个人信息出境三条路径的选择和执行.pdfVIP

个人信息出境三条路径的选择和执行

近日,有关个人信息出境的规定频繁出台,个人信息出境的三条路径也日渐

清晰地展现出来。有信息出境需求的企业,尤其是跨国公司,面对严格的个人信

息出境合规要求,应当如何应对呢?

一、个人信息出境的法律体系

随着2017年6月1日《网络安全法》的颁布后,数据出境合规成为了被广

泛关注的问题。然而最初的信息出境评估要求仅针对关键信息基础设施的运营者

(“CIIO”)。根据《网络安全法》第三十七条,关键信息基础设施的运营者在中

国境内运营中收集和产生的个人信息和重要数据应当在境内存储,因业务需要

确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进

行安全评估。《网络安全法》并未对非关键信息基础设施运营者向境外提供个人

信息或重要数据的行为提出监管要求。

此后,国家互联网信息办公室于2021年依次发布的《数据出境安全评估办

法(征求意见稿)》以及《网络数据安全管理条例(征求意见稿)》中,进一步扩大了

数据出境需要进行安全评估的范围,例如将出境数据中包含重要数据或者处理

个人信息达到一百万人的个人信息处理者纳入了安全评估的范围,但上述征求

意见稿缺乏上位法的支撑,且颇具争议,因此一直未落地实施。

2021年出台的《数据安全法》和《个人信息保护法》分别提出了CIIO和

非CIIO出境重要数据和个人信息的监管要求。其中,2021年6月10日国家出

台的《数据安全法》采取了“分层监管”的方式,要求CIIO在境内运营中收集

产生的重要数据必须进行安全评估,并且,其他数据处理者出境重要数据时,应

当按照国家网信部门制定的数据出境安全管理办法来进行。2021年8月《个人

信息保护法》(“《个保法》”)正式公布,其中第三十八条规定了个人信息处理

者因业务需要,向境外提供个人信息的需要具备以下条件之一:(1)通过出境安全

评估;(2)进行个人信息保护认证;(3)与境外接收方订立标准合同。其中第五十五

条,进一步将个人信息出境规定为必须事前进行个人信息保护影响评估的情形

之一。

《个保法》虽然提出了信息出境的三条路径:安全评估、保护认证和标准合

同。但在《个保法》出台的时候,国家网信部门尚未制定安全评估的办法,如何

开展个人信息保护认证亦未明确,标准合同也没有颁布,所以业界对于个人信息

如何出境仍处于迷茫的状态。实践中,我们通常会建议相关企业或机构按照《信

息安全技术数据出境安全评估指南(征求意见稿)》以及《信息安全技术个人信

息安全规范》(“《个人信息安全规范》”)等国标的要求,以尽可能接近预测中

的标准合同的方式与境外的接收方签订相关法律文件,并自行开展个人信息保

护影响评估,以满足个人信息出境的法律合规要求。

但是,近日个人信息出境的三条路径已见端倪。2022年6月24日,全国信

息安全标准技术委员会发布了《网络安全标准实践指南—个人信息跨境处理活动

安全认证规范》(“《认证规范》”),为认证机构实施个人信息跨境处理活动提

供了认证依据。6月30日,国家互联网信息办公室()发布《个人信息出境标准合

同规定(征求意见稿)》(“《标准合同规定》”),并在附件中公布了个人信息处理

者和境外数据接收方签订的标准合同范式。2022年7月7日,国家互联网信息

办公室进一步发布了《数据出境安全评估办法》(“《评估办法》”),明确了数

据处理者向境外提供数据时适用国家网信部门评估的情形、内容、流程等。至此,

《个保法》第三十八条项下的三种个人信息出境方式的框架基本成型。对于有个

人信息出境需求的相关企业和机构而言,应当结合自身的业务情况以及法律合

规要求,选择合适的个人信息出境方式。

二、个人信息出境的路径选择

对于企业或相关机构而言,在数据出境前需要根据企业自身的属性,以及拟

出境的数据种类、数量,来综合判断需要承担何种合规的义务,以及如何选择合

适的数据出境路径。

注:《个保法》第三条第二款的情形包括(i)以向境内自然人提供产品或者服

务为目的;(ii)分析、评估境内自然人的行为;(iii)法律、行政法规规定的其他情形。

对于出境重要数据的,根据《评估办法》的规定,数据处理者向境外提供重

要数据必须进行数据出境安全评估;对于个人信息的出境,相关企业或机构可以

按照《评估办法》和《认证规范》来决定个人信息出境的路