個人信息跨境提供的三種合規路徑分析

01、概述

《個人信息保護法》第三十八條規定個人信息跨境提供的三種合規路徑：“（一）依照本法第四十條的規定通過國家網信部門組織的安全評估；（二）按照國家網信部門的規定經專業機構進行個人信息保護認證；（三）按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；”。三個文件情況如下：

以下對這三種合規路徑對比展示，供大家交流學習。

分別適用哪些情況（評估條件）

認證規范適用于作為認證機構對個人信息跨境處理活動進行個人信息保護認證的認證依據，也為個人信息處理者規范個人信息跨境處理活動提供參考。

認證規范對認證的主體進行規定，申請認證的個人信息處理者應取得合法的法人資格，正常經營且具有良好的信譽、商譽。跨國公司或者同一經濟、事業實體下屬子公司或關聯公司之間的個人信息跨境處理活動可由境內一方申請認證，并承擔法律責任。《中華人民共和國個人信息保護法》第三條第二款規定的境外個人信息處理者，可由其在境內設置的專門機構或指定代表申請認證，并承擔法律責任。

應該做哪些準備工作（評估點）

需要準備哪些申報材料（提交材料）

02、申報流程是什么樣的

1、標準合同

2、安全認證

3、評估辦法

03、總結

1、數據處理者首先要關注涉及的數據和個人信息跨境業務符合哪種適用條件，如果確實屬于，是需要在“自評估”的基礎上，選擇三種合規路徑：

 ▽《標準合同》和《認證規范》要開展個人信息保護影響評估，《認證規范》要求評估報告保存3年；

 ▽《評估辦法》應開展數據出境風險自評估；

 ▽選擇《標準合同》和《認證規范》之后，是采取簽署有法律約束力和執行力的文件作為保障；

 ▽選擇《評估辦法》之后，是由國家網信部門對跨境數據進行評估。

2、合規路徑只能選擇《評估辦法》，而不能選擇《標準合同》的四種數據出境情況：

(一）數據處理者向境外提供重要數據；根據《網絡數據安全管理條例（征求意見稿）》第七十三條的規定，“重要數據”是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據；

(二）關鍵信息基礎設施運營者；根據《關鍵信息基礎設施安全保護條例》第二條的規定，關鍵信息基礎設施，是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等；

(三）處理100萬人以上個人信息的數據處理者向境外提供個人信息（一般以企業全體部門所處理的個人信息數量之和進行計算）；

(四）自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息。

3、《認證規范》在摘要中提出開展跨境處理活動的個人信息處理者申請個人信息保護認證應符合GB/T 35273《信息安全技術 個人信息安全規范》和本文件的要求，可以作為跨境數據業務的企業或組織的國家標準參考。

總之，數據處理者從事跨境數據活動應當按照國家數據跨境安全監管要求，建立健全相關技術和管理措施，明確數據接收方按合同履行數據安全保護義務，保證數據安全，數據處理者和數據接收方均通過國家網信部門認定的專業機構進行的個人信息保護認證。個人信息跨境提供的三種合規路徑為跨境數據安全治理提供了有力保障。