专栏Law
导读
随着《个人信息出境标准合同办法》自6月1日起施行及备案指南的出台,企业大都在积极地推进个人信息出境的个人信息保护影响评估(以下简称“PIA”)及标准合同签署和备案工作,截至目前各地已经有备案通过的案例。作为我国数据出境监管机制的一项基础制度,相较于数据出境安全评估,标准合同适用面广、覆盖场景多样,增加了实操层面的复杂性。我们将通过本FAQs系列栏目,基于对法律法规的理解、实践案例及多渠道的监管咨询,对标准合同备案的焦点问题进行解读和分享。
本期为标准合同备案FAQs第三期“如何计算“1万”“10万”的安全评估触发门槛”。
需要指出,本FAQs所有内容仅是一家之言,仅供参考,企业的具体行动应当以法律规定、监管要求为准。
FAQ
问题一:如企业自上年1月1日起陆续向境外传输数据,但截止申报/备案时,该等数据已从境外服务器中删除/匿名化,在判断累计向境外提供个人信息是否达到 “1万”或“10万”门槛时,是否应计入该等已删除/匿名化的数据?
答:
《个人信息出境标准合同办法》规定的计算方式是“自上年1月1日起累计向境外提供个人信息”的数量,结合监管咨询意见,鉴于跨境传输行为发生在上年1月1日至今这段期间,原则上应计入该等数据。企业在实际开展申报或备案前,可以就具体申报场景向国家及当地省级网信办进一步咨询确认。
问题二:如企业曾在上年1月1日前向境外传输数据,且该等数据目前仍存储于境外服务器中,在判断累计向境外提供个人信息是否达到 “1万”或“10万”门槛时,是否应计入该等持续存储的数据?
答:
结合监管咨询意见,需分情况考虑:(1)如果企业自上年1月1日至今未对该等数据进行除存储外的其它数据处理活动,则可以不计入;(2)如果企业自上年1月1日至今仍涉及对该等数据开展访问、加工、使用等除存储外的其它数据处理活动,倾向于认为应当计入。企业在实际开展申报或备案前,可以就具体申报场景向国家及当地省级网信办进一步咨询确认。
解读:
根据《数据出境安全评估办法》(以下简称为“《办法》”)第四条规定,数据处理者自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。实践中,关于该等出境门槛计算存在一些理解上的难点,主要体现为:实际跨境“传输行为”未发生在过去两年内,或过去两年内该等数据未处于“境外处理状态”等情形下,是否仍需在计算 “1万”“10万”门槛时计入该等数据。具体表现为上述问题的两种情形:
就问题一而言,数据跨境“传输行为”发生在上一年1月1日起至今这段期间,但该等数据已经删除或匿名化,故当前已经不处于“境外处理状态”。基于数据出境安全评估审查尺度的严格性及审查结果的不确定性,实践中部分企业考虑采取删除或匿名化处理等风险缓释手段,以避免触发安全评估门槛。然而,因为《办法》采用的是累计计算方式,我们理解只要数据跨境“传输行为”发生在上一年1月1日至今,即构成在此期间内“向境外提供数据”。即使已采取删除或匿名化处理措施,计算安全评估触发门槛时也应计入,此为《办法》第四条的应有之义。
就问题二而言,虽然数据跨境“传输行为”发生在上一年1月1日前,但该等数据至今仍处于“境外处理状态”。比如,企业在3年前曾将数据传输至某境外服务器,且该等数据至今仍存储于境外服务器中。如果仅从《办法》第四条规定本身解读,如果跨境“传输行为”发生在上一年1月1日前,那么无论该等数据当前是否处于“出境”状态,理论上不应计入安全评估门槛。然而,如果对于该等存储于境外的数据持续开展访问、加工、使用等数据处理活动,则在此期间出境数据的安全风险将持续存在,因此,从风险控制的角度而言,将此等数据计入安全评估门槛,符合监管预期。反之,如果未对该等数据进行除存储之外的其他处理活动,则可以不计入。
标准合同备案FAQs(三):如何计算“1万”“10万”的安全评估触发门槛
作者:陈瑊 陈煜烺 蒋安琪来源:中伦律师事务所

专栏Law 导读 随着《个人信息出境标准合同办法》自6月1日起施行及备案指南的出台,企业大都在积极地推进个人信息出境的个人信息保护影响评估(以下简称“PIA”)及标准合同签署和备案工作,截至目前各地已