《環球律師事務所：數據出境合規實務50問（2024年版）（91頁）.pdf》由會員分享，可在線閱讀，更多相關《環球律師事務所：數據出境合規實務50問（2024年版）（91頁）.pdf（91頁珍藏版）》請在三個皮匠報告上搜索。

1、數據出境合規實務 50 問（2024 版）數據出境合規實務 42 問 20242024 年年 4 4 月月 數據出境合規實務 50 問（2024 版）1 前言前言 隨著數字經濟的蓬勃發展，數據已經成為重要的生產要素和關鍵的發展引擎。數據跨境流動是充分釋放數據紅利、打造新發展格局戰略支點的重要路徑，正在對全球經濟發展、科技創新和國際貿易等方面產生愈發深遠的影響。然而，數據跨境流動也伴隨著數據安全、隱私保護等方面的挑戰和爭議，因此，各國紛紛加強數據跨境流動的監管和規范。我國已出臺的數據出境安全評估辦法等法律法規，雖初步搭建出數據出境合規監管框架，但由于細則規定不夠明確，企業在數據出境時往往需要結合

2、其主體類型、出境數據類型和累計出境的數量等，綜合判斷采取何種數據出境制度（即“申報并通過數據出境安全評估、簽署并備案個人信息出境標準合同（簡稱“SCC”）、獲得個人信息保護認證”的統稱）。自 2023 年 9 月 28 日，國家網信辦發布規范和促進數據跨境流動規定（征求意見稿）之日起，社會各界便對數據出境合規措施的選擇展開了廣泛討論。歷經半年，國家網信辦對各方提出的反饋意見進行了細致研判，于 2024 年3 月 22 日正式公布了促進和規范數據跨境流動規定（簡稱“規定”），該規定自頒布之日起施行。規定對數據出境監管框架進行了細化，進一步放寬了數據跨境流動條件，且相對收窄了數據出境安全評估范圍，

3、把“促進”調整到了“規范”前面，釋放出要確保在保障數據安全的前提下，更加關切國家經濟發展，通過便利數據跨境流動，降低企業合規成本，促進服務貿易與數字經濟的大力開展和實施。因規定對企業選擇數據出境制度會產生重大影響，環球律師事務所數據團隊聯合對外經濟貿易大學數字經濟與法律創新研究中心、蔚來控股有限公司、奇安信科技集團有限公司、北京奧美互動咨詢有限公司、杭州有贊科技有限公司發布數據出境合規實務 50問（2024版）（以下簡稱“實務問答”），旨在結合業務實踐需求，通過分析加問答的形式來解答企業關切的數據跨境傳輸重點問題。實務問答分為上下兩篇，上篇為基礎篇，主要介紹了數據跨境傳輸的法律法規框架、相關概

4、念及注意事項辨析等；下篇為實踐篇，詳細闡述數據出境合規實務 50 問（2024 版）2 了數據跨境傳輸場景的識別、數據類型的確定、數據出境安全評估申報的流程以及風險評估與應對措施等。在數字經濟快速發展的時代背景下，數據跨境傳輸的合規管理將成為企業不可或缺的重要能力。我們希望通過本實務問答的發布為企業提供有益的參考和借鑒，共同推動數據跨境傳輸的規范發展，為構建安全、高效、有序的數字經濟環境貢獻力量。最后，感謝所有參編單位及人員的辛勤付出，特別感謝威科先行的大力支持，感謝各位老師提供的寶貴意見和建議。數據出境合規實務 50 問（2024 版）3 目目 錄錄 前言 .1 上篇：基礎篇上篇：基礎篇 一

5、、我國有哪些數據跨境相關的法律法規要求？.6 二、哪些行為屬于數據跨境傳輸行為？.9 三、如何定義出境數據的“境外接收方”？.10 四、現行數據出境制度下的三條合規路徑是什么？如何判斷？.10 五、哪些情況下需要申報數據出境安全評估？.13 六、數據出境安全評估的流程是怎樣的？.13 七、數據出境安全評估申報需要多長時間？.16 八、哪些情況下可以選擇簽署并備案個人信息出境標準合同？.17 九、個人信息出境標準合同的簽署及備案流程是怎樣的？.18 十、哪些情況下可以選擇個人信息保護認證？.20 十一、進行個人信息保護認證的流程是怎樣的？.21 十二、哪些情況下不需要采取三大數據出境制度即可出境

6、數據？.23 十三、哪些情形屬于“法律、行政法規另有規定，依照其規定進行評估/批準的情況”？.27 十四、CIIO 數據出境的要求有哪些？.28 十五、識別重要數據的法律法規依據有哪些？.29 十六、重要數據出境的要求有哪些？.30 十七、個人信息出境標準合同的具體內容有哪些？.30 十八、進行個人信息保護認證的具體要求有哪些？.32 十九、未符合數據出境制度，有何罰則？.33 二十、還有哪些應當注意的具體事項？.34 二十一、我國粵港澳大灣區就個人信息出境是否有特殊便利措施？.35 下篇：實踐篇下篇：實踐篇 二十二、如何準確識別數據跨境傳輸場景？.38 二十三、企業可能涉及的數據跨境傳輸場景

7、有哪些？.42 二十四、如何準確識別跨境傳輸數據的類型？.45 二十五、如何正確盤點跨境傳輸數據的數量？.47 數據出境合規實務 50 問（2024 版）4 二十六、如何確定落實數據跨境傳輸合規措施的內部牽頭部門？.48 二十七、如何確定數據出境安全評估的申報主體？.49 二十八、如何把握數據出境安全評估的申報時間？.50 二十九、符合條件的企業應當向哪個/些機構申請數據出境安全評估？.51 三十、如何開展個人信息保護影響評估？.51 三十一、如何開展數據出境風險自評估？.53 三十二、數據跨境傳輸場景下的 PIA 與數據出境風險自評估是一回事嗎？.55 三十三、如何評估數據處理者和境外接收方

8、的技術和制度措施是否充分？.57 三十四、如何評估境外接收方法律與政策環境完善程度？.59 三十五、歐盟是如何對法律政策環境進行評估的？.62 三十六、數據出境安全評估的有效期為多久？什么情況下需要再次申請安全評 估？.64 三十七、什么情況下需要重新簽署個人信息出境標準合同并履行備案手續？65 三十八、在訂立監管機構發布的標準合同時是否可以對內容進行修改？.66 三十九、如果已與境外接收方簽署數據處理協議，是否可將標準合同作為 其附件？.66 四十、企業應當向哪個/些機構申請個人信息保護認證？.67 四十一、如何正確應對國際爭議解決場景下取證所涉的數據跨境傳輸？.68 四十二、我國粵港澳大灣

9、區個人信息出境標準合同如何簽署和備案？.70 四十三、上海自貿區有無數據及個人信息出境的便利監管措施？.71 四十四、銀行金融業數據出境有無特別規范需要注意？.73 四十五、證券基金業數據出境有無特別規范需要注意？.75 四十六、醫藥行業跨境傳輸的常見場景有哪些？.77 四十七、醫藥行業跨境傳輸涉及的數據有哪些類型？.78 四十八、醫藥行業數據跨境傳輸的主要合規義務有哪些？.80 四十九、通過境內數據交易所進行跨境數據貿易應考慮哪些跨境數據合規問題？.82 五十、公共數據運營主體是否可以就公共數據對境外主體進行授權使用或開放共享？.83 附件一、國家及各地省級網信部門聯系方式.86 數據出境合

10、規實務 50 問基礎篇 5 上篇：基礎篇上篇：基礎篇 數據出境合規實務 50 問基礎篇 6 一、一、我國有哪些數據跨境相關的法律法規要求？我國有哪些數據跨境相關的法律法規要求？隨著經濟全球化和數字化的深入發展，數據跨境傳輸已經成為全球經濟的關鍵推動力?？缇硵祿趪H貿易活動、跨國科技合作、數據資源共享方面發揮越來越重要的作用，數據跨境流動已經成為推動數字經濟發展，保障全球互聯互通的重要途徑。我國對數據跨境流動的規制起步較晚，對于數據跨境傳輸的限制與監管規定散見于各類法律法規、部門規章以及規范性文件中，處于持續創新和完善、趨向成熟體系形成的過程。數據出境的法律淵源可以追溯到 2017 年 6 月

11、 1 日實施的中華人民共和國網絡安全法（下稱網絡安全法網絡安全法）。網絡安全法首次提出了數據出境的安全評估制度，要求關鍵信息基礎設施運營者（下稱 CIIO）因業務需要向境外提供個人信息和重要數據應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估1。隨后，全國信息安全標準化技術委員會（TC260）（下稱信安信安標委標委）于 2017 年 8 月 30 日發布了信息安全技術 數據出境安全評估指南（征求意見稿）（下稱安全評估指南（征）安全評估指南（征），在數據出境安全評估辦法未發布前對數據出境安全評估流程、評估要點以及評估方法等內容提供指引。2021 年 9 月 1 日實施的中華人民共和國

12、數據安全法（下稱數據安全數據安全法法）重申了 CIIO 跨境傳輸在境內運營中收集和產生的重要數據需進行評估的要求，并為出臺其他數據處理者的重要數據出境監管制度提供了原則性規定2。此外，數據安全法對向境外司法和執法機構提供數據作出了限制，要求境內組織、個人向外國司法或者執法機構提供存儲于中華人民共和國境內的數據必須獲得主管機關批準3，這也與隨后頒布的中華人民共和國個人信息保護法（下稱個人信息保護法個人信息保護法）提出的“非經中華人民共和國主管機關批準，個人信息處理者不得向外國司法或者執法機構提供存儲于中華人民共和國境內的個人信息”的要求相呼應。1 網絡安全法第三十七條。2 數據安全法第三十一條。

13、3 數據安全法第三十六條。數據出境合規實務 50 問基礎篇 7 2021 年 11 月 1 日，個人信息保護法施行。同月，國家互聯網信息辦公室（下稱國家國家網信辦網信辦）發布了網絡數據安全管理條例（征求意見稿）（下稱網安條例（征）網安條例（征），設專章對“數據跨境安全管理”作出具體規定4。個人信息保護法第三十八條和網安條例（征）第三十五條列明了數據出境應采取的三條主要合規路徑，即“通過網信部門組織的安全評估”、“按照國家網信部門的規定經專業機構進行個人信息保護認證”、“按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務”（以下合稱數據出境數據出境制度制度）5。隨后，為推動

14、上述數據出境制度落地，國家網信辦及相關行業主管監管部門陸續出臺了一系列政策文件。對于“個人信息保護認證”，國家市場監督管理總局和國家網信辦于 2022年 11 月 4 日聯合發布關于實施個人信息保護認證的公告（下稱認證公告認證公告）及附件個人信息保護認證實施規則（下稱認證規則認證規則），規定了開展個人信息保護認證的基本規則，標志著我國個人信息保護認證制度的正式建立。信安標委于 2022 年 6 月發布的網絡安全標準實踐指南個人信息跨境處理活動安全認證規范（下稱認證規范認證規范 V1.0）進一步為“個人信息保護認證制度”提供了落地支撐。隨后，信安標委又于 2022 年 12 月發布了網絡安全標準

15、實踐指南個人信息跨境處理活動安全認證規范 V2.0（下稱認證規范認證規范 V2.0），從具有法律約束力的協議應明確的內容、個人信息保護機構應承擔的職責、個人信息保護影響評估應涵蓋的事項、個人信息主體應享有的權利以及個人信息處理者和境外接收方應承擔的責任義務等五方面對認證規范 V1.0進行了細化。2023年 3月 16日，信安標委發布了國家標準信息安全技術 個人信息跨境傳輸認證要求（征求意見稿）（下稱跨境認證要求（征）跨境認證要求（征），為推薦性國家標準，在效力層級上高于認證規范V2.0?？缇痴J證要求（征）除增加“敏感個人信息”和“單獨同意”的定義并刪除了“認證主體”的相關要求外，整體內容與認證

16、規范 V2.0基本一致。2023年 11月 1日，信安標委依據關于促進粵港澳大灣區數據跨境流動的合作備忘錄和屬地相關法律法規，制定了 4 網安條例（征）第五章。5 個人信息保護法第三十八條。數據出境合規實務 50 問基礎篇 8 網絡安全標準實踐指南粵港澳大灣區跨境個人信息保護要求（征求意見稿），規定了粵港澳大灣區跨境處理個人信息應遵循的基本原則和保護要求，為粵港澳大灣區個人信息保護認證的實施提供了認證依據。對于“數據出境安全評估”，國家網信辦于 2022年 7月 7日發布數據出境安全評估辦法（下稱評估評估辦法辦法），自2022年9月1日起施行，規定了數據出境安全評估申報的具體情形以及要求；對于

17、“個人信息出境標準合同”，國家網信辦則于 2023 年 2 月 22 日發布個人信息出境標準合同辦法（下稱標準合標準合同辦法同辦法），自 2023 年 6 月 1 日施行，規定了可以選擇簽署并備案標準合同的情形，并提供了標準合同范本。在數據出境制度下的三條合規路徑已經初步成型的基礎上，為優化完善數據出境制度，實現與數據出境安全風險的“精細化匹配”，并同時促進和規范數據依法有序自由流動，國家網信辦結合迄今數據出境安全管理工作的實踐情況，于 2024 年 3 月 22 日發布了重量級文件促進和規范數據跨境流動規定（下稱跨境流動規定跨境流動規定）?？缇沉鲃右幎ㄖ饕獜奈宸矫鎸祿鼍持贫冗M行了優化：首

18、先，明確了重要數據的認定標準；其次，提出了免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的數據出境活動條件；第三，設立了自由貿易試驗區負面清單制度；第四，對需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的數據出境活動門檻標準進行調整，適當放寬數據跨境流動條件，適度收窄數據出境安全評估范圍；第五，延長了數據出境安全評估結果的有效期限。同時，為了配合跨境流動規定落地，國家網信辦于同日發布了數據出境安全評估申報指南（第二版）（下稱評估申報指南（第二版）評估申報指南（第二版）和個人信息出境標準合同備案指南（第二版）（下稱標準合同備案指南（第二標準合同

19、備案指南（第二版）版），對申報數據出境安全評估、備案個人信息出境標準合同的方式、流程和材料等具體要求作出了說明，對數據處理者需要提交的相關材料進行了優化簡化?？缇沉鲃右幎?評估申報指南（第二版）標準合同備案指南（第二數據出境合規實務 50 問基礎篇 9 版）的出臺反映了主管部門對數據出境治理思路的變化，即在保障數據“依法有序流動”從而為組織或者個人跨境業務合作提供法治保障的同時，促進數據“自由流動”并進一步推動數據自由流動和數字經濟發展。一方面，明確監管部門強化事前事中事后全領域的監管，加強指導監督向境外提供數據的數據處理者履行義務的情況，如告知、取得個人單獨同意、進行個人信息保護影響評估、采

20、取技術措施保障數據安全出境以及向省級以上網信部門和其他有關主管部門報告數據出境安全事件等。但另一方面，通過暢通數據跨境傳輸制度渠道打造跨境數字貿易新格局，鼓勵企業積極開展數據跨境流動并推進國際貿易發展，如針對不同商業活動場景需求，在不包含個人信息或者重要數據的前提下，允許國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷等活動中產生的數據出境活動不適用數據出境安全評估、個人信息出境標準合同和個人信息保護認證機制，極大地減輕相關企業的合規成本?？缇沉鲃右幎ǖ陌l布標志著企業迎來了全新的數據跨境合規窗口期。該規定不僅提升了現行數據出境制度的實用性和可操作性，還積極回應了企業數據跨境傳輸業務合規方面

21、的常見困惑，從而降低了企業在數據出境活動中所面臨的業務合規挑戰和難度。對此，涉及跨境傳輸數據的企業應把握窗口期時機，依法梳理自身數據出境的場景以及對應合規操作要點，確保在積極參與國際經營和跨境業務合作的過程中不觸及數據監管紅線。二、二、哪些行為屬于數據跨境傳輸行為？哪些行為屬于數據跨境傳輸行為？評估申報指南（第二版）和標準合同備案指南（第二版）第一部分“適用范圍”明確了哪些行為屬于“數據出境”，具體包含以下三種情形：數據處理者將在境內運營中收集和產生的數據傳輸至境外；數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出；符合個人信息保護法第三條第二款情形（即

22、在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，包括以向境內數據出境合規實務 50 問基礎篇 10 自然人提供產品或者服務為目的、分析、評估境內自然人的行為、法律、行政法規規定的其他情形），以及在境外處理境內自然人其他數據處理活動。（具體內容請見下篇：實踐篇“二十二、如何準確識別數據跨境傳輸場景？”部分）三、三、如何定義出境數據的“境外接收方”？如何定義出境數據的“境外接收方”？根據評估申報指南（第二版）的規定，即使數據未轉移存儲至中國大陸以外的地方，但被境外的機構、組織、個人訪問查看或調用的（公開信息、網頁訪問除外）的情形屬于數據出境。同理，國內企業聘用境外服務供應商通過境外

23、服務器直接收集于中國境內產生的個人信息，也屬于數據出境?！熬惩饨邮辗健币话阒傅谝皇志惩饨邮辗?，如果涉及多個境外第一手數據接收方，需在自評估報告中結合業務場景、數據出境規模、處理數據用途與方式以及數據接收方履行責任義務的管理和技術措施等因素，分別評估各接收方所具備的保障出境數據安全的能力。同時，如果數據出境后還會向其他境外接收方再傳輸數據，則也需要對該再傳輸行為進行評估。從跨國企業和其供應商的關系看，一般跨國企業和其聘用的供應商多為委托處理關系，并且多數為跨國公司總部直接委托境外供應商并簽署數據處理協議（約定跨國企業及各分支機構均為數據處理者，供應商為受托方）。在此背景下，如果境外母公司可以自行

24、查閱、瀏覽存儲于境外服務器的中國子公司的數據，并且數據處理協議約定境外母公司可以根據自己的目的對境外供應商收集的數據進行處理，則在此數據跨境傳輸過程中境外母公司屬于境外接收方，中國子公司實質上是將個人信息跨境傳輸至其境外母公司。四、四、現行數據出境制度下的三條合規路徑是什么？如何判斷？現行數據出境制度下的三條合規路徑是什么？如何判斷？綜合網絡安全法 數據安全法以及個人信息保護法這三大數據合數據出境合規實務 50 問基礎篇 11 規基本法律要求來看，企業開展數據出境活動時，應結合自身的主體類型、出境數據類型和數量，綜合判斷是否須要額外（1）申報并通過數據出境安全評估；或（2）訂立并備案個人信息出

25、境標準合同；或（3）通過個人信息保護認證。具體如下表所示：法律名稱法律名稱 生效日期生效日期 規制主體規制主體 合規路徑合規路徑 網絡安全法網絡安全法 2017年 6 月 1日 CIIO 向境外提供個人信息個人信息和重要重要數據數據，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估安全評估。數據安全法數據安全法 2021年 9 月 1日 CIIO 向境外提供重要數據重要數據，應當進行安全評估安全評估。CIIO 以外的數據處理者 向境外提供重要數據重要數據，遵照國家網信部門會同國務院有關部門制定的辦法。個人信息保護個人信息保護法法 2021年 11月 1日 CIIO 向境外提供個人信

26、息個人信息，應當進行安全評估安全評估。CIIO 以外的數據處理者 處理個人信息達到國家網信部門規定數量的個人信息處理者 向境外提供個人信息個人信息，應當進行安全評估安全評估。處理個人信息未達到國家網信部門規定數量的個人信息處理者 向境外提供個人信息個人信息，可以選擇：（1）訂立并備案個人信息出個人信息出境標準合同境標準合同；或（2）通過個人信息安全保護個人信息安全保護認證認證。表 1 我國數據合規三大法律規制下的數據出境制度 最新實施的跨境流動規定則對上述合規路徑的適用范圍進行了細化，提出：1.如果企業擬出境的數據符合跨境流動規定第三條、第四條、第五條和第六條規定的情形（以下合稱豁免情形豁免情

27、形），則企業可依法依規自由開展數據出境活動。（具體內容請見上篇：基礎篇“十二、哪些情數據出境合規實務 50 問基礎篇 12 況下不需要采取三大數據出境制度即可出境數據？”部分）若不符合豁免情形，則可繼續參照下方第 2-4 項進行判斷。2.如果企業是 CIIO，則應對其個人信息或重要數據的出境活動通過所在地省級網信部門向國家網信部門申報數據出境安全評估。3.如果企業是 CIIO 以外的數據處理者，則首先應當結合相關部門、地區告知或者公開發布的情況判斷擬出境的數據是否屬于重要數據，出境數據屬于重要數據的，則應當申報數據出境安全評估。4.如果企業是 CIIO以外的數據處理者，出境的數據是個人信息，則

28、：（1）自當年 1 月 1 日起累計向境外提供 100 萬人以上個人信息（不含敏感個人信息）或者 1 萬人以上敏感個人信息的，應當申報數據出境安全評估；（2）自當年 1月 1日起累計向境外提供 10萬人以上、不滿 100萬人個人信息（不含敏感個人信息）或者不滿 1 萬人敏感個人信息 的，應當依法與境外接收方訂立個人信息出境標準合同或者通過個人信息保護認證。為方便理解，企業可以參考如下圖 1總結的數據出境制度適用流程進行判斷：圖 1 跨境流動規定下現行數據出境制度的適用流程 數據出境合規實務 50 問基礎篇 13 五、五、哪些情況下需要哪些情況下需要申報申報數據出境安全評估？數據出境安全評估？最

29、新發布的跨境流動規定適度收窄了數據出境安全評估范圍。具體而言，根據跨境流動規定和評估申報指南（第二版）的規定，當數據處理者向境外提供數據不屬于跨境流動規定下的豁免情形時（具體內容請見上篇：基礎篇“十二、哪些情況下不需要采取三大數據出境制度即可出境數據？”部分），且具有下列情形之一時，應當申報數據出境安全評估：1.CIIO向境外提供個人信息或者重要數據；2.CIIO以外的數據處理者向境外提供重要數據；3.CIIO 以外的數據處理者自當年 1 月 1 日起累計向境外提供 100 萬人以上個人信息（不含敏感個人信息）；4.CIIO 以外的數據處理者自當年 1 月 1 日起累計向境外提供 1 萬人以上

30、敏感個人信息；同時，跨境流動規定第六條規定，自由貿易試驗區在國家數據分類分級保護制度框架下，可以自行制定本自貿區需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數據清單（下稱負面清單負面清單），經省級網絡安全和信息化委員會批準后，報國家網信部門、國家數據管理部門備案。自由貿易試驗區內數據處理者向境外提供負面清單外的數據，可以免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。六、六、數據出境安全評估的流程是怎樣的？數據出境安全評估的流程是怎樣的？為指導數據處理者更好的開展數據出境安全評估申報工作，國家網信辦結合此前申報工作開展的實踐經驗，發布了評

31、估申報指南（第二版）并對數據處理者需要提交的相關材料進行了優化簡化，同步開通了“數據出境申報系統”。根據評估申報指南（第二版），申報數據出境安全評估可分為線上申報和線下申報兩種形式：（一）線上申報一般適用于 CIIO 以外的數據處理者申報數據出境合規實務 50 問基礎篇 14 數據出境安全評估，如該等數據處理者自當年 1月 1日起累計向境外提供 100萬人以上個人信息（不含敏感個人信息）申報數據出境安全評估等場景；（二）CIIO 或者其他不適合通過線上系統申報數據出境安全評估的，應采取線下申報流程。但是“不適合通過線上系統申報數據出境安全評估”的具體情形，仍待網信部門進一步澄清說明。圖 2 數

32、據出境安全評估不同申報流程的適用范圍（一）線上申報流程（一）線上申報流程 數據處理者進行數據出境安全評估的線上申報，應當通過線上數據出境申報系統提交申報材料，系統網址為 https:/。結合系統附帶的數據出境申報系統使用說明（第一版）來看，數據出境申報系統整合統一了數據出境制度下的數據出境安全評估申報、個人信息出境標準合同備案工作，即該系統目前同時支持數據處理者申報數據出境安全評估、個人信息出境標準合同備案；而對于個人信息保護認證，數據出境申報系統后續可能覆蓋這一類數據出境制度的實施開展，但是相關功能仍在建設中，尚未上線。目前，申請個人信 息 保 護 認 證 可 以 登 錄 個 人 信 息 保

33、 護 認 證 管 理 系 統，系 統 網 址 為https:/6。數據處理者在準備正式評估申報前，應根據評估申報指南（第二版）第三條和數據出境申報系統使用說明（第一版）準備以下文件：統一社會信用代碼證件影印件（加蓋公章）法定代表人身份證件影印件（加蓋公章）經辦人身份證件影印件（加蓋公章）6 參考網信中國，促進和規范數據跨境流動規定答記者問，https:/ 50 問基礎篇 15 經辦人授權委托書、承諾書 數據出境安全評估申報表 數據出境相關合同或者其他具有法律效力的文件影印件（加蓋公章）數據出境風險自評估報告掃描件 準備好以上材料后，數據處理者使用數據出境申報系統，應按照“注冊用戶賬號配置系統使

34、用環境選擇新增評估填報入口”的流程進行數據出境安全評估申報：1.在注冊用戶賬號階段，數據處理者應準備好統一社會信用代碼證、法人證件、系統注冊人證件、注冊授權書等材料掃描件或者照片。如果進行申報的實體為個人，可以勾選“無法人代表信息”跳過并進行后續填寫。2.在配置系統使用環境階段，數據處理者根據自身實際情況可以選擇三種用戶認證方式，即短信認證、使用專業瀏覽器加軟證書結合認證、使用 Ukey 方式認證。3.點擊“數據出境安全評估管理”-“新增評估”進入新增評估申報頁面，上傳安全評估材料，并在進入向導頁面后，根據提示逐步完善申報信息，包括以下環節：確認是否屬于數據出境安全評估申報適用情形；填寫數據處

35、理者情況；填寫法定代表人信息；填寫數據安全責任人和管理機構信息；填寫經辦人信息；填寫數據處理者遵守中國法律、行政法規、部門規章情況；填寫數據出境場景；上傳其他數據出境安全評估申報材料。（二）線下申報流程（二）線下申報流程 CIIO 或者其他不適合通過線上系統申報數據出境安全評估的，應采用線下數據出境合規實務 50 問基礎篇 16 方式通過所在地省級網信辦向國家網信辦申報數據出境安全評估，并按照評估申報指南（第二版）規定準備如下申報材料，將書面申報材料裝訂成冊并附帶材料電子版送達所在地省級網信辦：統一社會信用代碼證件 法定代表人身份證件 經辦人身份證件 經辦人授權委托書 數據出境安全評估申報書

36、與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件 數據出境風險自評估報告 其他相關證明材料 七、七、數據出境安全評估申報需要多長時間？數據出境安全評估申報需要多長時間？評估申報指南（第二版）未區分數據處理者進行數據出境安全評估線上申報和線下申報整體所需時間。一般情況下，數據出境安全評估的申報時長周期如圖 3所示：圖 3 數據出境安全評估申報時長周期 根據評估申報指南（第二版）第二條的規定，省級網信辦會在收到申報材料之日起 5 個工作日內完成完備性查驗，并向數據處理者告知查驗結果。對于通過完備性查驗的，省級網信辦將申報材料提請國家網信辦處理；對于未通過完備性查驗的，省級網信辦向數據

37、處理者告知未通過完備性查驗原因。數據出境合規實務 50 問基礎篇 17 國家網信辦自收到省級網信辦提交的申報材料之日起 7 個工作日內，確定是否受理并書面通知數據處理者。根據評估辦法第十二條的規定，國家網信辦會在向數據處理者發出書面受理通知書之日起 45 個工作日內，完成數據出境安全評估。在進行整體評估時，對于情況復雜或者需要補充、更正材料的情況，國家網信辦會適當延長評估時間，并告知數據處理者預計延長的時間。數據處理者無正當理由不補充或者更正申報材料的，國家網信辦可以終止安全評估。評估完成后，國家網信辦向數據處理者出具評估結果通知書。數據處理者應當按照數據出境安全管理相關法律法規和評估結果通知

38、書的有關要求，規范相關數據出境活動。數據處理者對評估結果有異議的，可以在收到評估結果通知書 15 個工作日內向國家網信辦申請復評，復評結果為最終結論。八、八、哪些情況下可以選擇簽署并備案個人信息出境標準合同？哪些情況下可以選擇簽署并備案個人信息出境標準合同？跨境流動規定適當放寬了數據跨境流動條件，對以往應當訂立個人信息出境標準合同的條件作了優化調整。具體而言，根據跨境流動規定和標準合同備案指南（第二版）的規定，企業同時符合下列情形，且不屬于跨境流動規定下的豁免情形時（具體內容請見上篇：基礎篇“十二、哪些情況下不需要采取三大數據出境制度即可出境數據？”部分），可以通過簽署并備案個人信息出境標準合

39、同的方式向境外提供個人信息：1.CIIO以外的數據處理者；2.自當年 1 月 1 日起，累計向境外提供 10 萬人以上、不滿 100 萬人個人信息（不含敏感個人信息）的；3.自當年 1 月 1日起，累計向境外提供不滿 1 萬人敏感個人信息的。需要說明的是，向境外提供被相關部門、地區告知或者公開發布為重要數據的個人信息，應當申報數據出境安全評估，不得選擇訂立個人信息出境標準合同或者通過個人信息保護認證的方式。數據出境合規實務 50 問基礎篇 18 九、九、個人信息出境標準合同的簽署及備案流程是怎樣的？個人信息出境標準合同的簽署及備案流程是怎樣的？為指導和幫助個人信息處理者規范有序備案個人信息出境

40、標準合同，國家網信辦結合此前備案實踐經驗發布了標準合同備案指南（第二版），并就個人信息出境標準合同備案的適用范圍、備案方式、備案流程和材料以及咨詢、舉報聯系方式等具體要求重新作出了優化說明。標準合同備案流程可以總結為“開展個人信息保護影響評估并訂立合同材料提交材料查驗及反饋備案結果補充或者重新備案合同備案開展個人信息出境活動”環節，時限和流程如下圖 4所示：圖 4 個人信息出境標準合同備案流程示意圖 個人信息出境標準合同的簽署及備案主要環節如下：（一）（一）開展個人信息保護影響評估并訂立合同開展個人信息保護影響評估并訂立合同 首先，個人信息處理者在進行個人信息出境標準合同備案前，應開展個人信息

41、保護影響評估。個人信息保護法第五十五條和標準合同辦法第五條數據出境合規實務 50 問基礎篇 19 規定，向境外提供個人信息的，應當事前開展個人信息保護影響評估，并對處理情況進行記錄。（具體內容請見下篇：實踐篇“三十、如何開展個人信息保護影響評估？”部分）同時，企業應按照國家網信辦發布的標準合同范本結合企業自身個人信息出境情況補充附錄二，并與境外接收方訂立標準合同。（二）材料提交（二）材料提交 由于以往的線下備案模式統一改為線上備案，故個人信息處理者應根據標準合同辦法第七條和標準合同備案指南（第二版）在標準合同生效之日起 10 個工作日內，通過數據出境申報系統開展個人信息出境標準合同備案，系統網

42、址為 https:/。根據數據出境申報系統使用說明（第一版），個人信息處理者使用數據出境申報系統，應按照“注冊用戶賬號配置系統使用環境選擇新增備案填報入口”的流程進行個人信息出境標準合同備案。其中，注冊用戶賬號和配置系統使用環境的具體操作流程和要求與數據出境安全評估申報相同（具體內容請見上篇：基礎篇“六、數據出境安全評估的流程是怎樣的？”部分）。數據處理者登入系統后應選擇“新增備案”進行個人信息出境標準合同備案。根據標準合同備案指南（第二版）和數據出境申報系統使用說明（第一版），數據處理者備案個人信息出境標準合同備案，應提交以下文件：統一社會信用代碼證件影印件 法定代表人身份證件影印件 經辦人

43、身份證件影印件 經辦人授權委托書 承諾書簽字蓋章的影印件 個人信息出境標準合同影印件（加蓋公章）個人信息保護影響評估報告影印件（加蓋公章）在實際使用數據出境申報系統進行備案的過程中，企業應通過頁面向導，逐步完善備案信息，包括以下環節：確認個人信息出境標準合同適用情形 數據出境合規實務 50 問基礎篇 20 填寫個人信息處理者基本情況；填寫法定代表人信息；填寫經辦人信息；上傳承諾書簽字蓋章的影印件；填寫個人信息處理者遵守中國法律、行政法規、部門規章情況；填寫個人信息出境場景；上傳個人信息出境標準合同加蓋公章的影印件，并填寫相關信息；上傳個人信息保護影響評估報告加蓋公章的影印件；上傳其他相關證明材

44、料。（三）（三）材料查驗及反饋備案結果材料查驗及反饋備案結果 個人信息處理者完成材料提交后，整體備案流程進入了材料查驗及反饋備案結果階段。根據標準合同備案指南（第二版）第三條的規定，省級網信辦應當自個人信息處理者提交備案材料之日起 15 個工作日內完成材料查驗，并向符合備案要求的個人信息處理者發放備案編號。需要補充完善材料的，個人信息處理者應當在 10 個工作日內提交補充完善材料；逾期未補充完善材料的，可以終止本次備案程序。十、十、哪些情況下可以選擇個人信息保護認證？哪些情況下可以選擇個人信息保護認證？與簽署并備案個人信息出境標準合同的情況一樣，可以選擇個人信息保護認證的情形亦發生了變化。具體

45、而言，根據跨境流動規定的規定，企業在符合以下條件之一，且不屬于跨境流動規定下的豁免情形時（具體內容請見上篇：基礎篇“十二、哪些情況下不需要采取三大數據出境制度即可出境數據？”部分），可以通過開展個人信息保護認證的方式向境外提供個人信息：1.CIIO 以外的數據處理者自當年 1 月 1 日起，累計向境外提供 10 萬人以上、不滿 100 萬人個人信息（不含敏感個人信息）的；2.CIIO 以外的數據處理者自當年 1 月 1 日起，累計向境外提供不滿 1 萬數據出境合規實務 50 問基礎篇 21 人敏感個人信息的。需要說明的是，向境外提供被相關部門、地區告知或者公開發布為重要數據的個人信息，應當申報

46、數據出境安全評估，不得選擇訂立個人信息出境標準合同或者通過個人信息保護認證的方式。十一、十一、進行個人信息保護認證的流程是怎樣的？進行個人信息保護認證的流程是怎樣的？2022 年 11 月 18 日，國家市場監督管理總局和國家網信辦發布的認證公告以及附件認證規則，對開展個人信息保護認證的流程進行了細節說明，包括認證委托、技術驗證、現場審核、認證結果評價和批準等環節。認證公告指出“從事個人信息保護認證工作的認證機構應當經批準后開展有關認證活動”。雖然，相關法律法規并未明確公布依法取得認證機構資質的企業名錄，但根據向中國網絡安全審查認證和市場監管大數據中心（下稱網安審認證和市網安審認證和市監大數據

47、中心監大數據中心）咨詢的結果以及國家網信辦于 2024 年 3 月 22 日發布的答記者問，企業可以通過個人信息保護認證管理系統（具體網址為 https:/）向網安審認證和市監大數據中心進行申請（具體內容請見下篇：實踐篇“四十、企業應當向哪個/些機構申請個人信息保護認證？”部分）。同時，跨境認證要求（征）具體規定了在個人信息跨境傳輸場景下開展個人信息保護認證的適用情形、基本原則以及基本要求，為認證機構對個人信息跨境處理活動開展個人信息保護認證提供了認證依據，同時也為企業作為個人信息處理者合規開展個人信息跨境處理活動提供了參考。數據出境合規實務 50 問基礎篇 22 開展個人信息保護認證包括“認

48、證委托、技術驗證、現場審核、認證結果評價和批準、獲證后監督”五個環節，具體流程如圖 5所示：圖 5 個人信息保護認證流程示意圖 首先，個人信息處理者（即認證委托人）應當按認證機構的要求提交認證委托資料，包括但不限于認證委托人基本材料、認證委托書、相關證明文檔等。認證委托人在申請個人信息保護認證前可以按照認證依據的要求開展自評估以及合規整改，以符合認證依據的有關要求。認證機構在對認證委托資料審查后及時反饋是否受理。認證機構會根據認證委托資料確定認證方案，包括個人信息類型和數量、涉及的個人信息處理活數據出境合規實務 50 問基礎篇 23 動范圍、技術驗證機構信息等，并通知認證委托人7。通過后，技術

49、驗證機構會按照認證方案實施技術驗證，并向認證機構和認證委托人出具技術驗證報告8。認證機構會進行現場審核，并向認證委托人出具現場審核報告9。認證機構根據認證委托資料、技術驗證報告、現場審核報告和其他相關資料信息進行綜合評價，作出認證決定。對符合認證要求的，認證機構會頒發認證證書；對暫不符合認證要求的，認證機構有權要求認證委托人限期整改；對于整改后仍不符合的，認證機構有權以書面形式通知認證委托人終止認證。認證機構如發現認證委托人、個人信息處理者存在欺騙、隱瞞信息、故意違反認證要求等嚴重影響認證實施的行為時，認證不予通過。認證機構在認證有效期內，會對獲得認證的個人信息處理者進行持續監督，確保獲得認證

50、的個人信息處理者持續符合認證要求。認證機構對獲證后監督結論和其他相關資料信息進行綜合評價，評價通過的，可繼續保持認證證書；不通過的，認證機構應當根據相應情形作出暫停直至撤銷認證證書的處理。十二、十二、哪些情況下不需要哪些情況下不需要采取采取三大三大數據出境數據出境制度制度即可出境數據？即可出境數據？跨境流動規定第三、四、五、六條明確提出了免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的豁免情形，具體包括：（一）（一）個人信息過境個人信息過境 根據跨境流動規定第四條，在境外收集和產生的個人信息傳輸至境內處理后向境外提供，若處理過程中沒有引入境內個人信息或者重要數據的，則

51、不再需要采取額外的數據出境制度。例如，某國內電商平臺在境外設有物流倉庫，并與境外的物流公司和航空公司合作。境外消費者在該平臺國際站購買商 7 認證規則第 4.1條。8 認證規則第 4.2條。9 認證規則第 4.3條。數據出境合規實務 50 問基礎篇 24 品后，平臺內商家負責將商品整理發貨，由境外物流公司和國外航空公司承運，運輸商品并交付消費者。在這個流程中，境內電商平臺、平臺內商家、物流公司和航空公司等參與方均會涉及處理消費者個人信息。在此過程中，境外消費者的訂單信息是由國內電商平臺的境外站收集后入境的，用戶賬號也由該平臺國際站負責運營管理，境外消費者的個人信息收集活動不發生在境內，且入境后

52、的處理過程未引入境內消費者的個人信息，經過平臺確認交易訂單信息后發送給境外的物流公司和航空公司進行運輸配送。所以，根據跨境流動規定第四條的規定，針對上述境外個人信息入境再出境的情形，電商平臺無需采取額外的數據出境制度，提高了跨境電商的服務效率。（二）（二）基于人力資源管理基于人力資源管理出境出境員工個人信息所員工個人信息所確需確需 根據跨境流動規定第五條第一款第二項規定，按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理，確需向境外提供內部員工個人信息的，不需要采取額外的數據出境制度。但是，若企業希望依據該場景豁免采取數據出境制度，則需要重點排查并關注自身數據出境活動，確?？缇硞鬏?/p>

53、員工個人信息的行為是為實施人力資源管理所“確需”的、特定字段的出境也是為實施人力資源管理所“確需”的。（三）為訂立、履行個人作為一方當事人的合同所（三）為訂立、履行個人作為一方當事人的合同所確需確需 根據跨境流動規定第五條第一款第一項規定，符合“為訂立、履行個人作為一方當事人的合同所必需”這一前提，確需向境外提供個人信息的，不需要采取額外的數據出境制度。本條針對“履行合同所必需”進行了場景上的羅列，例如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等需要向境外提供個人信息的情形。例如，消費者投資國際金融產品時，為了滿足合同的要求、法律規定或者行業監管要求，要

54、向境外提供個人信息，如投資人姓名、身份證信息、聯系方式、財務狀況等。（四）緊急情況下為保護自然人的生命健康和財產安全（四）緊急情況下為保護自然人的生命健康和財產安全所所確需確需 根據跨境流動規定第五條第一款第三項規定，“緊急情況下為保護自然人的生命健康和財產安全等”確需向境外提供個人信息的，不需要采取額外的數據出境合規實務 50 問基礎篇 25 數據出境制度。例如，某國家發生了突發性疫情，為了挽救已受影響的人民群眾的生命安全，某些組織可能需要將患者的個人信息發送給國際救援機構，以便及時確定該突發疫情形成的原因、在其他國家或地區是否已有發生和確認其相似度、受災地區的藥品供應情況并采取必要的救援措

55、施等。此條旨在保障救援資源的合理配置和人民群眾的生命安全。（五）國際貿易（五）國際貿易 根據跨境流動規定第三條規定，國際貿易活動中收集和產生的數據出境，不包含個人信息或者重要數據的，不需要采取額外的數據出境制度。例如，當某國內外貿企業向他國出口商品時，需要將商品的數量、規格、重量、價值以及運輸方式等信息發送至進口方，以便各國的海關、物流公司和貿易伙伴對這批出口貨物的運輸和交付進行管理。但是“國際貿易”概念的外延十分寬泛。其中，何種類型的商業活動屬于“國際貿易”的范疇、哪些實踐中的流程環節屬于“國際貿易”以及境外數據接收方是否僅限于貿易相對方等問題還待進一步解釋說明。（六）（六）跨境跨境運輸運輸

56、 根據跨境流動規定第三條規定，跨境運輸活動中收集和產生的數據出境，不包含個人信息或重要數據的，不需要采取額外的數據出境制度。例如，比較常見的是，境內消費者在電商平臺購買了境外商家的商品，商家發貨地位于境外，需要將商品從境外跨境運輸至國內，這一過程可能涉及平臺方將境內消費者的收件地址、聯系方式等個人信息提供給境外的國際承運人來完成商品的跨境運輸。但類似于場景（五），“跨境運輸”的概念較為廣泛，不僅涉及日常電商平臺交易相關的貨品運輸，還可能涉及到更為復雜的運輸場景，如礦石資源、農產品、原油等非零售的大宗商品國際長途運輸，這些場景是否均可以被納入到豁免范圍內，仍有待在實踐中進一步探索。（七七）學術合

57、作）學術合作 根據跨境流動規定第三條規定，學術合作活動中收集和產生的不包含個人信息或重要數據的一般數據出境活動，不需要采取額外的數據出境制度。數據出境合規實務 50 問基礎篇 26 例如，國內某高校研究所與其他國家或機構的研究人員合作進行學術研究，可能需要共享一些數據，例如實驗結果、調查結論、統計數據等，不包含個人信息或重要數據。學術相關數據的跨境傳輸可以推動國際學術界的合作與交流，促進全球科學研究發展。但是，與場景（五）相似，學術合作場景行業領域的適用性較為寬泛，某些行業領域的數據，即使不屬于個人信息或是重要數據，但是大規模的統計數據或是敏感數據，可能會構成“情報”、“國家秘密”等。同時，如

58、何在學術合作場景中鑒別被共享的學術數據不涉及重要數據或者國家秘密，也是一項技術性很強的工作。因此，此類場景適用豁免規定需要特別小心，以防發生可能會危害到國家安全與社會利益的情況。（八八）跨國生產制造）跨國生產制造 根據跨境流動規定第三條規定，跨國生產制造活動中收集和產生的不包含個人信息或重要數據的一般數據出境活動，同樣也不需要采取額外的數據出境制度。例如一家制造業的國企在全球多個國家設有生產基地，在進行產品生產制造和裝配時，為對全球生產基地進行有效供應鏈管理、確保物料的及時供應，涉及物料庫存管理信息、零部件生產計劃、物流運輸信息等數據需要提供給海外基地。但類似于場景（五），“跨國生產制造”的概

59、念較為廣泛，涉及的環節也較多、程序繁瑣、參與方多樣，數據出境的鏈條也可能相對復雜。因此，企業仍需在實踐中進一步探索合規落地標準，同時也建議企業及時就“可疑問題”與監管機構多溝通。（九九）跨國市場營銷）跨國市場營銷 根據跨境流動規定第三條規定，跨國營銷活動中收集和產生的不包含個人信息或重要數據的一般數據出境活動，不需要采取額外的數據出境制度。例如，跨國消費品企業擬進入我國市場或擴大其在中國市場的業務前都會對國內市場進行調研。為此，企業必然需要收集和分析一些市場數據，包括我國各線市場調研報告、同行市場占比分析數據、消費者行為數據等，以充分了解目標市場的消費者需求、競爭情況、市場趨勢等。通過收集相關

60、境內市場數據，該跨國公司可以更好地了解和把握我國目標市場的特點和機會，制定相應的市場營銷策略和計劃，有助于支持公司在我國的市場營銷決策和推廣活動，進一數據出境合規實務 50 問基礎篇 27 步促進我國經濟發展。（十十）其他）其他一般一般數據數據 除了場景（五）至場景（九）列舉的各種情況，跨境流動規定第三條對不包含個人信息或者重要數據的一般數據進行了兜底性質的描述即在國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷“等活動”中出境一般數據，不需要采取額外的數據出境制度。然而，是否所有類似活動下的一般數據均能自由跨境流動？如何確定“等活動”的具體范圍？實踐中其他活動如何能類推適用第三條的豁免規

61、定？這些細節問題仍待結合監管實踐案例進一步補充說明。（十（十一一）“自貿區負面清單”數據）“自貿區負面清單”數據 跨境流動規定除了明確提及以上十大場景外，還專門設計了“自貿區負面清單”的特殊機制，即自由貿易試驗區在國家數據分類分級保護制度框架下，可自行制定本自貿區需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數據清單，報經省級網絡安全和信息化委員會批準后，報國家網信部門、國家數據管理部門備案。自貿區內數據處理者向境外提供負面清單外的數據，可以免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。十三、十三、哪些情形屬于“法律、行政法規另有規定，依

62、照其規定進哪些情形屬于“法律、行政法規另有規定，依照其規定進行評估行評估/批準的情況”？批準的情況”？除網絡安全法 數據安全法以及個人信息保護法確立的數據和網絡安全整體體系外，企業還應當考慮其他相關法律法規的要求。例如，根據中華人民共和國保守國家秘密法第三十條規定，機關、單位對外交往與合作中需要提供國家秘密事項，或者任用、聘用的境外人員因工作需要知悉國家秘密的，應當報國務院有關主管部門或者省、自治區、直轄市人民政府有關主管部門批準，并與對方簽訂保密協議。如涉及健康醫療大數據，則根據國家數據出境合規實務 50 問基礎篇 28 健康醫療大數據標準、安全和服務管理辦法（試行）第三十條規定，應當存儲在

63、境內安全可信的服務器上，因業務需要確需向境外提供的，應當按照相關法律法規及有關要求進行安全評估審核。如涉及測繪成果，則根據中華人民共和國測繪法第三十四條規定，屬于國家秘密的，適用保密法律、行政法規的規定；需要對外提供的，按照國務院和中央軍事委員會規定的審批程序執行。如涉及人類遺傳資源信息，則根據中華人民共和國生物安全法第五十七條規定，向境外組織、個人及其設立或者實際控制的機構提供或者開放使用的，應當向國務院科學技術主管部門事先報告并提交信息備份。十四、十四、CIIO 數據出境的要求有哪些？數據出境的要求有哪些？CIIO 包括電信運營商、金融機構、能源供應商等，其掌握大量的個人信息和重要數據。這

64、些數據的安全性對于國家和個人都至關重要。例如，金融機構處理客戶的財務信息，電信運營商處理用戶的通信數據，能源供應商掌握能源供應和分配的關鍵數據。通過對 CIIO 向境外提供的個人信息和重要數據進行監管，可以防止這些數據被濫用、泄露或用于不法目的。我國現行有效的法律對于 CIIO 的數據出境活動進行了明確規制。網絡安全法第三十七條規定了 CIIO 向境外提供數據的安全評估義務。個人信息保護法第四十條進一步規定，CIIO 應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估?？梢钥闯?，由于 CIIO 數據的泄露、破壞、丟失等將可能對國家安全

65、、社會公共利益和個人隱私產生重大影響，我國對 CIIO 的數據出境活動采取了嚴格把控的態度。但需要注意的是，跨境流動規定第七條在明確 CIIO 申報數據出境安全評估的條件的同時，規定了“屬于第三條、第四條、第五條、第六條規定情形的，從其規定”?？缇沉鲃右幎ǖ谖鍡l第一款第（一）至（三）項列出了數據處理者向境外提供個人信息免于采取數據出境制度的三種情形，即（i）為訂立、履行個人作為一方當事人的合同，向境外提供個人信息；（ii）按照依法制數據出境合規實務 50 問基礎篇 29 定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理，向境外提供員工個人信息；及（iii）緊急情況下為保護自然人的生命健

66、康和財產安全，向境外提供個人信息的。因此，若 CIIO 向境外提供個人信息屬于上述三種情況的，可以依照上述規定免于申報數據出境安全評估。雖然目前大多數企業并未被認定為 CIIO，以上規定對它們的直接影響相對較小，但這些企業也需要關注其客戶或合作方是否有可能屬于 CIIO。企業在與CIIO進行業務活動時，需要特別遵守 CIIO 進行跨境數據交互的合規義務。十五、十五、識別重要數據的法律識別重要數據的法律法規法規依據有哪些？依據有哪些？為確保數據安全和維護國家利益，重要數據跨境傳輸已成為各國或各地區關注的規制焦點。我國監管部門也明確要求企業不僅需要對于“重要數據”的出境活動開展風險自評估工作，還需

67、要向網信部門申報數據出境安全評估，以加強對數據跨境傳輸的監管，確保數據的安全。數據安全法第二十一條規定，國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。順應這一要求，GB/T 43697-2024數據安全技術 數據分類分級規則在2024年3月15日正式發布，其中第 6.5 b）條及附錄 G重要數據識別指南在國家總體宏觀層面給出了明確的重要數據判斷標準，即滿足以下任一條件的數據，識別為重要數據：（i）數據一旦遭到泄露、篡改、損壞或者非法獲取、非法使用、非法共享，直接對國家安全國家安全造成一般危害一般危害；（ii）數據一旦遭到泄露、篡改、損壞或者非法獲取、非法使用、

68、非法共享，直接對經濟運行經濟運行造成嚴重危害嚴重危害；（iii）數據一旦遭到泄露、篡改、損壞或者非法獲取、非法使用、非法共享，直接對社會秩序社會秩序造成嚴重危嚴重危害害（如影響社會穩定）；（iv）數據一旦遭到泄露、篡改、損壞或者非法獲取、非法使用、非法共享，直接對公共利益公共利益造成嚴重危害嚴重危害（如危害公共健康和安全）；（v）數據直接關系直接關系國家安全、經濟運行、社會穩定、公共健康和安全的特定領特定領域、特定群體或特定區域域、特定群體或特定區域；（vi）數據達到一定精度、規模、深度或重要性，直直接影響國家安全、經濟運行、社會穩定、公共健康和安全接影響國家安全、經濟運行、社會穩定、公共健康

69、和安全；以及（vii）經行業數據出境合規實務 50 問基礎篇 30 領域主管（監管）部門評估確定的重要數據。此外，各地區、各部門也在抓緊推進確立本地區、本部門以及相關行業、領域的重要數據具體目錄，為企業提供更具普適性和可操作性的重要數據識別規范，以重點保護列入目錄的數據。因此，盡管法律法規對“重要數據”進行了定義，也從國家宏觀角度提供了識別指南規范，但各地區、各行業的重要數據目錄仍未出臺，企業在實際操作過程中，如何界定重要數據仍然存在一定的模糊性。對此，跨境流動規定第二條提出了明確指引，采用與判斷企業是否屬于 CIIO 同一方法，即以地方和行業主管部門的告知為標準。企業僅需注意相關部門、地區是

70、否已經告知或者是否已經公開發布了本企業所處理的數據屬于重要數據，這一定程度上減輕了企業的合規壓力，緩解了識別重要數據“難”的問題。因此，建議企業后續不斷關注各主管部門可能陸續發布的“重要數據”目錄和清單，并對本企業擬出境數據合規性進行階段性確認，與各主管部門能夠保持積極且透明地溝通，及時調整數據跨境策略，以避免潛在的合規風險。十六、十六、重要數據出境的要求有哪些？重要數據出境的要求有哪些？數據處理者向境外提供重要數據，需申報數據出境安全評估10。（具體內容請見上篇：基礎篇“六、數據出境安全評估的流程是怎樣的？”部分）數據處理者在申報數據出境安全評估前，應當開展數據出境風險自評估，重點評估出境數

71、據的種類、敏感程度，數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險等11。（具體內容請見下篇：實踐篇“三十一、如何開展數據出境風險自評估？”部分）十七、十七、個人信息出境標準合同的具體內容有哪些？個人信息出境標準合同的具體內容有哪些？根據標準合同辦法第六條，標準合同應當嚴格按照網信辦制定版本訂 10 評估辦法第四條。11 評估辦法第五條。數據出境合規實務 50 問基礎篇 31 立，個人信息處理者可以與境外接收方約定其他條款，但不得與標準合同相沖突。根據標準合同辦法附件，目前版本的標準合同內容主要包括：1.個人信息處理者和境外接收方的基本信息，包括但不限于名稱、地址、聯系人姓名

72、/職務、聯系方式；2.個人信息出境的目的、方式、規模、種類、傳輸方式、保存期限和地點等；3.個人信息處理者和境外接收方保護個人信息的義務，以及為防范個人信息出境可能帶來安全風險所采取的技術和管理措施等；4.境外接收方所在國家或者地區的個人信息保護政策法規對合同履行的影響；5.個人信息主體的權利，以及保障個人信息主體權利的途徑和方式；6.救濟、合同解除、違約責任、爭議解決等。由于個人信息出境屬于個人信息處理活動中的一種情形，因此個人信息出境應當遵循個人信息保護法規定的個人信息處理活動的基本要求，標準合同的部分條款也體現了個人信息保護法下個人信息處理活動的一般原則。此外，標準合同規定了出境方與接收

73、方跨境傳輸個人信息時應當履行的義務，但是未針對雙方在數據處理活動中的權利義務如何分配作出具體要求，這些內容可由雙方通過附件或者其他合同進行補充細化。需要注意的是，根據標準合同辦法第六條的規定，個人信息處理者可以與境外接收方約定其他條款，但不得與標準合同相沖突。對于合同雙方在簽訂標準合同之前就數據跨境傳輸已簽署了相關協議的情況，若相關協議條款與標準合同相沖突，標準合同的條款應優先適用。數據出境合規實務 50 問基礎篇 32 十八、十八、進行個人信息保護認證的具體要求有哪些？進行個人信息保護認證的具體要求有哪些？個人信息保護認證定位為國推自愿性認證，鼓勵符合條件的個人信息處理者對開展個人信息收集、

74、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動自愿申請個人信息保護認證。就“自愿認證”而言，涉及個人信息跨境傳輸活動的個人信息處理者，是否選擇認證完全出于自愿。如果選擇認證，也需要判斷是否符合需申報數據出境安全評估的情形。若符合，個人信息處理者則必須進行數據出境安全評估申報。根據認證規則，個人信息保護認證依據為 GB/T 35273-2020信息安全技術 個人信息安全規范，對于開展跨境處理活動的個人信息處理者，還應當符合認證規范 V2.0的要求。上述標準、規范原則上應當執行最新版本。注冊于（適用于組織)/位于(適用于個人)粵港澳大灣區內的個人信息處理者，即廣東省廣州市、深圳市、珠海

75、市、佛山市、惠州市、東莞市、中山市、江門市、肇慶市及香港特別行政區的個人信息處理者跨境處理個人信息則應當符合網絡安全標準實踐指南粵港澳大灣區跨境個人信息保護要求（征求意見稿）的相關要求。該指南共包含六部分內容，即范圍、術語定義、個人信息處理要求、基本原則、個人信息權益保障要求以及個人信息安全要求。指南在強調重述個人信息保護法各項要求的同時，還融入了香港個人資料（私隱）條例的相關規定，例如使用個人信息進行商業營銷需征得個人信息主體的同意等。GB/T 35273-2020信息安全技術 個人信息安全規范從個人信息收集、個人信息存儲、個人信息使用、個人信息主體的權利、個人信息的委托處理、共享、轉讓、公

76、開披露、個人信息安全事件處置以及組織的個人信息安全管理要求等七個方面規定了開展收集、存儲、使用、共享、轉讓、公開披露、刪除等個人信息處理活動應遵循的原則和安全要求。此外，對于開展個人信息跨境處理活動，跨境認證要求（征）從具有法律約束力的文件、組織管理、個人信息跨境處理規則、個人信息保護影響評估、個人信息主體權利、個人信息處理者以及境外接收方的責任義務等六數據出境合規實務 50 問基礎篇 33 個方面對個人信息處理者提出了基本要求，包括：1.個人信息處理者與境外接收方簽署具有法律約束力和可執行的文件，確保個人信息主體權益得到充分保障；2.開展個人信息跨境處理活動的個人信息處理者和境外接收方均需要

77、指定個人信息保護負責人，并設立個人信息保護機構；3.開展個人信息跨境處理活動的個人信息處理者和境外接收方約定并共同遵守同一個人信息跨境處理規則；4.個人信息處理者對擬向境外接收方提供個人信息的活動開展個人信息保護影響評估，并形成個人信息保護影響評估報告；5.個人信息處理者和境外接收方應響應個人信息主體的有關權益；6.個人信息處理者和境外接收方應履行相應的責任義務。這些要求不僅可以作為認證機構實施個人信息跨境處理活動認證的相關依據，也可以為個人信息處理者規范其個人信息跨境處理活動提供參考。十九、十九、未符合數據出境制度未符合數據出境制度，有何罰則？，有何罰則？評估辦法沒有額外規定違規責任與懲罰措

78、施，而是援引了網絡安全法 數據安全法 個人信息保護法的相關罰則。同時，若數據處理者構成犯罪的，將依法追究刑事責任，具體而言：根據網絡安全法第六十六條，CIIO 違反規定，在境外存儲網絡數據，或者向境外提供網絡數據的，由有關主管部門責令改正，給予警告，沒收違法所得，處 5 萬元以上 50 萬元以下罰款，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處 1萬元以上 10萬元以下罰款。根據數據安全法第四十六條，違反規定向境外提供重要數據的，由有關主管部門責令改正，給予警告，可以并處 10 萬元以上 100 萬元以下罰款，對數據出

79、境合規實務 50 問基礎篇 34 直接負責的主管人員和其他直接責任人員可以處 1 萬元以上 10 萬元以下罰款；情節嚴重的，處 100萬元以上 1,000萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處 10萬元以上 100萬元以下罰款。根據個人信息保護法第六十六條，若企業違法處理個人信息，未履行相關合規流程的，則可能面臨最高 5,000 萬元以下或者上一年度營業額 5%以下罰款、停業整頓、吊銷相關業務許可或者吊銷營業執照等嚴厲的處罰。同時，直接負責的主管人員和其他直接責任人員，也有可能被處以 10 萬元以上 100

80、萬元以下罰款，并在一定期限內禁止擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。根據中華人民共和國刑法（下稱刑法刑法）第二百五十三條之一，違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰。單位犯前三款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規定處罰。二十、二十

81、、還有哪些應當注意的具體事項？還有哪些應當注意的具體事項？根據中華人民共和國保守國家秘密法，違反法律規定跨境傳輸國家秘密的，有可能構成犯罪并需承擔刑事責任。除此之外，企業還應當關注刑法規定的刑事責任，如刑法第一百一十一條規定，為境外的機構、組織、人員竊取、刺探、收買、非法提供國家秘密或者情報的，處五年以上十年以下有期徒刑；情節特別嚴重的，處十年以上有期徒刑或者無期徒刑；情節較輕的，處五年以下有期徒刑、拘役、管制或者剝奪政治權利。數據出境合規實務 50 問基礎篇 35 若涉及某特定領域或行業，公司還需要檢索相關行業的法律法規、部門規章及其他規范性文件以確認是否存在適用的特殊規定，以避免受到處罰。

82、二十一、二十一、我國我國粵港澳粵港澳大灣區就大灣區就個人信息出境個人信息出境是否有特殊便利措施是否有特殊便利措施？2023 年 6 月 29 日，香港創新科技及工業局與國家網信辦簽署促進粵港澳大灣區數據跨境流動的合作備忘錄（下稱合作備忘錄），以降低跨境數據流動的合規成本，促進大灣區數字經濟及科研發展。為落實合作備忘錄，香港創新科技及工業局與國家網信辦于 2023 年 12月 13 日共同發布粵港澳大灣區（內地、香港）個人信息跨境流動標準合同實施指引（下稱實施指引實施指引），實施指引明確，粵港澳大灣區個人信息處理者及接收方可以按照實施指引要求，通過訂立粵港澳大灣區（內地、香港）個人信息跨境流動標

83、準合同（下稱大灣區標準合同大灣區標準合同）的方式進行粵港澳大灣區中內地和香港之間的個人信息跨境流動（被相關部門、地區告知或者公開發布為重要數據的個人信息除外）。大灣區標準合同適用于個人信息處理者及接收方注冊于（適用于組織）位于（適用于個人）粵港澳大灣區內地九個城市（即廣東省廣州市、深圳市、珠海市、佛山市、惠州市、東莞市、中山市、江門市及肇慶市）和香港之間的個人信息跨境流動，即既包括由大灣區內地城市至香港的個人信息跨境流動，也包括由香港至大灣區內地城市的個人資料跨境流動，但并不適用內地與澳門之間的個人信息跨境流動。根據香港特區政府資訊科技總監辦公室的說明，大灣區標準合同是一項簡化大灣區中內地地區

84、與香港之間的個人信息跨境流動活動合規安排的措施，屬自愿性質，讓兩地的個人及機構按統一范本訂立標準合同，規范合同雙方在個人信息保護方面的責任和義務。通過大灣區標準合同約定跨境流動的個人信息，不得再向粵港澳大灣區以外的組織或者個人提供。值得注意的是，簽署大灣區標準合同的個人信息處理者及接收方應在標準合同生效之日起 10 個工作日內按照屬地向廣東省互聯網信息辦公室或者香數據出境合規實務 50 問基礎篇 36 港特區政府資訊科技總監辦公室進行標準合同備案，并提交法定代表人身份證件影印件、承諾書、標準合同。與內地標準合同的備案要求相比，大灣區標準合同備案雖然免除了提交個人信息保護影響評估報告的義務，但仍

85、要求企業自主開展個人信息保護影響評估工作并基于評估結果作出合規承諾，因此對于簽訂大灣區標準合同的個人信息處理者來說，開展個人信息保護影響評估更多的是作為加強企業自身風險管理能力的有效工具。大灣區標準合同對于備案程序的簡化一方面為大灣區組織及個人的個人信息跨境流動活動提供了便利，另一方面也沒有完全放松對相關組織及個人開展個人信息保護影響評估工作的要求。由此，開展數據跨境流動活動的大灣區企業可以在滿足實施指引規定的前提下考慮與區域內的相關方簽署大灣區標準合同以增強出境活動的合規性和便利性，但同時企業也應當注意履行相關的個人信息保護合規義務以避免觸碰監管紅線。數據跨境傳輸合規 42 問實踐篇 37

86、下篇：實踐篇下篇：實踐篇數據出境合規實務 50 問實踐篇 38 二十二、二十二、如何準確識別數據跨境傳輸場景？如何準確識別數據跨境傳輸場景？結合評估申報指南（第二版）和標準合同備案指南（第二版）明確了哪些行為屬于“數據出境”，包含（一）數據處理者將在境內運營中收集和產生的數據傳輸至境外；（二）數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出；（三）在中華人民共和國境外處理境內自然人個人信息等其他數據處理活動。（具體內容請見上篇：基礎篇“二、哪些行為屬于數據跨境傳輸行為？”部分）因此，在判斷是否涉及“數據出境”時，企業需要重點關注：1.該等數據是否在“境內

87、運營過程中”收集和產生；2.企業的行為是否屬于“向境外提供”，或可以被境外“查詢、調取、下載、導出”；以及 3.在境外處理境內自然人個人信息等其他數據處理活動，是否符合個人信息保護法第三條第二款情形，即在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，包括以向境內自然人提供產品或者服務為目的、分析、評估境內自然人的行為、法律、行政法規規定的其他情形。（一）是否在“境內運營過程中”收集和產生（一）是否在“境內運營過程中”收集和產生 在判斷數據是否屬于在“境內運營過程中”收集和產生前，應厘清“境內”及“境內運營”的含義。對于“境內”的含義，我國目前分為“國境內”和“關境內”兩種類型。

88、“國境內”指國家行使主權的領土范圍，其指代范圍包括中國大陸、香港特別行政區、澳門特別行政區、臺灣地區（以下合稱港澳臺地區港澳臺地區）；“關境內”則指使用同一海關法或實行同一關稅制度的區域12。根據中華人民共和國出入境管理法附則中提到的定義，“出境”指由中國內地前往其他國家或地區，包括由中國內地前往香港特別行政區、澳門特別行政區，由中國大陸前往臺灣地區。12 參考中國社會科學院法學研究所周漢華教授主編的條文精解與適用指引，北京：法律出版社，2022，P244。數據出境合規實務 50 問實踐篇 39 在這種定義下港澳臺地區屬于“境外”范圍。網安條例（征）第十三條提出“數據處理者赴香港上市，影響或者

89、可能影響國家安全的”需按有關規定申報網絡安全審查。從該條規定可以推斷出，數據跨境相關法律法規在對“境內”的進行定義時也傾向從“關境內”的角度進行解釋，即認為由中國大陸向港澳臺地區傳輸數據的行為屬于“出境”行為。對于“境內運營”，目前行業內普遍認為，“境內運營”是指網絡運營者在中國境內開展業務，提供產品或服務。實踐中，若企業運營的產品僅向境外提供服務，且不收集境內數據，此種情況不屬于“境內運營”。同時，如果境內的網絡運營者僅向境外機構、組織或個人開展業務、提供商品或服務，不涉及處理境內的個人信息和重要數據，此種場景也不納入“境內運營”的范圍。（二）是否屬于三種（二）是否屬于三種典型典型數據出境行

90、為數據出境行為 企業實踐中涉及的數據出境行為通常分為以下三種類型：1.數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外 在實踐中，可能被認定為數據出境的場景包括：a)通過具有數據傳遞功能的介質向境外提供數據（圖通過具有數據傳遞功能的介質向境外提供數據（圖 6）圖 6 具有數據傳遞功能的軟件或硬件等物理介質可以包括電子郵件、FTP、跨境搭建的 VPN、API 或常見的 U 盤、移動硬盤或便攜式筆記本等。該場景屬于較容易識別的數據出境場景。數據出境合規實務 50 問實踐篇 40 b)將數據上傳或存儲至位于境外的服務器或云端將數據上傳或

91、存儲至位于境外的服務器或云端（圖（圖 7）圖 7 如果企業使用的信息系統、軟件平臺或數據庫的服務器或云端部署在境外（如跨國企業使用境外服務商運營及/或部署的信息系統），也會構成境內主體主動向境外傳輸數據。c)經由第三方向境外傳輸數據（圖經由第三方向境外傳輸數據（圖 8）此外，境內主體和境外主體之間的數據傳輸活動往往還會涉及第三方。例如，境外主體委托境內或境外第三方供應商代為收集境內運營中產生的數據。在這種情形下，盡管境外主體未直接收集數據，但如果第三方供應商是受境外主體委托而處理數據，則境外主體是數據處理者，并因此很可能被認定是數據的境外接收方。圖 8 2.收集和產生的數據存儲在境內，境外的機

92、構、組織或者個人可以收集和產生的數據存儲在境內，境外的機構、組織或者個人可以查詢、查詢、調取調取、下載、導出（公開信息、網頁訪問除外）下載、導出（公開信息、網頁訪問除外）數據出境合規實務 50 問實踐篇 41 圖 9 在判斷是否屬于數據出境行為時，也應關注“境外主體獲取/訪問境內數據”這個因素，即無論境內主體與境外主體如何實施數據傳輸行為，只要存在境外數據處理者查詢、調取、下載、導出于境內運營中產生的數據的情況，則屬于數據出境（如圖 9）。由此可見，跨國公司、同一經濟/事業實體下屬子公司或者關聯公司訪問、調用、下載、導出存儲于境內數據的行為也屬于數據出境。例如，外國公司在中國投資設立的企業（即

93、 FIE）的境外母公司對 FIE 存儲于中國服務器中相關數據進行訪問的行為屬于數據出境。3.在境外處理境內自然人個人信息等其他數據處理活動在境外處理境內自然人個人信息等其他數據處理活動 除“數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外”和“收集和產生的數據存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出”外，評估申報指南（第二版）和標準合同備案指南（第二版）明確提出了第三種出境行為：“符合個人信息保護法第三條第二款情形，在境外處理境內自然人個人信息等其他個人信息處理活動”。具體而言，個人信息保護法第三條第二款規定，“在中華人民共和國境外處理中華人民共和國境內自然人個人

94、信息的活動，有下列情形之一的，也適用本法：（一）以向境內自然人提供產品或者服務為目的；（二）分析、評估境內自然人的行為；（三）法律、行政法規規定的其他情形?！睌祿鼍澈弦帉崉?50 問實踐篇 42 對于“以向境內自然人提供產品或者服務為目的”，可以理解為以我國為目標市場并以個人為對象的跨境交易。對于相關境外個人信息處理者是否以我國為目標市場，應當綜合多種因素對其商業意圖進行判斷，如境外處理者的網站、應用程序使用中文對相關產品和服務進行標識、介紹；將人民幣作為支付貨幣或者接入我國境內支付工具等，可以表明該境外處理者將我國作為目標市場13。對于“分析、評估境內自然人的行為”，與通用數據保護條例（歐

95、盟第2016/679 號條例）（下稱 GDPR）下“監控”（Monitoring of EU Customers Behaviour）的概念類似14。GDPR Recital 24 中規定“為了確定處理活動是否可以被視為監控，需要確定自然人是否在互聯網上被跟蹤記錄，或者潛在地后續使用個人數據處理技術，包括對自然人進行數據畫像特別是做出自動化決策，或者對其個人偏好、行為或態度做出分析或預測”。參考上述概念，“分析、評估”可以理解為通過持續記錄、追蹤相關個人信息，并通過后續的處理技術，對個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等作出分析或預測15。例如，一名中國用戶瀏覽某招聘平臺的國際版網

96、站查看海外求職市場的招聘信息，并注冊了用戶賬號。位于美國的該平臺總部對該名中國用戶的個人信息進行了分析、評估，并在此基礎上向其發送了求職工作崗位相關的個性化推送。此種場景符合在中國境外“分析、評估境內自然人的行為”，因此屬于數據出境行為。而“法律、行政法規規定的其他情形”為兜底性條款?？紤]到新技術新應用的發展可能為規制個人信息處理活動帶來挑戰，兜底性條款為相關法律、行政法規應對跨境處理活動管理過程中出現的新問題，提供了必要的適用空間與靈活性。二十三、二十三、企業可能涉及的數據跨境傳輸場景有哪些？企業可能涉及的數據跨境傳輸場景有哪些？（一）人力資源數據出境場景（一）人力資源數據出境場景 13 參

97、考全國人大常委會法工委經濟法室的立法專家楊合慶主編的個人信息保護法釋義，北京：法律出版社，2022。14 參考程嘯主編的個人信息保護法理解與適用，北京：中國法制出版社，2021。15 參考法律出版社法規中心中華人民共和國個人信息保護法注釋本，北京：法律出版社，2022。數據出境合規實務 50 問實踐篇 43 1.公司招聘（應聘者個人信息出境）公司招聘（應聘者個人信息出境）以外企為例，在公司招聘的過程中，可能被認定為涉及數據出境的典型場景如下：a)境外總部企業官網統一招聘員工，由應聘人員直接訪問境外網站境外總部企業官網統一招聘員工，由應聘人員直接訪問境外網站填寫個人信息（圖填寫個人信息（圖 10

98、）圖 10 b)境內企業將境內收集的招聘相關個人信息上傳至境內服務器，由境內企業將境內收集的招聘相關個人信息上傳至境內服務器，由境外母公司直接訪問、調取境內服務器上的數據（圖境外母公司直接訪問、調取境內服務器上的數據（圖 11）圖 11 c)境內企業聘請第三方機構收集候選人信息，并由第三方機構將收境內企業聘請第三方機構收集候選人信息，并由第三方機構將收集的數據同步傳輸至境外（圖集的數據同步傳輸至境外（圖 12）圖 12 此外，值得注意的是，企業在招聘時通常會收集應聘者的姓名、性別、聯系方式、學歷、工作經驗等個人信息。但是，由于企業尚未與應聘者簽署勞動合同，所以此時個人信息保護法第十三條第一款第

99、二項規定的“為按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需的情形”并不能作為收集個人信息的合法性依據。因此，在這種情形下，處理個人信息數據出境合規實務 50 問實踐篇 44 的合法性基礎為個人信息保護法第十三條第一款第一項下的“取得個人的同意”。企業應首先告知應聘者處理其個人信息的目的，并在依法獲得個人信息主體的明確授權（包括單獨同意）后，方可進行收集、向境外提供個人信息等一系列處理活動。2.員工數據出境員工數據出境 在公司人力資源管理的過程中，可能被認定涉及數據出境的典型場景如下：a)HR 等相關人員通過郵件或特定形式定期向境外主體傳輸員工數據等相關人員通過郵件或特定

100、形式定期向境外主體傳輸員工數據（圖（圖 13）圖 13 b)HR 等相關人員在境內系統上傳員工數據，境外主體于境外遠程訪等相關人員在境內系統上傳員工數據，境外主體于境外遠程訪問或境外員工出差至境內訪問該境內系統（圖問或境外員工出差至境內訪問該境內系統（圖 14）圖 14 c)境外主體直接通過全球人力資源管理系統收集境內員工數據（圖境外主體直接通過全球人力資源管理系統收集境內員工數據（圖15）圖 15 數據出境合規實務 50 問實踐篇 45 3.業務數據出境場景業務數據出境場景 業務活動開展過程中可能涉及的數據出境場景主要包括三種：一是境內企業通過 ToB 和 ToC 業務收集用戶個人信息，并將

101、個人信息傳輸至境外或者允許境外訪問存儲在境內的數據；二是企業應境外總部要求將自身運營過程中產生的數據（比如生產、技術、經營業務數據、重要/核心數據等）直接存儲在部署于海外的服務器上，或者存儲在境內服務器上但允許境外主體查詢、調取、下載、導出存儲于境內服務器的上述數據；三是設立在中國境外的企業直接收集境內用戶的個人信息（如圖 16）。圖 16 值得注意的是，在以上場景中，企業均有可能引入第三方供應商并委托其處理數據（比如引入薪酬管理機構處理員工個人信息），此時企業仍是跨境傳輸場景中的數據處理者/數據提供方，而供應商僅為受托方或技術提供方。二十四、二十四、如何準確識別跨境傳輸數據的類型？如何準確識

102、別跨境傳輸數據的類型？在實踐中，企業往往會遇到難以識別個人信息、敏感個人信息、重要數據的問題。（一）個人信息的識別（一）個人信息的識別 個人信息保護法與網絡安全法均明確了個人信息的概念，其判斷數據出境合規實務 50 問實踐篇 46 的標準主要在于信息是否“已識別”或“可識別”自然人個人身份。但是，經過匿名化處理過的信息則不屬于個人信息16。企業通常對個人信息進行去標識化或匿名化處理。需要注意的是，雖然經匿名化處理的個人信息因無法再識別到個人而不再是個人信息，但是經去標識化處理的個人信息若在借助額外信息的情況下可以再次識別到個人，則仍屬于個人信息。例如，企業曾向境外接收方傳輸用戶的手機號碼、地址

103、、姓名等完整字段，境外接收方也在其數據庫中對這些字段進行了保留。在這種情況下，即使出境方企業在本次數據傳輸中使用了去標識化措施，境外接收方仍可以通過撞庫或者用戶 ID 映射的方式將這些信息識別到具體個人。此時，出境后的數據依然保留了個人信息的屬性，應當被認為屬于個人信息出境。（二）敏感個人信息的識別（二）敏感個人信息的識別 根據個人信息保護法，敏感個人信息是指一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息以及不滿十四周歲未成年人的個人信息17。相較于個人信息，敏感個人信息遭到損害后

104、會造成更為嚴重的影響。GB/T 35273-2020信息安全技術 個人信息安全規范在附錄 B 列舉了部分敏感個人信息類型，為企業合規實踐提供了指引。但是，在實踐中，許多企業對經過去標識化處理后的敏感個人信息是否還應被視為敏感個人信息存在疑問。根據向省級網信辦等監管部門咨詢的結果，如果去標識化處理能夠改變敏感個人信息的性質，那么經該等處理后的個人信息不再屬于敏感個人信息。換言之，如果經過去標識化處理的敏感個人信息被泄露或者非法使用，且泄露和非法使用不會導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害，那么經過去標識化處理的“敏感個人信息”不再屬于敏感個人信息。（三）重要數據的識別（三）重要

105、數據的識別（具體內容請見上篇：基礎篇“十五、識別重要數據的法律法規依據有 16 個人信息保護法第四條；網絡安全法第七十六條。17 個人信息保護法第二十八條。數據出境合規實務 50 問實踐篇 47 哪些？”部分）二十五、二十五、如何正確盤點跨境傳輸數據的數量？如何正確盤點跨境傳輸數據的數量？在盤點跨境傳輸數據的數量時，企業可關注以下要點：（一）在空間維度方面（一）在空間維度方面 在跨境流動規定發布實施前，統計跨境傳輸數據的數量時應全面考慮數據處理流程中所涉及的相關方。例如，除公司收集的用戶個人信息外，企業內部員工及客戶、供應商等商務聯系人的信息均屬于個人信息，適用數據出境的一般規則。因此，企業在

106、統計個人信息數量時，尤其在判斷是否達到了數據出境安全評估的門檻時，不僅需要計入 C 端用戶數量，也應計入內部員工及客戶、供應商等 B 端聯系人的數量。但根據跨境流動規定第七條第二款和第八條第二款以及答記者問可推知，目前企業在統計跨境傳輸數據的數量是否達到適用數據出境制度的門檻條件前，應先評估是否屬于跨境流動規定提出的豁免情形，即（1）國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷等活動中收集和產生的不含個人信息和重要數據的數據向境外提供；（2）境外個人信息在我國處理且沒有境內個人信息或者重要數據參與時，其后續向境外提供；（3）為訂立、履行個人作為一方當事人的合同確需向境外提供個人信息；（

107、4）按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理確需向境外提供員工個人信息；（5）緊急情況下為保護自然人的生命健康和財產安全確需向境外提供個人信息；（6）關鍵信息基礎設施運營者以外的數據處理者自當年 1 月 1 日起累計向境外提供不滿 10 萬人個人信息且不含敏感個人信息；（7）自由貿易試驗區內數據處理者向境外提供負面清單外的數據。如果屬于以上除了第（6）項以外的豁免情形，則不需要再計入累計數量。同時，答記者問 數據出境安全評估申報書（模板）等進一步明確：（i）在盤點跨境傳輸的個人信息數量時，應以自以自然然人人為單位去重后的統計結果為準為單位去重后的統計結果為準；（ii）

108、對于境外接收方數量眾多、范圍不確境外接收方數量眾多、范圍不確數據出境合規實務 50 問實踐篇 48 定、無法逐一列舉定、無法逐一列舉的，可以在申報時提供統計數據統計數據（關于此項要求的實際操作方式還有待監管部門提供更為詳細的解釋說明）。此外，統計跨境數據數量時，除從境內傳輸數據至境外這一場景，境外訪問境內運營中收集的數據也屬于數據跨境傳輸的場景之一（具體內容請見下篇：實踐篇“一、如何準確識別數據跨境傳輸場景？”部分），其涉及的數據量也應算入跨境傳輸的數據總量中。例如，境外員工訪問國內數據庫以及外籍員工出差到中國訪問境內數據庫等場景下涉及的數據量也應算入出境數據總量進行評估。數據出境申報者可以考

109、慮通過網絡流量監測的方式，對數據出境行為進行檢測，檢測、記錄跨境數據傳輸的方式、跨境數據傳輸目的 IP、通過 IP地址庫識別從境內傳輸數據至境外或境外訪問境內數據的數量。根據咨詢監管機構的結果，境外數據處理者訪問境內數據這一情形的數據數量應以境外處理者可訪問的數據數量計算。（二）在時間維度方面（二）在時間維度方面 評估辦法和標準合同辦法在計算出境數據數量時以“自上年 1月 1日起”為計算起始時間點，統計企業自上年 1 月 1 日起累計向境外提供的個人信息/敏感個人信息數量?？缇沉鲃右幎òl布實施后，不再談論上一年度累計個人信息出境數量問題，而是以“當年 1 月 1 日”起為基準、計算至申報數據出

110、境安全評估之日。雖然兩種統計方式都是以企業歷史以往對外傳輸數據量為判斷標準，但后者縮短了計算出境數據數量的時間周期，一定程度上提高了適用數據出境制度的門檻條件。此外，需要注意的是，數據出境風險自評估報告（模板）還要求涉及個人信息出境的數據處理者，不僅需要在自評估報告中按照自然人（去重）統計當年的出境數量當年的出境數量，還需預估未來預估未來 3 年的出境數量年的出境數量。二十六、二十六、如何確定落實數據跨境傳輸合規措施的內部牽頭部門？如何確定落實數據跨境傳輸合規措施的內部牽頭部門？企業在落實數據跨境傳輸合規措施時，可能會需要法務、信息安全與安全運維、審計內控、人力資源等多個部門聯動配合。數據出境

111、合規實務 50 問實踐篇 49 其中，法務部門通常負責協助相關部門識別在業務開展過程中涉及的各種數據類型，梳理各種類型數據的境內外傳輸鏈路，確定企業與合作伙伴、供應商等不同角色間的數據處理關系（如委托處理或者共享）等工作。信息安全與安全運維部門通常負責梳理數據出境安全操作流程、建立數據安全管理制度以及制定數據出境安全事件應急預案、安排相關應急演練等工作。審計內控部門通常負責對上述部門制定的數據出境相關安全策略、管理制度、出境操作流程以及安全措施等的充分性和有效性進行審計工作。此外，根據數據出境場景的差異，數據出境合規工作也可能會需要人力資源部門或其他業務部門的參與和配合。因此，企業在開展數據跨

112、境傳輸合規工作時可以決定由某特定部門/團隊擔任牽頭部門的角色。由于牽頭部門需要制定和實施有效的數據跨境傳輸合規措施并對各相關部門進行統籌協調，故該部門應具備足夠的專業能力和資源，包括法律、技術、風險管理等方面的專業知識和綜合經驗。實踐中，一般由企業的法務部門擔任牽頭部門的角色，并聘請第三方咨詢機構（如律所等）進行協助并提供建議，確保數據出境各環節合法合規。二十七、二十七、如何確定數據出境安全評估的申報主體？如何確定數據出境安全評估的申報主體？根據評估辦法第二條，數據出境安全評估的申報主體為向境外提供在中華人民共和國境內運營中收集和產生的重要數據和個人信息的數據處理者。值得注意的是，根據評估申報

113、指南（第二版）和標準合同備案指南（第二版）規定，未在中國境內設立辦事機構或分支機構的境外主體如果向境內自然人提供產品服務，構成在境外處理中國境內自然人個人信息的情況，那么當其符合法定需要申報數據出境安全評估的情形時，也應遵守評估辦法的規定?？紤]到個人信息保護法第五十三條提出，“以向境內自然人提供產品或者服務為目的或分析、評估境內自然人行為的境外個人信息處理者應當在中華人民共和國境內設立專門機構或者指定代表，負責處理個人信息保護相關事務，并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保數據出境合規實務 50 問實踐篇 50 護職責的部門”。因此，對于數據處理者從境外直接獲取境內的重

114、要數據和個人信息且達到申報標準的情況，該數據處理者應由國內指定機構代其進行申報。此外，在實踐中，企業通常會委托第三方供應商代為處理企業數據，并認為可以由該供應商代為申報數據出境安全評估。但對此不可一概而論若第三方供應商僅按照企業委托的數據處理目的和數據處理范圍進行數據處理，則第三方供應商在此時承擔“代理人”而不是數據處理者的角色，因此不能擔任數據出境安全評估的申報主體。二十八、二十八、如何把握數據出境安全評估的申報時間？如何把握數據出境安全評估的申報時間？考慮到申報數據出境安全評估提交材料的多樣性以及整體申報流程的復雜性，企業在規劃數據出境安全評估申報的時間表時，應當為材料準備階段以及材料審核

115、階段預留出充分的時間。首先，企業應當為開展自評估和合規整改工作預留出充分的時間。在數據出境安全評估的申報過程中，企業往往需要提交一系列材料，包括數據出境風險自評估報告、數據出境安全評估申報書以及與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件等18?？紤]到數據出境風險自評估工作往往會涉及多個部門的協調溝通并且需要進行一定程度的合規整改（如完善公司內部制度或者對已簽署的數據處理協議進行修訂等），所以企業無論是自行還是委托第三方機構開展數據出境風險自評估工作都需要耗費大量的時間，需要根據自身的數據合規情況為此部分的準備工作提前做好時間上的安排。但是，同時提示企業注意，數據出境風險自評

116、估活動應當在數據出境安全評估申報前3 個月內完成19。所以，提前部署數據出境安全合規工作的企業在提交申報之前還需要關注自評估活動的完成日期，如果自評估報告的完成時間距離提交數據出境安全評估申報的時間已經超過 3 個月，還應重新進行自評估并更新報告的內容。18 評估辦法第六條；評估申報指南（第二版）第三條。19 評估申報指南（第二版）附件 4數據出境風險自評估報告（模版）。數據出境合規實務 50 問實踐篇 51 其次，企業也應為材料提交后的審查階段預留出充分的時間。如前文所述，數據出境安全評估申報的整體時長為 57+N 天（N 代表補充材料審核時間）；如涉及復評的，則為 72+N 天（具體內容請

117、見上篇：基礎篇“六、數據出境安全評估的流程是怎樣的？”部分）。在實際申報中，企業可能需要根據網信部門的要求多次對申報材料進行修改、完善以及補充。由于法律法規未對補充材料審核期限（即上述 57+N/72+N 天中的 N 天）作出限制，所以申報實際所需的時間可能遠超過 57天或者 72 天。因此，有需求的企業應提前對數據出境安全評估申報進行規劃，綜合考慮自身開展自評估和合規整改工作可能耗費的時長并預留網信辦審查階段的時間，避免因數據出境安全評估申報的原因耽誤數據出境相關業務的合法合規開展。二十九、二十九、符合條件的企業應當向哪個符合條件的企業應當向哪個/些機構申請數據出境安全評些機構申請數據出境安

118、全評估？估？根據評估申報指南（第二版）的規定，適用線上申報方式的數據處理者應當通過數據出境申報系統提交材料；而適用線下方式進行申報的數據處理者應通過所在地省級網信部門向國家網信部門申報數據出境安全評估。（具體內容請見上篇：基礎篇“六、數據出境安全評估的流程是怎樣的？”部分）我們同時以附件的方式列明了國家及各地省級網信部門數據出境安全評估申報通道，便于企業咨詢了解申報工作的相關要求。（具體內容請見“附件一、國家及各地省級網信部門聯系方式”部分）三十、三十、如何開展個人信息保護影響評估？如何開展個人信息保護影響評估？在跨境傳輸數據之前，企業需要根據自身業務情況依法評估數據出境的安全風險，并采取相應

119、的安全保障機制，這對于數據跨境傳輸合法合規至關重要。出境合規流程的第一步是開展個人信息保護影響評估（下稱 PIA），自行組數據出境合規實務 50 問實踐篇 52 織評估數據出境的安全風險。根據個人信息保護法第五十五條的規定，企業作為個人信息處理者，只要存在“向境外提供個人信息”的情況就應當事前進行 PIA，標準合同辦法第五條也重申了這一要求。同時，標準合同辦法第七條規定，如果企業以個人信息出境標準合同作為個人信息出境的合規路徑，則需要同步提交 PIA 報告。標準合同備案指南（第二版）附件 3 進一步要求企業提交的 PIA 報告應當在個人信息出境標準合同備案之日前 3 個月內完成，且至備案之日未

120、發生重大變化。綜合來看，企業應參考個人信息保護法第五十六條、GB/T 39335-2020信息安全技術 個人信息安全影響評估指南 標準合同辦法以及標準合同備案指南（第二版）的相應內容準備 PIA 報告。其中，標準合同備案指南（第二版）附件 5個人信息保護影響評估報告（模板）明確規定，用于個人信息出境標準合同備案的 PIA 報告應嚴格按照模板撰寫，具體包含以下內容：1.出境活動整體情況：個人信息處理者基本情況，包括個人信息處理者基本情況簡介、整體業務與處理個人信息情況、擬出境個人信息情況以及遵守個人信息保護相關法律法規的情況；境外接收方情況，包括境外接收方基本情況、境外接收方處理個人信息的用途和

121、方式、境外接收方履行責任義務的管理和技術措施、能力等；個人信息處理者認為需要說明的其他情況。2.擬出境活動的影響評估情況及結論：根據標準合同辦法第五條規定的以下評估事項，說明個人信息保護影響評估情況，重點說明評估發現的問題和整改情況重點說明評估發現的問題和整改情況，并對個人信息出境活動作出客觀的影響評估結論，充分說明得出評估結論的理由和論據：個人信息處理者和境外接收方處理個人信息的目的、范圍、方式等的合法性、正當性、必要性；數據出境合規實務 50 問實踐篇 53 出境個人信息的規模、范圍、種類、敏感程度，個人信息出境可能對個人信息權益帶來的風險；境外接收方承諾承擔的義務，以及履行義務的管理和技

122、術措施、能力等能否保障出境個人信息的安全；個人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風險，個人信息權益維護的渠道是否通暢等；境外接收方所在國家或者地區的個人信息保護政策和法規對標準合同履行的影響；其他可能影響個人信息出境安全的事項。三十一、三十一、如何開展數據出境風險自評估？如何開展數據出境風險自評估？除 PIA 之外，當企業符合需要向網信部門申報數據出境安全評估的情形時，企業還應當組織開展數據出境風險自評估，作為申報的前置程序。評估申報指南（第二版）附件 4數據出境風險自評估報告（模版）明確規定自評估報告應當嚴格按照模版撰寫，包含以下內容：1.自評估工作情況；2.出境活動整體情況

123、：數據處理者基本情況，包括基本情況簡介、組織架構和數據安全管理機構信息、整體業務與數據資產情況；擬出境數據情況，包括數據出境涉及業務、數據資產等情況、數據出境及境外接收方處理數據的目的、范圍、方式，及其合法性、正當性、必要性、按照申報業務場景梳理對應的出境數據項情況、擬出境數據在境內存儲的系統平臺、數據中心（包含云服務）等情況，數據出境鏈路相關情況，計劃出境后存儲的系統平臺、數據中心等、數據出境后向境外其他接收方提供的情況、涉及個人數據出境合規實務 50 問實踐篇 54 信息的，按照自然人（去重）統計當年的出境數量，預估未來 3 年的出境數量；數據處理者數據安全保障能力情況，包括數據安全管理能

124、力、數據安全技術能力、數據安全保障措施有效性證明、遵守數據和網絡安全相關法律法規的情況；境外接收方情況，包括境外接收方基本情況、境外接收方處理數據的用途、方式等、境外接收方履行責任義務的管理和技術措施、能力等；法律文件約定數據安全保護責任義務的情況，包括數據出境的目的、方式和數據范圍，境外接收方處理數據的用途、方式等、數據在境外保存地點、期限，以及達到保存期限、完成約定目的或者法律文件終止后出境數據的處理措施、對于境外接收方將出境數據再轉移給其他組織、個人的約束性要求、境外接收方在實際控制權或者經營范圍發生實質性變化，或者所在國家、地區數據安全保護政策法規和網絡安全環境發生變化，以及發生其他不

125、可抗力情形，導致難以保障數據安全時，應當采取的安全措施、違反法律文件約定的數據安全保護義務的補救措施、違約責任和爭議解決方式、出境數據遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用時，妥善開展應急處置的要求和保障個人維護其個人信息權益的途徑和方式；數據處理者認為需要說明的其他情況。3.出境活動的風險自評估情況及結論：對照評估辦法第五條規定的如下評估事項，說明數據出境風險自評估情況，重點說明自評估發現的問題和整改情況重點說明自評估發現的問題和整改情況，對擬申報的數據出境活動作出客觀的風險自評估結論，充分說明得出自評估結論的理由：數據出境和境外接收方處理數據的目的、范圍、方式等的合法性、

126、數據出境合規實務 50 問實踐篇 55 正當性、必要性；出境數據的規模、范圍、種類、敏感程度，數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險；境外接收方承諾承擔的責任義務，以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全；數據出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險，個人信息權益維護的渠道是否通暢等；與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件等是否充分約定了數據安全保護責任義務；其他可能影響數據出境安全的事項。三十二、三十二、數據跨境傳輸場景下的數據跨境傳輸場景下的 PIAPIA 與數據出境風險自評估是一

127、回與數據出境風險自評估是一回事嗎？事嗎？PIA與數據出境風險自評估并不相同。PIA是個人信息保護法第五十五條明確提出要求企業在向境外提供個人信息前應當開展的自評估工作，而數據出境風險自評估則是評估辦法第五條提出的要求符合數據出境安全評估申報情形的企業在申報前應當開展的自評估工作。換言之，如果企業擬向境外提供個人信息尚未達到評估辦法和跨境流動規定規定的申報門檻，則企業僅需要完成 PIA，并在準備采取相應的數據出境制度（如簽訂和備案標準合同或進行個人信息保護認證）后即可向境外傳輸個人信息。但是，如果企業符合須開展數據出境安全評估申報的情形（具體內容請見上篇：基礎篇“五、哪些情況下需要申報數據出境安

128、全評估？”部分），則企業開展 PIA的同時還需要進行數據出境風險自評估。將 PIA 的評估事項與數據出境風險自評估進行比較可以發現，這兩者存在一定的異同。數據出境合規實務 50 問實踐篇 56 PIA 數據出境風險自評估數據出境風險自評估 個人信息保護法第五十六條：個人信息保護法第五十六條：個人信息保護影響評估應當包括下列內容：（一）個人信息的處理目的、處理方式等是否合法、正當、必要；（二）對個人權益的影響及安全風險；（三）所采取的保護措施是否合法、有效并與風險程度相適應。評估辦法第五條：評估辦法第五條：數據處理者在申報數據出境安全評估前，應當開展數據出境風險自評估，重點評估以下事項：（一）數

129、據出境和境外接收方處理數據的目的、范圍、方式等的合法性、正當性、必要性；（二）出境數據的規模、范圍、種類、敏感程度，數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險；（三）境外接收方承諾承擔的責任義務，以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全；（四）數據出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險，個人信息權益維護的渠道是否通暢等；（五）與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件等是否充分約定了數據安全保護責任義務；（六）其他可能影響數據出境安全的事項。從關注重點來看，PIA 落腳于保障個人信息主體權益

130、，包括個人信息處理活動是否正當、合法、必要以及是否采取了安全保護措施等。而數據出境風險自評估則更注重數據出境活動對國家安全、公共利益、個人或組織合法權益帶來的風險。數據出境合規實務 50 問實踐篇 57 從內容上講，數據出境風險自評估的范圍大于 PIA。數據風險自評估除包括了 PIA 的評估內容，還增加了判斷數據出境相關合同或者其他具有法律效力的文件等是否充分約定了數據安全保護責任義務等內容?？傮w而言，在個人信息出境場景下，盡管數據出境風險自評估與 PIA 報告的關注點有所不同，但是兩者的目標和基本評估內容是相近的，都需要對個人信息出境活動進行分析和評估，篩選出潛在的漏洞和風險，并判斷所采取的

131、保護措施是否能夠保證個人信息的安全。在實踐中，PIA 往往可以與針對個人信息的數據出境風險自評估合并完成，企業無需評估兩次而可以在 PIA 內容的基礎上進一步補充評估、完成數據出境風險自評估要求。但需要注意，評估申報指南（第二版）要求數據出境風險自評估報告嚴格按照模板撰寫，所以企業在基于 PIA 內容補充評估時，應同時確保對標模板要求產出自評估報告。另外，PIA 報告和處理情況記錄應當至少保存三年。如果企業將 PIA 報告和數據出境風險自評估報告合并完成，則需要將該報告至少保存三年。三十三、三十三、如何評估數據處理者和境外接收方的技術和制度措施是否如何評估數據處理者和境外接收方的技術和制度措施

132、是否充分？充分？根據評估辦法第五條以及評估申報指南（第二版）附件 4數據出境風險自評估報告（模版），數據處理者在申報數據出境安全評估前，應當開展數據出境風險自評估，除了評估數據處理者自身的數據安全保障能力以外，還應將境外接收方“履行責任義務的管理和技術措施、能力等能否保障出境數據的安全”也列為重點評估事項。由此可見，正確對數據安全保障能力進行評估對企業完成數據出境至關重要，而如何正確、充分地評估數據安全保障能力往往是企業在開展數據出境風險自評估時的痛點。以下我們將以評估數據處理者的數據安全保障能力為例詳細展開介紹。評估申報指南（第二版）附件 4數據出境風險自評估報告（模版）中列舉了評估數據處理

133、者的數據安全保障能力所應包含的內容：數據出境合規實務 50 問實踐篇 58 1.數據安全管理能力，包括管理組織體系和制度建設情況，全流程管理、分類分級、應急處置、風險評估、個人信息權益保護等制度及落實情況（涉及個人信息出境的，需額外向網信辦提供履行個人信息保護法第三十九條規定的情況說明及佐證材料，包括告知義務和取得個告知義務和取得個人的單獨同意人的單獨同意等，若企業在擁有個人信息保護法下豁免同意場景涉及的合法基礎的前提下，不需取得個人同意不需取得個人同意）；2.數據安全技術能力，包括數據收集、存儲、使用、加工、傳輸、提供、公開、刪除等全流程所采取的安全技術措施等；3.數據安全保障措施有效性證明

134、，例如開展的數據安全風險評估、數據安全認證、數據安全檢查測評、數據安全合規審計、網絡安全等級保護測評等情況；4.遵守數據和網絡安全相關法律法規的情況（如涉及受到行政處罰和監管整改的，可額外向網信辦提供證明整改完成的相關佐證材料）。對于以上評估內容，根據與監管機構的咨詢來看，監管機構在進行材料審查時會對企業內部相關制度和數據傳輸過程中的安全技術進行綜合審查。理論上來說，上述內容也均需要在企業提交的數據出境風險自評估報告中有所體現。監管機構表示企業提交的總結評估的內容越詳細，越有助于監管機構正確評價企業的數據安全保障能力。在實踐中，一般著重從管理制度保障能力與技術手段保障能力兩個方面對企業的“數據

135、安全保障能力”進行評估：（一）管理制度保障能力（一）管理制度保障能力 企業應當根據相關法律法規詳細描述數據安全有關的管理組織體系和制度建設情況20，例如企業內部的安全管理、人員管理、合同約束、審計機制、應急處理、個人信息權益保護等制度及落實情況21。一般來說，此部分的安全保障能力評估工作需要法務、安全、技術、審計等部門共同協作完成。20 包括但不限于數據安全法 網安條例（征）評估辦法 評估申報指南（第二版）。21 可參考閱讀孟潔律師團隊著環球評論|數據出境合規指引之二依規開展數據出境安全評估，https:/ 數據出境合規實務 50 問實踐篇 59（二）技術手段保障能力（二）技術手段保障能力 企

136、業應當具備總體安全防護技術手段和數據安全技術防護體系以保障所傳輸數據的保密性、完整性和可用性。企業應在評估事項中詳細描述所采取的安全措施、所具備的數據安全事件的預防、檢測及響應能力、數據傳輸過程中實施身份鑒別和訪問控制的能力、保留數據發送日志的能力以及對數據發送、傳輸、銷毀等各階段進行審計的能力等22。由于簡單的書面文件審查無法對上述技術手段進行全方面的測評，建議企業在實際開展自評估時咨詢相關領域技術專家的意見，對技術手段保障能力進行充分的評估并獲取專業意見。除這兩方面的評估說明外，企業仍需提供數據安全保障措施有效性證明，例如開展的數據安全風險評估、數據安全認證、數據安全檢查測評、數據安全合規

137、審計、網絡安全等級保護測評、ISO 認證等情況23，進一步證實其整體的數據安全保障能力。根據咨詢監管機構的結果，企業在對境外接收方的數據安全保障能力進行評估時應與對數據處理者的數據安全保障能力進行評估時的維度一致，不因數據接收方為境外主體而有任何的變化。監管機構也表示，在進行材料審查時，也會依據境外接收方的數據管理制度及數據處理的安全技術措施來判斷數據出境的風險情況。三十四、三十四、如何評估境外接收方法律與政策環境完善程度？如何評估境外接收方法律與政策環境完善程度？盡管根據網信辦發布的數據出境風險自評估報告（模板）個人信息保護影響評估報告（模板），企業已無需在進行數據出境風險自評估或 PIA

138、時評估境外接收方所在國家或地區個人信息保護政策法規情況，減輕了企業所需承擔的合規負擔。但需要注意的是，即使企業無需在數據出境風險自評估報告或備案的 PIA 報告中說明此項內容，根據國家網信辦制定的個人信息出境標準 22 具體合規義務可參考評估辦法 評估申報指南（第二版）。23評估申報指南（第二版）附件 4數據出境風險自評估報告（模板）。數據出境合規實務 50 問實踐篇 60 合同第四條的要求，企業仍應評估境外接收方所在國家或者地區的個人信息保護政策和法規是否會影響其履行合同約定的義務，并記錄評估過程與結果。同時，評估辦法第八條要求網信部門在進行數據出境安全評估時，應考慮“境外接收方所在國家或者

139、地區的數據安全保護政策法規和網絡安全環境對出境數據安全的影響”。由此可以看出，境外接收方法律與政策環境完善程度仍是值得企業關注的風險評估項。故建議企業在向境外提供數據前，事先評估境外接收方所在國家或區域的法律與政策環境，以判斷數據出境活動可能存在的安全風險。根據評估辦法 認證規范 V2.0 安全評估指南（征）跨境認證要求（征）等規定，在評估境外接收方法律與政策環境完善程度時應包含以下幾項內容：1.境外接收方所在國家或者地區的數據安全保護政策法規和網絡安全環境對出境數據安全的影響；2.境外接收方的數據保護水平是否達到中國法律、行政法規的規定和強制性國家標準的要求；3.境外接收方所在國家或者地區的

140、個人信息保護政策法規對履行個人信息保護義務和保障個人信息權益的影響，具體包括：境外接收方此前類似的個人信息跨境傳輸和處理相關經驗、境外接收方是否曾發生數據安全相關事件及是否進行了及時有效地處置、境外接收方是否曾收到其所在國家或者地區公共機關要求其提供個人信息的請求及境外接收方應對的情況；該國家或地區現行的個人信息保護法律法規及普遍適用的標準情況，以及與我國個人信息保護相關法律法規、標準情況的差異；該國家或地區加入的區域或全球性的個人信息保護方面的組織，以及所做出的具有約束力的國際承諾；該國家或地區落實個人信息保護的機制，如是否具備負責個人信息保護的監督執法機構和相關司法機構等。數據出境合規實務

141、 50 問實踐篇 61 4.針對重要數據境外接收方所在國家或者地區的法律與政策環境，可評估：該國家或地區在數據安全方面現行的法律法規及普遍適用的標準情況；該國家或地區主管數據安全的執法機構和相關司法機構等；該國家或地區的執法機構、司法機構等部門調取數據的權力和法律程序；該國家或地區與其他國家或地區之間是否締結有關數據流通、共享等方面的雙邊或多邊協定，包括在執法、監管等方面數據流通、共享的雙多邊協定。以“高、中、低”三個等級評判個人信息接收方所在國家或地區的法律政策環境保障能力則可參考下表標準24：高等級高等級 中等級中等級 低等級低等級 個人信息保護方面的法律法規較為成熟且已形成體系化，廣泛使

142、用了標準作為法律法規的補充，保障了個人信息主體的各項權利，有專 門 個人信息保護 機構，同時具備完備、有效、多層次的救濟 渠道。個人信息保護方面的法律法規標準基本齊備，保障了個人信息主體的部分權利，有個人信息保護相關負責 部門，具備相應的行政、司法救濟渠道。個人信息保護方面的法律法規標準欠缺或不完備，個人僅能通過司法救濟渠道 維護 權利。以“高、中、低”三個等級評判重要數據接收方所在國家或地區的法律政 24 安全評估指南（征）附錄 B.3.3.1。數據出境合規實務 50 問實踐篇 62 策環境保障能力則可參考下表標準25：高等級高等級 中等級中等級 低等級低等級 網絡安全或數據安全 方 面的法

143、律法規 完備，主管或監管部門具備較強的監督和執法能力，數據安全事件發生后具備有效的追責和監督機制。執法機構和司法機構調取數據的權力受法律的約束，且做到了公開透明，近期不存在相關的負面案例。網絡安全或數據安全方面的法律法規標準基本完備，主管或監管框架初步成型，對數據安全事件主要依靠行政監督，執法機構和司法機構調取數據需要遵循一定的程序。網絡安全或數據安全方面的法律法規標準欠缺或不完備，主管或監管部門不清晰或缺乏相應能力，缺乏在數據安全事件發生后有效追責的機制。執法機構和司法機構調取數據的權力基本不受約束，或近期存在相關的 負面 案例。同時，由于對境外接收方法律政策環境進行評估需要評估人員對當地的

144、相關政策、法律、文化、社會等各方面具有充分的理解。因此，在具體評估實踐中，企業需要與境外接收方密切聯系，并建議聘請律師或其他跨國服務機構協助，以實現全面、深入的有效評估。三十五、三十五、歐盟是如何對法律政策環境進行評估的？歐盟是如何對法律政策環境進行評估的？我國對于如何評估數據接收方所在法律政策環境尚無明確詳細的指引，故在實踐中，為了進一步提升合規水平，企業也可同步參考在數據隱私保護法治方面領先的歐盟標準。在歐盟法院于 2020年 7月作出 Schrems II案件的判決后26，為保證境外接收方可以達到與歐盟同等的個人數據保護水平，歐盟數據保護委員會（EDPB）25 安全評估指南（征）附錄 B

145、.3.3.2。26 本案中，歐盟法院否定了“美國-歐盟隱私盾”數據傳輸機制的有效性，因為在此機制下，境外接收方（美國）未能提供與歐盟實質性相同的數據保護水平。數據出境合規實務 50 問實踐篇 63 于同年 11 月發布了關于補充傳輸機制以確保遵守歐盟個人數據保護水平的建議（Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data）及針對監控措施的關于歐盟重要保障的建議（Recomm

146、endations 02/2020 on the European Essential Guarantees for surveillance measures）27，就開展數據跨境傳輸評估（DTIA）提供指引，尤其強調要對第三國的數據保護法律或實踐進行評估。在評估境外接收方所在第三國法律環境時，歐盟數據保護委員會明確了四項“歐盟重要保障”，要求相關方必須遵守該等四項保障以確保對隱私權和個人數據的保護符合歐盟法院及歐洲人權法院的判例所要求的標準。當數據提供方評估第三方國家是否具備與歐盟基本相同的數據保護標準時，數據提供方應評估第三方國家賦予政府訪問和要求披露數據的權力的法律是否滿足上述“歐盟重

147、要保障”要求，具體包括：1.應當基于清晰、準確和公開的規則處理數據：此處除了評估境外接收方第三國是否具有數據處理的法律基礎之外，還應當評估數據保護相關法律規定是否完整明確、是否穩定以及是否具有可預見性；2.所采取的措施必須是為了達到合理目的必要且適當的，并需要說明該措施的必要性和適當性：此處特別強調第三國的立法或執法機構基于維護國家或公共安全的目的對個人權利及自由的限制是否必要且適當；3.應當具備獨立的監督機制；4.數據主體應當獲得有效的救濟，包括行使數據主體權利、在權利受到損害時可以尋求司法及其他機構的救濟。綜合前述我國及歐盟法律法規的規定，企業在評估境外接收方所在國家或區域的法律與政策環境

148、時可以重點考慮對以下方面進行評估：1.法律體系。境外接收方所在地的個人信息保護、網絡安全或數據安全的法律法規和標準情況，以及和我國法律體系相比的差異；27 2021年 6 月，歐盟委員會更新發布關于補充傳輸機制以確保遵守歐盟個人數據保護水平的建議（2.0版）（Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data Version 2.0）。數據出境合規實務 50 問實踐篇 64

149、2.國際承諾。境外接收方所在地加入區域或全球性的數據保護組織、所作出具有拘束力的國際承諾的情況；3.落實機制。境外接收方所在地落實個人信息、網絡安全或數據安全保護的機制，如：是否具備負責相關的監督執法機構和司法機構、機構的獨立性、機構的監督執法能力、數據安全事件發生后是否具有有效的追責和監督機制；4.機構權力。境外接收方所在地的執法機構和司法機構等部門調取數據的權力和法律程序，權力是否受到有效的約束、是否能做到公開透明、近期是否存在相關的負面案例；境外接收方是否曾收到其所在地公共機關要求其提供個人信息請求及境外接收方應對的情況28；5.個人信息主體救濟途徑。境外接收方所在地是否保障了個人信息主

150、體的各項權利、是否有專門的個人信息保護機構、是否為個人信息主體提供了完備、有效、多層次的救濟渠道；6.國際協定。境外接收方所在地與其他國家或地區之間是否締結有關數據流通、共享等方面的雙邊或多邊協定，包括在執法、監管等方面數據流通、共享的雙多邊協定；7.境外接收方所在地在數據方面是否對中國采取歧視性的禁止、限制或其他類似措施等29。三十六、三十六、數據出境安全評估的有效期為多久？什么情況下需要再次數據出境安全評估的有效期為多久？什么情況下需要再次申請安全評估？申請安全評估？跨境流動規定第九條對數據出境安全評估結果的有效期進行了調整，從原先評估辦法規定的 2 年延長至 3 年，并從評估結果出具之日

151、起開始計算。此外，跨境流動規定增加了數據處理者申請延長評估結果有效期的規定。28 參見認證規范 V2.0第 5.4 條 e)1)項。29 參見蔡開明、阮東輝，簡析數據出境安全評估申報指南（第一版），2022年 9月。數據出境合規實務 50 問實踐篇 65 若數據處理者在有效期滿后仍需繼續開展數據出境活動，且未出現需要重新進行出境安全評估的情況，數據處理者可以在有效期屆滿前的 60 個工作日內，通過所在地的省級網信部門向國家網信部門提交延長評估結果有效期的申請。經國家網信部門的批準，評估結果的有效期將可再延長 3年。此外，評估辦法第十四條同時規定，在數據出境安全評估的結果有效期內出現以下情形之一

152、的，數據處理者應當重新申報評估：1.向境外提供數據的目的、方式、范圍、種類和境外接收方處理數據的用途、方式發生變化影響出境數據安全的，或延長個人信息和重要數據保存期限的；2.境外接收方所在國家或者地區數據安全保護政策和網絡安全環境發生變化以及發生其他不可抗力情形、數據處理者或者境外接收方實際控制權發生變化、數據處理者與境外接收方法律文件變更等影響數據出境安全的；3.出現影響數據出境安全的其他情形。三十七、三十七、什么情況下需要重新簽署個人信息出境標準合同并履行備什么情況下需要重新簽署個人信息出境標準合同并履行備案手續？案手續？標準合同辦法第八條和標準合同備案指南（第二版）規定了補充或者重新訂立

153、標準合同并履行備案手續的情形，包括：1.向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發生變化，或者延長個人信息境外保存期限的；2.境外接收方所在國家或者地區的個人信息保護政策和法規發生變化等可能影響個人信息權益的；3.可能影響個人信息權益的其他情形。數據出境合規實務 50 問實踐篇 66 值得注意的是，當出現上述情形時，個人信息處理者除需要補充或者重新訂立標準合同并備案外，還應當重新開展 PIA 并出具相應報告。三十八、三十八、在在訂立訂立監管機構發布的標準合同時是否可以對內容進行修監管機構發布的標準合同時是否可以對內容進行修改？改？標準

154、合同辦法第六條明確規定“標準合同應當嚴格按照本辦法附件訂立。國家網信部門可以根據實際情況對附件進行調整。個人信息處理者可以與境外接收方約定其他條款，但不得與標準合同相沖突?！币虼?，企業應嚴格按照網信部門提供的模板訂立標準合同，不得對其作出修改。但是，企業可以在標準合同附件中補充關于個人信息出境場景的具體信息。國家網信辦發布的個人信息出境標準合同也設置了“附錄二、雙方約定的其他條款”這一模塊，允許雙方以附錄的形式，在與標準合同不相沖突的前提下，約定其他條款安排。但是，企業需注意由于這些新增條款不得與標準合同條款相沖突，所以新增條款僅能起到“補充”作用（如對境外接收方采取的管理和技術措施細節等方面

155、作出具體約定等），不能對標準合同條款進行實質性調整（如不得削減個人信息主體的權益或者減少個人信息處理者/境外接收方的責任和義務等）。我們同時以附件的方式列明了國家及各地省級網信部門聯系方式，便于企業結合自身實際業務情況了解個人信息出境標準合同備案工作的最新相關要求。（具體內容請見“附件一、國家及各地省級網信部門聯系方式”部分）三十九、三十九、如果已與境外接收方簽署數據處理協議，是否可將標如果已與境外接收方簽署數據處理協議，是否可將標準合同作為其附件？準合同作為其附件？企業如果選擇以訂立并備案個人信息出境標準合同作為個人信息出境活動的合規路徑，那么即便已經與境外接收方簽署數據處理協議，也不能免數

156、據出境合規實務 50 問實踐篇 67 除企業個人信息出境標準合同的相關義務，其仍然應當嚴格按照國家網信辦發布的個人信息出境標準合同與境外接收方訂立標準合同，并將簽署生效后的標準合同通過數據出境申報系統備案。但是，企業可以將標準合同作為數據處理協議的附件，作為網信辦審查的輔助性支持材料。如果在形式上存在任何疑問，企業也可以通過“附件一、國家及各地省級網信部門聯系方式”與相關網信部門溝通，根據自身情況確認個人信息出境標準合同備案工作的具體要求。四十、四十、企業應當向哪個企業應當向哪個/些機構申請個人信息保護認證？些機構申請個人信息保護認證？認證公告指出“從事個人信息保護認證工作的認證機構應當經批準

157、后開展有關認證活動”。但是，相關法律法規并未明確公布依法取得認證機構資質的企業名錄。網安審認證和市監大數據中心在其官方網站發布公告30，即“網安審認證和市監大數據中心負責個人信息保護認證的具體實施工作”。網安審認證和市監大數據中心還在網站上發布了個人信息保護認證申請書模版，并上線了可辦理個 人 信 息 保 護 認 證 業 務 的“數 據 安 全 認 證 業 務 管 理 系 統”（https:/）。根據向網安審認證和市監大數據中心咨詢的結果以及國家網信辦于 2024 年 3 月 22 日發布的答記者問，企業在跨境傳輸個人信息時可以選擇通過“數據安全認證業務管理系統”中的“個人信息保護認證管理系統

158、”向網安審認證和市監大數據中心申請進行個人信息保護認證。30 https:/ 2024 年 3月 23日。數據出境合規實務 50 問實踐篇 68 四十一、四十一、如何正確應對國際爭議解決場景下取證所涉的數據跨境傳如何正確應對國際爭議解決場景下取證所涉的數據跨境傳輸？輸？在涉及國際爭議時，難免會發生境外司法機構要求境內企業向其提供企業存儲于境內的數據或個人信息作為證據材料的情況，這便會涉及到數據跨境傳輸問題。根據數據安全法第三十六條和個人信息保護法第四十一條的規定，企業向境外司法或者執法機構提供存儲于境內的數據或個人信息時，必須經中國主管機關的批準。2022年 6 月 24日，司法部在國際民商事

159、司法協助常見問題解答中強調，涉及到國際司法協助的，非經中國主管機關批準，境內的組織、個人不得向外國司法或者執法機構提供存儲于中國境內的數據或個人信息。對此，應由主管機關依據有關法律、中國締結或參與的國際條約和協定或者平等互惠原則來處理外國司法或者執法機構關于提供存儲于境內數據或個人信息的請求。在國際刑事領域，國家監察委員會、最高人民法院、最高人民檢察院、公安部、國家安全部等部門是開展刑事司法協助的主管機關。涉及國際刑事的司法協助將由以上部門依據中華人民共和國國際刑事協助法等法律及相關國際條約和協定進行處理。在國際民商事領域，司法部是開展民商事司法協助的主管機關。涉及民商事領域的司法協助將由司法

160、部根據海牙送達公約 海牙取證公約以及目前締結的 38 項中外雙邊司法協助條約的規定開展，或在司法途徑不適用的情形下，由外交部通過外交途徑開展。然而近些年來，在實踐中較為常見的是企業在境外的民事糾紛訴訟過程中，外國法院或其他司法機構未通過司法途徑或外交途徑，而是直接要求企業將其在境內的相關數據信息作為證據材料提交。根據司法部司法協助中心對于相關咨詢問題的答復，無論是企業應境外司法機構的要求被動提交證據，還是企業主動向境外司法機構提供證據，均需要向司法部司法協助中心申請批準。具體流程如下：1.申請書，應說明外國法院所涉案件的基本情況，外國法院對證據提交的要求等信息；數據出境合規實務 50 問實踐篇

161、 69 2.證據清單，應對擬提交的證據材料進行詳細說明，包括證據名稱、證明事項、與案件的關聯性、是否涉及國家安全、國家秘密、政府相關文件、商業秘密、個人信息等；3.自評估報告，即企業對擬提交證據材料的初步審核意見；4.法律評估報告，即企業法務部門或律師事務所對擬提交證據材料的法律意見。（注：自評估報告與法律評估報告均需明確所提交證據不包含國家秘密、所涉及商業秘密的部分已做遮擋處理、涉及個人信息的內容已取得個人單獨同意。）司法部司法協助中心在收到上述材料后，將會同最高人民法院、網信辦、提交申請的企業的業務主管部門（如工信部）等對擬出境的證據進行審核。審核時限通常為 1-2 個月，涉及重大復雜的案

162、件則為 2-4 個月。審核通過后，將會為提交申請的企業出具批文，企業可以據此辦理證據出境事宜。因此，企業在面臨上述情形時應當主動與司法部進行溝通，盡早了解相關流程以及所需提交的材料，并按要求準備材料、申請審批。防止因未能正確預估司法部等相關部門審核的時間及審批過程中出現的其他問題導致無法按時提交證據的情況發生。截至目前，在個人信息保護法和數據安全法生效后已經有不少企業根據上述流程向司法部提交審核申請并得到了批準。隨著中國對于數據安全的保護力度不斷增強，各主管機關也在不斷提高當事人申請的便捷程度與相關部門的審核效率。例如，涉及司法訴訟方面的數據出境將以司法部意見為準，將由司法部組織其他有關部門針

163、對企業提交的材料進行會簽，企業或無需再向網信部門進行申報。相比于企業自行分別聯系網信部門、業務主管部門等申請評估，這有助于節省企業的成本、提高數據作為證據的跨境流通效率。實踐中，我們也建議企業根據個案情況及時評估確定主管機關、盡早聯系主管機關進行提交材料、流程、時限等問題的確認以便依據最新監管要求統籌安排。數據出境合規實務 50 問實踐篇 70 四十二、四十二、我國我國粵港澳粵港澳大灣區大灣區個人信息出境標準合同個人信息出境標準合同如何如何簽署簽署和和備案？備案？大灣區標準合同是注冊于（適用于組織）/位于（適用于個人）粵港澳大灣區內地部分，或者香港特別行政區的個人信息處理者（就內地而言，是指在

164、個人信息處理活動中自主決定處理目的、處理方式的組織、個人；就香港特別行政區而言，亦涵蓋“資料使用者”，即就個人資料而言，指獨自或聯同其他人或與其他人共同控制該資料的收集、持有、處理或使用的人）及接收方（指自個人信息處理者處跨境接收個人信息的組織、個人）在進行個人信息跨境流動時訂立的合同。大灣區標準合同主要內容包括雙方的合同義務和責任、個人信息主體的權利和相關的救濟方法，以及合同解除、違約責任、爭議解決等事項。個人信息處理者通過訂立大灣區標準合同跨境提供個人信息前，應當開展個人信息保護影響評估，重點評估以下內容：（一）個人信息處理者和接收方處理個人信息的目的、方式等的合法性、正當性、必要性；（二

165、）對個人信息主體權益的影響及安全風險；（三）接收方承諾承擔的義務，以及履行義務的管理和技術措施、能力等能否保障跨境提供的個人信息安全。個人信息處理者可以與接收方約定其他條款，但不得與大灣區標準合同相沖突?？缇程峁﹤€人信息的目的、范圍、種類、方式，或者接收方處理個人信息的用途、方式發生變化，延長保存期限，以及發生影響或者可能影響個人信息權益其他情況的，個人信息處理者應當重新開展個人信息保護影響評估，補充或者重新訂立標準合同，并履行相應備案手續。訂立大灣區標準合同并生效后，個人信息處理者及接收方即可開展個人信息跨境活動。在合同生效之日起 10 個工作日內，個人信息處理者及接收方應按照屬地分別向廣東

166、省互聯網信息辦公室和政府資訊科技總監辦公室進行備案，提交備案所需文件。實踐中，廣東省網信辦不直接接收備案材料，個人信息處理者及接收方應先將備案材料電子版（正式掃描件 PDF版和WORD版，數據出境合規實務 50 問實踐篇 71 光盤）提交所在地級以上市互聯網信息辦公室，經材料完整性檢查后，由所在地級以上市互聯網信息辦公室送廣東省互聯網信息辦公室預審。電子版材料預審通過后，個人信息處理者及接收方送達紙質版材料（裝訂完整）并附帶電子版材料（光盤）至廣東省互聯網信息辦公室，電子版材料應當提供與紙質版材料一致的PDF掃描件和 WORD版。廣東省互聯網信息辦公室收到材料后，將按備案流程進行處理。大灣區標

167、準合同備案流程包括文件提交、檢查文件及回復備案結果、補充或者重新備案等。備案文件包括：法定代表人身份證明文件影印本；承諾書；及簽署版的大灣區標準合同。個人信息保護影響評估工作必須在大灣區標準合同備案之日前 3 個月內完成，且至備案之日未發生重大變化。與內地標準合同的備案要求相比，個人信息保護影響評估工作報告不需要提交備案。廣東省互聯網信息辦公室在收到紙質版材料后的 10 個工作日內完成材料查驗，并通知個人信息處理者備案結果。備案結果分為通過、不通過。通過備案的，廣東省互聯網信息辦公室向個人信息處理者發放備案編號；不通過備案的，個人信息處理者將收到備案未成功通知及原因，要求補充完善材料的，個人信

168、息處理者應當補充完善材料并于 10 個工作日內再次提交?？缇程峁﹤€人信息的目的、范圍、種類、方式，或者接收方處理個人信息的用途、方式發生變化，延長保存期限，以及發生影響或者可能影響個人信息權益其他情況的，個人信息處理者應當重新開展個人信息保護影響評估，補充或者重新訂立大灣區標準合同，并履行相應備案手續。個人信息處理者在標準合同有效期內補充訂立大灣區標準合同的，應當提交補充材料；重新訂立大灣區標準合同的，應當重新備案。補充或者重新備案的材料查驗時間為 10個工作日。四十三、四十三、上海自貿區有無數據及個人信息出境的便利監管措施？上海自貿區有無數據及個人信息出境的便利監管措施？基于跨境流動規定第六

169、條的規定，自由貿易試驗區可自行制定需要納入數據出境程序管理范圍的負面清單，且在負面清單以外的數據跨境傳輸可以數據出境合規實務 50 問實踐篇 72 豁免數據出境程序。上海自貿區即存在相關的數據出境便利政策，其主要基于上海市落實全面對接國際高標準經貿規則推進中國（上海）自由貿易試驗區高水平制度型開放總體方案的實施方案（滬府發20241 號，2024 年 02 月 03 日生效，“實施方案”）及中國（上海）自由貿易試驗區臨港新片區數據跨境流動分類分級管理辦法（試行）（滬自貿臨管規范20243號，2024年 02 月 08 日）。如前述，跨境流動規定提出了自貿區負面清單模式：自由貿易試驗區在國家數據

170、分類分級保護制度框架下，自行制定區內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數據清單（以下簡稱負面清單），經省級網絡安全和信息化委員會批準后，報國家網信部門、國家數據管理部門備案。自由貿易試驗區內數據處理者向境外提供負面清單外的數據，可以免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。實施方案提出上海自貿試驗區管委會、臨港新片區管委會按照數據分類分級保護制度，根據區內實際需求率先制定重要數據目錄；并通過在臨港新片區建立數據跨境服務中心等，便利數據處理者開展數據出境自評等數據出境安全合規工作。中國（上海）自由貿易試驗區臨港新片區數據跨境

171、流動分類分級管理辦法（試行）（“臨港辦法”）適用于在臨港新片區范圍內登記注冊的，或在臨港新片區開展數據跨境流動相關活動的企業、事業單位、機構協會和組織等數據處理者。結合上?！拔鍌€中心”建設，圍繞汽車、金融、航運、生物醫藥等重點領域以及臨港新片區相關行業的發展要求，以跨境需求最迫切的典型場景為切入口，對跨境數據進行分類管理。臨港辦法將跨境數據分三級并細化了其數據出境監管要求：（1）核心數據，是指對領域、群體、區域具有較高覆蓋度或達到較高精度、較大規模、一定深度的重要數據，一旦被非法使用或共享，可能直接影響政治安全。主要包括關系國家安全重點領域的數據，關系國民經濟命脈、重要民生、重大公共利益的數據

172、，經國家有關部門評估確定的其他數據。核心數據禁止跨數據出境合規實務 50 問實踐篇 73 境。（2）重要數據，是指特定領域、特定群體、特定區域或達到一定精度和規模的數據，一旦被泄露或篡改、損毀，可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全（僅影響組織自身或公民個體的數據，一般不作為重要數據）。數據處理者對重要數據目錄內的數據，可通過臨港新片區數據跨境服務中心申報數據出境安全評估。（3）一般數據，是指核心數據、重要數據外的其他數據。數據處理者對在一般數據清單內的數據，可向臨港新片區管委會申請登記備案，并在滿足相關管理要求下自由流動。前述重要數據目錄及納入數據出境安全評估、個人信息出境

173、標準合同、個人信息保護認證管理范圍的數據清單等由臨港新片區管委會負責制定，并報相關部門批準、備案及后續更新和告知。根據上海市政府新聞辦舉辦多部門參與的新聞發布會記者問答，臨港新片區將按照“從企業到行業、從案例到清單、從正面到負面”的原則，率先圍繞智能網聯汽車、金融理財、高端航運等重點領域，開展一般數據清單和重要數據目錄的編制工作，并將于近日發布部分相關清單。在本實務問答發布之時，我們尚未從公開渠道查詢到臨港片區的一般數據清單和重要數據目錄。不過，據有關消息人士，我們理解在實操中，已有相關先例，由注冊于臨港片區的企業可在通過該片區內有關數據鏈路接入“數據海關”后，認定其系在片區開展數據跨境活動，

174、并適用片區數據出境的有關豁免；并在滿足特定存檔備查措施后即可開展數據出境。四十四、四十四、銀行金融業數據出境有無特別規范需要注意？銀行金融業數據出境有無特別規范需要注意？銀行金融業數據合規除應遵守本實務問答前述的各項通用規定外，還應注意中國人民銀行等其他機構發布的相關規范。其中與數據出境相關的主要包括個人金融信息保護技術規范（JR/T 01712020，2020年 2月 13日實施）、金融數據安全 數據安全分級指南（JR/T 01972020，2020 年 9 月 23 日實施）、金融數據安全 數據生命周期安全規范（JR/T 02232021，2021年 4月 8日實施）等。數據出境合規實務

175、50 問實踐篇 74 就銀行金融業的關鍵信息基礎設施運營者的認定和合規請見下篇：實踐篇“四十五、證券基金業數據出境有無特別規范需要注意？”部分。就銀行金融業的重要數據，金融數據安全 數據安全分級指南給出了金融數據安全分級的目標、原則和范圍，以及數據安全定級的要素、規則和定級過程。根據金融業機構數據安全性遭受破壞后的影響對象和所造成的影響程度，將數據安全級別從高到低劃分為 5級、4級、3級、2級、1級。其中 5級數據特征包括(1)重要數據，通常主要用于金融業大型或特大型機構、金融交易過程中重要核心節點類機構的關鍵業務使用，一般針對特定人員公開，且僅為必須知悉的對象訪問或使用;及（2）數據安全性遭

176、到破壞后，對國家安全造成影響，或對公眾權益造成嚴重影響。該指南附錄 C 還詳細解釋了銀行金融業重要數據的認定，具體包括：（1）宏觀特征：可反映不可更改或長時間保持穩定的經濟特征、社會特征的數據；（2）海量信息匯聚得到的衍生特征數據：匯聚后覆蓋多省份的金融消費者真實交易信息；（3）行業監管機構決策和執法過程中的數據：行政機關、執法機關在履職或執法過程中收集和產生的不涉及國家秘密且未公開的受控數據；及（4）關鍵信息基礎設施網絡安全缺陷信息：網絡設備、服務器、信息系統等有關漏洞信息。需注意，上述重要數據一般不包括企業生產經營和內部管理信息、個人信息等。金融數據安全 數據生命周期安全規范中提到，銀行金

177、融業機構境外分、子公司和分支機構在境外開展業務過程中采集、產生的數據，其安全定級及數據保護工作應按照數據跨境相關要求執行。并強調在我國境內產生的金融數據原則上應在我國境內存儲，國家及行業主管部門另有規定的除外。其中在我國境內產生的 5 級數據（包括銀行金融業重要數據）應僅在我國境內存儲。盡管按跨境流動規定，目前未被主管部門和地區告知或/公開發布為重要數據的，數據處理者不需要作為重要數據申報數據出境安全評估，但銀行金融業機構仍然需要基于前述規定做好其數據的分類分級管理，在可能涉及重要數據級別的數據跨境傳輸時，采取較為審慎的態度。個人信息在銀行金融一般體現為個人金融信息。個人金融信息保護技術規數據

178、出境合規實務 50 問實踐篇 75 范中對個人金融信息的定義包括賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產信息、借貸信息和其他反映特定個人金融信息主體某些情況的信息；并將個人信息分級為三級。就個人金融信息的出境，在中華人民共和國境內提供金融產品或服務過程中收集和產生的個人金融信息，應在境內存儲、處理和分析。因業務需要，確需向境外機構（含總公司、母公司或分公司、子公司及其他為完成該業務所必需的關聯機構）提供個人金融信息的，應滿足下列要求：（1）應符合國家法律法規及行業主管部門有關規定；（2）應獲得個人金融信息主體明示同意；（3）應依據國家、行業有關部門制定的辦法與標準開展個人金融信息出

179、境安全評估，確保境外機構數據安全保護能力達到國家、行業有關部門與金融業機構的安全要求；（4）應與境外機構通過簽訂協議、現場核查等方式，明確并監督境外機構有效履行個人金融信息保密、數據刪除、案件協查等職責義務。銀行金融業的個人敏感信息目前可參照 GB/T 35273-2020信息安全技術 個人信息安全規范附錄 B 的規定。其中，銀行賬戶、鑒別信息(口令)、存款信息（包括資金數量、支付收款記錄等）、房產信息、信貸記錄、征信信息、交易和消費記錄、流水記錄等，以及虛擬貨幣、虛擬交易、游戲類兌換碼等虛擬財產信息等個人財產信息屬于個人敏感信息。銀行金融業機構在向境外提供個人信用信息時還應關注征信管理辦法的

180、相關規定，當符合相關適用條件構成征信機構向境外提供個人信用信息的，應當對境外信息使用者的身份、信息用途開展必要審查，確保出境后的信息被用于跨境貿易和投融資等合理用途，且不危害國家安全。中國人民銀行發布的中國人民銀行業務領域數據安全管理辦法（征求意見稿）中也有關于數據出境限制管理的要求，待該辦法正式出臺生效后，銀行金融機構也應參照執行。四十五、四十五、證券基金業數據出境有無特別規范需要注意？證券基金業數據出境有無特別規范需要注意？證券基金業數據合規除應遵守本實務問答前述的各項通用規定外，還應注意中國證券監督管理委員會等其他機構發布的相關規范。其中，與數據出數據出境合規實務 50 問實踐篇 76

181、境相關的主要包括證券期貨業數據分類分級指引（JR/T 01582018，2018年9月27日實施）、證券期貨業數據安全管理與保護指引(JR/T 02502022，2022 年 11 月 14 日實施)、證券期貨業數據安全風險防控 數據分類分級指引（GB/T 42775-2023，2023年 8月 6日實施）等。就 CIIO，證券基金業機構因其與國家經濟金融安全的關系，一般被認為易構成關鍵信息基礎設施運營者,但截止本文起草時間，公開渠道尚未發現證券基金業主管部門發布或明確指定的相關關鍵信息基礎設施運營者名單。就證券基金業的重要數據，證券期貨業數據分類分級指引發布時間較早，并未明確指明重要數據，和

182、目前重要數據及數據出境的相關規定銜接可能存在一定不確定性。該指引主要根據影響對象（行業、機構、客戶）、影響范圍（多個行業、行業內多機構、本機構）、數據安全屬性（完整性、保密性、可用性）遭到破壞后帶來的影響程度（嚴重、中等、輕微、無）將證券基金業數據劃分為四級并就其處理規范提出了要求：4 級（極高），數據主要用于行業內大型或特大型機構中的重要業務使用，一般針對特定人員公開，且僅為必須知悉的對象訪問或使用；3 級（高），數據用于重要業務使用，一般針對特定人員公開，且僅為必須知悉的對象訪問或使用；2 級（中），數據用于一般業務使用，一般針對受限對象公開，一般指內部管理且不宜廣泛公開的數據；1 級（低

183、），數據一般可被公開或可被公眾獲知、使用。但在證券基金業的數據出境活動中，還值得關注該指引中提到的因數據聚合、數據時效性導致的分級變更。具體而言數據在流轉、傳遞、使用過程中，因各類業務需要，可能需要將相同或不同級別的數據匯聚在一起進行分析、處理。對該等數據聚合，需注意：（1）因業務需要，將來自不同途徑或不同系統的數據匯聚在一起，數據的原始用途或所在系統發生改變，需要對數據進行重新確定類別并定級；（2）需要深入分析匯聚后數據是否可能較原始數據獲得更多的信息，并判斷匯聚后的數據安全屬性（完整性、保密性、可用性）遭到破壞后的影響，以準確定級；（3）匯聚后數據級別一般不低于所匯聚的原始數據的最高級別。

184、同理，還應注意數據時效性對數據分類分級影響。我們認為上述原則在證券基金業重要數據認定及數據出境合規方面有適用的可能性。數據出境合規實務 50 問實踐篇 77 證券期貨業數據安全風險防控 數據分類分級指引基本延續了證券期貨業數據分類分級指引中關于分級的規定；證券期貨業數據安全管理與保護指引中主要采取引用的方式，提及向境外提供數據、個人信息的，應依據網絡安全法等相關法規規定。證券基金業機構在數據出境過程中，還應關注證券法和期貨和衍生品法等相關規定，跨境證券、期貨等行業的監督管理應在國務院證券監督管理機構的參與下進行，境外證券監督管理機構不得在中華人民共和國境內直接進行調查取證等活動；且未經國務院證

185、券監督管理機構和國務院有關主管部門同意，任何單位和個人不得擅自向境外提供與證券業務活動、期貨業務活動等有關的文件和資料。盡管按跨境流動規定，目前未被主管部門和地區告知或/公開發布為重要數據的，數據處理者尚可無需作為重要數據申報數據出境安全評估，但證券基金業企業仍應需要基于前述規定做好其數據的分類分級管理，在可能涉及重要數據級別的數據跨境傳輸時，采取審慎態度。四十六、四十六、醫藥行業跨境傳輸的常見場景有哪些？醫藥行業跨境傳輸的常見場景有哪些？在醫藥行業中，不論是有意于海外市場發展的中資企業，還是深耕中國市場的跨國企業，均廣泛地涉及不同場景下的跨境數據傳輸。這些數據傳輸廣泛存在于從研發到上市、商業

186、化以及跨境許可交易等場景下。在醫藥研發過程中，國際多中心臨床研究（Multi-regional clinical trials，MRCT）是一個十分常見的場景。在 MRCT 中，不同國家和地區的試驗數據往往會基于某一臨床試驗的方案同時進行臨床試驗，期間大量的臨床數據得以交換和共享，并匯總于醫藥企業手中。臨床數據在這一場景下被廣泛采集和傳遞，除涉及前述的數據及個人信息外，也涉及人類遺傳資源信息等性質的數據。此外，在這一場景中，醫藥企業可能也會聘用電子數據采集（EDC）等第三方服務機構為其提供數據管理等服務，而相關的服務器也可能位于境外。在向境外的醫藥監管機構提交如 IND（Investigati

187、onal New Drug，新藥臨床試驗審批）和 NDA（New Drug Application，新藥注冊申請）等申報時，也往往數據出境合規實務 50 問實踐篇 78 涉及有關數據的跨境傳輸。比如，在 IND 場景下，境內可能會向境外提交的研究計劃和研究方案等資料，在 NDA場景下，境內可能會向境外提交各項臨床數據、病例報告以及有關的統計數據等。在醫藥行業的跨境許可交易（License-in/License-out）下，境外引進方可能基于與境內許可方的協議約定，要求境內許可方向其提供相關技術和資料，這其中可能就涉及境內許可方此前已經保存的臨床試驗數據、資料和報告。此外，在跨境的學術交流、向境

188、外機構分享/發布相關臨床數據的場景中，也可能涉及境內醫藥行業數據的跨境傳輸。四十七、四十七、醫藥行業跨境傳輸涉及的數據有哪些類型？醫藥行業跨境傳輸涉及的數據有哪些類型？如前所述，醫藥行業的多種場景下均可能涉及數據的跨境傳輸。從網信部門的監管角度來看，（考慮到目前實操中大多數企業并未被認定為 CIIO 的前提）醫藥企業需要厘清相關數據的屬性，以便據此結合數量等其他信息判斷醫藥企業需要履行何種合規路徑（申報并通過數據出境安全評估、訂立并備案個人信息出境標準合同或通過個人信息保護認證）。從部門監管角度來看，也需要根據相關數據的屬性以明確其具體所需滿足的合規事項。從數據的監管角度考慮，企業可能需要厘清

189、相關數據是否構成重要數據或核心數據。如前所述，基于跨境流動規定第二條的規定，目前以地方和行業主管部門的告知/公開發布為標準，未被告知/公開發布的，則不需要將相關數據作為重要數據申報數據出境安全評估。這一規定減輕了企業企業對于識別重要數據的合規壓力。而從個人信息的監管角度考察，醫藥企業需要判斷其出境的數據涉及的個人信息的數量是否達到跨境流動規定項下的不同閾值，以及其是否涉及敏感個人信息。如前所述，個人信息保護法將敏感個人信息定義為一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息以及不滿

190、十四周歲未成年人的個人信息。GB/T 35273-2020信息安全技數據出境合規實務 50 問實踐篇 79 術 個人信息安全規范在附錄 B 列舉了敏感個人信息類型，其中就包括(i)個人生物識別信息，如個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等，以及(ii)個人健康生理信息，如個人因生病醫治等產生的相關記錄，如病癥、住院志、醫囑單、檢驗報告、手術及麻醉記錄、護理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病史、診治情況、家族病史、現病史、傳染病史等，以及與個人身體健康狀況相關的信息，如體重、身高、肺活量等。當然，判斷的前提是，相關數據構成個人信息，即個人信息保護法所規定的“個人信

191、息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”。在臨床試驗等場景中，受試者等個人的身份一般已通過受試者鑒認代碼等方式進行了去標識化的處理（通過對應揭盲措施，其個人身份仍可以對應還原）。但該等信息是否仍然在去標識化處理后仍構成敏感個人信息呢？如前文所述，從目前一些省級網信辦等監管部門咨詢的態度來看，取決于其是否可以改變“敏感”的性質。如果經過去標識化處理的敏感個人信息被泄露或者非法使用，且泄露和非法使用不會導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害，那么經過去標識化處理的“敏感個人信息”不再屬于敏感個人信息。由于目前官方尚未對醫藥領域

192、的該定義有更為明確的解釋，考慮到醫藥企業的特點，從審慎的角度考慮，一些企業還是選擇從嚴解釋，以敏感個人信息的角度對待去標識化后的臨床試驗數據。除上述角度外，在行業單行法規規定中也需要厘清相關出境數據的性質。最為典型的是人類遺傳資源管理條例（“人遺條例”）等法規規定的人類遺傳資源信息。根據人遺條例的規定，人類遺傳資源信息是指利用人類遺傳資源材料產生的數據等信息資料，而人類遺傳資源材料是指含有人體基因組、基因等遺傳物質的器官、組織、細胞等遺傳材料。人類遺傳資源管理條例實施細則（“人遺細則”）進一步指出，人類遺傳資源信息包括利用人類遺傳資源材料產生的人類基因、基因組數據等信息資料，不包括臨床數據、影

193、像數據、蛋白質數據和代謝數據。相關數據的出境也涉及對于人類遺傳資源的特殊監管。在臨床試驗等場景中，此類信息是較長涉及的。數據出境合規實務 50 問實踐篇 80 四十八、四十八、醫藥行業數據跨境傳輸的主要合規義務有哪些？醫藥行業數據跨境傳輸的主要合規義務有哪些？如前所述，從網信部門的監管角度來看，醫藥企業需要根據自身及相關數據的具體屬性，結合數量等其他信息判斷醫藥企業需要履行何種合規路徑（申報并通過數據出境安全評估、訂立并備案個人信息出境標準合同或通過個人信息保護認證）。如前述，在判斷其是否構成 CIIO 的基礎上（目前實操中大多數企業并未被認定為 CIIO），醫藥企業需要進一步從數量及數據性質

194、等角度考察，并據此判斷其履行的合規路徑（具體內容請參照上篇篇：基礎篇“四、現行數據出境制度下的三條合規路徑是什么？如何判斷？”部分）。鑒于跨境流動規定第二條的規定，醫藥企業在“重要數據”角度已經得到了較大程度的“松綁”。而在處理個人信息數量和敏感個人信息的“門檻”上，醫藥企業仍需要基于跨境流動規定作出判斷，進而選擇合適的合規路徑。一些研發能力較強的企業結合其臨床試驗等場景的情況，可能需要綜合判斷其是否達到數據出境安全評估的門檻。而對于一部分規模有限，尚未全面“鋪開”管線的醫藥企業而言，其可能需要選擇訂立并備案個人信息出境標準合同。除此以外，基于個人信息保護法等法規的有關規定，境內醫藥企業還需要

195、完善其他的合規措施，如(i)根據個人信息保護法的規定向受試者等有關個人告知跨境傳輸的有關事項，并取得個人的單獨同意（據此更新其知情同意書等文件）；(ii)進一步加強數據流轉和處理的分類分級管理工作，包括將企業內部數據與外部供應商的數據的分別管理，將普通數據與敏感個人信息予以分類管理等；(iii)進一步加強對境外接收方的數據合規監督和管理，比如建立集團內統一的個人信息和數據管理制度，采取廣泛的去標識化和加密等技術措施，要求境外接收方與相關再傳輸方（第三方）簽署協議，確保其個人信息處理活動達到中國相關法律法規規定的個人信息保護標準等。從人類遺傳資源的監管角度，醫藥企業向境外傳輸人類遺傳資源信息時也

196、需履行有關法定義務。根據人遺條例等法規的要求，外國組織及外國組織、個人設立或者實數據出境合規實務 50 問實踐篇 81 際控制的機構（即其規定的外方單位）需要利用我國人類遺傳資源開展科學研究活動（包括臨床試驗）的，應當采取與中方單位合作的方式進行，并需要報中國人類遺傳資源管理辦公室（“人遺辦”，自 2024 年 5 月 1 日起其由科學技術部下設調整為由國家衛健委負責）審批/備案。在外方單位的參與過程中，不論是由外國組織直接參與，還是由其設立/控制的境內機構參與，都可能涉及直接或間接與境外主體分享人類遺傳資源。在開展國際合作臨床試驗的過程中，存在國際合作科學研究審批以及國際合作臨床試驗備案的兩

197、種途徑。具體而言，采取國際合作臨床試驗備案途徑時，一般需要滿足以下條件：(1)系為獲得相關藥品和醫療器械在我國上市許可而開展的臨床試驗（一般包括、期臨床試驗與生物等效性試驗（BE）；(2)不涉及人類遺傳資源材料出境。(3)在臨床機構內利用我國人類遺傳資源開展（(a)涉及的人類遺傳資源采集、檢測、分析和剩余人類遺傳資源材料處理等在臨床醫療衛生機構內進行，(b)涉及的人類遺傳資源在臨床醫療衛生機構內采集，并由相關藥品和醫療器械上市許可臨床試驗方案指定的境內單位進行檢測、分析和剩余樣本處理）；在滿足前述條件的情況下，國際合作臨床試驗不需要獲得審批，僅需要事前向人遺辦備案。如不能滿足前述三個條件，則應

198、選擇國際合作科學研究審批的路徑。此外，合作雙方還應當在國際合作臨床試驗結束后 6 個月內共同向人遺辦提交合作研究情況報告。除此以外，將人類遺傳資源信息向前述外方單位提供或者開放使用的，中方信息所有者還應當向科技部事先報告并提交信息備份。已取得前述許可/備案的臨床試驗過程中，如國際合作協議中已約定產生的人類遺傳資源信息由合作雙方使用，則不需要單獨再事先報告和提交信息備份。另外，該種情況下，可能影響我國公眾健康、國家安全和社會公共利益的，應當通過國務院科學技術行政部門組織的安全審查。除上述規定以外，亦存在健康醫療大數據等角度的單行法規和規范、規則，數據出境合規實務 50 問實踐篇 82 醫藥企業在

199、數據跨境傳輸的過程中也應予以關注。四十九、四十九、通過境內數據交易所進行跨境數據貿易應考慮哪些跨境數通過境內數據交易所進行跨境數據貿易應考慮哪些跨境數據合規據合規問題問題？根據中國信通院數據顯示，2023 年我國數字經濟規?？蛇_ 56.1 萬億元,數字經濟占 GDP 比重接近于第二產業，占國民經濟的比重，達到 40%以上。伴隨數字技術興起以及各項數字經濟相關的政策和法律的落地，以跨境數據流動為底層支撐的跨境數字貿易迎來蓬勃發，深刻改變了傳統國 際貿易體系。31 跨境數據貿易的渠道主要分為以數據交易所作為跨境貿易平臺的場內交易以及在數據貿易買賣雙方之間以點對點方式開展的場外跨境數據貿易。目前我國

200、數據交易市場仍處于起步階段，我國場外數據交易體量在總體數據交易體量的占比約為 95%，場內交易規模極很小。32而場外更多是點對點的直接交易，并且依賴于交易合同的訂立，數據的流通次數還不夠高。就場內交易，在我國相關政策法律支持與保障的背景下，數據交易所在數據跨境貿易中的作用逐漸顯現。就主流的交易所而言，2022 年北京國際大數據交易所研發的北京數據托管服務平臺正式投入使用，成為我國首個可支持企業數據跨境流通的數據托管服務平臺。以標準統一化、管理高效化、服務定制化為特點，支持提供數據托管、脫敏輸出、融合計算、建檔備案等服務。目前，數據托管服務平臺已落地試點。上海數據交易所積極拓展國際數據流通交易市

201、場，建立與海外平臺數據雙向流動合作機制，成立國際專區板塊，并與海外平臺建立了數據雙向流動的合作機制，創新了“數據交易所+全球性數字平臺”的商業模式。深圳數據交易所在跨境數據交易等方面取得一系列創新的示范性成果，積極探索數據跨境試點。毗鄰香港、澳門，深數所牢牢把握自身位于粵港澳大灣區的獨特地緣優勢，成功落地國內首單場內跨境數據交易。場內的跨境數據貿易涉及數據跨境流通，因此也涉及數據出境的合規問題。31 參考中國信通院年中國數字經濟發展研究報告(2023年）。32 鈦媒體：我國數字經濟正在邁向新階段。數據出境合規實務 50 問實踐篇 83 對于通過場內交易的額數據產品，由于國內目前的法律并沒有特別

202、規定任何出境合規的豁免機制，因此在法律層面上，通過數據交易所進行數據出境貿易，也仍然要按照現有的數據出境的法律規定履行相應的數據出境和數據合規措施。此外，作為交易平臺的數據交易所也會對擬進行數據出境貿易的產品進行獨立的數據合規與安全審查，以及要求數據提供方提供第三方專業機構（例如律所）出具的合規審查報告。例如根據我們對公開信息的調研，深數所完成的國內首單場內出境跨境數據交易，標的是數庫（上海）科技公司研制“數庫 SmarTag 新聞分析數據”產品。數據產品提供方向深數所提供信息收集表單，收集交易標的、交易雙方、交易場景、數據安全等交易基礎信息，對于國家的和地方相關部門要求申報和審批（例如數據安

203、全審查和出境評估）的要提供相應材料，作為交易的“自證”材料；此外，數據產品提供方還委托專業律所機構出具對該筆交易合規評估的法律意見書，對數據交易中的合規風險進行披露，該材料將作為“他證”材料，同“自證”材料一起提供至深數交。交易方自證及他證合規材料的基礎上，深數所對數據出境、處理、流通、管理、技術措施、合法性、安全性等進行了大量的合規評估工作。最終撮合成交總金額約 500 萬元的 5筆交易。五十、五十、公共數據運營主體是否可以就公共數據對境外主體進行授公共數據運營主體是否可以就公共數據對境外主體進行授權使用或開放共享？權使用或開放共享？數據二十條將數據分為公共數據、企業數據、個人數據33。根據

204、數據二十條以及各地政府的數據條例和公共數據運營相關的行政法規和規章，公共數據是指對各級黨政機關、企事業單位依法履職或提供公共服務過程中產生的數據。在公共數據運營這樣的背景下討論本問題，涉及的另一層的問題則是，因各地公共數據的運營均應按照“原始數據不出域、數據可用不可見”的要求運營公共數據，因此在公共數據運營方談及的公共數據，一般已經不是原 33 關于構建數據基礎制度更好發揮數據要素作用的意見（三）探索數據產權結構性分置制度。建立公共數據、企業數據、個人數據的分類分級確權授權制度。中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見_中央有關文件_中國政府網()。數據出境合規實務 50

205、 問實踐篇 84 始數據或僅經過初步治理的公共數據資源，而是在公共數據授權使用或有條件共享開放的環節中涉及的公共數據產品。34 根據各地省市的數據條例或者公共數據運營相關的行政法規和規章，公共數據可在合法合規安全的前提下，對外進行授權使用或者開放共享。特別是，很多省市地方政府將公共數據基于分級分類授權的規則，規定了有條件授權使用和開放和共享的機制。然而，數據二十條也規定了，在鼓勵公共數據在保護個人隱私和確保公共安全的前提下，公共數據運營主體應按照“原始數據不出域、數據可用不可見”的要求，以模型、核驗等產品和服務等形式向社會提供。那么在這樣的基礎制度下，對于位于境外的主體（特別需要境內公共數據運

206、用訓練模型的境外企業），是否也可以成為公共數據授權使用或開放共享的對象呢？這是一個比較復雜的問題并且也需要根據公共數據授權運營主體的具體的運營模式而進行具體個案分析。對于上述問題，目前現有法律法規并沒有禁止性的規定，因此在符合法律合規和安全等要求的前提下，境外的主體通過可行的技術方式也可以獲得境內的公共數據。從法律角度來說，就公共數據的對外授權使用或共享開放領域，境外主體應注意和考慮以下幾個重點的數據合規問題：首先，根據促進和規范數據跨境流動規定（簡稱“規定”），境外主體獲得境內的公共數據屬于數據出境范疇。因此，對于這類公共數據的出境情形，應結合具體的場景和產品按照規定履行相應的數據出境合規義

207、務。其次，對于擬出境的公共數據，建議還要進行數據安全的審查，即應判斷出境的公共數據是否含有核心數據、國家秘密、重要數據、涉及國家安全等敏感信息。如果存在，則不得出境或者需完成數據安全審查和整改后再出境。此外，根據數據安全法的相應規定，即使境外主體合法合規地獲得了公共數據，也可能設計數據本地存儲、出口管制等其他法律合規要求和限制性要求。對于上述的合規問題的具體細節，可參考本合規實務的相應部分，在此不做贅述。再次，如果公共數據中含有個人信息，那么相應的個人信息因數據出境本 34 這里的數據產品的概念，是廣義的概念范圍，即這里提及的“數據產品”包括但不限于統計數據、數據集、數據服務、數據應用、數據產

208、品，例如以模型、核驗等產品和服務等形式向社會提供的數據產品。數據出境合規實務 50 問實踐篇 85 身超出了原始公共數據采集和獲取時的目的和范圍，因此數據提供方還應注重履行個人信息保護法的相應合規要求，例如對個人進行告知和獲得對出境的單獨同意等。具體可以參考本合規實務相應的問題答復內容。當然，我們也可以預見，這樣的告知和獲取同意需要有效的渠道，往往在公共數據領域比較難以獲得。此外，公共數據運營企業與境外主體還應簽署對數據提供方和數據本身有充分保護度的數據授權或開放共享協議（如果在出境渠道方式上，數據提供方應適用標準合同出境，那么應按照標準合同的要求簽署協議）。例如，處于對公共數據使用范圍的保護

209、目的，協議中可明確約定未經提供方同意，境外主體不得隨意轉讓、共享、授權數據給第三方使用的條款，以保護公共數據的安全使用。另外，由于在公共數據授權使用或公開共享領域，公共數據運營主體應嚴格按照“原始數據不出域、數據可用不可見”的要求進行數據運營，因此境外主體也有可能涉及需通過采用隱私計算、沙箱等技術方式，在公共數據運營的平臺上去獲得其需要的數據或數據結果。為此，境外主體可能需要向公共數據運營方提供其數據模型，因此也可能涉及境外主體在其管轄權領域數據跨境的合規問題，以及在數據模型與“可用不可見”的數據進行碰撞之后，以及再以合法安全的方式獲取碰撞后的數據的合規出境問題。因公共數據的出境既涉及公共數據

210、領域的數據合規問題，也涉及數據出境的合規問題，因此我們也建議公共數據運營主體和境外主體在遇到類似問題時盡早全面咨詢專業的法律顧問。數據出境合規實務 50 問國家及各地省級網信部門聯系方式 86 附件一、國家及各地省級網信部門聯系方式附件一、國家及各地省級網信部門聯系方式 單位單位 辦公地址辦公地址 聯系電話聯系電話 國家互聯網信息辦公室 北京市西城區車公莊大街11號 數據出境安全評估申報：010-55627135 個人信息出境標準合同備案：010-55627565 個人信息保護認證申請：010-82261100 北京市互聯網信息辦公室 北京市朝陽區華威南路弘善家園 413 號 010-6767

211、6912 天津市互聯網信息辦公室 天津市河西區梅江道 20 號 022-88355322 河北省互聯網信息辦公室 河北省石家莊市橋西區維明南大街 79 號 0311-87909716 河南省互聯網信息辦公室 河南省鄭州市金水區金水路16 號 0371-65901067 浙江省互聯網信息辦公室 浙江省杭州市西湖區省府路29 號 0571-81051250 上海市互聯網信息辦公室 上海市徐匯區宛平路 315 號 021-64743030-2711 江蘇省互聯網信息辦公室 江蘇省南京市建鄴區白龍江東街 8 號 025-63090194 福建省互聯網信息辦公室 福建省福州市鼓樓區北大路133 號 05

212、91-86300613 安徽省互聯網信息辦公室 安徽省合肥市包河區中山路 1號 0551-62606014 重慶市互聯網信息辦公室 重慶市渝北區青竹東路 6 號 023-63151805 數據出境合規實務 50 問國家及各地省級網信部門聯系方式 87 單位單位 辦公地址辦公地址 聯系電話聯系電話 貴州省互聯網信息辦公室 貴州省貴陽市云巖區寶山北路 39 號 0851-82995001/82995061 山東省互聯網信息辦公室 山東省濟南市市中區經十路20637 號 0531-51773249/51771297 廣東省互聯網信息辦公室 廣東省廣州市越秀區中山一路 104 號 020-871007

213、94/87100793 陜西省互聯網信息辦公室 陜西省西安市雁塔區雁塔路南段 10 號 029-63907136 甘肅省互聯網信息辦公室 甘肅省蘭州市城關區南昌路1648 號 0931-8928721 山西省互聯網信息辦公室 山西省太原市迎澤區五一路36 號 0351-5236020 江西省互聯網信息辦公室 江西省南昌市紅谷灘區臥龍路 999 號 0791-88912737 云南省互聯網信息辦公室 云南省昆明市西山區日新中路 516 號 0871-63902424 湖北省互聯網信息辦公室 湖北省武漢市武昌區水果湖路 268 號 027-87231397 湖南省互聯網信息辦公室 湖南省長沙市芙蓉

214、區韶山北路 1 號 0731-81121089 青海省互聯網信息辦公室 青海省西寧市海湖新區文景街 32 號 0971-8485510 遼寧省互聯網信息辦公室 遼寧省沈陽市和平區光榮街26 號甲 024-81680082 吉林省互聯網信息辦公室 吉林省長春市朝陽區新發路666 號 0431-82761087 黑龍江省互聯網信息辦公室 黑龍江省哈爾濱市南崗區華山路 12 號 0451-58685723 數據出境合規實務 50 問國家及各地省級網信部門聯系方式 88 單位單位 辦公地址辦公地址 聯系電話聯系電話 海南省互聯網信息辦公室 海南省?？谑袊d大道 69 號 0898-65380723 四

215、川省互聯網信息辦公室 四川省成都市青羊區桂花巷21 號 028-86601862 廣西壯族自治區互聯網信息辦公室 廣西壯族自治區南寧市青秀區民族大道 112 號 0771-2093017/2093049 寧夏回族自治區互聯網信息辦公室 寧夏回族自治區銀川市金風區康平路 1 號 0951-6668938 西藏自治區互聯網信息辦公室 西藏自治區拉薩市城關區農科路 7 號 0891-6591509 內蒙古自治區互聯網信息辦公室 內蒙古自治區呼和浩特市賽罕區銀河南街 8 號 0471-4821277 新疆維吾爾自治區互聯網信息辦公室 新疆維吾爾自治區烏魯木齊市新市區西環北路 2221號 0991-23

216、84855 新疆生產建設兵團互聯網信息辦公室 新疆維吾爾自治區烏魯木齊市天山區中山路 462 號 0991-2899091 數據出境合規實務 50 問（2024 版）89 實務實務問答問答出品出品 威科先行威科先行 聯合發布單位及作者聯合發布單位及作者 環球律師事務所環球律師事務所 孟潔 田亮 李玲 劉展 張桐 王程 董杰睿 尹童暉 對外經濟貿易大學數字經濟與法律創新研究中心對外經濟貿易大學數字經濟與法律創新研究中心 許可 蔚來控股有限公司蔚來控股有限公司 高崗 王詩筍 諶棋 奇安信科技集團有限公司奇安信科技集團有限公司 馬蘭 劉前偉 劉洪亮 北京奧美互動咨詢有限公司北京奧美互動咨詢有限公司 殷振華 杭州有贊科技有限公司杭州有贊科技有限公司 方子雯 陳昕 魏東杰 其他作者其他作者 郭俊彤 數據出境合規實務 50 問（2024 版）90 免責聲明免責聲明：本文件不代表所有聯合發布單位對有關問題的法律意見，任何僅依照本文件的全部或部分內容而做出的作為和不作為決定及因此造成的后果由行為人自行負責。如您需要提供法律意見或其他專業意見，應該向具有相關資格的專業人士尋求專業的幫助。版權版權：所有聯合發布單位保留對本文件的所有權利。未經所有聯合發布單位的書面許可，任何人不得以任何形式或通過任何方式復制或傳播本文件任何受版權保護的內容。聯系方式：聯系方式：E