个人信息出境合规五步骤，防“罚”于未然

作者：章煦春

随着国家网信办2023年2月24日公布《个人信息出境标准合同办法》（以下简称“《标准合同办法》”）及附件《个人信息出境标准合同》（以下简称“《标准合同》”），结合去年下半年国家网信办颁布的《数据出境安全评估办法》及国家市监局、国家网信办去年年底联合颁布的《个人信息保护认证实施规则》，正式宣告了国家在个人信息出境传输上的三条合规路径（通过安全评估、专业机构保护认证、签订网信部门制定的标准合同）已架构完成。近期，笔者接到了不少企业法务的咨询电话，就个人信息出境活动到底应当遵循哪条合规路径，如继续保持观望是否仍会法不责众？为此，笔者特组织了瀛泰数据合规委员会在数据合规领域具有丰富实战经验的诸位资深律师，从不同角度撰写了关于个人信息出境合规路径分析，希望本文及后续推出的文章能够帮助到常年法律顾问单位的法务部、TMT部门同事筑起“合规防线”，远离被处罚风险。

《中华人民共和国个人信息保护法》第38条明确了我国个人信息出境的三条合规路径，即必须通过国家网信部门组织的出境安全评估、或国家网信部门认可的专业机构个人信息保护认证、或签订国家网信部门制定的出境标准合同。该法第66条更是进一步明确了违反前述义务，企业可能面临最高上一年度营业额5%以下罚款、暂停相关业务、停业整顿、吊销营业执照、相关主管人员竞业禁止等法律责任。去年7月21日国家网信办对滴滴全球股份作出网络安全审查行政处罚的决定，对滴滴全球股份处以80.26亿元罚款，对董事长兼CEO、以及总裁各处以100万元罚款的案例还历历在目，也确实让不少跨国公司法务总们对数据出境的合规建设日益重视。

虽然《数据出境安全评估办法》要求已开展数据出境活动的企业应当在2023年3月1日前完成整改，但根据网信部门公开披露的信息，截止2023年1月31日，上海网信办接收正式申报材料仅67件，通过完备性查验并报送国家网信办仅35件。截止2023年2月22日，北京网信办接收正式申报材料仅48件：通过国家网信办批准2件，送交国家网信办受理5件，仅通过完备性审查6件，另有25件正在补充完善申报材料。从如上沪京两地网信部门披露的数据我们可以看出，众多存在数据出境场景的企业尚未启动安全评估申请工作，即便申报仍存在对监管部门完备性审查要求理解不足，尚需补充申报的情形。在此情形下，存在个人信息出境场景的跨国企公司或拥有该业务类型的企业，在国家监管规则日益清晰的今天，到底应当选择哪条合规路径？笔者结合最近正在协助客户向上海网信部门申报安全评估和受托办理认证申请的经验，在选择个人信息合规出境路径之前，合理自查乃确定申报路径的前提和基础。

根据《数据出境安全评估办法》第4条，关键信息基础设施运营者，或处理100万人以上个人信息的数据处理者向境外提供个人信息，或自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。未达到以上数量级的个人信息出境企业，则应按照《个人信息保护认证实施规则》或《标准合同办法》的规定，申请个人信息保护认证，或至省级网信部门办理个人信息标准合同备案。

通过前文网信部门公开披露的申请数据出境安全评估的企业名单我们可以看出，大部分存在个人信息出境需求的企业，在合理自查后，可能认为出境数据并未达到需要向国家网信部门申请安全评估的红线，并未选择出境安全评估路径。但随着去年年底《个人信息保护认证实施规则》的公布，2023年1月28日，中国网络安全审查技术与认证中心（CCRC）在其官网公布《个人信息保护认证申请书》，确认由其负责个人信息保护认证的具体实施工作，由此个人信息保护认证之路径正式落地。近期，国家网信办再次公布的《标准合同办法》及附件《标准合同》，意味着企业在合理自查后，对个人信息出境场景必须在个人信息保护认证或出境标准合同备案路径中作出选择。

认证机构通常会依据GB/T 35273《信息安全技术个人信息安全规范》及TC260-PG-20222A《个人信息跨境处理活动安全认证规范》，对认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价，作出认证决定，颁发认证证书。认证证书有效期为三年，该期限内，认证机构将保持获证后的持续监督，以保持认证证书的有效性。可见，在获得认证机构颁证场景下，认证机构承担了合规监管人职责，充当了合规保护伞。而获证申请人更可在广告等对外宣传中通过展示认证标志，在应对政府监管和对外业务活动中彰显个人信息保护能力，体现对个人信息出境业务场景下的高水平保护。

而《个人信息出境标准合同》虽赋有合同之名，但实则合同双方可协商议定空间非常有限。国家网信办有关负责人就《标准合同办法》回答记者提问时曾明确指出，企业应当严格按照办法附件的标准合同范本订立，国家网信部门可以根据实际情况对附件进行调整，缔约双方可约定其他合同条款，但不得与标准合同相冲突，标准合同生效后方可开展个人信息出境活动。标准合同生效之日起10个工作日内，企业应当向所在地省级网信部门备案。《标准合同办法》将于2023年6月1日起施行，对施行前已经开展的个人信息出境活动给予了6个月整改期，即2023年12月1日前，企业应当尽快在律师团队帮助下启动跨境传输协议的审查，与境外接收方开展标准合同的磋商，帮助境外接收方律师理解标准合同的强制性条款。特别是在企业早已经签署“海外版”数据传输协议或需配合境外接收方履行外国法合规义务场景下，更需要擅长欧盟等国隐私保护领域的专业律师就争议条款逐项说明，以期达成一致理解。

充分了解个人信息出境的法律规定、申报要求和流程规范，方能准确判断合规路径。在专业团队协助下尽早开展出境个人信息资产盘点工作，有助于帮助企业全面、清晰了解个人信息出境场景下数据流动现状和风险要点。在数据领域律师帮助下尽快与海外律所展开沟通，可进一步明确企业应适用的个人信息出境传输合规路径。

在国家网信部门公开披露的报道中我们可以看到，大量已申报待审查企业，仍存在对申报要点理解不足，尚需补充申报的情形。结合我们在帮助企业拟定相关申报文件中的经验，在数据出境安全评估申报时，数据出境安全评估申报书及与境外接收方拟定的数据出境相关合同或者其他法律文件，以及数据出境风险自评估报告所呈现内容应当完全一致。特别对于所涉业务场景及场景下数据流动情况，更应逻辑清晰，描述准确，必要时辅以数据流图进行说明；对数据出境目的、范围、方式，应结合业务实际，围绕合法性、正当性、必要性充分论述；对数据出境链路，应注明带宽、IP地址等技术信息，确保精准、完整。涉及出境个人信息的规模，应写明未来两年预计出境的数据所涉及的自然人数量，并需标注是否去重。涉及出境个人信息的种类，则应厘清出境数据类型，并识别其敏感程度。监管部门对文件所呈现的数据出境业务合理性、接收方数据安全保障能力，以及安全事件风险发生时用户权益保障能力尤为看重，因此，数据出境风险自评估报告的撰写非常重要。该自评报告与认证及标准合同备案场景下必须提交的个人信息保护影响评估（PIA）到底有何差异，我们将在后文“撰写报告”篇章中详细为大家论述。

在个人信息保护认证申报时，由于出境认证的审查依据是全国信息安全标准化技术委员会发布的GB/T 35273《信息安全技术个人信息安全规范》及TC260-PG-20222A《个人信息跨境处理活动安全认证规范》，主要考察的是个人信息处理者在收集、存储、使用、删除个人信息时的内部管理体系（包括组织管理、个人信息处理基本规则、个人信息跨境出境规则等），个人信息处理者与境外接收方存在的关联关系以及该关系对个人信息处理者对境外接收方进行监督和责任承担方面的便利安排。认证机构在综合评价时，除了前述制度文件安排外，会更加重视个人信息处理者在个人信息跨境保护方面所采取的技术措施与管理制度是否匹配。甚至要求认证申请人承诺，近12个月内未发生重大个人信息安全事件。因此，一支拥有丰富技术搭建能力的安全技术团队，对帮助企业尽快通过认证机构的技术验证至关重要。

至于标准合同的磋商要点，更应严格围绕网信部门制定的格式条款，对境内个人信息处理者的义务、境外接收方的义务、境外接收方所在国家或地区个人信息保护政策和法规对合同的影响，以及个人信息主体的权利与救济，包括合同解除、违约责任等展开谈判。但在目前国家尚未发布标准合同的官方英译件情况下，考虑到不同语种在翻译时理解的差异，企业更应尽快梳理个人信息出境具体业务场景，评估这些场景下数据流的合法性、正当性、必要性，在法务部或数据合规领域律师配合下，尽早与境外数据接收方展开磋商，以期达成理解合意。

无论是数据安全评估申报，还是个人信息保护认证申请、或标准合同签署备案，企业应当向网信部门或认证机构展示其在个人信息跨境传输过程中的数据治理结构健全，技术措施有效。否则，即使通过认证，获得认证证书，认证机构也是可以暂停直至撤销认证证书；国家网信部门更是可以依法对个人信息处理者进行约谈，要求整改、消除隐患。

《标准合同办法》与《个人信息保护认证实施规则》适用的TC260-PG-20222A《个人信息跨境处理活动安全认证规范》中均规定应当提交个人信息影响保护评估报告（PIA），均规定报告应重点体现或至少包括：（一）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；（二）出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；（三）境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；（四）个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等。

两个合规路径PIA报告仅在明确境外接收方所在国家或者地区的个人信息保护政策法规对履行个人信息保护义务和保障个人信息权益的影响环节具有明显差异，详细对比后我们不难发现，《标准合同办法》虽然对该部分内容仅做了简单概括性要求，可由申报人自行填报，但附件标准合同却对该部分内容有了比认证规范更为严苛的条款约定。我们在详细对比数据出境安全评估必备文件“数据出境风险自评估报告”后不难发现，标准合同对该部分内容的强制约定已接近数据安全评估的申报要求。我们相信，监管部门实则希望个人信息出境场景企业并不仅仅是在报告中对该部分内容予以展示，更希望落实到与境外接收方的合同约定中，增强出境个人信息安全保障能力。

在基于集团内部管理所需个人信息出境业务场景下，境内个人信息处理者通常并不具备较高的话语权以选择适合的软硬件供应商，建议企业应尽早与数据合规专业团队与技术团队共同配合，通过与境外接收方妥善协商，甚至精简数据出境数据流，建立符合申报评估要求的安全管理制度、充分构建符合监管要求的技术保障能力。

根据国家网信办发布的《数据出境安全评估申报指南（第一版）》，企业在申报数据出境安全评估时（包括重要数据处理者、关键信息基础设施运营者、以及符合申报条件的个人信息处理者），首先应向所在地省级网信办递交相关申报材料。省级网信办收到申报材料后，在5个工作日内完成申报材料的完备性查验。通过完备性查验的，省级网信办将申报材料上报国家网信办；未通过完备性查验的，企业将收到申报退回通知。企业如被告知补充或者更正申报材料，应当及时按照要求补充或者更正材料。无正当理由不补充或者更正申报材料的，安全评估将会终止。

而个人信息保护认证，则需历经合规风险自查、安全能力建设、认证机构技术验证及现场审核。通常情况下，在企业具备认证条件后，认证机构将首先确定认证方案，按照该方案实施技术验证，并向认证机构和认证委托人出具技术验证报告。之后，认证机构进行现场审核，出具现场审核报告。认证机构结合认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价，作出认证决定。

至于标准合同备案。企业应在标准合同生效之日起10个工作日内，向所在地省级网信部门备案，备案需提交的材料包括标准合同和个人信息保护影响评估报告。

由于监管部门所需申报文件类型繁杂，技术审查合规要点繁多，审慎选择数据合规咨询团队协助企业向相关部门递交尤为重要，尽早接受专业团队辅导，避免认证或监管部门反复审查，影响正常业务经营。

2022年7月7日，国家网信办负责人就《数据安全评估办法》回答记者提问时特别提及，重新评估和终止出境主要是指，在评估结果有效期届满或者在有效期内出现本办法中规定重新评估情形的，数据处理者应当重新申报数据出境安全评估。已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的，在收到国家网信部门书面通知后，数据处理者应终止数据出境活动。数据处理者需要继续开展数据出境活动的，应当按照要求整改，整改完成后重新申报评估。

《个人息保护认证实施规则》则是通过认证机构对获证后每年持续监督，以促使认证申请人可继续保持认证证书；不通过的，认证机构应当会根据相应情形作出暂停直至撤销认证证书的处理。目前在认证的体系之下，如果发生个人信息处理者名称、注册地址，或认证要求、认证范围等发生变化的，认证委托人需向认证机构提出变更委托。由认证机构根据变更的内容，对变更委托资料进行评价，确定是否可以批准变更。如需进行技术验证和/或现场审核，则个人信息处理者需要在批准变更前进行技术验证和/或现场审核。

《个人信息出境标准合同办法》明确在标准合同有效期内，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行备案手续的3种情形：一是向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；二是境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；三是可能影响个人信息权益的其他情形。