當前位置：首頁 > 報告詳情

快頁：2024數據出境安全合規白皮書（90頁）.pdf

上傳人：淡然編號：173195 2024-08-27 PDF PDF DOCX DOCX DOCX 90頁 5.62MB

下載：

該報告所屬合集： 2025年數據安全/數據庫行業報告合集

打包下載報告合集

文檔加載中……請稍候！
如果長時間未打開，您也可以點擊刷新試試。

下載報告到電腦，查找使用更方便

VIP專享文檔

書簽

分享

收藏

已收藏

版權投訴

/90

立即下載

word格式文檔無特別注明外均可編輯修改，預覽文件經過壓縮，下載原文更清晰！

三個皮匠報告文庫所有資源均是客戶上傳分享，僅供網友學習交流，未經上傳用戶書面授權，請勿作商用。

《快頁：2024數據出境安全合規白皮書（90頁）.pdf》由會員分享，可在線閱讀，更多相關《快頁：2024數據出境安全合規白皮書（90頁）.pdf（90頁珍藏版）》請在三個皮匠報告上搜索。

1、數據出境安全合規白皮書 2024 快頁信息技術有限公司數據出境安全合規白皮書快頁信息技術有限公司第 1 頁前言前言隨著全球化和數字化的發展，數據已經成為重要的生產要素和商業資源。數據出境作為企業開展跨國業務、拓展國際市場的重要手段，已經成為企業發展的必經之路。然而，數據出境也帶來了諸多安全和合規挑戰，如何確保數據安全、合法、有效地出境已成為企業亟待解決的問題。本白皮書旨在為企業在數據出境過程中提供全面的安全和合規指導，幫助企業了解數據出境的法律法規、標準要求以及最佳實踐，從而降低數據出境風險，保障企業的商業利益和聲譽。本白皮書將詳細介紹數據出境的背景和重要性、相關法律法規和標準要求

2、、數據出境的風險和挑戰、企業如何進行數據出境安全合規的自我評估、以及最佳實踐和建議。希望通過本白皮書的發布，能夠推動企業加強數據出境安全和合規管理，促進全球數字經濟的健康發展。本白皮書由快頁信息技術有限公司數安實驗室組織牽頭，憑闌江蘇實驗室科技有限公司參與聯合編制，參與編寫人員有吳青松、楊煥烽、陳雨萱、陶國軍等。數據出境安全合規白皮書快頁信息技術有限公司第 2 頁提示提示本白皮書所附申請材料為截搞日（2024 年 3 月 25 日）的最新版本，如有更新恕不另行通知，請以官方最新版為準。本白皮書中所述內容可能會隨著政策的更新，監管口徑發生變化而改變，企業應當及時關注最新動態，本文不作為法

3、律意見。數據出境安全合規白皮書快頁信息技術有限公司第 3 頁版權聲明版權聲明數據出境安全合規白皮書權利歸屬于快頁信息技術有限公司所有。未經許可，任何組織或個人不得將報告的全部內容或部分內容為營利目的出版、編輯、翻譯、網絡傳播、轉讓或出售等方式使用。轉載、摘編使用本白皮書文字或觀點應注明來源。數據出境安全合規白皮書快頁信息技術有限公司第 4 頁目錄目錄前言前言.1 提示提示.2 版權聲明版權聲明.3 1 數據出境安全合規背景概述數據出境安全合規背景概述.6 1.11.1 數據出境安全風險數據出境安全風險.6 1.21.2 數據出境法律框架數據出境法律框架.7 1.31.3 數據出

4、境制度演進數據出境制度演進.8 1.41.4 數據出境監管現狀數據出境監管現狀.8 2 數據出境安全合規路徑分析數據出境安全合規路徑分析.9 2.12.1 數據出境合規三種路徑數據出境合規三種路徑.9 2.22.2 數據出境合規路徑適用數據出境合規路徑適用.11 2.32.3 數據出境合規路徑比較數據出境合規路徑比較.13 3 數據出境安全評估申報指南數據出境安全評估申報指南.15 3.13.1 適用范圍適用范圍.15 3.23.2 申報方式及流程申報方式及流程.16 3.33.3 申報材料申報材料.17 3.43.4 咨詢、舉報聯系方式咨詢、舉報聯系方式.18 3.53.5 附件附件.18

5、4 個人信息出境標準合同備案指南個人信息出境標準合同備案指南.19 4.14.1 適用范圍適用范圍.19 4.24.2 備案方式備案方式.19 4.34.3 備案流程備案流程.19 4.44.4 咨詢、舉報聯系方式咨詢、舉報聯系方式.21 4.54.5 附件附件.21 5 個人信息保護認證指南個人信息保護認證指南.22 5.15.1 適用范圍適用范圍.22 5.25.2 認證依據認證依據.22 5.35.3 認證模式認證模式.22 5.45.4 認證實施程序認證實施程序.22 5.55.5 認證證書和認證標志認證證書和認證標志.23 5.65.6 認證實施細則認證實施細則.24 5.75.7

6、認證責任認證責任.25 數據出境安全合規白皮書快頁信息技術有限公司第 5 頁 5.85.8 咨詢聯系方式咨詢聯系方式.25 5.95.9 附件附件.25 6 數據出境安全合規申報案例數據出境安全合規申報案例.26 6.16.1 數據出境安全評估申報案例數據出境安全評估申報案例.27 6.26.2 個人信息出境標準合同備案案例個人信息出境標準合同備案案例.27 6.36.3 個人信息保護認證案例個人信息保護認證案例.27 附錄附錄 A 數據出境安全評估申報附件數據出境安全評估申報附件.28 附錄附錄 B 個人信息出境標準合同備案附件個人信息出境標準合同備案附件.41 附錄附錄 C 個人信息保

7、護認證附件個人信息保護認證附件.60 附錄附錄 D 常見實務問題常見實務問題 Q&A.70 附錄附錄 E 各地網信部門聯系方式各地網信部門聯系方式.81 附錄附錄 F 快頁數據安全能力介紹快頁數據安全能力介紹.83 F.1F.1 數據安全服務能力數據安全服務能力.83 F.1.1 數據安全整體規劃服務.83 F.1.2 數據分級分類服務.83 F.1.3 數據合規評估服務.84 F.1.4 數據風險評測服務.84 F.1.5 持續安全運營服務.84 F.1.6 應急響應及溯源服務.85 F.1.7 數據出境申報服務.85 F.2F.2 數據安全工具能力數據安全工具能力.86 F.2.1 數據安

8、全管控平臺.86 F.2.2 數據跨境監測系統.87 參考文獻參考文獻.88 數據出境安全合規白皮書快頁信息技術有限公司第 6 頁 1 1 數據出境安全合規背景概述數據出境安全合規背景概述國家安全是一個多領域交叉的綜合性安全問題。我國除了重視國土安全、軍事安全等傳統領域的國家安全外，也同樣重視數據領域的國家安全。在立法方面，為維護數據領域的國家安全，規范數據處理活動，我國最高立法機關于 2021 年 6 月 10 日出臺了數據安全法。在執法方面，2021 年以來國家互聯網信息辦公室（以下簡稱“網信辦”）接連對“滴滴出行”“運滿滿”“貨車幫”“BOSS 直聘”等在美國上市的互聯網公司，實

9、施國家安全審查。至此，數據出境對國家安全的重大影響，逐步引起社會各界的關注。數據出境是數據處理者將在國內收集、產生的重要數據和個人信息，提供給境外主體的行為。數據特有的科技屬性與流動隱蔽性，以及數據的主動出境和被動出境，都會給國家安全治理帶來挑戰。隨著全球化和數字化進程的加速，企業和個人的數據生成量呈爆炸性增長。在這些數據中，很多都是敏感或機密信息，如客戶信息、商業策略、研發成果等。這些數據的泄露或被不當使用，可能會給企業帶來巨大的經濟損失和聲譽損害。因此，對于涉及數據出境的企業來說，保障數據安全不僅是合規需求，更是業務發展的基礎。1.11.1 數據出境安全風險數據出境安全風險數據出境安全風

10、險是指在數據傳輸或存儲過程中面臨的安全威脅和挑戰，主要表現在以下幾個方面：1 1、合規風險合規風險各國對于數據出境的法律規定各有不同，且不斷更新。企業如果不遵守相關法規，可能會面臨罰款、訴訟甚至被取締的風險。2 2、技術風險技術風險在數據傳輸和存儲過程中，如果沒有足夠的加密和隱私保護技術，可能會被黑客攻擊、攔截或竊取。此外，云服務、大數據等新技術應用也帶來了新的安全挑戰。3 3、業務風險業務風險如果企業對數據出境缺乏足夠的風險意識和管理手段，可能會在業務合作過程中泄露敏感信息，給企業帶來損失。為了應對這些風險，企業需要采取一系列安全措施來確保數據出境的安全性，包括加強立法和合規管理、采用

11、先進的數據加密和隱私保護技術、建立完善的數據管理制度、提高員工的安全意識等。同時，政府和監管機構也需要加強數據安全監管和國際合作，數據出境安全合規白皮書快頁信息技術有限公司第 7 頁共同推動全球數據安全治理的健康發展。1.21.2 數據出境法律框架數據出境法律框架數據出境的法律框架是指管理和規范數據傳輸和流動的法律法規和政策體系。由于數據的跨境流動涉及國家安全、個人隱私、商業秘密等多個方面，因此各國政府和監管機構需要制定相應的法律框架來確保數據的安全和合規。在中國，數據出境的法律框架主要包括以下幾個方面：1、中華人民共和國網絡安全法：該法規定了網絡信息保護的基本原則和要求，包括個人信息

12、保護、關鍵信息基礎設施保護等方面。其中，第三十七條明確規定了關鍵信息基礎設施的運營者在境內運營中收集和產生的個人信息和重要數據應當在境內存儲，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。2、中華人民共和國數據安全法：該法規定了數據處理活動的安全和保密要求，保障國家數據安全。其中，第三十一條明確規定了關鍵信息基礎設施的運營者在境內運營中收集和產生的重要數據的出境安全管理，適用中華人民共和國網絡安全法的規定；其他數據處理者在境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。3、數據出境安全評估辦法：該辦法規定了中國數據出境安

13、全評估的具體要求和程序。根據該辦法，數據處理者向境外提供在境內運營中收集和產生的重要數據和個人信息的安全評估，適用本辦法。法律、行政法規另有規定的，依照其規定。同時，該辦法還規定了申報數據出境安全評估的具體情形和要求。4、個人信息出境標準合同規定：該規定是為了保障個人信息在出境后的合法權益，規范個人信息出境活動。其中，個人信息處理者向境外提供個人信息前需進行個人信息保護影響評估。此外，中國的數據出境法律框架還包括網絡安全審查辦法、數據安全管理辦法等相關法律法規和政策文件，共同構成了中國數據出境的法律體系?？傮w來說，中國數據出境的法律框架是在保障國家安全、個人隱私和商業秘密的基礎上，規范數據的跨

14、境流動和使用，促進數據合理、合法、合規地流通和應用。同時，通過加強國際合作和建立互信機制，推動全球數據安全治理的健康發展。數據出境安全合規白皮書快頁信息技術有限公司第 8 頁 1.31.3 數據出境制度演進數據出境制度演進中國數據出境制度的沿革和演進可以大致分為以下幾個階段：1、早期探索階段（2010 年以前）：在這個階段，我國開始意識到數據安全和隱私保護的重要性，但相關的法律法規和政策體系尚未建立。2、初步建立階段（2010-2015 年）：隨著信息化和互聯網的快速發展，我國開始制定和實施一系列與數據安全和隱私保護相關的法律法規和政策，如全國人大常委會關于加強網絡信息保護的決定、網絡安

15、全法等。3、逐步完善階段（2016 年至今）：在這個階段，我國進一步加強了對數據安全和隱私保護的監管，制定了一系列更加具體的政策和標準，如數據安全法、個人信息保護法等。同時，中我國還加強了與國際社會的合作，積極參與全球數據安全治理?？傮w來說，中國數據出境制度的沿革和演進是一個逐步完善的過程，旨在加強數據安全和隱私保護，促進數字經濟的健康發展。在這個過程中，我國還需要不斷適應新的形勢和挑戰，加強立法和監管，提高國際合作水平，以應對日益復雜和嚴峻的數據安全威脅。1.41.4 數據出境監管現狀數據出境監管現狀數據出境監管現狀主要包括以下幾個方面：1、法律法規體系不斷完善：我國近年來加強了對數據安

16、全和隱私保護的法律法規建設，出臺了一系列相關法律法規，如網絡安全法、數據安全法、個人信息保護法等，為數據出境監管提供了更加完善的法律基礎。2、監管力度持續加強：我國對數據出境的監管力度不斷加強，對違法違規行為加大了處罰力度，同時加強了對數據收集、存儲、使用、加工、傳輸、公開等全流程、各環節的安全管理，提高了數據出境的整體安全水平。3、監管技術不斷創新：隨著科技的不斷進步，我國在數據出境監管中加強了對新技術的應用，如大數據分析、人工智能等，提高了監管的效率和準確性，同時也為數據的合規使用和安全管理提供了更加可靠的技術支持。4、國際合作逐步深化：我國積極參與全球數據安全治理，與國際社會加強了合作與

17、交流，共同打擊跨國數據安全威脅，推動建立更加公正合理的國際數據治理體系。數據出境安全合規白皮書快頁信息技術有限公司第 9 頁 2 2 數據出境安全合規路徑分析數據出境安全合規路徑分析數據出境安全合規路徑分析是指對數據跨境流動的安全性和合規性進行全面評估和分析的過程。這一過程旨在確保數據在跨境傳輸和存儲過程中得到充分保護，并符合相關法律法規的要求。2.12.1 數據出境合規三種路徑數據出境合規三種路徑數據出境合規的三種路徑包括：數據出境安全評估、個人信息出境標準合同和個人信息保護認證。圖 1 數據出境合規三種路徑其中，個人信息出境標準合同通常對應為通用數據保護條例（General Da

18、ta Protection Regulation，簡稱 GDPR）項下的 SCC（Standard Contractual Clauses）；個人信息保護認證通常對應為 GDPR 項下的 BCRs（Binding Corporate Rules）。1、數據出境安全評估：根據數據出境安全評估辦法，滿足一定條件的數據處理者應當對出境數據進行安全評估。評估內容包括申報書、數據出境風險自評估報告、數據處理者與境外接收方擬訂立的法律文件以及安全評估工作需要的其它材料。表 1 數據出境安全評估路徑 1)依據：網絡安全法數據安全法個人信息保護法數據出境安全評估辦法數據出境安全評估申報指南（第二版）等 2)適

19、用數據類型：數據（含個人信息）3)觸發條件（任何一種）：（1）出境數據中含有重要數據；（2）數據處理者為關鍵信息基礎設施運營者（簡稱“CIIO”）；（3）數據處理者為處理 100 萬人以上個人信息的數據處理者；（4）數據出境安全合規白皮書快頁信息技術有限公司第 10 頁自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者；（5）國家網信部門規定的其他需要申報數據出境安全評估的情形。4)申報提交材料：（一）申報書；（二）數據出境風險自評估報告；（三）數據處理者與境外接收方擬訂立的法律文件；（四）安全評估工作需要的其他材料。5)申報流程：省級網信部門應當自收到申報

20、材料之日起 5 個工作日內完成完備性查驗。申報材料齊全的，將申報材料報送國家網信部門；申報材料不齊全的，應當退回數據處理者并一次性告知需要補充的材料。國家網信部門應當自收到申報材料之日起 7 個工作日內，確定是否受理并書面通知數據處理者。6)評估時限：國家網信部門應當自向數據處理者發出書面受理通知書之日起 45 個工作日內完成數據出境安全評估；情況復雜或者需要補充、更正材料的，可以適當延長并告知數據處理者預計延長的時間。7)評估有效期：兩年。2、標準合同備案：雖然個人信息保護法第三十八條要求個人信息處理者任選其一方式，但其實在選擇順序上需要先評估是否需要申報出境安全評估，不適用時才能考慮適用出

21、境標準合同的機制。表 2 個人信息出境標準合同備案路徑 1)依據：個人信息保護法個人信息出境標準合同辦法個人信息出境標準合同備案指南（第二版）等 2)適用數據類型：個人信息 3)適用條件（同時滿足）：（1）非關鍵信息基礎設施運營者；（2）處理個人信息不滿 100 萬人的；（3）自上年 1 月 1 日起累計向境外提供個人信息不滿 10 萬人的；（4）自上年 1 月 1 日起累計向境外提供敏感個人信息不滿 1 萬人的。（5）隱藏條件：不構成重要數據（否則應出境安全評估）。4)備案要求：在標準合同生效之日起 10 個工作日內向所在地省級網信部門備案。5)備案機構：省級網信辦。6)備案流程：材料提交、

22、材料查驗及反饋備案結果、補充或者重新備案。7)備案提交材料：（一）合同雙方根據標準合同訂立的個人信息出境標準合同，與之相關的獨立商業合同并不需要備案；（二）個人信息保護影響評估報告。8)重新評估、備案的情形：標準合同辦法第八條規定，如存在下列情形之一的，個人信息處理者應當重新開展個人信息保護影響評估，補充或者重新訂立標準合同，并履行相應備案手續：（1）向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發生變化，或者延長個人信息境外保存期限的；（2）境外接收方所在國家或者地區的個人信息保護政策和法規發生變化等可能影響個人信息權益的；（3）可能影響

23、數據出境安全合規白皮書快頁信息技術有限公司第 11 頁個人信息權益的其他情形。3、個人信息保護認證：當個人信息出境，但不滿足數據出境安全評估管理辦法第四條規定的情況時，可以執行此路徑。依據個人信息跨境處理活動安全認證規范指導個人信息處理者規范開展個人信息跨境處理活動。表 3 個人信息保護認證路徑 1)依據：個人信息保護法個人信息保護認證實施規則、TC260-PG-20222A個人信息跨境處理活動安全認證規范等 2)適用數據類型：個人信息 3)適用要求：個人信息處理者與境外接收方簽訂法律文件，開展個人信息保護影響評估，雙方均指定個人信息保護負責人、設立個人信息保護機構，并建立個人信息處理者

24、和境外接收方共同適用的個人信息跨境處理規則。4)認證實施程序：認證委托、技術驗證、現場審核、認證結果評價和批準、獲證后監督。5)證書有效期：三年。6)認證機構：中國網絡安全審查認證和市場監管大數據中心（簡稱“CCRC”）。7)申請材料：申請方法律證明文件（包括營業執照/法人證書復印件、每個場所的法律地位證明文件，如房租合同或產權證明），自評價表及相關證據材料、業務流程及描述、組織機構圖或職能表述、數據目錄、其他補充材料。8)認證時限：70 個工作日（不包括整改時間）。2.22.2 數據出境合規路徑適用數據出境合規路徑適用數據出境合規路徑的適用需要根據具體情況進行選擇。圖 2 數據出境路徑選擇

25、數據出境安全合規白皮書快頁信息技術有限公司第 12 頁需要強調的是，圖中所示的三條數據出境路徑選擇應當是有先后適用順序的。首先應當確定是否需要進行數據出境安全評估，如果不需要進行的，方可選擇另外兩種出境方式，即采取個人信息保護認證或簽署個人信息出境標準合同。以下是一些適用的場景和條件：1、數據安全評估路徑：適用于滿足數據出境安全評估管理辦法規定的條件的數據處理者。這些條件包括數據處理者向境外提供重要數據、個人信息等受到法律法規保護的數據，且數據處理者在中國境內運營并具有獨立法人實體或經法定代表人授權的組織。數據出境安全評估的目的是確保數據出境行為符合法律法規要求，保障國家安全和社會公共

26、利益。2、個人信息保護認證路徑：適用于個人信息處理者向境外提供個人信息的情況。個人信息處理者需要與境外接收方簽訂法律文件，開展個人信息保護影響評估，并建立個人信息跨境處理規則。通過個人信息保護認證，可以證明個人信息處理者符合相關法律法規要求，保障個人信息主體的合法權益。3、標準合同路徑：適用于非關鍵信息基礎設施運營者、處理個人信息不滿 100 萬人的、自上年 1 月 1 日起累計向境外提供個人信息不滿 10 萬人的、自上年 1 月 1 日起累計向境外提供敏感個人信息不滿 1 萬人的以及不構成重要數據的情況。標準合同的目的是通過合同方式約定數據處理者和境外接收方的權利和義務，確保數據出境行為符合

27、法律法規要求，保障國家安全和社會公共利益。表 4 免于出境申報活動條件 2024 年 3 月 22 日，國家互聯網信息辦公室公布促進和規范數據跨境流動規定，規定了免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的數據出境活動條件：1、國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷等活動中收集和產生的數據向境外提供，不包含個人信息或者重要數據的。2、在境外收集和產生的個人信息傳輸至境內處理后向境外提供，處理過程中沒有引入境內個人信息或者重要數據的。3、為訂立、履行個人作為一方當事人的合同，確需向境外提供個人信息的。4、按照依法制定的勞動規章制度和依法簽訂的集體合同實

28、施跨境人力資源管理，確需向境外提供員工個人信息的。5、緊急情況下為保護自然人的生命健康和財產安全，確需向境外提供個人信息的。6、關鍵信息基礎設施運營者以外的數據處理者自當年 1 月 1 日起累計向境外提供不滿 10 萬人數據出境安全合規白皮書快頁信息技術有限公司第 13 頁個人信息（不含敏感個人信息）的?？偟膩碚f，數據出境合規路徑的選擇需要根據具體情況進行評估和選擇。建議數據處理者在專業數據安全服務機構或監管機構的指導下，根據自身的情況選擇最適合的合規路徑。2.32.3 數據出境合規路徑比較數據出境合規路徑比較表 5 數據出境合格路徑比較路徑路徑數據出境安全評估辦法個人信息出境標

29、準合同辦法個人信息保護認證實施規則個人信息跨境處理活動安全認證規范適用對象適用對象個人信息+重要數據的跨境提供行為個人信息的跨境提供行為個人信息的跨境提供行為具體流程具體流程 1.數據處理者提交申報材料 2.監管部門書面反饋受理結果 3.監管部門聯合組織安全評估 4.監管部門出具書面評估結果，并通知數據處理者 5.如有異議，可在收到評估結果 15 個工作日內向國家網信部門申請復評 6.上一安全評估有效期滿前提前 60 個工作日重新申報個人信息處理者在標準合同生效之日起 10 個工作日內，提交備案材料，備案程序不影響合同的效力。1.認證委托 2.技術驗證 3.現場審核 4.認證結

30、果評價和批準 5.獲證后監督 6.認證機構明確公布認證時限、認證實施細則監管部門監管部門國家網信部門，評估時會同國務院有關部門、省級網信部門、專門機構等所在省級網信部門備案認證機構所需材料所需材料 1.申報書 2.數據出境風險自評估報告 3.數據處理者與境外接收1.標準合同 2.個人信息保護影響評估報告內控措施證明、合規證明、法律合同等數據出境安全合規白皮書快頁信息技術有限公司第 14 頁方擬訂立的合同或者其他具有法律效力的文件等 4.安全評估工作需要的其他材料有效期有效期 2 年，自評估結果出具之日起計算；非一事一議，出現特除情形需重新申報評估標準合同有效期內出現特殊

31、情形需重新簽訂標準合同并備案認證證書有效期 3 年數據出境安全合規白皮書快頁信息技術有限公司第 15 頁 3 3 數據出境安全評估申報指南數據出境安全評估申報指南 2022 年 7 月 7 日，國家互聯網信息辦公室公布數據出境安全評估辦法，自 2022年 9 月 1 日起施行。2022 年 08 月 31 日，國家互聯網信息辦公室發布數據出境安全評估申報指南（第一版）。2024 年 03 月 22 日，國家互聯網信息辦公室發布數據出境安全評估申報指南（第二版）。3.13.1 適用范圍適用范圍數據處理者向境外提供數據，有下列情形之一的，應當申報數據出境安全評估：（一）關鍵信息基礎設施運

32、營者向境外提供個人信息或者重要數據；（二）關鍵信息基礎設施運營者以外的數據處理者向境外提供重要數據，或者自當年 1 月 1 日起累計向境外提供 100 萬人以上個人信息（不含敏感個人信息）或者 1 萬人以上敏感個人信息。屬于促進和規范數據跨境流動規定第三條、第四條、第五條、第六條規定情形的，從其規定。以下情形屬于數據出境行為：（一）數據處理者將在境內運營中收集和產生的數據傳輸至境外；（二）數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出；（三）符合個人信息保護法第三條第二款情形，在境外處理境內自然人個人信息等其他數據處理活動。表 5促進和規范數據跨境流動

33、規定第三條、第四條、第五條、第六條規定第三條第三條國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷等活動中收集和產生的數據向境外提供，不包含個人信息或者重要數據的，免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。第四條第四條數據處理者在境外收集和產生的個人信息傳輸至境內處理后向境外提供，處理過程中沒有引入境內個人信息或者重要數據的，免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。第五條第五條數據處理者向境外提供個人信息，符合下列條件之一的，免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證：（一）為訂立、履行

34、個人作為一方當事人的合同，如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等，確需向境外提供個人信息的；數據出境安全合規白皮書快頁信息技術有限公司第 16 頁（二）按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息的；（三）緊急情況下為保護自然人的生命健康和財產安全，確需向境外提供個人信息的；（四）關鍵信息基礎設施運營者以外的數據處理者自當年 1 月 1 日起累計向境外提供不滿 10萬人個人信息（不含敏感個人信息）的。前款所稱向境外提供的個人信息，不包括重要數據。第六條第六條自由貿易試驗區在國家數據分類分級

35、保護制度框架下，可以自行制定區內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數據清單（以下簡稱負面清單），經省級網絡安全和信息化委員會批準后，報國家網信部門、國家數據管理部門備案。自由貿易試驗區內數據處理者向境外提供負面清單外的數據，可以免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。3.23.2 申報方式及流程申報方式及流程數據處理者申報數據出境安全評估，應當通過數據出境申報系統提交申報材料，系統網址為 https:/。關鍵信息基礎設施運營者或者其他不適合通過數據出境申報系統申報數據出境安全評估的，采用線下方式通過所在地省級網信辦向國

36、家網信辦申報數據出境安全評估，申報方式為送達書面申報材料并附帶材料電子版，書面申報材料需裝訂成冊。省級網信辦在數據處理者提交申報材料之日起 5 個工作日內完成申報材料的完備性查驗，并向數據處理者告知查驗結果。通過完備性查驗的，省級網信辦將申報材料提請國家網信辦受理；未通過完備性查驗的，省級網信辦向數據處理者告知未通過完備性查驗原因。國家網信辦自收到省級網信辦提交的申報材料之日起 7 個工作日內，確定是否受理并書面通知數據處理者。需要補充或者更正申報材料的，數據處理者應當按照告知要求及時補充或者更正材料。無正當理由不補充或者更正申報材料的，國家網信辦可以終止安全評估。情況復雜或者需要補充、更正材

37、料的，國家網信辦可以適當延長評估時間，并告知數據處理者預計延長的時間。評估完成后，國家網信辦向數據處理者出具評估結果通知書。數據處理者應當按照數據出境安全管理相關法律法規和評估結果通知書的有關要求，規范相關數據出境活動。數據處理者對評估結果有異議的，可以在收到評估結果通知書 15 個工作日內向國家網信辦申請復評，復評結果為最終結論。數據出境安全合規白皮書快頁信息技術有限公司第 17 頁圖 3 數據出境安全評估流程 3.33.3 申報材料申報材料數據處理者申報數據出境安全評估，應當提交如下材料（數據出境安全評估申報材料要求見附件 A.1）：1.統一社會信用代碼證件影印件 2.法定代表人身

38、份證件影印件 3.經辦人身份證件影印件 4.經辦人授權委托書（模板見附件 A.2）5.數據出境安全評估申報書（模板見附件 A.3）6.與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件影印件 7.數據出境風險自評估報告（模板見附件 A.4）8.其他相關證明材料數據處理者對所提交材料的真實性負責，提交虛假材料的，按照評估不通過處理，數據出境安全合規白皮書快頁信息技術有限公司第 18 頁并依法追究相應法律責任。3.43.4 咨詢咨詢、舉報聯系方式、舉報聯系方式聯系電話：010-55627135 電子郵箱： 3.53.5 附件附件見附件 A：A.1.數據出境安全評估申報材料要

39、求 A.2.經辦人授權委托書（模板）A.3.數據出境安全評估申報書（模板）A.4.數據出境風險自評估報告（模板）數據出境安全合規白皮書快頁信息技術有限公司第 19 頁 4 4 個人信息出境標準合同備案指南個人信息出境標準合同備案指南 2023 年 2 月，網信辦發布個人信息出境標準合同辦法，根據該辦法,網信辦于2023 年 5 月 30 日發布個人信息出境標準合同備案指南（第一版），于 2024 年 3月 22 日發布個人信息出境標準合同備案指南（第二版）。期間，各省級網信辦陸續針對標準合同備案實操進行了規定，如北京市網信辦、上海市網信辦陸續發布了北京市個人信息出境標準合同備案指引關于個人

40、信息出境標準合同備案的通知。4.14.1 適用范圍適用范圍個人信息處理者通過訂立標準合同的方式向境外提供個人信息，同時符合下列情形的應當向所在地省級網信部門備案：（一）關鍵信息基礎設施運營者以外的數據處理者；（二）自當年 1 月 1 日起，累計向境外提供 10 萬人以上、不滿 100 萬人個人信息（不含敏感個人信息）的；（三）自當年 1 月 1 日起，累計向境外提供不滿 1 萬人敏感個人信息的。屬于促進和規范數據跨境流動規定第三條、第四條、第五條、第六條規定情形的，從其規定。個人信息處理者不得采取數量拆分等手段，將依法應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供。以下情形屬

41、于個人信息出境行為：（一）個人信息處理者將在境內運營中收集和產生的個人信息傳輸至境外；（二）個人信息處理者收集和產生的個人信息存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出；（三）符合個人信息保護法第三條第二款情形，在境外處理境內自然人個人信息等其他個人信息處理活動。4.24.2 備案備案方式方式個人信息處理者應當在標準合同生效之日起 10 個工作日內，通過數據出境申報系統備案，系統網址為 https:/。4.34.3 備案備案流程流程標準合同備案流程包括材料提交、材料查驗及反饋備案結果、補充或者重新備案等環節。數據出境安全合規白皮書快頁信息技術有限公司第 20 頁（

42、一）材料提交個人信息處理者備案標準合同，應當提交如下材料（要求見附件 B.1）：1.統一社會信用代碼證件影印件 2.法定代表人身份證件影印件 3.經辦人身份證件影印件 4.經辦人授權委托書（模板見附件 B.2）5.承諾書（模板見附件 B.3）6.標準合同（范本見附件 B.4）7.個人信息保護影響評估報告（模板見附件 B.5）（二）材料查驗及反饋備案結果省級網信辦應當自個人信息處理者提交備案材料之日起 15個工作日內完成材料查驗，并向符合備案要求的個人信息處理者發放備案編號。需要補充完善材料的，個人信息處理者應當在 10 個工作日內提交補充完善材料；逾期未補充完善材料的，可以終止本次備案程序

43、。（三）補充或者重新備案在標準合同有效期內出現下列情形之一的，個人信息處理者應當重新開展個人信息保護影響評估，補充或者重新訂立標準合同，并履行相應備案手續：1.向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發生變化，或者延長個人信息境外保存期限的；2.境外接收方所在國家或者地區的個人信息保護政策和法規發生變化等可能影響個人信息權益的；3.可能影響個人信息權益的其他情形。個人信息處理者在標準合同有效期內補充訂立標準合同的，應當向所在地省級網信辦提交補充材料；重新訂立標準合同的，應當重新備案。補充或者重新備案的材料查驗時間為 15 個工作日。

44、個人信息處理者對所提交材料的真實性負責，提交虛假材料的，注銷備案編號，并依法追究相應法律責任。數據出境安全合規白皮書快頁信息技術有限公司第 21 頁圖 4 個人信息出境標準合同備案流程 4.44.4 咨詢咨詢、舉報聯系方式、舉報聯系方式聯系電話：010-55627565 電子郵箱： 4.54.5 附件附件見附件 B：B.1.個人信息出境標準合同備案材料要求 B.2.經辦人授權委托書（模板）B.3.承諾書（模板）B.4.個人信息出境標準合同（范本）B.5.個人信息保護影響評估報告（模板）數據出境安全合規白皮書快頁信息技術有限公司第 22 頁 5 5 個人信息保護認證指南個人信息保護

45、認證指南 2022 年 11 月 18 日，網信辦發布個人信息保護認證實施規則，同時，國家市場監督管理總局、國家互聯網信息辦公室聯合發布了關于實施個人信息保護認證的公告。5.15.1 適用范圍適用范圍本規則依據中華人民共和國認證認可條例制定，規定了對個人信息處理者開展個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動進行認證的基本原則和要求。5.25.2 認證依據認證依據個人信息處理者應當符合 GB/T 35273 信息安全技術個人信息安全規范的要求。對于開展跨境處理活動的個人信息處理者，還應當符合 TC260-PG-20222A 個人信息跨境處理活動安全認證規

46、范的要求。上述標準、規范原則上應當執行最新版本。5.35.3 認證模式認證模式個人信息保護認證的認證模式為：技術驗證+現場審核+獲證后監督 5.45.4 認證認證實施程序實施程序（1 1）認證委托認證委托認證機構應當明確認證委托資料要求，包括但不限于認證委托人基本材料、認證委托書、相關證明文檔等。認證委托人應當按認證機構要求提交認證委托資料，認證機構在對認證委托資料審查后及時反饋是否受理。認證機構應當根據認證委托資料確定認證方案，包括個人信息類型和數量、涉及的個人信息處理活動范圍、技術驗證機構信息等，并通知認證委托人。（2 2）技術驗證技術驗證技術驗證機構應當按照認證方案實施技術驗證，

47、并向認證機構和認證委托人出具技術驗證報告。（3 3）現場審核現場審核認證機構實施現場審核，并向認證委托人出具現場審核報告。數據出境安全合規白皮書快頁信息技術有限公司第 23 頁（4 4）認證結果評價和批準認證結果評價和批準認證機構根據認證委托資料、技術驗證報告、現場審核報告和其他相關資料信息進行綜合評價，作出認證決定。對符合認證要求的，頒發認證證書；對暫不符合認證要求的，可要求認證委托人限期整改，整改后仍不符合的，以書面形式通知認證委托人終止認證。如發現認證委托人、個人信息處理者存在欺騙、隱瞞信息、故意違反認證要求等嚴重影響認證實施的行為時，認證不予通過。（5 5）獲證后監督獲證后監

48、督 1)監督的頻次認證機構應當在認證有效期內，對獲得認證的個人信息處理者進行持續監督，并合理確定監督頻次。2)監督的內容認證機構應當采取適當的方式實施獲證后監督，確保獲得認證的個人信息處理者持續符合認證要求。3)獲證后監督結果的評價認證機構對獲證后監督結論和其他相關資料信息進行綜合評價，評價通過的，可繼續保持認證證書；不通過的，認證機構應當根據相應情形作出暫停直至撤銷認證證書的處理。（6 6）認證時認證時限限認證機構應當對認證各環節的時限作出明確規定，并確保相關工作按時限要求完成。認證委托人應當對認證活動予以積極配合。5.55.5 認證證書和認證標志認證證書和認證標志（1 1）認證證

49、書認證證書 1)認證證書的保持認證證書有效期為 3 年。在有效期內，通過認證機構的獲證后監督，保持認證證書的有效性。證書到期需延續使用的，認證委托人應當在有效期屆滿前 6 個月內提出認證委托。認證機構應當采用獲證后監督的方式，對符合認證要求的委托換發新證書。2)認證證書的變更認證證書有效期內，若獲得認證的個人信息處理者名稱、注冊地址，或認證要求、數據出境安全合規白皮書快頁信息技術有限公司第 24 頁認證范圍等發生變化時，認證委托人應當向認證機構提出變更委托。認證機構根據變更的內容，對變更委托資料進行評價，確定是否可以批準變更。如需進行技術驗證和/或現場審核，還應當在批準變更前進行技

50、術驗證和/或現場審核。3)認證證書的注銷、暫停和撤銷當獲得認證的個人信息處理者不再符合認證要求時，認證機構應當及時對認證證書予以暫停直至撤銷。認證委托人在認證證書有效期內可申請認證證書暫停、注銷。4)認證證書的公布認證機構應當采用適當方式對外公布認證證書頒發、變更、暫停、注銷和撤銷等相關信息。（2 2）5.2 5.2 認證標志認證標志不含跨境處理活動的個人信息保護認證標志如下：包含跨境處理活動的個人信息保護認證標志如下：“ABCD”代表認證機構識別信息。（3 3）5.3 5.3 認證證書和認證標志的使用認證證書和認證標志的使用在認證證書有效期內，獲得認證的個人信息處理者應當按照有關規定

51、在廣告等宣傳中正確使用認證證書和認證標志，不得對公眾產生誤導。5.65.6 認證實施細則認證實施細則認證機構應當依據本規則有關要求，細化認證實施程序，制定科學、合理、可操作數據出境安全合規白皮書快頁信息技術有限公司第 25 頁的認證實施細則，并對外公布實施。5.75.7 認證責任認證責任認證機構應當對現場審核結論、認證結論負責。技術驗證機構應當對技術驗證結論負責。認證委托人應當對認證委托資料的真實性、合法性負責。5.85.8 咨詢聯系方式咨詢聯系方式聯系電話：010-82261100 聯系郵箱： 5.95.9 附件附件見附件 C：個人信息保護認證申請書數據出境安全合規白皮書快

52、頁信息技術有限公司第 26 頁 6 6 數據出境安全合規申報案例數據出境安全合規申報案例截止目前，通過公開渠道查詢到，成功通過數據出境申報（國家網信部門的“審批”或“備案”）的企業有 29 家，與國家網信辦和各地省級網信辦已受理的千余件申報相比，數據出境申報通過率僅為百分之一。表 6 成功通過數據出境申報企業名單數據出境安全合規白皮書快頁信息技術有限公司第 27 頁 6.16.1 數據出境安全評估申報案例數據出境安全評估申報案例首都醫科大學附屬北京友誼醫院與荷蘭阿姆斯特丹大學醫學中心合作研究項目成為全國首個數據合規出境案例。北京現代汽車有限公司的數據出境申報進行全系統盤點、全業務申

53、報，且全場景獲批，成為我國汽車領域首個通過國家互聯網辦公室的審批的數據出境安全評估項目。焦點科技股份有限公司的“中國制造網外貿電商平臺業務”通過國家網信辦數據出境安全評估，成為跨境電商領域全國首個數據合規出境案例。馬自達（中國）企業管理有限公司、絲芙蘭（上海）化妝品銷售有限公司是上海首批通過數據出境安全評估的兩家企業。杭州?？低晹底旨夹g股份有限公司、杭州螢石網絡股份有限公司是浙江省首批通過國家網信辦數據出境安全評估的企業。6.26.2 個人信息出境標準合同備案案例個人信息出境標準合同備案案例北京德億信數據有限公司與香港諾華誠信有限公司簽訂的個人信息出境標準合同已通過北京市網信辦組織的備案審

54、核，備案號為“京合同備 202300001”，成為國內首家通過訂立標準合同實現個人信息合規出境的企業。偉創力技術（長沙）有限公司提交的兩份個人信息出境標準合同通過了湖南省互聯網信息辦公室組織的備案審核，成為湖南省首家通過訂立標準合同實現個人信息合規出境的企業。6.36.3 個人信息保護認證案例個人信息保護認證案例中國網絡安全審查技術與認證中心向珠海澳科大科技研究院、支付寶（中國）網絡技術有限公司、北京華品博睿網絡技術有限公司、京東科技信息技術有限公司等 5 家企業頒發了我國首批個人信息保護認證證書。數據出境安全合規白皮書快頁信息技術有限公司第 28 頁附錄附錄 A A 數據出境安全評估

55、申報附件數據出境安全評估申報附件附件 A.1 數據出境安全評估申報材料要求序號材料名稱要求備注 1 統一社會信用代碼證件影印件加蓋公章 2 法定代表人身份證件影印件加蓋公章 3 經辦人身份證件影印件加蓋公章 4 經辦人授權委托書 5 數據出境安全評估申報書 5.1 承諾書 5.2 數據出境安全評估申報表使用中文填寫 6 與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件對數據出境相關約定條款作高亮、線框等顯著標識。法律文件以中文版本為準，若僅有非中文版本，須同步提交準確的中文譯本。7 數據出境風險自評估報告使用中文撰寫 8 其他相關證明材料注：采用線下方式提

56、交申報材料的數據處理者，需同步通過光盤提交相應電子版材料。數據出境安全合規白皮書快頁信息技術有限公司第 29 頁附件 A.2 經辦人授權委托書本人姓名（身份證件號碼：）系數據處理者名稱的法定代表人，現授權我單位姓名（身份證件號碼：）為數據出境安全評估申報工作經辦人。經辦人代表我單位進行數據出境安全評估申報工作過程中的一切行為，包括所簽署和上傳的資料，我單位均予以承認，并將承擔相應的法律責任。授權委托期限：年月日至年月日經辦人無轉委托權。單位名稱（蓋章）：法定代表人（簽字）：經辦人（簽字）：年月日數據出境安全合規白皮書快頁信息技術有限公司第 30 頁附

57、件 A.3 數據出境安全評估申報書（模板）填寫說明：一、由數據處理者法定代表人或其授權的數據出境安全評估申報工作經辦人填寫。二、有選擇的地方請勾選左側“”符號，有橫線的部分應當填寫相關信息。三、承諾書和申報表嚴格按照模板填寫。申報表必須使用中文填寫，字體四號“仿宋”，數字、字母統一使用四號“Times New Roman”字體，行距固定值 16 磅，段落首行縮進 2 字符。頁面設置：A4 紙，上下頁邊距為 2.54cm，左右頁邊距為 3.18cm。四、所涉及的用語，可參考中華人民共和國網絡安全法、中華人民共和國數據安全法、中華人民共和國個人信息保護法、數據出境安全評估辦法和促進和規范數據跨境流

58、動規定等法律法規和部門規章。五、由國家互聯網信息辦公室制定并負責解釋。數據出境安全合規白皮書快頁信息技術有限公司第 31 頁一、承諾書本單位鄭重承諾：一、申報出境數據的收集、使用符合中華人民共和國有關法律法規規定；二、申報材料所有內容真實、完整、準確和有效；三、為國家網信辦組織實施的數據出境安全評估工作提供必要的配合和支持；四、自評估工作為申報之日前 3 個月內完成，且至申報之日未發生重大變化。本單位知曉并充分理解上述承諾內容，若承諾不實或者違背承諾，愿意承擔相應法律責任。法定代表人（簽字）：單位（蓋章）：年月日數據出境安全合規白皮書快頁信息技術有限公司第 32 頁二、

59、數據出境安全評估申報表 1 數據處理者情況單位名稱單位性質政府部門事業單位企業社會組織其他單位類型內資外資中外合資港澳臺資其他單位注冊地辦公所在地員工數量統一社會信用代碼是否為關鍵信息基礎設施運營者是否處理個人信息規模按自然人（去重）統計數量 2 法定代表人信息姓名職務/國籍聯系電話電子郵箱證件類型居民身份證護照臺灣居民來往大陸通行證港澳居民來往內地通行證其他證件號碼 3 數據安全負責人和管姓名職務/國籍聯系電話電子郵箱數據出境安全合規白皮書快頁信息技術有限公司第 33 頁理機構信息證件類型居民身份證護照

60、臺灣居民來往大陸通行證港澳居民來往內地通行證其他證件號碼管理機構名稱管理機構人數 4 經辦人信息姓名職務/國籍聯系電話電子郵箱證件類型居民身份證護照臺灣居民來往大陸通行證港澳居民來往內地通行證其他證件號碼 5 數據處理者遵守中國法律、行政法規、部門規章情況簡述近2年在業務經營活動中受到行政處罰和有關主管監管部門調查及整改情況，重點說明數據和網絡安全方面相關情況 6 數據出境場景 1 出境場景簡述據實填寫此次申報的數據出境場景業務、數據出境目的、數據出境方式等，應與法律文件中涉及業務名稱一致，不超過100字（數據出境方式參考：公共互聯網傳輸、數據出境安全

61、合規白皮書快頁信息技術有限公司第 34 頁跨境專線傳輸、公共互聯網遠程訪問、跨境專線遠程訪問等）擬出境數據情況數據類型重要數據重要數據認定主管部門名稱個人信息是否包含敏感個人信息是否涉及行業/領域工業電信交通金融自然資源衛生健康教育科技能源國防科工文旅跨境電商零售互聯網其他涉及自然人（去重）數量包括當年已出境數量、未來三年出境數量以及兩者的關系涉及重要數據規模 MB/GB/TB 境外接收方情況境外接收方名稱所在國家或者地區所在地址主營業務數據出境安全合規白皮書快頁信息技術有限公司第 35 頁負責人姓名負責人

62、職務聯系方式電話：郵箱：統計說明：（如需）6 數據出境場景 2 出境場景簡述據實填寫此次申報的數據出境場景業務、數據出境目的、數據出境方式等，應與法律文件中涉及業務名稱一致，不超過100字（數據出境方式參考：公共互聯網傳輸、跨境專線傳輸、公共互聯網遠程訪問、跨境專線遠程訪問等）擬出境數據情況數據類型重要數據重要數據認定主管部門名稱個人信息是否包含敏感個人信息是否涉及行業/領域工業電信交通金融自然資源衛生健康教育科技能源國防科工文旅跨境電商零售互聯網其他涉及自然人（去重）數量包括當年已出境數量、未來三年出境涉及重要數據規模 MB/GB

63、/TB 數據出境安全合規白皮書快頁信息技術有限公司第 36 頁數量以及兩者的關系境外接收方情況境外接收方名稱所在國家或者地區所在地址主營業務負責人姓名負責人職務聯系方式電話：郵箱：統計說明：（如需）6 數據出境場景 3.注：1.其他申報材料內容應與申報表內容保持一致。2.申報表第 6 項應按場景分項描述，可根據實際申報的出境場景數量增加申報表第 6 項。出境個人信息涉及自然人范圍一致的場景應當合并。3.境外接收方數量眾多、范圍不確定、無法逐一列舉的，申報表第 6 項境外接收方情況可填寫統計數據。數據出境安全合規白皮書快頁信息技術有限公司第 37 頁附件

64、 A.4 數據出境風險自評估報告（模板）數據處理者名稱：（蓋章）年月日數據出境安全合規白皮書快頁信息技術有限公司第 38 頁說明：（一）數據處理者申報數據出境安全評估時需提供自評估報告，并對所提交的自評估報告及附件材料真實性負責；（二）報告所述自評估活動為本次申報前 3 個月內完成；（三）如有第三方機構參與自評估，須在自評估報告中說明第三方機構的基本情況及參與評估的情況；（四）自評估報告嚴格按照模板撰寫。自評估報告必須使用中文撰寫，正文字體四號“仿宋”（其中，正文一級標題黑體、二級標題楷體加黑、三級標題仿宋加黑），數字、字母使用四號“Times New Roman”字體，行距固定值

65、 26 磅，段落首行縮進 2 字符。頁面設置：A4 紙，上下頁邊距為 2.54cm，左右頁邊距為 3.18cm。一、自評估工作情況簡要概述自評估工作開展情況，包括起止時間、組織情況、實施過程、實施方式等內容。二、出境活動整體情況簡要說明數據處理者基本情況、數據處理者安全保障能力情況、境外接收方情況、法律文件約定情況等，詳細說明擬出境數據情況。包括不限于：（一）數據處理者基本情況 1.基本情況簡介，包括股權結構、實際控制人、境內外投資情況等；2.組織架構和數據安全管理機構信息；3.整體業務與數據資產情況。（二）擬出境數據情況 1.數據出境涉及業務、數據資產等情況；2.數據出境及境外接收方處理

66、數據的目的、范圍、方式，及其合法性、正當性、必數據出境安全合規白皮書快頁信息技術有限公司第 39 頁要性；3.按照申報業務場景梳理對應的出境數據項情況，以列表形式呈現數據項清單并逐一說明（如下表所示），同一場景下的數據項需去重；序號數據項名稱內容描述出境必要性示例備注 1 2 .4.擬出境數據在境內存儲的系統平臺、數據中心（包含云服務）等情況，數據出境鏈路相關情況，計劃出境后存儲的系統平臺、數據中心等；5.數據出境后向境外其他接收方提供的情況；6.涉及個人信息的，按照自然人（去重）統計當年的出境數量，預估未來 3 年的出境數量。（三）數據處理者數據安全保障能力情況 1.數據安全

67、管理能力，包括管理組織體系和制度建設情況，全流程管理、分類分級、應急處置、風險評估、個人信息權益保護等制度及落實情況；（涉及個人信息出境的，需提供履行個人信息保護法第三十九條規定的情況說明及佐證材料，包括告知義務和取得個人的單獨同意等，若屬于個人信息保護法第十三條第一款第二項至第七項規定情形的，不需取得個人同意）2.數據安全技術能力，包括數據收集、存儲、使用、加工、傳輸、提供、公開、刪除等全流程所采取的安全技術措施等；3.數據安全保障措施有效性證明，例如開展的數據安全風險評估、數據安全認證、數據安全檢查測評、數據安全合規審計、網絡安全等級保護測評等情況；4.遵守數據和網絡安全相關法律法規的情況

68、。數據出境安全合規白皮書快頁信息技術有限公司第 40 頁（如涉及受到行政處罰和監管整改的，可以提供證明整改完成的相關佐證材料）（四）境外接收方情況 1.境外接收方基本情況；2.境外接收方處理數據的用途、方式等；3.境外接收方履行責任義務的管理和技術措施、能力等。（五）法律文件約定數據安全保護責任義務的情況 1.數據出境的目的、方式和數據范圍，境外接收方處理數據的用途、方式等；2.數據在境外保存地點、期限，以及達到保存期限、完成約定目的或者法律文件終止后出境數據的處理措施；3.對于境外接收方將出境數據再轉移給其他組織、個人的約束性要求；4.境外接收方在實際控制權或者經營范圍發生實質性變化，

69、或者所在國家、地區數據安全保護政策法規和網絡安全環境發生變化，以及發生其他不可抗力情形，導致難以保障數據安全時，應當采取的安全措施；5.違反法律文件約定的數據安全保護義務的補救措施、違約責任和爭議解決方式；6.出境數據遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用時，妥善開展應急處置的要求和保障個人維護其個人信息權益的途徑和方式。（六）數據處理者認為需要說明的其他情況三、出境活動的風險自評估情況及結論對照數據出境安全評估辦法第五條規定事項，說明數據出境風險自評估情況，重點說明自評估發現的問題和整改情況。綜合風險自評估情況和相應整改情況，對擬申報的數據出境活動作出客觀的風險自評估結

70、論，充分說明得出自評估結論的理由。數據出境安全合規白皮書快頁信息技術有限公司第 41 頁附錄附錄 B B 個人信息出境標準合同備案附件個人信息出境標準合同備案附件附件 B.1 個人信息出境標準合同備案材料要求個人信息出境標準合同備案材料要求序號材料名稱要求 1 統一社會信用代碼證件影印件加蓋公章 2 法定代表人身份證件影印件加蓋公章 3 經辦人身份證件影印件加蓋公章 4 經辦人授權委托書 5 承諾書 6 個人信息出境標準合同 7 個人信息保護影響評估報告使用中文撰寫數據出境安全合規白皮書快頁信息技術有限公司第 42 頁附件 B.2 經辦人授權委托書（模板）本人姓

71、名（身份證件號碼：）系個人信息處理者名稱的法定代表人，現授權我單位姓名（身份證件號碼：）為個人信息出境標準合同備案經辦人。經辦人代表我單位進行個人信息出境標準合同備案過程中的一切行為，包括所簽署和上傳的資料，我單位均予以承認，并將承擔相應的法律責任。授權委托期限：年月日至年月日經辦人無轉委托權。單位名稱（蓋章）：法定代表人（簽字）：經辦人（簽字）：年月日數據出境安全合規白皮書快頁信息技術有限公司第 43 頁附件 B.3 承諾書（模板）本單位鄭重承諾：一、出境個人信息的收集、使用符合中華人民共和國有關法律法規規定；二、備案材料所有內容真實、完整、準確和有效；

72、三、未采取數量拆分等手段，將依法應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供；四、為國家網信辦組織實施的個人信息出境標準合同備案工作提供必要的配合和支持；五、個人信息保護影響評估工作為備案之日前 3 個月內完成，且至備案之日未發生重大變化。本單位知曉并充分理解上述承諾內容，若承諾不實或者違背承諾，愿意承擔相應法律責任。法定代表人（簽字）：單位（蓋章）：年月日數據出境安全合規白皮書快頁信息技術有限公司第 44 頁附件 B.4 個人信息出境標準合同國家互聯網信息辦公室制定數據出境安全合規白皮書快頁信息技術有限公司第 45 頁為了確保境外接收方處理個人信息的

73、活動達到中華人民共和國相關法律法規規定的個人信息保護標準，明確個人信息處理者和境外接收方個人信息保護的權利和義務，經雙方協商一致，訂立本合同。個人信息處理者：地址：聯系方式：聯系人：職務：境外接收方：地址：聯系方式：聯系人：職務：數據出境安全合規白皮書快頁信息技術有限公司第 46 頁個人信息處理者與境外接收方依據本合同約定開展個人信息出境活動，與此活動相關的商業行為，雙方【已】/【約定】于年月日訂立（商業合同，如有）。本合同正文根據個人信息出境標準合同辦法的要求擬定，在不與本合同正文內容相沖突的前提下，雙方如有其他約定可在附錄二中詳述，附錄構成本合同的組成部分。第一條第一條定義

74、定義在本合同中，除上下文另有規定外：（一）“個人信息處理者”是指在個人信息處理活動中自主決定處理目的、處理方式的，向中華人民共和國境外提供個人信息的組織、個人。（二）“境外接收方”是指在中華人民共和國境外自個人信息處理者處接收個人信息的組織、個人。（三）個人信息處理者或者境外接收方單稱“一方”，合稱“雙方”。（四）“個人信息主體”是指個人信息所識別或者關聯的自然人。（五）“個人信息”是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。（六）“敏感個人信息”是指一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息

75、，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。（七）“監管機構”是指中華人民共和國省級以上網信部門。（八）“相關法律法規”是指中華人民共和國網絡安全法中華人民共和國數據安全法中華人民共和國個人信息保護法中華人民共和國民法典中華人民共和國民事訴訟法個人信息出境標準合同辦法等中華人民共和國法律法規。（九）本合同其他未定義術語的含義與相關法律法規規定的含義一致。第二條第二條個人信息處理者的義務個人信息處理者的義務個人信息處理者應當履行下列義務：（一）按照相關法律法規規定處理個人信息，向境外提供的個人信息僅限于實現處理目的所需的最小范圍

76、。（二）向個人信息主體告知境外接收方的名稱或者姓名、聯系方式、附錄一“個人信息出境說明”中處理目的、處理方式、個人信息的種類、保存期限，以及行使個人信息主體權利的方式和程序等事項。向境外提供敏感個人信息的，還應當向個人信息主體告知提供敏感個人信息的必要性以及對個人權益的影響。但是法律、行政法規規定不需數據出境安全合規白皮書快頁信息技術有限公司第 47 頁要告知的除外。（三）基于個人同意向境外提供個人信息的，應當取得個人信息主體的單獨同意。涉及不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監護人的單獨同意。法律、行政法規規定應當取得書面同意的，應當取得書面同意。（四）向個人

77、信息主體告知其與境外接收方通過本合同約定個人信息主體為第三方受益人，如個人信息主體未在 30 日內明確拒絕，則可以依據本合同享有第三方受益人的權利。（五）盡合理地努力確保境外接收方采取如下技術和管理措施（綜合考慮個人信息處理目的、個人信息的種類、規模、范圍及敏感程度、傳輸的數量和頻率、個人信息傳輸及境外接收方的保存期限等可能帶來的個人信息安全風險），以履行本合同約定的義務：（如加密、匿名化、去標識化、訪問控制等技術和管理措施）（六）根據境外接收方的要求向境外接收方提供相關法律規定和技術標準的副本。（七）答復監管機構關于境外接收方的個人信息處理活動的詢問。（八）按照相關法律法規對擬向境外接收方提

78、供個人信息的活動開展個人信息保護影響評估。重點評估以下內容：1.個人信息處理者和境外接收方處理個人信息的目的、范圍、方式等的合法性、正當性、必要性。2.出境個人信息的規模、范圍、種類、敏感程度，個人信息出境可能對個人信息權益帶來的風險。3.境外接收方承諾承擔的義務，以及履行義務的管理和技術措施、能力等能否保障出境個人信息的安全。4.個人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風險，個人信息權益維護的渠道是否通暢等。5.按照本合同第四條評估當地個人信息保護政策和法規對合同履行的影響。6.其他可能影響個人信息出境安全的事項。保存個人信息保護影響評估報告至少 3 年。（九）根據個人信息主體

79、的要求向個人信息主體提供本合同的副本。如涉及商業秘密或者保密商務信息，在不影響個人信息主體理解的前提下，可對本合同副本相關內容進行適當處理。數據出境安全合規白皮書快頁信息技術有限公司第 48 頁（十）對本合同義務的履行承擔舉證責任。（十一）根據相關法律法規要求，向監管機構提供本合同第三條第十一項所述的信息，包括所有合規審計結果。第三條第三條境外接收方的義務境外接收方的義務境外接收方應當履行下列義務：（一）按照附錄一“個人信息出境說明”所列約定處理個人信息。如超出約定的處理目的、處理方式和處理的個人信息種類，基于個人同意處理個人信息的，應當事先取得個人信息主體的單獨同意；涉及不滿十四周

80、歲未成年人個人信息的，應當取得未成年人的父母或者其他監護人的單獨同意。（二）受個人信息處理者委托處理個人信息的，應當按照與個人信息處理者的約定處理個人信息，不得超出與個人信息處理者約定的處理目的、處理方式等處理個人信息。（三）根據個人信息主體的要求向個人信息主體提供本合同的副本。如涉及商業秘密或者保密商務信息，在不影響個人信息主體理解的前提下，可對本合同副本相關內容進行適當處理。（四）采取對個人權益影響最小的方式處理個人信息。（五）個人信息的保存期限為實現處理目的所必要的最短時間，保存期限屆滿的，應當刪除個人信息（包括所有備份）。受個人信息處理者委托處理個人信息，委托合同未生效、無效、被撤銷或

81、者終止的，應當將個人信息返還個人信息處理者或者予以刪除，并向個人信息處理者提供書面說明。刪除個人信息從技術上難以實現的，應當停止除存儲和采取必要的安全保護措施之外的處理。（六）按下列方式保障個人信息處理安全：1.采取包括但不限于本合同第二條第五項的技術和管理措施，并定期進行檢查，確保個人信息安全。2.確保授權處理個人信息的人員履行保密義務，并建立最小授權的訪問控制權限。（七）如處理的個人信息發生或者可能發生篡改、破壞、泄露、丟失、非法利用、未經授權提供或者訪問，應當開展下列工作：1.及時采取適當補救措施，減輕對個人信息主體造成的不利影響。2.立即通知個人信息處理者，并根據相關法律法規要求報告監

82、管機構。通知應當包含下列事項：（1）發生或者可能發生篡改、破壞、泄露、丟失、非法利用、未經授權提供或者訪數據出境安全合規白皮書快頁信息技術有限公司第 49 頁問的個人信息種類、原因和可能造成的危害。（2）已采取的補救措施。（3）個人信息主體可以采取的減輕危害的措施。（4）負責處理相關情況的負責人或者負責團隊的聯系方式。3.相關法律法規要求通知個人信息主體的，通知的內容包含本項第 2 目的事項。受個人信息處理者委托處理個人信息的，由個人信息處理者通知個人信息主體。4.記錄并留存所有與發生或者可能發生篡改、破壞、泄露、丟失、非法利用、未經授權提供或者訪問有關的情況，包括采取的所有補救措施。（

83、八）同時符合下列條件的，方可向中華人民共和國境外的第三方提供個人信息：1.確有業務需要。2.已告知個人信息主體該第三方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息種類、保存期限以及行使個人信息主體權利的方式和程序等事項。向第三方提供敏感個人信息的，還應當向個人信息主體告知提供敏感個人信息的必要性以及對個人權益的影響。但是法律、行政法規規定不需要告知的除外。3.基于個人同意處理個人信息的，應當取得個人信息主體的單獨同意。涉及不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監護人的單獨同意。法律、行政法規規定應當取得書面同意的，應當取得書面同意。4.與第三方達成書面協議，確

84、保第三方的個人信息處理活動達到中華人民共和國相關法律法規規定的個人信息保護標準，并承擔因向中華人民共和國境外的第三方提供個人信息而侵害個人信息主體享有權利的法律責任。5.根據個人信息主體的要求向個人信息主體提供該書面協議的副本。如涉及商業秘密或者保密商務信息，在不影響個人信息主體理解的前提下，可對該書面協議相關內容進行適當處理。（九）受個人信息處理者委托處理個人信息，轉委托第三方處理的，應當事先征得個人信息處理者同意，要求該第三方不得超出本合同附錄一“個人信息出境說明”中約定的處理目的、處理方式等處理個人信息，并對該第三方的個人信息處理活動進行監督。（十）利用個人信息進行自動化決策的，應當保證

85、決策的透明度和結果公平、公正，不得對個人信息主體在交易價格等交易條件上實行不合理的差別待遇。通過自動化決策方式向個人信息主體進行信息推送、商業營銷的，應當同時提供不針對其個人特征的選項，或者向個人信息主體提供便捷的拒絕方式。數據出境安全合規白皮書快頁信息技術有限公司第 50 頁（十一）承諾向個人信息處理者提供已遵守本合同義務所需的必要信息，允許個人信息處理者對必要數據文件和文檔進行查閱，或者對本合同涵蓋的處理活動進行合規審計，并為個人信息處理者開展合規審計提供便利。（十二）對開展的個人信息處理活動進行客觀記錄，保存記錄至少 3 年，并按照相關法律法規要求直接或者通過個人信息處理者向監管機

86、構提供相關記錄文件。（十三）同意在監督本合同實施的相關程序中接受監管機構的監督管理，包括但不限于答復監管機構詢問、配合監管機構檢查、服從監管機構采取的措施或者作出的決定、提供已采取必要行動的書面證明等。第四條第四條境外接收方所在國家或者地區個人信息保護政策和法規對合同履行的影響境外接收方所在國家或者地區個人信息保護政策和法規對合同履行的影響（一）雙方應當保證在本合同訂立時已盡到合理注意義務，未發現境外接收方所在國家或者地區的個人信息保護政策和法規（包括任何提供個人信息的要求或者授權公共機關訪問個人信息的規定）影響境外接收方履行本合同約定的義務。（二）雙方聲明，在作出本條第一項的保證時，已經

87、結合下列情形進行評估：1.出境的具體情況，包括個人信息處理目的、傳輸個人信息的種類、規模、范圍及敏感程度、傳輸的規模和頻率、個人信息傳輸及境外接收方的保存期限、境外接收方此前類似的個人信息跨境傳輸和處理相關經驗、境外接收方是否曾發生個人信息安全相關事件及是否進行了及時有效地處置、境外接收方是否曾收到其所在國家或者地區公共機關要求其提供個人信息的請求及境外接收方應對的情況。2.境外接收方所在國家或者地區的個人信息保護政策和法規，包括下列要素：（1）該國家或者地區現行的個人信息保護法律法規及普遍適用的標準。（2）該國家或者地區加入的區域性或者全球性的個人信息保護方面的組織，以及所作出的具有約束力的

88、國際承諾。（3）該國家或者地區落實個人信息保護的機制，如是否具備個人信息保護的監督執法機構和相關司法機構等。3.境外接收方安全管理制度和技術手段保障能力。（三）境外接收方保證，在根據本條第二項進行評估時，已盡最大努力為個人信息處理者提供了必要的相關信息。（四）雙方應當記錄根據本條第二項進行評估的過程和結果。因境外接收方所在國家或者地區的個人信息保護政策和法規發生變化（包括境外接收方所在國家或者地區更改法律，或者采取強制性措施）導致境外接收方無法履行本合數據出境安全合規白皮書快頁信息技術有限公司第 51 頁同的，境外接收方應當在知道該變化后立即通知個人信息處理者。境外接收方接到所在國家或者

89、地區的政府部門、司法機構關于提供本合同項下的個人信息要求的，應當立即通知個人信息處理者。第五條第五條個人信息主體的權利個人信息主體的權利雙方約定個人信息主體作為本合同第三方受益人享有以下權利：（一）個人信息主體依據相關法律法規，對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理，有權要求查閱、復制、更正、補充、刪除其個人信息，有權要求對其個人信息處理規則進行解釋說明。（二）當個人信息主體要求對已經出境的個人信息行使上述權利時，個人信息主體可以請求個人信息處理者采取適當措施實現，或者直接向境外接收方提出請求。個人信息處理者無法實現的，應當通知并要求境外接收方協助實

90、現。（三）境外接收方應當按照個人信息處理者的通知，或者根據個人信息主體的請求，在合理期限內實現個人信息主體依照相關法律法規所享有的權利。境外接收方應當以顯著的方式、清晰易懂的語言真實、準確、完整地告知個人信息主體相關信息。境外接收方拒絕個人信息主體的請求的，應當告知個人信息主體其拒絕的原因，以及個人信息主體向相關監管機構提出投訴和尋求司法救濟的途徑。（五）個人信息主體作為本合同第三方受益人有權根據本合同條款向個人信息處理者和境外接收方的一方或者雙方主張并要求履行本合同項下與個人信息主體權利相關的下列條款：1.第二條，但第二條第五項、第六項、第七項、第十一項除外。2.第三條，但第三條第七項第 2

91、目和第 4 目、第九項、第十一項、第十二項、第十三項除外。3.第四條，但第四條第五項、第六項除外。4.第五條。5.第六條。6.第八條第二項、第三項。7.第九條第五項。上述約定不影響個人信息主體依據中華人民共和國個人信息保護法享有的權益。第六條第六條救濟救濟數據出境安全合規白皮書快頁信息技術有限公司第 52 頁（一）境外接收方應當確定一個聯系人，授權其答復有關個人信息處理的詢問或者投訴，并應當及時處理個人信息主體的詢問或者投訴。境外接收方應當將聯系人信息告知個人信息處理者，并以簡潔易懂的方式，通過單獨通知或者在其網站公告，告知個人信息主體該聯系人信息，具體為：聯系人及聯系方式（辦

92、公電話或電子郵箱）一方因履行本合同與個人信息主體發生爭議的，應當通知另一方，雙方應當合作解決爭議。（三）爭議未能友好解決，個人信息主體根據第五條行使第三方受益人的權利的，境外接收方接受個人信息主體通過下列形式維護權利：1.向監管機構投訴。2.向本條第五項約定的法院提起訴訟。（四）雙方同意個人信息主體就本合同爭議行使第三方受益人權利，個人信息主體選擇適用中華人民共和國相關法律法規的，從其選擇。（五）雙方同意個人信息主體就本合同爭議行使第三方受益人權利的，個人信息主體可以依據中華人民共和國民事訴訟法向有管轄權的人民法院提起訴訟。（六）雙方同意個人信息主體所作的維權選擇不會減損個人信息主體根據其他法

93、律法規尋求救濟的權利。第七條第七條合同解除合同解除（一）境外接收方違反本合同約定的義務，或者境外接收方所在國家或者地區的個人信息保護政策和法規發生變化（包括境外接收方所在國家或者地區更改法律，或者采取強制性措施）導致境外接收方無法履行本合同的，個人信息處理者可以暫停向境外接收方提供個人信息，直到違約行為被改正或者合同被解除。（二）有下列情形之一的，個人信息處理者有權解除本合同，并在必要時通知監管機構：1.個人信息處理者根據本條第一項的規定暫停向境外接收方提供個人信息的時間超過 1 個月。2.境外接收方遵守本合同將違反其所在國家或者地區的法律規定。3.境外接收方嚴重或者持續違反本合同約定的義

94、務。4.根據境外接收方的主管法院或者監管機構作出的終局決定，境外接收方或者個人信息處理者違反了本合同約定的義務。數據出境安全合規白皮書快頁信息技術有限公司第 53 頁在本項第 1 目、第 2 目、第 4 目的情況下，境外接收方可以解除本合同。（三）經雙方同意解除本合同的，合同解除不免除其在個人信息處理過程中的個人信息保護義務。（四）合同解除時，境外接收方應當及時返還或者刪除其根據本合同所接收到的個人信息（包括所有備份），并向個人信息處理者提供書面說明。刪除個人信息從技術上難以實現的，應當停止除存儲和采取必要的安全保護措施之外的處理。第八條第八條違約責任違約責任（一）雙方應就其違反本合

95、同而給對方造成的損失承擔責任。（二）任何一方因違反本合同而侵害個人信息主體享有的權利，應當對個人信息主體承擔民事法律責任，且不影響相關法律法規規定個人信息處理者應當承擔的行政、刑事等法律責任。（三）雙方依法承擔連帶責任的，個人信息主體有權請求任何一方或者雙方承擔責任。一方承擔的責任超過其應當承擔的責任份額時，有權向另一方追償。第九條第九條其他其他（一）如本合同與雙方訂立的任何其他法律文件發生沖突，本合同的條款優先適用。（二）本合同的成立、效力、履行、解釋、因本合同引起的雙方間的任何爭議，適用中華人民共和國相關法律法規。（三）發出的通知應當以電子郵件、電報、電傳、傳真（以航空信件寄送確認副本

96、）或者航空掛號信發往（具體地址）或者書面通知取代該地址的其它地址。如以航空掛號信寄出本合同項下的通知，在郵戳日期后的天應當視為收訖；如以電子郵件、電報、電傳或者傳真發出，在發出以后的個工作日應當視為收訖。（四）雙方因本合同產生的爭議以及任何一方因先行賠償個人信息主體損害賠償責任而向另一方的追償，雙方應當協商解決；協商解決不成的，任何一方可以采取下列第種方式加以解決（如選擇仲裁，請勾選仲裁機構）：1.仲裁。將該爭議提交中國國際經濟貿易仲裁委員會中國海事仲裁委員會北京仲裁委員會（北京國際仲裁中心）上海國際仲裁中心其他承認及執行外國仲裁裁決公約成員的仲裁機構數據出境安全合規白皮書快

97、頁信息技術有限公司第 54 頁按其屆時有效的仲裁規則在（仲裁地點）進行仲裁；2.訴訟。依法向中華人民共和國有管轄權的人民法院提起訴訟。（五）本合同應當按照相關法律法規的規定進行解釋，不得以與相關法律法規規定的權利、義務相抵觸的方式解釋本合同。（六）本合同正本一式份，雙方各執份，其法律效力相同。本合同在（地點）簽訂個人信息處理者：年月日境外接收方：年月日數據出境安全合規白皮書快頁信息技術有限公司第 55 頁附錄一個人信息出境說明根據本合同向境外提供個人信息的詳情約定如下：（一）處理目的：（二）處理方式：（三）出境個人信息的規模：（四）出境個人信息種類（參考 GB/T

98、 35273信息安全技術個人信息安全規范和相關標準）：（五）出境敏感個人信息種類（如適用，參考 GB/T 35273信息安全技術個人信息安全規范和相關標準）：（六）境外接收方只向以下中華人民共和國境外第三方提供個人信息（如適用）：（七）傳輸方式：（八）出境后保存期限：（年月日至年月日）（九）出境后保存地點：（十）其他事項（視情況填寫）：數據出境安全合規白皮書快頁信息技術有限公司第 56 頁附錄二雙方約定的其他條款（如需要）數據出境安全合規白皮書快頁信息技術有限公司第 57 頁附件 B.5 個人信息保護影響評估報告（模板）（出境版）個人信息處理者名稱：（蓋章）年月

99、日數據出境安全合規白皮書快頁信息技術有限公司第 58 頁說明：（一）個人信息處理者備案個人信息出境標準合同時需提供個人信息保護影響評估報告，并對所提交的評估報告真實性負責；（二）報告所述評估工作為本次申報前 3 個月內完成；（三）如有第三方機構參與評估，須在評估報告中說明第三方機構的基本情況及參與評估的情況；（四）評估報告嚴格按照模板撰寫。評估報告必須使用中文撰寫，正文字體四號“仿宋”（其中，正文一級標題黑體、二級標題楷體加黑、三級標題仿宋加黑），數字、字母使用四號“Times New Roman”字體，行距固定值 26 磅，段落首行縮進 2 字符。頁面設置：A4 紙，上下頁邊距為 2

100、.54cm，左右頁邊距為 3.18cm。一、出境活動整體情況（一）個人信息處理者基本情況 1.基本情況簡介，包括股權結構、實際控制人、境內外投資情況、組織架構和個人信息保護機構信息等。2.整體業務與處理個人信息情況。3.擬出境個人信息情況。（1）個人信息出境涉及業務、個人信息收集使用、信息系統等情況；（2）個人信息處理者和境外接收方處理個人信息的目的、范圍、方式，及其合法性、正當性、必要性；（3）出境個人信息的規模、范圍、種類、敏感程度，處理敏感個人信息情況；（4）擬出境個人信息在境內存儲的系統平臺、數據中心等情況，個人信息出境鏈路相關情況，計劃出境后存儲的系統平臺、數據中心等；（5）個人信息

101、出境后向境外其他接收方提供的情況。數據出境安全合規白皮書快頁信息技術有限公司第 59 頁 4.遵守個人信息保護相關法律法規的情況。（二）境外接收方情況 1.境外接收方基本情況；2.境外接收方處理個人信息的用途、方式等；3.境外接收方履行責任義務的管理和技術措施、能力等。（三）個人信息處理者認為需要說明的其他情況二、擬出境活動的影響評估情況及結論對照個人信息出境標準合同辦法第五條規定事項，說明個人信息保護影響評估情況，重點說明評估發現的問題和整改情況。綜合影響評估情況和相應整改情況，對個人信息出境活動作出客觀的影響評估結論，充分說明得出評估結論的理由和論據。數據出境安全合規白皮書快

102、頁信息技術有限公司第 60 頁附錄附錄 C C 個人信息保護認證附件個人信息保護認證附件個人信息保護認證個人信息保護認證申請書申請書申請方名稱（蓋章）：申請方名稱（蓋章）：申請日期：申請日期：中國網絡安全審查技術與認證中心數據出境安全合規白皮書快頁信息技術有限公司第 61 頁填寫說明填寫說明 1、本申請書適用于向中國網絡安全審查技術與認證中心申請個人信息保護認證。2、申請書應使用 A4 型紙打印裝訂，首頁及申請方聲明處加蓋組織公章，同時以電子版方式提交申請書和申請書中要求的相關材料。3、聯系信息聯系電話：010-82261100 聯系郵箱：聯系地址：北京市東城區安定門外大

103、街 56 號樓 5 層（100011）數據出境安全合規白皮書快頁信息技術有限公司第 62 頁申請方聲明申請方聲明本組織正式提出個人信息保護認證申請，并對以下活動作出聲明：1.遵守中華人民共和國認證認可條例及相關法律、法規，近 12 個月內未發生重大個人信息安全事件；2.申請時所提供的信息以及在整個認證過程中提供的信息屬實；3.遵守中國網絡安全審查技術與認證中心的有關規范和程序要求，配合認證相關工作；4.獲證后遵守認證證書、認證標志使用相關的規定。對于影響認證有效性的變更（包括但不限于：數據目錄變更、業務范圍變更等），應通知中國網絡安全審查技術與認證中心相關變更情況。申請方代表（簽名）：

104、申請方（蓋章）：年月日數據出境安全合規白皮書快頁信息技術有限公司第 63 頁個人信息保護認證申請書個人信息保護認證申請書 1 申請信息申請信息 1.1 申請類型初次認證認證變更：認證范圍擴大認證范圍縮小申請方名稱變更注冊地址發生變更其他變更：變更情況說明：暫停認證暫停情況說明：恢復認證注銷認證到期換證 1.2 認證依據：GB/T35273-2020信息安全技術個人信息安全規范 TC260-PG-20222A 網絡安全標準實踐指南個人信息跨境處理活動安全認證規范相關標準、規范 2 申請申請方方信息信息 2.1 基本信息若申請認證通過后將向申請方發放中文的認證

105、證書，如果同時需要英文版的認證證書請在相應的位置勾選，并完整填寫 2.1 中申請方全稱（英文）、注冊地址（英文）和 2.2.1 中覆蓋的組織范圍（英文）、覆蓋的地址（英文）、覆蓋的業務范圍（英文）處的內容。若申請通過認證，除中文版認證證書外是否需要英文版認證證書：是；否。申請方全稱（中文）：；申請方全稱（英文）：；統一社會信用代碼：；注冊地址（中文）：，郵編：，行政區劃代碼：；注冊地址（英文）：；申請認證范圍涵蓋的人數：人；申請方總人數：人；年營業務收入是否在 2000 萬元以上：是否；所屬國民經濟行業：；參照 GB/T 4754-2017國民經濟行業分類代碼，填寫 4 位數字小類法人：；

106、個人信息保護負責人：；聯系人：電話：手機：傳真：數據出境安全合規白皮書快頁信息技術有限公司第 64 頁 E-mail：通訊地址：。2.2 申請認證所需信息 2.2.1 申請認證的個人信息保護所覆蓋的范圍：覆蓋的組織范圍（中文）：；覆蓋的組織范圍（英文）：；覆蓋的地址（中文）：，郵編：；如涉及多個場所需分別填寫，詳見附錄 B 中 B.1.1 覆蓋的地址（英文）：。覆蓋的業務范圍（中文）：；覆蓋的業務范圍（英文）：；涉及的個人信息處理活動類型：收集存儲使用委托處理共享、轉讓、公開第三方應用跨境提供 2.2.2 申請認證的業務范圍內涉及個人信息范圍的情況，請根據實際情況進行勾選：1.涉

107、及個人信息主體量級為：個人信息主體數量 100 萬以下個人信息主體數量 1000 萬以下 100 萬以上（含）個人信息主體數量 1 億以下 1000 萬以上（含）個人信息主體數量 1 億以上（含）2.如果涉及跨境提供，則自上年 1 月1日起向境外提供個人信息涉及主體的量級為：1）個人信息涉及主體的量級：向境外提供 10 萬人以上個人信息向境外提供 10 萬人以下個人信息 2）敏感個人信息涉及主體的量級：向境外提供 1 萬人以上敏感個人信息向境外提供 1 萬人以下敏感個人信息 3.如果涉及跨境提供，請填寫境外接收方基本情況表，詳見附錄 B 中 B.1.2 3 申請認證所需申請認證所需提供的

108、材料提供的材料 3.1 申請方的營業執照/法人證書復印件；3.2 自評價表及相關證據材料；數據出境安全合規白皮書快頁信息技術有限公司第 65 頁 3.3 業務流程及描述；本章節材料請參考附錄 B 中 B.2 提供；3.3.1 申請認證的業務流程、數據流圖及描述：3.3.2 如涉及跨境提供，提供跨境業務流程、數據流圖及描述：3.4 組織機構圖或職能表述；3.4.1 涉及認證對象的組織機構圖或職能表述文件：3.4.2 涉及個人信息處理活動的組織架構描述；3.4.3 如涉及跨境提供，跨境業務涉及的組織機構圖或職能表述文件：3.5 申請方數據目錄；請參考附錄 B 中 B.1.1 提供；如涉及跨境提

109、供，請參照附錄 B 中 B.2.1 提供；3.6 適用性聲明；請參考附錄 B 中 B.4 提供；3.7 其他補充資料。4 其它其它 4.1 申請方是否獲得數據相關認證，如數據安全管理認證、App 安全認證等？（可選）否；是 4.2 申請方可從下列技術驗證機構中選擇一家實施技術驗證：機構一名稱機構二名稱 4.3 申請方選擇技術驗證機構入場方式：技術驗證機構單獨入場技術驗證機構和審核組一同入場 4.4 其他需要說明的問題：。數據出境安全合規白皮書快頁信息技術有限公司第 66 頁附件附件 C C.1.1 C.1.1 場所地址場所地址序號名稱地址（郵編）職工數所涉及的部門所涉及的業

110、務活動所涉及的個人信息處理活動固定/臨時行政區劃代碼收集存儲使用委托處理共享、轉讓、公開第三方應用跨境提供 C.1.2 境外接收方基本情況境外接收方基本情況序號名稱注冊地址聯系人聯系方式接收數據基本情況涉及的業務涉及數據量目的范圍類型敏感程度方式保存期限存儲地點 1 境外接收方 1 10 萬人以上個人信息 10 萬人以上個人信息 1 萬人以上敏感個人信息 1 萬人以下敏感個人信息 2 境外接收方 2 數據出境安全合規白皮書快頁信息技術有限公司第 67 頁附件附件 C C.2.2 C.2.1 承載業務的系統列表承載業務的系統列表序號業務

111、名稱業務系統名稱業務系統描述是否涉及跨境 XX 業務系統 C.2.2 業務系統框架及功能介紹業務系統框架及功能介紹請描述系統功能架構圖和介紹材料 C.2.2.1 XX 業務系統框架圖業務系統框架圖請描述實際業務系統架構圖 C.2.2.2 XX 業務系統業務系統序號業務系統名稱業務功能列表所涉及的個人信息所涉及的處理活動 C.2.2.3 XX 業務和數據流程圖業務和數據流程圖請描述數據流圖（主要是個人信息）以及與業務活動的關系 C.2.2.4 跨境業務和數據流程圖跨境業務和數據流程圖如涉及跨境提供，請描述跨境業務流和數據流圖（主要是跨境提供的個人信息），以及與跨境業務活動

112、的關系。數據出境安全合規白皮書快頁信息技術有限公司第 68 頁附件附件 C C.3.3 C C.3.3.1X.1XXXXXXX 業務涉及業務涉及數據目錄（模板）數據目錄（模板）發布日期：XXXX 年 XX 月 XX 日，版本號：XXX 數據類型數據類型類型類型 1 1 級子類級子類類型類型 2 2 級子類級子類處理活動處理活動級別級別個人信息示例，個人基本信息示例，敏感個人信息如涉及跨境提供，請提供下表：C C.3.3.2 2 涉及涉及跨境提供數據目錄（模板）跨境提供數據目錄（模板）數據類型數據類型類型類型 1 1 級子類級子類類型類型 2 2 級子類級子類境外接收

113、方境外接收方國別國別個人信息示例，個人基本信息示例，敏感個人信息注：B.3.1 和 B.3.2 應滿足以下要求：1、本目錄的數據類型、分類層級及分級可參考相應標準細化和調整。2、數據目錄的發布及變更（包括但不限于：增加、刪除數據子類型、數據級別調整、數據處理活動變化）應經過審批，對版本采取控制。3、提供數據目錄的范圍應是此次申請認證的范圍，版本的控制應該遵循申請組織相關的要求。數據出境安全合規白皮書快頁信息技術有限公司第 69 頁附件附件 C C.4.4 適用性聲明適用性聲明我單位現對自評價表中填寫的不適用項作出確認，確保不適用項信息真實有效，不適用原因具有合理依據。不適用項

114、及原因描述如下表：編號標準條款評價項不適用原因備注 1 2 3 4 5 6 7 8 9 申請方代表（簽名）：申請方（蓋章）：年月日數據出境安全合規白皮書快頁信息技術有限公司第 70 頁附錄附錄 D D 常見常見實務實務問題問題 Q&AQ&A 一、一、什么是什么是“數據出境數據出境”？有哪幾種常見類型？有哪幾種常見類型？根據辦法規定和國家網信辦答記者問，辦法所稱數據出境活動主要如下兩種：第一種：第一種：數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外。第二種：第二種：數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以訪問或者調用。數據類型境內運營中收

115、集和產生的重要數據或個人信息出境方式向境外提供，包括物理跨越和遠程訪問境外的含義中華人民共和國大陸地區的以外的其他國家/地區，包括港澳臺地區開展數據出境活動的雙方涉及數據傳輸方和數據接收方如下圖所示：數據出境安全合規白皮書快頁信息技術有限公司第 71 頁常見場景如下表所示：場景場景判斷判斷某境外公司A在中國大陸地區境內無實體情形 1 A 公司直接面向大陸地區消費者提供 APP 及相關服務，涉及收集處理消費者個人信息，根據個保法第三條第二款直接適用個保法，與消費者之間不構成數據出境。某境外公司A在中國大陸地區境內有子公司 B 情形 2 在情形 1 的基礎上，A 公司

116、在境外使用云服務器 C 存儲其收集的來自大陸地區消費者的個人信息，A 與 C 之間構成數據出境。情形 3 B 公司面向大陸地區消費者提供 APP 及相關服務，涉及收集處理消費者個人信息。為了總部業務管理的目的，B 會將其所收集的個人信息同步給其總部 A，B 與 C 之間構成數據出境。情形 4 B公司所使用的某個IT系統是境外技術服務提供D協助在大陸地區本地化部署的，且 D 會遠程訪問該 IT 系統進行日常運維及 Bug 修復，B 與 D 之間構成數據出境。二、二、“數據出境安全評估數據出境安全評估”的觸發條件有哪幾種？的觸發條件有哪幾種？觸發條件有四種，達到其中之一即應當啟動出境安全評估，分別

117、為：（1）向境外提供重要數據；（2）關鍵信息基礎設施運營者和處理 100 萬人以上個人信息的數據處理者向境外提供個人信息；（3）自上年 1 月 1 日起累計向境外提供 10 萬人個人信息或者 1 萬人敏感個人信息的數據處理者向境外提供個人信息；（4）國家網信部門規定的其他需要進行安全評估的情況。企業應根據以上情況判定是否應當進行出境安全評估。三、三、什么是什么是“關鍵信息基礎設施運營者關鍵信息基礎設施運營者”與與“重要數據重要數據”名稱定義標準關鍵信息基礎設施企業要判斷其數據出境行為是否適用辦法的規定，就要判斷企業是否屬于關鍵信息基礎設施運營者。數據出境安全合規白皮書快頁信息技術有限公司

118、第 72 頁運營者依據 2021 年頒布的關鍵信息基礎設施安全保護條例（以下簡稱關基條例）第二條，關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施。依據關基條例第十條，由保護工作部門根據其制定的認定規則負責組織認定本行業、本領域的關鍵信息基礎設施，并將認定結果通知運營者?；诖?，企業一旦被認定為關鍵信息基礎設施的運營者將會收到相關主管部門的通知?？梢岳斫?，企業如未收到主管部門的認定關鍵信息基礎設施的運營者的通知，企業可以暫時

119、認為自己不是 CIIO。重要數據依據辦法第十九條，重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。據此可以判斷，重要數據的識別主要聚焦于數據的性質和對國家安全和公共利益影響。重要數據采用的是定性與定量相結合判斷的方法。若單條信息對國家安全可能造成影響的，單條信息亦可能構成重要數據，如國家戰略物資的儲備量。但若單條或少量信息不會影響國家安全或社會公共利益，但覆蓋較大范圍或較長時間的，或是涉及某些重要區域或時期的信息集合亦可能構成重要數據。從實務角度出發，雖然數據安全法規定由各地區、各部門負責確定本地區、本部門以及相關行業

120、、領域的重要數據目錄，但目前，汽車領域出臺了汽車數據安全管理若干規定（試行）對此做出嘗試，通信行業發布了行標YD/T 3867-2021 基礎電信企業重要數據識別指南，正在制定的國標信息安全技術重要數據識別指南已被終止，其他領域的重要數據識別指南仍有待進一步細化。以下為各標準規范（含在制定中）中的“重要數據”定義：數據出境安全合規白皮書快頁信息技術有限公司第 73 頁四、四、什么是什么是“敏感個人信息敏感個人信息”？如何判斷？如何判斷？敏感個人信息屬于個人信息的一部分，凡是能夠定位到特定主體、特定自然人活動的信息就是個人信息，而在全部個人信息中，一旦泄露能夠對個人人身、財產、人格尊嚴

121、造成傷害的信息屬于敏感個人信息。最新發布的中華人民共和國個人信息保護法對于敏感個人信息進行了列舉，歸納為 7 類：（1）生物識別：如人臉識別；（2）宗教信仰；（3）特定身份（十四周歲以下未成年人等）；（4）醫療健康；（5）金融賬戶；（6）行蹤軌跡；（7）等信息（現在不能列舉的敏感個人信息）。但對于敏感個人信息的具體認定與適用，目前需要結合個人信息的信息主體、信息處理者、使用目的、危害后果等多個維度，以及需要對個案或個別企業的情況及業務場景進行綜合考慮來判斷相關信息是否應屬于敏感個人信息，可以從以下四個方面進行考慮：要素描述信息主體信息主體的年齡、身份甚至性別會影響個人信息的敏感性，比如未

122、成年人、犯罪記錄、性別、個人的種族、政治觀點、宗教和哲學信仰、性取向、就診記錄、是否感染過新冠等過往病史等個人信息。其中，未成年人個人信息以及特定身份信息已經為個人信息保護法第 28 條第 1 款所列舉。上述信息一旦泄露或者非法使用，會使個人遭受歧視或受到不公正的對待，社會評價降低，侵害人格尊嚴。信息處理者一是信息處理者的規模會導致信息由非敏感變為敏感；二是信息處理者的技術操控能力可能會使信息由非敏感變為敏感；三是第三方主體往往是敏感個人信息的接收方，其與信息處理者或信息主體的關系可能影響信息的敏感度，比如一般而言，作為信息處理者的委托處理方相較作為信息主體指定的接收信息方更敏感。使用目的

123、對于具體的個人信息，還應當依據使用場景的不同，使用目的的不同，來對其是否屬于敏感個人信息進行判斷。例如，在金融機構辦理相關業務時，提供個人的身份數據出境安全合規白皮書快頁信息技術有限公司第 74 頁信息、金融賬戶信息，由于這些信息與個人的財產安全緊密相關，基于處理目的的敏感性，上述信息屬于敏感個人信息。使用打車軟件時，所提供的個人位置信息、個人電話號碼，上述信息與個人的人身自由與安全密切相關，同樣屬于敏感個人信息。危害后果與人格尊嚴、人身財產權益相關的個人信息一旦被信息處理者利用來謀取利益，那對個人可能會造成危害將難以預料和控制。比如掌握自然人的基因、指紋、聲紋、掌紋、臉部特征等生物識

124、別信息，就可以精準且永久識別特定自然人。若個人的上述身份識別信息被他人竊取并濫用，則極容易導致個人金融賬戶被遠程盜取、個人的行蹤信息被定位追蹤、個人的肖像被替換濫用，對個人的人身、財產、人格尊嚴造成巨大的危害后果。五、五、企業內部自評估與國家網信部安全評估有什么差異？企業內部自評估與國家網信部安全評估有什么差異？企業內部自評估企業內部自評估主管部門評估主管部門評估（一）數據出境和境外接收方處理數據的目的、范圍、方式等的合法性、正當性、必要性；（一）數據出境的目的、范圍、方式等的合法性、正當性、必要性；（二）境外接收方承諾承擔的責任義務，以及履行責任義務的管理和技術措施、能力等能否保障出境數據

125、的安全；（二）境外接收方所在國家或者地區的數據安全保護政策法規和網絡安全環境對出境數據安全的影響；境外接收方的數據保護水平是否達到中華人民共和國法律、行政法規的規定和強制性國家標準的要求；（三）出境數據的規模、范圍、種類、敏感程度，數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險；（三）出境數據的規模、范圍、種類、敏感程度,出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險；（四）數據出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險，個人信息權益維護的渠道是否通暢等；（四）數據安全和個人信息權益是否能夠得到充分有效保障；

126、（五）與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件等（以下統稱法律文件）是否充分約定了數據安全保護責任義務；（五）數據處理者與境外接收方擬訂立的法律文件中是否充分約定了數據安全保護責任義務；數據出境安全合規白皮書快頁信息技術有限公司第 75 頁 _（六）遵守中國法律、行政法規、部門規章情況；（六）其他可能影響數據出境安全的事項。（七）國家網信部門認為需要評估的其他事項。六、六、數據出境自評估只能由企業自行開展嗎？數據出境自評估只能由企業自行開展嗎？數據出境風險自評估可由企業自行開展，也可委托第三方機構開展。若企業自行開展自評估，建議評估團隊涵蓋數據出境安全相關人員；若企業

127、委托第三方機構開展自評估，評估報告應加蓋評估機構公章，第三方機構在自評估過程中對知悉的國家秘密、個人隱私、個人信息、商業秘密、保密商務信息等數據應當依法予以保密；若選擇有涉外背景的第三方機構開展自評估，應注意規避數據二次出境或轉移風險。七、七、已訂立標準合同或經過個人信息認證的，還需要進行安全評估嗎？已訂立標準合同或經過個人信息認證的，還需要進行安全評估嗎？路徑路徑依據依據路徑一通過國家網信部門組織的安全評估數據出境安全評估管理辦法路徑二經專業機構進行個人信息保護認證個人信息跨境處理活動認證技術規范路徑三與境外接受方訂立合同個人信息出境標準合同規定（征求意見稿）路徑四個人

128、信息出境標準合同規定（征求意見稿）_ 八、八、“法律文件法律文件”與與“標準合同標準合同”有什么區別？有什么區別？在辦法所要求提交的申報資料包括“數據處理者與境外接收方擬訂立的法律文件”（“法律文件”），評估辦法第九條規定：數據處理者應當在與境外接收方訂立的法律文件中明確約定數據安全保護責任義務，至少包括以下內容：（一）數據出境的目的、方式和數據范圍，境外接收方處理數據的用途、方式等；數據出境安全合規白皮書快頁信息技術有限公司第 76 頁（二）數據在境外保存地點、期限，以及達到保存期限、完成約定目的或者法律文件終止后出境數據的處理措施；（三）對于境外接收方將出境數據再轉移給其他組織、個人

129、的約束性要求；（四）境外接收方在實際控制權或者經營范圍發生實質性變化，或者所在國家、地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形導致難以保障數據安全時，應當采取的安全措施；（五）違反法律文件約定的數據安全保護義務的補救措施、違約責任和爭議解決方式；（六）出境數據遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險時，妥善開展應急處置的要求和保障個人維護其個人信息權益的途徑和方式。雖然“法律文件”在內容要求上類似合同，但是不限于合同一種形式，例如有約束的集團公司內部管理制度理論上也符合要求。個人信息保護法第三十八條第一款規定：個人信息處理者因業務等需要,確需向

130、中華人民共和國境外提供個人信息的，應當具備下列條件之一：（一）依照本法第四十條的規定通過國家網信部門組織的安全評估；（二）按照國家網信部門的規定經專業機構進行個人信息保護認證；（三）按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務：（四）法律、行政法規或者國家網信部門規定的其他條件。數據出境安全評估辦法提到的“法律文件”與個人信息保護法提到的“標準合同”不同，兩者區別主要包括如下幾個方面：序號法律文件法律文件標準合同標準合同一安全評估的申報資料之一與安全評估并列的個人信息出境的安全管理制度之一二由數據處理者與境外接收方在滿足安全評估要求的前提下自由約定主

131、要條款由國家網信部門制定數據出境安全合規白皮書快頁信息技術有限公司第 77 頁三事前監管事后監管九、九、如何理解境外“接收方”與再轉移“接收方”之間的關系？如何理解境外“接收方”與再轉移“接收方”之間的關系？根據辦法第九條以及指南當中的要求，數據處理者在與境外接收方訂立的法律文件中，應當明確境外接收方將出境數據再轉移給其他組織、個人的約束性要求。同時，在制作數據出境風險自評估報告（報告）的過程中，數據處理者還需要在專門章節描述數據出境后向境外其他接收方提供的情況。因此，境內數據處理者與境外接收方在訂立法律文件時，需要專門約定境外接收方將接收到的數據再轉移給第三方時，所應承擔的對第

132、三方的約束性義務。并在申報安全評估時，對再轉移第三方的信息于報告中進行披露。結合個人信息出境標準合同第三條第（七）款的內容，以及上一問中闡釋的對個人信息出境標準合同與“法律文件”的關系的理解，境外接收方在進行數據跨境的再轉移之前，應當保證（1）原則上不進行數據再轉移，除非確有需要；（2）充分履行告知義務，包括告知個人信息主體再轉移接收方的身份、聯系方式、處理目的、處理方式、個人信息種類以及行使個人信息主體權利的方式和程序等；（3）除非法律另有規定，取得個人信息主體的單獨同意；（4）接收方與再轉移接收方達成書面協議并向個人信息主體提供協議副本。另外，根據我們咨詢網信辦所得到的答復，再轉移接收方無

133、需按照報告對接收方的要求，描述并提供所在國家或者地區數據安全保護政策法規和網絡安全環境的分析。當然，網信辦在答復中并未禁止企業對再轉移接收方所在國家或地區的數據安全保護政策法規和網絡安全環境進行分析。我們認為，如果再轉移接收方所在的國家或地區本身能夠對所接收的境外數據提供強有力的保障（比如加入特定國際公約，承諾對成員國數據提供同等保護等），則建議企業增加相關描述。十、十、如何理解個人信息保護影響評估報告（“如何理解個人信息保護影響評估報告（“PIA 報告”）與數據出境報告”）與數據出境安全自評估報告之間的關系？安全自評估報告之間的關系？按照個人信息保護法第五十五條的要求，個人信息跨境活動屬于需

134、要進行個人信息保護影響評估的個人信息處理活動?？紤]到時間與效率的問題，根據自評估報告出具一份“個人信息跨境限定”的 PIA 報告具有一定的可操作性。數據出境安全合規白皮書快頁信息技術有限公司第 78 頁但是我們并不推介企業采取這種方式履行個人信息保護影響評估義務。報告所要求的是對數據跨境活動進行評估，而個人信息保護法第五十五條還要求對個人信息跨境以外的敏感個人信息處理活動、自動化決策、委托處理、對外提供以及公開個人信息等進行個人信息保護影響評估。如果境內數據處理者根據報告內容出具 PIA 報告，而在跨境活動中還涉及對敏感個人信息的處理，則事實上所出具的 PIA 報告并不能全面覆蓋個人信

135、息保護法五十五條提出的合規要求。十一、十一、若企業為境外接收方提供了可訪問中國境內數據的通道，但事實上境外接若企業為境外接收方提供了可訪問中國境內數據的通道，但事實上境外接收方從未訪問境內數據，此種情形是否屬于數據出境行為？收方從未訪問境內數據，此種情形是否屬于數據出境行為？屬于。根據數據出境安全評估申報指南（第一版）對“數據出境”概念的闡述，只要境內數據處理者為境外機構開設了查詢、調取、下載、導出數據的端口即視為數據出境。根據我們咨詢網信辦所得到的答復，可訪問境內數據而實際未訪問的境外主體，仍然會被認定為辦法意義下的“境外接收方”，且只有境內數據處理者完全關閉為境外機構開設的訪問渠道，同時停

136、止其他一切積極跨境傳輸行為時，才能被認定為不進行數據跨境。十二、十二、如企業集團辦理標準合同備案，能否向子公司或關聯公司住所地的屬地網如企業集團辦理標準合同備案，能否向子公司或關聯公司住所地的屬地網信辦提交備案申請？信辦提交備案申請？目前還沒有統一的監管口徑。企業在提交標準合同備案申請之前，可就集團企業的具體情況向網信辦做情況說明和咨詢，針對不同省級行政區的境內關聯主體，建議根據本集團的組織架構情況，按照便利、統籌的原則與監管進行溝通。十三、十三、國內有多家企業可以合并備案嗎？合并與不合并的標準是什么？國內有多家企業可以合并備案嗎？合并與不合并的標準是什么？關于標準合同場景下的聯合申報方式，原

137、則上不同地區的境內關聯主體應當獨立向屬地網信部門辦理標準合同備案；同一地區的不同實體合并備案的，原則上應當滿足：同一場景、同一服務器/系統、同一部署（個人信息分塊管理邏輯）。因各地網信部門的要求可能有差異以及各家公司的具體情況各不相同，就個人信息出境標準合同的備案場景而言，有聯合備案需求的企業可提前與屬地網信辦進行溝通。數據出境安全合規白皮書快頁信息技術有限公司第 79 頁十四、十四、如果企業已經簽署基于如果企業已經簽署基于 GDPR 的標準合同，是否還要簽署中國版的標準合的標準合同，是否還要簽署中國版的標準合同？同？需要?；趥€人系信息出境標準合同辦法的要求，如企業選擇通過訂立標準合同

138、的方式開展個人信息出境活動，則企業與境外接收方必須嚴格按照官方模板，訂立標準合同。對于已經簽署 GDPR 項下的 SCCs 的跨國企業，需注意處理中國版標準合同與已有數據處理協議之間的兼容與沖突問題。十五、十五、若企業屬于應申報數據出境安全評估的情況，卻未進行評估申報，會有什若企業屬于應申報數據出境安全評估的情況，卻未進行評估申報，會有什么后果？么后果？我們認為，未履行出境安全評估義務的，行政機關有權依據個人信息保護法網絡安全法數據安全法中的相關規定對企業進行處罰。具體而言，根據上述法規應開展數據出境安全評估而未開展數據出境安全評估的企業：1.根據個人信息保護法，將由履行個人信息保護職責的部門

139、責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫?；蛘呓K止提供服務；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。情節嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業額百分之五以下罰款，并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。2.根據網絡安全法，關鍵信息基礎設施的運營者

140、違反本法第三十七條規定，在境外存儲網絡數據，或者向境外提供網絡數據的，由有關主管部門責令改正，給予警告，沒收違法所得，處五萬元以上五十萬元以下罰款，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。3.根據數據安全法，違反本法第三十一條規定，向境外提供重要數據的，由有關主管部門責令改正，給予警告，可以并處十萬元以上一百萬元以下罰款，數據出境安全合規白皮書快頁信息技術有限公司第 80 頁對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；情節嚴重的，處一百萬元以上一千萬元以下

141、罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。數據出境安全合規白皮書快頁信息技術有限公司第 81 頁附錄附錄 E E 各地網信部門聯系方式各地網信部門聯系方式序號序號單位單位辦公地址辦公地址聯系電話聯系電話 1 北京市互聯網信息辦公室北京市朝陽區華威南路弘善家園 413 號（010）67676912 2 天津市互聯網信息辦公室天津市河西區梅江道 20 號（022）88355322 3 河北省互聯網信息辦公室山西省太原市迎澤區五一路 36號（0311）87909716 4 山西省

142、互聯網信息辦公室山西省太原市迎澤區五一路 36號（0351）5236020 5 內蒙古自治區互聯網信息辦公室內蒙古自治區呼和浩特市賽罕區銀河南街 8 號（0471）4821277 6 遼寧省互聯網信息辦公室遼寧省沈陽市和平區光榮街 26號甲（024）81680082 7 吉林省互聯網信息辦公室吉林省長春市朝陽區新發路 666號（0431）82761087 8 黑龍江省互聯網信息辦公室黑龍江省哈爾濱市南崗區華山路 12 號（0451）58685723 9 上海市互聯網信息辦公室上海市徐匯區宛平路 315 號（021）64743030-2711 10 江蘇省互聯網信息辦公室江蘇省南京

143、市建鄴區白龍江東街 8 號（025）63090194 11 浙江省互聯網信息辦公室浙江省杭州市西湖區省府路 29號（0571）81051250 12 安徽省互聯網信息辦公室安徽省合肥市包河區中山路1號（0551）62606014 13 福建省互聯網信息辦公室福建省福州市鼓樓區北大路 133號（0591）86300613 14 江西省互聯網信息辦公室江西省南昌市紅谷灘區臥龍路999 號（0791）88912737 15 山東省互聯網信息辦公室山東省濟南市市中區經十路20637 號（0531）51773249/51771297 16 河南省互聯網信息辦公室河南省鄭州市金水區金水路 16

144、號（0371）65901067 17 湖北省互聯網信息辦公室湖北省武漢市武昌區水果湖路268 號（027）87231397 數據出境安全合規白皮書快頁信息技術有限公司第 82 頁 18 湖南省互聯網信息辦公室湖南省長沙市芙蓉區韶山北路 1號（0731）81121089 19 廣東省互聯網信息辦公室廣東省廣州市越秀區中山一路104 號（020）87100794/87100793 20 廣西壯族自治區互聯網信息辦公室廣西壯族自治區南寧市青秀區民族大道 112 號（0771）2093017/2093049 21 海南省互聯網信息辦公室海南省?？谑袊d大道 69 號（0898）65380

145、723 22 重慶市互聯網信息辦公室重慶市渝北區青竹東路 6 號（023）63151805 23 四川省互聯網信息辦公室四川省成都市青羊區桂花巷 21號（028）86601862 24 貴州省互聯網信息辦公室貴州省貴陽市云巖區寶山北路39 號（0851）82995001/82995061 25 云南省互聯網信息辦公室云南省昆明市西山區日新中路516 號（0871）63902424 26 西藏自治區互聯網信息辦公室西藏自治區拉薩市城關區農科路 7 號（0891）6591509 27 陜西省互聯網信息辦公室陜西省西安市雁塔區雁塔路南段 10 號（029）63907136 28 甘肅省互

146、聯網信息辦公室甘肅省蘭州市城關區南昌路1648 號（0931）8928721 29 青海省互聯網信息辦公室青海省西寧市海湖新區文景街32 號（0971）8485510 30 寧夏回族自治區互聯網信息辦公室寧夏回族自治區銀川市金風區康平路 1 號（0951）6668938 31 新疆維吾爾自治區互聯網信息辦公室新疆維吾爾自治區烏魯木齊市新市區西環北路 2221 號（0991）2384855 32 新疆生產建設兵團互聯網信息辦公室新疆維吾爾自治區烏魯木齊市天山區中山路 462 號（0991）2899091 數據出境安全合規白皮書快頁信息技術有限公司第 83 頁附錄附錄 F F 快頁

147、數據安全能力介紹快頁數據安全能力介紹 F F.1.1 數據數據安全服務能力安全服務能力數據安全服務體系包括數據安全整體規劃設計服務、數據資產分級分類服務、數據合規評估服務、數據風險評測服務、持續安全運營服務、應急響應及溯源服務，是對數據全生命周期的安全保障服務。圖 4 快頁數據安全服務體系 F F.1.1.1.1 數據安全整體規劃服務數據安全整體規劃服務 1、服務目標建立適用于組織機構數據安全風險現狀的組織機構整體的數據安全策略和管理目標，實現對數據全生命周期的安全風險管控指導。根據數據安全策略和目標，基于現狀調研和評估分析，形成組織在在數據安全領域的規劃藍圖。細化數據安全區規劃各階段的項

148、目具體實施路線和實施步驟，明確項目所需資源。2、服務方式由專業數據安全策略制定服務人員根據單位數據安全建設現狀、數據安全制度建設現狀，數據安全未來幾年規劃綜合評估后，提供數據安全規劃服務并確定如何實施，并提供數據安全規劃設計報告。F F.1.2.1.2 數據分級分類服務數據分級分類服務 1、服務目標數據出境安全合規白皮書快頁信息技術有限公司第 84 頁協助組織單位制定數據資產梳理的統一規范，明確責任單位、格式規范、梳理周期等。協助組織單位定期梳理系統各數據存儲平臺系統數據情況，形成組織單位自身的數據資產清單。確保數據的合理存儲、管理和使用，以最大化數據的價值，同時滿足安全、合規和隱私

149、保護的要求。通過對數據進行分級分類控制不同級別數據的風險，防止敏感信息的泄露和濫用。2、服務方式由專業數據安全服務人員，通過訪談、調研、工具掃描等方式梳理單位內數據資產。對數據進行分級分類并提供數據資產清單。F F.1.3.1.3 數據合規評估服務數據合規評估服務 1、服務目標在完整的數據安全管理制度基礎上，持續跟進組織機構需符合的法律法規要求，保證組織機構業務的符合個人信息保護、重要數據保護、收集使用個人信息等方面的合規要求，以及后續陸續出臺的各項法律法規和監管要求。2、服務方式由專業數據安全服務人員，通過合規評估等方式，針對國家的網絡安全法、數據安全法、個人信息保護法以及區域數據安全

150、標準進行合規評估。并提供相應的數據安全合規評估報告。F F.1.4.1.4 數據風險評測服務數據風險評測服務 1、服務目標通過專業數據安全風險評測工具，定期對組織內部特定的業務系統的數據安全防護現狀進行評測，識別存在的數據安全風險，檢驗數據安全合規和防護效果。2、服務方式由專業數據安全服務人員，結合單位實際情況，量體裁衣，從技術和管理兩個維度，涵蓋數據生命周期風險評估和數據基線及漏洞評估。并提供相應的數據安全風險評估報告。F F.1.5.1.5 持續安全運營服務持續安全運營服務 1、服務目標通過自動化技術對數據進行準確分類和分級，更好地識別敏感數據，實施更有針對性的安全措施。對用戶行為

151、的持續監測，及時發現潛在的安全風險和異常行為，預防內數據出境安全合規白皮書快頁信息技術有限公司第 85 頁部威脅和外部攻擊。通過一些可持續的安全運營幫助組織降低數據泄露風險，提升組織對數據安全的掌控力，提高運營效率。2、服務方式由專業數據安全服務人員，采用綜合性的方法，結合技術手段和定期的安全評估和審計，及時發現并修復潛在的安全隱患。F F.1.6.1.6 應急響應及溯源服務應急響應及溯源服務 1、服務目標確保在發生數據安全事件時，能夠迅速有效地做出響應，保障數據的機密性、完整性和可用性。同時，通過溯源技術，追蹤數據泄露的源頭，以便進行事件調查和責任追究。2、服務方式制定詳細的數據

152、應急預案，明確應急響應流程，確保在面臨突發情況時，能夠迅速啟動應急響應，減小事故影響。建立完善的數據備份和恢復機制，確保在數據遭受損壞或丟失時，能夠迅速恢復業務正常運行。通過技術手段對數據泄露等安全事件進行溯源分析，找出事故原因，及時整改，防止類似事故再次發生。最后加強相關人員對數據安全的認知和技能培訓，提高其對數據安全的重視程度和應對能力。F F.1.7.1.7 數據出境申報服務數據出境申報服務 1、服務目標幫助組織滿足數據出境合規要求，協助進行數據出鏡申報。準備數據出境事前工作，形成數據出境標準化流程，建設加固。2、服務方式幫助客戶開展數據出境前的準備工作，辨別組織數據出境場景下適用的

153、法律法規，梳理組織數據處理活動場景，以及出境數據內容，識別重要數據和個人信息，同時采集組織現階段的安全管理、技術管控措施，開展數據安全風險評估等工作，并在此基礎上，對數據出境前應具備的數據安全管理能力與建立的技術機制提出加固、改進建議，提出建設方案，并提供在數據出境后的持續監督應急機制，最終將監管要求映射到組織日常數據出境安全合規白皮書快頁信息技術有限公司第 86 頁數據安全管理活動中，幫助組織更好地為數據出境做好準備。F F.2.2 數據數據安全安全工具工具能力能力 F F.2.1.2.1 數據安全數據安全管控平臺管控平臺快頁下一代數據安全管控平臺（DSMP）是基于多年的數據安全產品

154、研發和數據安全服務的實踐經驗，研發的國內領先的數據資產綜合治理產品，采用 B/S 結構和大數據底層技術框架，搭載數據資產自動發現、數據架構智能掃描、敏感資產自動識別等先進技術引擎，能夠幫助企業快速定位其內部網絡中的數據服務，以及各類數據資產的分布等情況，協助用戶清晰的掌握敏感數據分布、流轉和使用情況，對數據資產進行不同類別和密級的劃分，以便實現對敏感數據進行針對性防護，同時可視化呈現數據使用狀態，數據流向分析、訪問行為分析；數據使用流向分析，讓客戶更加清晰、直觀地掌握敏感數據的安全狀態及相關信息?？祉摂祿踩芸仄脚_具有支持范圍廣、識別速度快、易用性高、通用性強等特點，幫助企業快速發現和梳理數

155、據資產狀況，輔助企業對數據分類分級建設，洞察數據資產流向和用戶權限，同時能夠滿足各種監管檢測等場景，替代了傳統的數據資產管理和梳理工作模式，極大地提高數據梳理的工作質量，進而降低企業管理成本，為企業的數據安全建設保駕護航。圖 6 快頁數據安全管控平臺架構數據出境安全合規白皮書快頁信息技術有限公司第 87 頁 F F.2.2.2.2 數據數據跨境監測系統跨境監測系統快頁數據跨境監測系統通過采集企業在本地及公有云上的全部流量負載，從中識別出涉及出境的流量，并通過流量解析和數據識別，識別出境數據內容，還原企業數據跨境的詳情和細節；基于上述分析結果，按照自評估要求進行統計分析，多維度輸出表單結

156、果，同時支撐企業開展數據出境安全治理及安全評估申報?？祉摂祿缇潮O測系統包含數據采集層、數據處理層和功能呈現層。數據采集層主要負責采集全部業務流量，通過數據處理層負責流量解析、數據還原、數據識別等基礎處理，最終實現跨境資產識別、跨境活動識別、跨境風險識別等結果的呈現。圖 7 快頁數據跨境監測系統架構數據出境安全合規白皮書快頁信息技術有限公司第 88 頁參考文獻 1 中華人民共和國網絡安全法 2 中華人民共和國數據安全法 3 中華人民共和國個人信息保護法 4 關鍵信息基礎設施安全保護條例 5 網絡數據安全管理條例（征求意見稿）6 規范和促進數據跨境流動規定 7 數據出境安全評估辦法 8

157、數據出境安全評估申報指南（第二版）9 個人信息出境標準合同辦法 10 個人信息出境標準合同備案指南（第二版）11 個人信息跨境處理活動安全認證規范 12 GB/T 35273-2020 信息安全技術個人信息安全規范 13 個人信息保護認證實施規則 14 數據出境中的國家安全治理探討（馬其家、劉飛虎）15 中國數據出境監管制度與規則（北京中衍律師事務所）16 數據出境安全評估辦法常見問題匯總、解讀和場景應用（高云、曾理）17 數據出境安全評估十問十答（蔡鵬胡云浪）18 個人信息出境標準合同備案實務問題解讀（郭衛紅）數據安全才有價值數據智能更有價值快頁信息技術有限公司數安實驗室地址：南京市雨花臺區大周路 34 號科創城 B3 幢 18 樓熱線：400-628-1011 郵箱：kefuky.link 網址：https:/www.ky.link

相關圖表

本文主要介紹了數據出境安全合規的相關內容，包括數據出境的背景和重要性、相關法律法規和標準要求、數據出境的風險和挑戰、企業如何進行數據出境安全合規的自我評估、以及最佳實踐和建議。文中詳細介紹了數據出境的定義、數據出境安全評估的觸發條件、關鍵信息基礎設施運營者和重要數據的定義、敏感個人信息的判斷標準、企業內部自評估與國家網信部安全評估的差異、境外“接收方”與再轉移“接收方”之間的關系、法律文件與標準合同的區別、數據出境自評估的開展方式、已訂立標準合同或經過個人信息認證的，是否還需要進行安全評估、境外“接收方”與再轉移“接收方”之間的關系、如何理解境外“接收方”與再轉移“接收方”之間的關系、如何理解《個人信息保護影響評估報告》（“PIA 報告”）與《數據出境安全自評估報告》之間的關系、若企業為境外接收方提供了可訪問中國境內數據的通道，但事實上境外接收方從未訪問境內數據，此種情形是否屬于數據出境行為、如企業屬于應申報數據出境安全評估的情況，卻未進行評估申報，會有什么后果、如何理解境外“接收方”與再轉移“接收方”之間的關系、如何理解《個人信息保護影響評估報告》（“PIA 報告”）與《數據出境安全自評估報告》之間的關系、若企業為境外接收方提供了可訪問中國境內數據的通道，但事實上境外接收方從未訪問境內數據，此種情形是否屬于數據出境行為、如企業屬于應申報數據出境安全評估的情況，卻未進行評估申報，會有什么后果等。

數據出境安全評估的觸發條件有哪些？如何判斷企業是否屬于關鍵信息基礎設施運營者？數據出境自評估與主管部門評估有哪些差異？

相關報告

聯系我們

0731-84720580
sgpjbg002
工作日 9:30 - 18:00

關于我們

侵權處理

關于我們

出版物經營許可證
工信部備案號：湘ICP備17000430號-2
公安備案號：湘公網安備43010402001071號

三個皮匠報告專業的行業報告下載站，每日更新，歡迎大家關注！

copyright@2008-2013 長沙景略智創信息技術有限公司版權所有
網站備案/許可證號：湘B2-20190120

客服

小程序

服務號

折疊

午夜网日韩中文字幕,日韩Av中文字幕久久,亚洲中文字幕在线一区二区,最新中文字幕在线视频网站