會、最高人民法院、最高人民檢察院、公安部、國家安全部等部門是開展刑事司法協助的主管機關。涉及國際刑事的司法協助將由以上部門依據中華人民共和國國際刑事協助法等法律及相關國際條約和協定進行處理。在國際民商事領域，司法部是開展民商事司法協助的主管機關。涉及民商事領域的司法協助將由司法部根據 海牙送達公約 海牙取證公約以及目前締結的 38 項中外雙邊司法協助條約規定途徑，以及外

148、交途徑開展。實踐中，較為常見是企業涉及在境外的民事訴訟糾紛，需要將有關數據信息作為證據材料提交給外國法院或其他司法機構。根據 2022 年 10 月司法部司法協助中心對于相關咨詢問題的答復，無論是企業主動向境外司法機構提供證據還是企業應境外司法機構的要求被動提交證據，企業均需要向司法部提供特定材料申請審核。一般情況下所需提交的材料包括：（1）申請書，應說明外國法院所涉案件的基本情況，外國法院對證據提交的要求（法院命令、對方當事人動議）等信息；（2）證據清單，應對擬提交的證據材料進行詳細說明，包括證據名稱、證明事項、與案件的關聯性、是否涉及國家安全、國家秘密、政府相關文件、商業秘密、個人信息等；

149、（3）自評估報告，即企業對擬提交證據材料的初步審核意見；（4）法律評估報告，即企業法務部門或律師事務所對擬提交證據材料的法律意見。司法部司法協助中心在收到上述材料后，將會同最高人民法院、網信辦、申請企業的業務主管部門（如工信部）等對擬出境的證據進行審核。審核時限通常為 1 個月，涉及重大復雜的案件則為 2 個月。審核通過后，將會為申請企業出具批文，申請企業可以辦理出境事宜。目前，在個人信息保護法和數據安全法生效后已經有不少企業根據上述流程向司法部提交審核申請并得到了批準。此外，隨著中國對于數據安全的保護力度不斷增強，相關主管機關也在不斷提高當事人申請的便捷程度與相關部門的審核效率。如上文所述，

150、涉及司法訴訟方面的數據出境將以司法部意見為準，將由司法部組織其他有關部門針對企業提交的材料進行會簽，企業或無需再向網信部門進行申報。相比于企業自行分別聯系網信部門、業務主管部門等申請評估，這將有助于節省企業的成本、提高數據作為證據出境的效率。綜上，我們建議企業在涉及國際爭議解決場景時，應當主動與司法部進行溝通，盡早了解相關流程以及所需提交的材料，并按要求申請審批。防止因未能正確預估司法部等相關部門審核的時間及成功率，導致無法按時提交證據的情況發送，增加敗訴風險。同時，值得關注的是，在司法協助的場景下，受到出境限制的并不僅限于重要數據或個人信息，而包括存儲于境內的所有類型的數據。即使企業認為擬出境的證據材料中不涉及重要數據及個人信息，或者當企業無法確定證據中所包含的數據類型時，均應提交司法部審核。企業無需將審核流程視為一種“麻煩”，而應將其視為一種對于企業自身合法權益及國家安全利益的司法保護。52/54附件：各地網信辦數據出境安全評估申報通道地區地區聯系電話聯系電話聯系郵箱聯系郵箱鏈接鏈接北京010-67676912/https:/ 孟潔 戴暢 王程 張楚淇 李晨瑜 田梓儀南財合規科技研究院 吳立洋 王俊 張雅婷 尤一煒 鄭雪譚硯文設計統籌：林軍明封面/排版：林潢 陳國麗校對：黃志明聯系方式：E