2023年2月24日,国家网信办正式公布《个人信息出境标准合同办法》(以下简称“《标准合同办法》”),标志着数据出境的法定合规路径之一——签订、备案个人信息出境标准合同(以下简称“标准合同”)的相关制度细节已尘埃落定。与此同时,数据出境安全评估的限期整改暂告一段落,企业数据合规出境进入新一阶段。
值此时机,广悦互联网与数字经济部就企业经常咨询的数据出境9个热点问题展开梳理、分析。总体而言,企业关于数据出境的疑问,偏重于探讨以何种方式实现合规出境,但对是否构成数据出境场景——这一前提——缺乏分析和判断。本文通过问答形式,梳理概括数据出境的场景认定、合规路径等热点问题,以供读者参考。
问题一:如何判断跨境数据是否是在“境内运营”中收集和产生?
敲黑板,这是核心考点。判断数据是否是在“境内运营”中收集和产生,是确定企业“是否存在数据出境”“是否需要选择并适用出境合规路径”的标准之一。
换言之,如果数据处理者跨境传输的数据是在境外运营产生的,且不涉及中国境内公民个人信息和重要数据,该数据就无需通过三种合规路径完成跨境传输。
例如,一款仅面向欧洲用户提供服务、收集用户数据的App,即便App运营者是中国企业,收集的用户数据将从中国跨境传输至欧洲,因为App不涉及“境内运营”,收集的用户数据就不必通过安全评估、标准合同或认证的路径实现出境。
那么如何明确界定“境内运营”?参考2017年《信息安全技术 数据出境安全评估指南(征求意见稿)》第3.2条及其注释,“境内运营”不受运营者的注册地限制,主要关注运营者是否在中华人民共和国境内开展业务、提供产品或服务。
判断依据包括但不限于:服务或产品是否使用中文;是否以人民币作为结算货币;是否向中国境内配送物流等。
问题二:境外直接处理境内个人信息,是否构成数据出境?
根据《个人信息保护法》第三条第二款规定,对于向境内个人提供产品或服务为目的,或分析、评估境内个人行为的境外数据处理者,其直接处理境内个人信息的活动也受《个人信息保护法》规范。
这类“境外直接处理境内个人信息”的情形十分常见。例如,境外电商、境外游戏软件可能面向中国市场开放,由境外主体直接收集中国用户的个人信息,并不存在境内数据处理者向境外传输、提供数据的情况。那么,这类场景是否涉及数据出境,又是否需要选择数据出境的合规路径?
答案是存在数据出境,需要视情况通过安全评估或选择认证路径。
参考《数据出境安全评估申报指南(第一版)》第一条的规定(该条款内容与“《数据出境安全评估办法》答记者问”中的答复相同),数据出境行为包括两种情形:
一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外;
二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出。
总结上述两种情形的底层逻辑,数据出境关注焦点是数据客体的“跨越边境”,而非数据处理主体的“跨境提供”。所以,境外数据处理者直接处理境内运营收集的个人信息,已满足境内个人信息跨境传输的条件,构成“数据出境”。实务中,我们经咨询广东省网信部门,也得到了同样的回复意见。
问题三:数据出境的合规路径有几种?是否采用了标准合同路径就可以满足合规要求?
我国《个人信息保护法》第三十八条提供了三种主要的个人信息处理者跨境传输数据的合规路径:
①安全评估路径,即通过网信部门组织的安全评估;
②认证路径,即经专业机构进行个人信息保护认证;
③标准合同路径,即与境外接收方订立国家网信部门制定的标准合同。
其中,订立标准合同只是数据出境的一种可选路径。结合《标准合同办法》及《数据出境安全评估办法》(以下简称“《安全评估办法》”)的相关规定,我们总结归纳上述三种路径的适用逻辑为:①是最严格的要求,需要在实务评估中首先考虑。无需安全评估的,才考虑与【②或/③】互补。
换言之,在触发安全评估路径的适用条件时,企业只能够通过网信部门组织的安全评估实现数据合规出境;否则,企业可以选择认证路径或标准合同路径落实出境合规。
问题四:受托处理者是否需要以自身名义提起安全评估、签署标准合同或启动认证程序?
如跨境传输的目的和方式由委托方决定,受托处理者无需以自身名义采取数据出境合规路径。
无论是《数据安全法》《个人信息保护法》等法律法规,或是《安全评估办法》《标准合同办法》等部门规章,数据出境相关条款的适用主体都是“数据处理者”或“个人信息处理者”。
参考《个人信息保护法》对“个人信息处理者”的界定,以及《网络数据安全管理条例(征求意见稿)》的“数据处理者”定义,数据处理者应当是在数据处理活动中自主决定处理目的、处理方式的组织或个人。由于受托处理者的数据处理活动受限于委托处理者确定的处理目的、处理方式,受托处理者并不具备“数据处理者”的主体资格。
在实务操作中,如企业受托处理的数据涉及跨境传输,且跨境传输的目的和方式由委托方决定,则应以委托方作为数据处理者启动安全评估、签署标准合同或开展个人信息保护认证。
问题五:境外数据处理者直接处理境内个人信息,该选用哪类出境合规路径?
首先,认证路径可行。2022年12月发布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》第2条明确将《个人信息保护法》第三条第二款规定的境外数据处理者纳入安全认证机制的主体范围,规定可由境外数据处理者在境内设置的专门机构或指定代表申请认证,并承担法律责任。
其二,安全评估路径可行。根据广东省网信部门的咨询答复意见,如果境外数据处理者的个人信息出境情况达到安全评估的数量门槛时,数据处理者有必要申报数据出境安全评估,由其在境内设立的专门机构或指定代表向所在地机关开展申报。
其三,标准合同路径难以适用。
标准合同路径需要由数据处理者与境外接收方共同签署标准合同,确保境外接收方的个人信息保护水平达到同等标准。在境外直接处理个人信息的场景下,因为不存在主体间的相互传输,我们理解无法通过签署标准合同以实现数据出境合规。
问题六:企业在哪些情况下可选择标准合同路径以实现数据出境?
根据《标准合同办法》第四条,当企业同时满足以下4个条件时,且法律、行政法规或者国家网信部门针对相关出境情形没有特殊规定的,可以选用标准合同路径进行个人信息跨境传输(重要数据出境必须通过安全评估路径):
一是企业并非关键信息基础设施运营者;
二是企业处理个人信息不满100万人;
三是自上年1月1日起累计向境外提供个人信息不满10万人;
四是自上年1月1日起累计向境外提供敏感个人信息不满1万人。
只要上述任一条件不满足,企业就必须在数据跨境传输前通过网信部门安全评估,以达到更充分的重要数据及个人信息保护效果。我们理解,标准合同路径更适用于中小型规模企业,企业的跨境数据重要程度较低、涉及的个人信息主体数量可控。
实务中让企业比较困惑的难点在于一点可能是:上述条件中涉及的数量标准应按照人数计算,还是应当按个人信息数量计算?
参考上海网信办上月发布的“数据出境安全评估申报工作实务问答(二)”,我们理解应当是按照个人信息主体的人数统计。例如条件二要求“企业处理个人信息不满100万人”,如果企业的某一App产品注册用户人数已达到百万级别,那么无论该企业当次跨境传输的数量如何,企业都需要通过安全评估路径落实数据出境合规责任。
另外需要特别提示企业注意的是,针对采用数量拆分等手段规避安全评估路径的操作,《标准合同办法》已明确表示禁止。随着网信办对关联主体、关联业务间数据流转、数据融合的实质审查逐步深入,我们建议企业应准确评估、如实披露个人信息主体数量及跨境场景,不应采取关联主体恶意分拆业务等操作规避安全评估,以避免因评估不当遭受违规处罚。
问题七:企业是否可以更改标准合同内容?如已签署其他数据出境相关合同如何处理?
因企业需要与境外接收方协调合同签署事宜,合同条款是否可以变更调整是企业以及合同相对方密切关注的问题。《标准合同办法》第六条已规定,标准合同应当严格按照办法附件订立;个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。
因此,企业和境外接收方不得删除、更改标准合同已有条款,但可以在合同附录二“双方约定的其他条款”中约定协商一致的其他事项,但补充约定的内容不得与标准合同现有条款冲突,尤其是不能通过补充约定排除标准合同现有条款中的双方个人信息保护义务,或者限制个人信息主体权利。
对于双方已签订的其他数据出境相关协议,协议本身并不当然失效,在与标准合同条款不构成冲突的情况下,双方仍可以遵照履行。但标准合同第九条第(一)款已明确约定其优先适用地位,如标准合同与双方订立的其他协议或法律文件发生冲突,标准合同的条款获得优先适用。
另外需要提示注意,如企业选择标准合同路径实现个人信息合规出境,企业必须在标准合同生效后方可开展个人信息出境活动,过往签署的相关协议并不能保障企业合规开展数据跨境传输。同时考虑到标准合同对境外接收方施加了较多义务且不可变更,我们建议国内企业尽早与境外接收方启动标准合同的签署协商工作,充分释明中国个人信息出境的监管要求和具体机制。
问题八:企业完成标准合同路径需经过哪些阶段与流程?
根据《标准合同办法》的规定,如企业确认可采用标准合同路径完成数据出境,需经过下述阶段与流程:
①前期评估阶段:在向境外提供个人信息前,企业应开展个人信息保护影响评估,且评估报告需要向网信部门备案提供;
②合同签订阶段:企业应根据《标准合同办法》所附标准合同范本与境外接收方自主缔约,合同生效后方可跨境传输所涉个人信息;
③备案管理阶段:标准合同生效之日起10个工作日内,企业应当向所在地省级网信部门备案该个人信息出境事项,备案时应递交标准合同签署版本及个人信息保护影响评估报告;
④关注变化情形:在标准合同有效期内,如果出现跨境传输情况或境外政策法规变化的情形,或出现可能影响个人信息权益的其他情形,企业应重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续。
上述流程梳理如下图所示:
问题九:数据出境安全评估、数据出境风险自评估、个人信息保护影响评估有什么区别?
三个事都叫“评估”,老虎老鼠傻傻分不清楚。
鉴于数据出境的合规路径多样,不同路径下涉及多重“评估”,包括数据出境安全评估、数据出境风险自评估,以及个人信息保护影响评估。对于企业而言,了解各类“评估”的适用场景和具体内容,有助于有效高效规划数据出境方式。
首先,个人信息保护影响评估是企业对自身个人信息处理活动的合规审查日常机制,重点评估个人信息主体权益的受影响风险。在数据出境的背景下,一旦企业存在“向境外提供个人信息”的情形,就需要有必要开展个人信息保护影响评估,并将评估报告和处理记录至少保存三年。如企业仅存在重要数据出境情形,无需开展此项评估。
数据出境风险自评估和数据出境安全评估是针对数据出境的特有评估机制,重点评估国家安全和公共利益的受影响风险。其中,数据出境风险自评估是数据出境安全评估的前置程序。《安全评估办法》规定,企业在申报数据出境安全评估前,需要开展数据出境风险自评估,并将自评估报告作为申报材料提交网信部门审核。
因此我们归纳总结:
①如果企业拟适用标准合同路径或认证路径跨境传输个人信息,企业需要优先完成个人信息保护影响评估这仅一项评估工作;
②如果企业拟适用安全评估路径跨境传输重要数据,企业需要完成数据出境风险自评估、数据出境安全评估两项评估工作;
③如果企业拟适用安全评估路径跨境传输个人信息,企业需要完成个人信息保护影响评估、数据出境风险自评估、数据出境安全评估三项评估工作。
一文看懂数据出境你最关心的9个问题
作者:冯清清 盛宇涵来源:广悦数据合规研究院

2023年2月24日,国家网信办正式公布《个人信息出境标准合同办法》(以下简称“《标准合同办法》”),标志着数据出境的法定合规路径之一——签订、备案个人信息出境标准合同(以下简称“标准合同”)的相关制