數據出境合規100問 - 網安 - 專業的網絡安全產業、社區、知識平臺

隨著《個人信息出境標準合同規定（征求意見稿）》（以下簡稱《標準合同》）、《數據出境安全評估辦法》（以下簡稱《辦法》）的相繼公布，由《個人信息保護法》第三十八條確定的數據出境選用路徑的實踐脈絡已經越發清晰，可以判斷，數據出境合規是企業數據出海必須面對的課題。我們一直專注于網絡法實務，特別是數據合規實務工作，在日常為各大企業提供合規服務的過程中，亦遇到各類新型的值得探討的問題。為了方便實務，讓數據出境需求者能夠盡快的熟悉，理解我國關于數據出境的各項法律要求與規定，我們計劃以《標準合同》及《辦法》作為基礎，對我國數據出境有關的法律問題進行一個全方位的解讀，一方面對數據出境相關的法律法規進行分析，另一方面也就日常工作中遇到的高頻出境問題進行總結。

本系列文章將分為以下四部分：

第一部分：從零讀懂數據出境初階--數據出境關鍵概念剖析

很多看似非常難解答和處理的問題，并非問題本身，更多是基礎概念沒有真正理解到位。

在日常為各大企業提供數據合規法律服務的過程中，我們經常遇到各項要素交織在一起的復雜情況，解決問題的關鍵之一，是對基礎概念進行準確理解，并識別出待解決問題的真正核心。下面主要就部分數據出境的關鍵概念進行梳理和解讀。

Q1.如何判斷公司業務行為與場景是否屬于數據出境？

目前談論最熱的“數據出境”，其實早在2017年版的《個人信息和重要數據出境安全評估辦法（征求意見稿）》已經給出過解析。數據出境，是指“網絡運營者將在中國境內運營中收集和產生的個人信息與重要數據，提供給位于境外的機構、組織、個人”。

同時，本次《辦法》的出臺，更為我們進一步厘清了“數據出境活動”的明確定義，即包括兩種情況：

第一種，是數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外。

第二種，是數據處理者收集和產生的數據存儲在境內，但境外的機構、組織或者個人可以訪問或者調用。

企業在判斷公司業務行為是否屬于“數據出境”的時候，需要注意以下內容：

判斷自己是否是我國個人信息保護法中的“數據處理者”
該等數據是否是在“境內運營過程中”收集和產生的
企業的行為是否有涉及“向境外提供”，或被境外“訪問或調用”的情況

Q2.如何理解數據出境的“境”？

我們常說的“出境”和“跨境”，不僅是指物理上跨越國境的行為，更是指從一個司法管轄區域到另一個司法管轄區域的行為，而其中司法管轄區域是既包括獨立主權的國家，也包括具有司法獨立主權的地區。

經常有客戶咨詢，中國大陸企業向香港、澳門、臺灣地區傳輸數據，是否屬于出境的行為。當我們對“境”有一個更準確的理解時，該問題便能輕松解決。

中國大陸與香港、澳門、臺灣地區分別屬于不同的司法管轄區域
在《中華人民共和國出境入境管理法》第八十九中曾有對“出境”進行定義，根據規定，出境是指中國內地前往其他國家或者地區，由中國內地前往香港特別行政區、澳門特別行政區，由中國大陸前往臺灣地區
當企業將中國大陸境內收集和產生的重要數據和個人信息向香港、澳門、臺灣地區傳輸時，屬于數據出境行為

Q3. 如何準確識別企業行為是否涉及“境內運營”？

“境內運營”是一個經常出現在各個規定、辦法、指南中的常見概念，也是我們研究“數據出境”行為的常見概念。根據《2017年信息安全技術數據出境安全評估指南（征求意見稿）》中的規定，“境內運營（domestic operation）”是指，網絡運營者在中華人民共和國境內開展業務，提供產品或服務的活動。

Q4.延伸-外資企業高頻問題之一：沒有在中國境內注冊，但是在境內開展業務，或向境內提供產品或服務的，是否屬于境內運營？

解決難題的關鍵點在要看到問題的實質。結合前問法律依據，判斷是否屬于“境內運營”，不以是否在境內注冊為判斷依據，如果沒有在我國境內注冊的網絡運營者，但在我國境內開展業務，或向中華人民共和境內提供產品或服務的，仍然屬于境內運營
判斷是否“在我國境內開展業務，或向我國境內提供產品或服務的實務因素”，則包括但不限于：是否以為我國境內居民提供服務為目的，提供產品和服務的過程中是否使用了中文；是否提供了可以用人民幣作為結算貨幣的選項；是否提供了有向中國境內配送物流的服務等等

Q5. 延伸-出海企業高頻問題之二：出海企業運營的App僅向境外提供服務，不涉及收集境內的數據，是否屬于境內運營？

判斷這個問題的關鍵，一是看出海企業選擇使用哪些主體進行運營，二是看收集的數據是否涉及個人信息與重要數據，三是看是否涉及了收集境內的公民個人信息與重要數據。如果出海企業是選擇使用境內主體進行運營，且境內的網絡運營者僅向境外機構、組織或個人開展業務、提供商品或服務，但不涉及境內公民個人信息和重要數據的，則不視為境內運營。

Q6. 外資企業高頻問題之三：境內主體向另一個位于境內的外資企業的辦事處傳輸數據，是否屬于“數據出境”？

在實務中，有很多看似不是數據出境，但實質上屬于數據出境的“迷惑性”情況。判斷這些問題的關鍵，主要看該業務場景是否落入“數據出境”的范圍。

如前所述，出境的“境”是指跨越了司法管轄區域的邊界，如果是向在我國境內，但不屬于我國司法管轄的另一主體，或沒有在我國境內注冊的另一主體提供了數據，且該數據涉及個人信息和重要數據的，則仍然屬于“數據出境”。

Q7.外資企業高頻問題之四：數據沒有傳輸也沒有存儲到中國境外的任何地方，但外資企業在境外的主體可以訪問、查看到這些數據，是否屬于“數據出境”？

如前所述，關鍵是如何理解“境”，就該問題，本次《辦法》公布后，官方也做出了確定的回復，雖然數據沒有傳輸、也沒有存儲至中國境外的地方，仍然存儲在位于中國境內的服務器中，但實際上，該等數據可以被境外的機構、組織、個人直接或間接地訪問、查看、調用的，仍然屬于“數據出境”，但是如果是屬于公開信息，僅通過正常公開網頁進行訪問等的情況除外。

Q8.外資企業高頻問題之五：跨國集團內部的數據傳輸行為，是否屬于“數據出境”？

同樣是如何理解“境”的問題，即便是跨境集團內部的數據傳輸行為，由于數據是通過境內的網絡運營者從境內轉移至境外的，如果該等數據也是屬于其在境內運營中收集和產生的個人信息和重要數據的，則仍然屬于“數據出境”。

因此，在實務中，當涉及跨國集團常發的集團統一采購、人事管理、OA系統、財務管理、文檔管理、供應商管理、遠程運維等情況時，將可能經常發生企業內部數據流動，并向境外關聯主體提供數據的情況，從而可能會落入“數據出境”的范疇，需要特別注意。

Q9.如何識別哪些情況不構成數據出境？

簡而言之，排除了所有屬于“數據出境”的情況，則屬于不構成數據出境的情況。概括起來，主要有兩種情況并不屬于數據出境：

第一，沒有進行任何加工和處理的“過境中轉數據”，即該等數據只是經由我國境內中轉，但沒有經過任何的變動或加工處理，則不屬于“數據出境”。

第二，即便進行了加工和處理的“過境中轉數據”，但該等數據并非是在我國境內產生和收集的個人信息和重要數據，則不屬于“數據出境”。

Q10.如何判斷業務場景是否涉及處理了“個人信息”？

判斷企業正在處理的數據是否屬于“個人信息”，是開展各類數據合規事項最基本的前提，我國《個人信息保護法》就何謂“個人信息”給出了明確的定義，即，個人信息，是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。

從法條內容可以判斷，我國個人信息保護法對“個人信息”的定義是非常寬泛的，只要具有識別自然人相關信息的可能性即可被認定為“個人信息”，此外，本法條還進行了反向的規定，只有被真正匿名化處理過的信息，才不屬于個人信息。可見，任何可能識別出特定自然人的各種各樣的信息，都可能會被認為是“個人信息”。

在實務中，會經常出現有大量看似不是“個人信息”的業務數據，則在判斷是否屬于“個人信息”時候需要特別注意識別，在出現有可能識別到特定個人的情況下，建議傾向按“個人信息”的標準對待和處理。

Q11.如何判斷業務場景是否涉及處理了“敏感個人信息”？

同樣，我國《個人信息保護法》，就何謂“敏感個人信息”也給出了具體的定義，敏感個人信息是指，一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

可見，“個人信息”包括了“敏感個人信息”，并且，法律嚴格要求了個人信息處理者，只有在具有特定的目的和充分的必要性，并且采取了嚴格保護措施的情形下，才可以處理敏感個人信息。

實務中企業想要判斷其處理的信息是否涉及“敏感個人信息”時，可以結合該等信息對數據主體權益的影響程度、是否屬于特殊類型數據、以及結合《信息安全技術-個人信息安全規范》的附錄的舉例表等進行綜合判斷。

Q12. 如何判斷企業是否涉及處理了“重要數據”？

“重要數據”也是在各個規定、辦法、指南中都曾經出現的概念，本次《辦法》有對重要數據作出定義，是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。定義中對重要數據的識別主要關注數據產生的影響力。

此外，在2022年1月發布的《信息安全技術重要數據識別指南（征求意見稿）》中，為企業給出了如何識別出“重要數據”的具體指引，包括識別的基本原則、判斷因素和描述格式。

還需特別注意的是，基于海量個人信息形成的統計數據、衍生數據也有可能屬于重要數據。

Q13. 如何判斷企業是否屬于“關鍵信息基礎設施運營者（CIIO）”？

自《網絡安全法》公布以來，“關鍵信息基礎設施運營者”的概念就持續在各種規定中被使用，后續各項法律規定不斷完善后，該概念也逐漸清晰起來。

《關鍵信息基礎設施安全保護條例》第二條為CIIO給出了明確的定義，關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。

關鍵信息基礎設施的確定，通常包括三個步驟，

確定關鍵業務
確定支撐關鍵業務的信息系統或工業控制系統
根據關鍵業務對信息系統或工業控制系統的依賴程度，以及信息系統發生網絡安全事件后可能造成的損失認定關鍵信息基礎設施

同時，條例第九條規定，保護工作部門會結合本行業、本領域實際，制定關鍵信息基礎設施認定規則，并報國務院公安部門備案。制定認定規則考慮的因素包括：

（1）網絡設施、信息系統等對于本行業、本領域關鍵核心業務的重要程度；

（2）網絡設施、信息系統等一旦遭到破壞、喪失功能或者數據泄露可能帶來的危害程度；

（3）對其他行業和領域的關聯性影響。

目前，企業是否為“關鍵信息基礎設施運營者“是由保護工作部門根據其制定的相應規則組織認定的，認定結果工作部門會通知給運營者。可見，如果企業并沒有收到主管部門的認定通知的話，可以認為企業暫時不屬于CIIO。

Q14.何謂“個人信息保護影響評估”？

個人信息保護影響評估是企業對其個人信息處理活動進行合法合規程度檢查、判斷企業的個人信息處理活動是否對個人信息主體合法權益造成損害及相關風險、以及評估保護個人信息主體的各項措施有效性的過程。我國《個人信息保護法》中明確規定，在幾大特別情形下，企業應當在開展個人信息處理活動之前，先進行個人信息保護影響評估，并且評估報告和處理記錄應當至少保存三年。《個人信息保護法》第五十五條則規定了企業需要進行個人信息影響評估的適用范圍，包括：

處理敏感個人信息
利用個人信息進行自動化決策
委托處理個人信息
向其他處理者提供個人信息
公開個人信息
向境外提供個人信息
其他對個人權益有重大影響的個人信息處理活動

個人信息保護影響評估應當包括下列內容：

（1）個人信息的處理目的、處理方式等是否合法、正當、必要；

（2）對個人權益的影響及安全風險；

（3）所采取的保護措施是否合法、有效并與風險程度相適應。

在確定數據出境中需要個人信息保護影響評估的前提下，前不久《個人信息出境標準合同規定（征求意見稿）》進一步的對影響評估的適用條件，程序，內容進行了細化擴充，在本專題的后續部分將會對問題進行深化解讀。

Q15. 何謂“數據出境安全評估”？

數據出境安全評估是符合要求的企業需要向境外提供重要數據和個人信息時，由企業申報，國家網信部門進行安全性審核的過程。

數據安全評估最初在2017年我國《網絡安全法》第三十七條出現，同年的《個人信息和重要數據出境安全評估辦法（征求意見稿）》也沿用了此規則，此后，《數據安全法》、《個人信息保護法》以及《信息安全技術數據出境安全評估指南》等相繼在重要數據、數據出境中提出了安全評估的要求。

本次《辦法》則是對數據出境安全評估進行了內容的細化。在本專題的后續部分將會對問題進行深化解讀。

Q16. 何謂“數據出境風險自評估”？

自評估是上述安全評估的前置程序，本次《辦法》規定，企業在申報數據出境安全評估前，需要開展數據出境風險的自評估。在要求提交的申報安全評估材料中，自評估報告是提交的材料之一。

雖然自評估與個人信息影響保護評估一樣都是由企業自主進行的，但是自評估的內容呈現會關系到后續國家網信部的安全評估結果，企業在進行自評估時可以關注配合后續安全評估的要求。本專題在第三部分也會詳細解讀自評估值得重點關注的內容事項。此外，許多企業困惑于“自評估”、“安全評估”以及“個人信息保護影響評估“的關系區別，在了解分別是何種程序，由誰負責進行后，本專題在二三部分也將會為大家繼續做出詳細對比分析。

第二部分：《個人信息出境標準合同規定》高頻問題與適用解讀

本次《規定》的發布一共包括兩個部分。

第一部分為個人信息出境的標準合同法律規定，闡明了《規定》附件中的合同模板（以下簡稱《標準合同》或中國版SCC）的適用范圍，適用要求，責任承擔等基本問題。

第二部分為國家網信辦制定的《標準合同》，共包括9項合同條款，涉及個人信息處理者與境外接收方的權利義務以及第三方受益主體的權利及救濟內容。《標準合同》中包含兩份附錄，供出境雙方填寫個人信息出境說明以及補充條款。

Q17.如何準確理解何謂“標準合同條款”？

根據我國《個人信息保護法》在第三章關于個人信息跨境傳輸的規定內容，我們知道，我國提供了三種個人信息跨境傳輸的機制：

數據出境安全評估，屬于法定適用情況，即只要達到法律規定的條件，企業就必須申報數據出境安全評估。
認證機制，屬于國家推薦的自愿性的認證情況，主要適用在跨國集團與關聯公司之間的個人信息跨境傳輸活動。
標準合同條款，考慮到境外接收方所在國家或地區在個人信息保護立法或執法保護水平上存在的不足，通過境內的個人信息處理者與境外的接收方簽署標準合同條款，將我國法律法規所確立的個人信息保護要求轉化為對境外接收方具有法律約束力和可執行的合同條款。因此，其實質上是我國《個人信息保護法》中確立的同等保護原則的一種跨境傳輸機制。

可見，標準合同條款是個人信息跨境處理活動中可以采用的其中一種合法路徑。

標準合同條款雖然是合同性質，但并不是說雙方完成了簽署就完事，它仍然會涉及到我國法律及原則的適用，以及我國的個人信息監管機構也會對標準合同條款的實施實施了對應的監管要求，例如要求進行事前的個人信息影響保護評估、采取保護措施，要求進行備案等。

Q18.企業如何識別是否落入我國《規定》的適用范圍？

該問題的回應可以分成兩個部分，一是確定適用場景，二是確定規定場景下的適用條件。

從適用場景上看，《個人信息保護法》第三十八條規定了我國個人信息處理者數據出境的四個路徑，而雙方訂立標準合同約定權利義務是其中可選用的路徑之一。

從適用條件上看，根據《規定》第四條規定：使用標準合同的企業（個人信息處理者）應當同時滿足以下條件：

（一）非關鍵信息基礎設施運營者；

（二）處理個人信息不滿100萬人的；

（三）自上年1月1日起累計向境外提供未達到10萬人個人信息的；

（四）且自上年1月1日起累計向境外提供未達到1萬人敏感個人信息的。

故可知，以上四項條件是對通過簽訂標準合同進行數據出鏡的個人信息處理者身份的限制，只有同時滿足以上四項條件的個人信息處理者方可使用標準合同。

Q19.什么類型的企業可能符合簽署《標準合同》的情形？

由上述問題可知，適用我國《標準合同》對企業自身情況有嚴格要求，前述4個需要同時滿足的條件，已經將我國《個人信息保護法》以及《數據出境安全評估辦法》中規定的必須向網信部門申請數據出境安全評估的情形都排除出去了。

即，可以通過簽署中國版SCC而實現數據出境的適用主體需要是非關鍵信息基礎設施運營者，且要求是處理個人信息人數或敏感信息數量較少的個人信息處理者，因此，在實務中多適用于用戶量小，規模較小的企業主體。而大型公司或平臺由于收集個人信息體量大，應用場景廣泛，易于對個人信息主體的權利造成威脅，其選擇簽署《標準合同》作為數據出境路徑的可能性一般較低。

Q20.通過“申報網信部門安全評估”路徑而實現數據出境的企業，是否還需要簽署《標準合同》？

值得注意的是，這并不代表申報了網信部門數據出境安全評估的情況就不需要簽署《標準合同》了，而只是說明了企業不能單單靠通過簽署《標準合同》的路徑來實現數據出境，企業仍然需要在簽署《標準合同》的基礎上，進行網信部門數據出境安全評估的申報。

Q21.發起《標準合同》簽署的個人信息處理者是否必須是中國境內的注冊企業？

中國版SCC的適用前提是個人信息處理者依據我國《個人信息保護法》第三十八條第一款第（三）項，發生了與境外接收方訂立合同而向我國境外提供個人信息的情況；同時，在現在公布的《標準合同》開篇處雙方主體中的表述也是使用了“個人信息處理者”，可見，不論是《規定》本身，還是在《標準合同》的表述，都是使用了“個人信息處理者”，并沒有對該個人信息處理者是否必須是在境內注冊的企業進行要求，結合我國《個人信息保護法》的要求，只要是在個人信息處理活動中可以自主決定處理目的、處理方式的組織和個人都將會被認定為個人信息處理者。

Q22.如果是境外主體直接收集了境內個人信息的情況下，是否需要簽署《標準合同》？

判斷這個問題，首先判分析境外主體直接收集境內自然人個人信息的情況，是否屬于境內個人信息處理者向境外提供個人信息的情況。

從字面的意思來看，境內個人信息處理者向境外提供個人信息，是需要有一個在境內的個人信息處理者，該境內的主體向境外的主體（境外接收方）提供個人信息，此處會有一個境內向境外提供的過程。因此如果是境外主體收集了境內自然人的個人信息的情況的，并不屬于境內個人信息處理者向境外提供個人信息的情況，即該情況不屬于《個人信息保護法》第三十八條和《規定》意義上的“個人信息出境”行為。從這一點看，由于沒有境內主體這個環節，因此難以適用簽署《標準合同》的情形。

但需要注意的是，該情況下，如果該境外主體是以向境內自然人提供產品或提供服務為目的的，即當該境外主體落入了《個人信息保護法》第三條第二款的規定的，則該境外主體收集并處理境內自然人個人信息的行為仍然是屬于“個人信息跨境處理活動”，可以參考《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規范》中的規定，由該境外主體在境內設置的專門機構或指定代表申請認證。

Q23.《標準合同》簽訂前已經簽定的數據處理相關合同的效力如何？

首先，《標準合同》第二條第二款規定，個人信息處理者與境外接收方簽訂與個人信息出境活動相關的其他合同，不得與標準合同沖突，該法條說明了《標準合同》的優先效力。

其次，雖然《規定》的征求意見稿已經發布，但此時《標準合同》的正式稿尚未正式生效，此時開展數據出境的企業雙方簽訂的合同條款效力仍然繼續保持原有效力。

最后，當《標準合同》正式生效后，《標準合同》簽訂前已經簽定的數據處理相關合同與《標準合同》沖突的條款，以《標準合同》為準，其他不沖突的條款依然有效，不會當然導致原有的合同失效。

Q24.企業何種情形下需要簽訂補充條款？

實務中常會出現數據出境的企業雙方想要進行更細致的條款補充的情況，補充條款并不被《標準合同》所禁止，同時，也符合《規定》“自主締約+備案管理”的目的精神，企業如果認為標準合同中已經規定的內容不足以滿足雙方的需要，可以通過《標準合同》附件2增加補充條款，但需要注意的是，企業增加的補充條款不能與標準合同條款本身相沖突，也不能通過增加補充條款來規避標準合同條款的實施，以及不能通過增加補充條款來限制和縮小數據主體本應享有的數據主體權利。

Q25.企業何種情形下需要重新簽訂《標準合同》？

總結《規定》內容來看，數據出境雙方約定的個人信息各項內容、場景環境發生變化都有可能需要重新簽訂合同，依據《標準合同》第八條規定重新簽訂標準合同的情形有：

（一）向境外提供個人信息的目的、范圍、類型、敏感程度、數量、方式、保存期限、存儲地點和境外接收方處理個人信息的用途、方式發生變化，或者延長個人信息境外保存期限的；

（二）境外接收方所在國家或者地區的個人信息保護政策法規發生變化等可能影響個人信息權益的；

（三）可能影響個人信息權益的其他情況。

在法律規定的基礎上，以下兩種情形也是實務中企業需要考慮到的情況。

01向同一個境外接收方持續傳輸信息

在這種情形下，可能涉及傳輸的個人信息的數量變化和數據類型的變化，依據《規定》第八條，需要重新簽訂標準合同以及重新備案。考慮到企業的成本問題，建議在簽署合同前，對協議內容所覆蓋的范圍和維度進行設計和細化，例如對需要傳輸的個人信息數量、類型、目的、方式、保存期限等維度進行有效預估，減少重復更新合同以及備案。

02向不同的境外接收方傳輸信息

在這種情形下企業需要與不同的境外接收方分別簽訂數據傳輸協議。不管是只將數據傳給單個境外數據接收方，還是需同時傳給多個境外數據接收方，每多增加一個境外數據接收方，就需要單獨簽署一份合同，并作一次評估。所以，如果企業需要和多個境外接收方簽署標準合同，可考慮合并同類數據出境的場景，一起進行評估與備案。

值得注意的是，當企業重新簽署《標準合同》以及進行備案時，需要重新進行個人信息保護影響評估，并將評估結果和重新簽署的《標準合同》提交網信辦備案（至于是否可以僅對發生變化的部分進行評估，有待在實踐中確認）。需要明確的是并非境外接收方所在國家或地區的數據保護政策有任何變化，企業就需要重新簽訂合同，還要看具體是否會對數據主體的權益造成影響，但這也是實務中較難判斷的一點。

所謂牽一發而動全身，考慮到企業因為重新簽署合同而投入的成本，企業在首次簽訂《標準合同》時，需要進行更精細化的設計與評估。

Q26.延伸問題—如果出現需重新簽訂《標準合同》的情形，企業需要在多長時間內進行重新簽訂以及備案？

目前《規定》中尚未有確定重新簽訂的備案期限，但是對于符合條件的企業而言，簽訂《標準合同》及備案是企業開展數據出境活動的前提，且考慮到配合《規定》出境安全及保護個人信息權益的精神，為了降低企業風險，企業在得知已達到重簽條件后，宜盡早進行重簽。

Q27.如何理解境內個人信息處理者與境外接收方在《標準合同》中承擔的責任與義務？

《標準合同》第二條明確了個人信息處理者應當履行的義務，并特別要求個人信息處理者對境外接收方承擔監督管理者責任。可見，在實務開展過程中，企業進行數據出境活動的時候，企業不僅是出境活動的主要責任方，更是監管機構的重點監督對象。而對于境外接收方而言，《標準合同》將我國數據保護法律法規的各種法律要求轉化為境外接收方的合同義務，以使境外接收方可以達到我國法律所要求的保護水平，并特別規定了境外接收方需要配合境內企業接受我國監管機構檢查的義務和責任，與前述境內企業需要承擔監督與檢查責任相呼應。

我們對境內個人信息處理者與境外接收方在責任與義務方面進行扼要對比：

Q28.如何理解《標準合同》中的第三方受益人？

除合同雙方當事人即個人信息處理者與境外接收方外，《標準合同》還明確了保護第三方受益人權益的相關內容，這是需要注意的問題。根據《標準合同》的規定，企業需要向數據主體告知其與境外接收方通過標準合同約定數據主體為第三方受益人，如果數據主體沒有在三十天內明確拒絕的，則可以依據標準合同享有第三方受益人的權利。

關于第三方受益人，該概念借鑒了歐盟《關于向第三國轉移個人數據的標準合同條款》的內容，并首次在國內提出，《標準合同》中賦予個人信息主體相應的權利，即作為合同第三方受益人，有權向個人信息處理者、境外接收方任何一方主張并要求履行合同中規定的與個人信息主體權利相關的權利。同時還明確了個人信息主體在權利受到侵犯時，可以通過向監管機構提出投訴或根據管轄規則向相關法院提起訴訟的救濟途徑。

Q29.如何理解“自主締約與備案管理相結合”？

備案制度體現了我國《規定》的監管規則，是指符合條件的個人信息處理者與境外接收方應當自行訂立標準合同，并通過在監管部門備案的方式進行數據出境活動。

與歐盟的規定不同的是，歐盟允許數據進出雙方在不抵觸數據主體基本權利及自由的前提下修訂SCC并由各歐盟成員國的監管機構局進行批準，我國《規定》中提及的“自主締約與備案管理相結合”的模式則未對是否允許雙方修改標準合同條款進行說明。

在實務中不建議修改標準合同，但可以約定在附錄二中進行補充，并且不能與標準合同條款相沖突。關于備案的方式以及頻率則在下面的問題中進行說明。

Q30.進行《標準合同》備案時需要注意哪些事項？

依據《規定》第七條，企業有3點需要注意的：

首先是在備案的時間上，應當在標準合同生效之日起10個工作日內進行。

其次是在備案機關上，應向所在地省級網信部門備案。

最后，是在備案的材料上，企業需要提交2份材料，包括簽署的《標準合同》以及《個人信息保護影響評估報告》。

Q31.《標準合同》的備案是否是《標準合同》的生效要件？

請注意，備案并非是標準合同條款的生效要件。

《規定》第三條明確個人信息出境標準合同的使用規則是以“自主締約與備案管理”相結合，企業不進行備案并不影響合同的效力，但是如果企業不完成備案，就會可能導致網信部門對企業進行責令改正、停止個人信息出境行為等情況，會對企業業務開展產生不良影響。因此，建議企業按要求進行備案。

Q32.“累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息”的起算時間是什么？

“累計”的起算時間點并非《規定》生效之日，而是在《規定》生效時間點上一年1月1日起開始計算累計向境外提供的個人信息人數。可見，“累計提供”的個人信息數量應該按年度進行計算，且最長跨度為2年。

因此，企業應該每年度至少進行一次審查，審查企業向境外提供的個人信息涉及的總人數是否超過/即將超過臨界值，如果超過，則通過簽訂《標準合同》進行數據出境可能已經不能滿足現有規定了，便需要進行安全評估。有關出境安全評估的內容將會在本專題第三部分進行詳細解讀。

Q33.《規定》第四條中的100萬、10萬、1萬是指人數還是個人信息的條數？

本條中的3個數字均指的是人數，不是條數。舉個極端的例子，從目前的規定來說，如果某企業的國內用戶人數超過了100萬，即便向境外接收方提供了一條個人信息，也需要按照《辦法》的規定申報網信辦安全評估。

Q34.個人信息的信息數量計算單位是什么？

《規定》中提及過“出境個人信息的數量”，并且出境個人信息的數量的變更將會觸發重新簽署《標準合同》的可能，因此，如何判斷個人信息的“數量”非常重要，這一點也是筆者存疑并一直思考的地方。

實務中，一旦開啟數據跨境傳輸的業務，境外接收方就會不斷接收到來自境內的個人信息，如何在標準合同中確定出境個人信息的“數量”成為一個有待解決的問題。該“數量”是以條數、量級、范圍計算不甚明確，以及企業在填寫個人信息數量時是否可以填寫具體的范圍，而不是具體數字，仍然有待監管機關進一步明確。

Q35.個人信息保護影響評估是否是《規定》中的必備要求？

這個問題的結論是肯定的，符合條件的企業如果想要選用簽署標準合同的方式完成數據出境就必須要進行個人信息保護影響評估，我國依據《標準合同》開展出境活動采用的是自主締約和備案管理相結合的方法，簽訂標準合同的個人信息處理者必需要進行備案，個人信息保護影響評估報告就是備案材料之一。

Q36.個人信息保護影響評估中的主要評估內容是什么？

評估內容主要圍繞可能產生個人信息安全風險的各事項進行展開，《標準合同》在其第五條有列明重點評估的內容：

結合王捷律師團隊已為不同企業做過的個人信息保護影響評估，以及上述內容判斷，評估主要從處理者及接收者雙方的個體情況、合同內容、個人信息的數據狀況、可能發生的安全事件情況以及目的國的法律環境五個維度進行評估，后續企業在進行評估活動時，可以依據上述五項維度分類，設計類型化的評估環節以及完成有針對性的材料準備。

Q37.延伸—《規定》中要求的個人信息保護影響評估的難點是什么？

個人信息保護影響評估要求企業對境外接收方所在國家或者地區的個人信息保護政策法規對標準合同履行的影響進行評估，此為評估的難點。

在《出境安全評估辦法》中，該項評估是由網信部門進行的。境外政策的變化，是否會影響合同履行，影響的程度如何，實務中由企業判斷存在一定難度。企業可能需要境外律師協助評估才能滿足相應的評估要求。此外，為了方便企業評估活動，可以在與數據接收方簽訂的合同中，約定數據接收方有義務協助提供當地的法律政策文本、協助企業進行評估以及在政策變動時及時告知等。

總之，基于此評估要求，企業需要密切關注數據接收方所在國/地區的法律動態。

Q38.如何理解“境外接收方處理個人信息的活動是否達到本法規定的個人信息保護標準”？

該問題的本質是要如何判斷一個境外接收方整體上滿足《標準合同》的要求，規定中對境外接收方的考慮主要包括三個方面：

第一是境外接收方的情況，包括技術、管理制度、應急處理能力等，需要確認境外接收方在技術以及制度上具有保護個人信息安全的能力；

第二是境外接收方與個人信息處理者的合同內容，確認雙方與個人信息相關的責任要求符合規定標準；

第三是境外接收方所在的地區環境，主要考慮其所在的國家及地區的政策是否會影響個人信息權益。

王捷律師團隊曾于2020年出具《全球數據合規觀察報告》，里面有就不同國家與地區的數據保護法律環境情況進行介紹，以幫助企業客戶更全面地了解目標國家與地區的數據保護動態。

Q39.如何在實務中確定境外接受方的政策法規變化是否影響了個人信息權益？

這是實務中企業完成個人信息影響保護評估的難點，受限于跨地域、跨法域會產生信息差的客觀原因，企業在進行個人信息保護影響評估時要毫無疏漏地分析境外接收方所在國家或者地區的個人信息保護政策法規對標準合同履行的影響頗為困難，實務中要求企業需要更有意識的使用全球法律視角來判斷問題，有數據出境業務的企業要對出境國家及地區的法律規定、政策變化保持敏感度。

Q40.延伸—《標準合同》模板中，技術水平、技術措施、盡到最大努力、足夠保護，這些不夠精準的表達如何理解？

這不僅是實務中企業常有的困惑，同時也是業界頗為關注的問題，對于該問題可以分兩個層面進行回答。首先我們可以理解法律中的這些概念表述所希望追求的法律效果，達成的法律目的是什么，這樣我們在完成評估的過程中許多內容就可以基于想要追求的效果作為行動標準進行判斷，其次，我們可以進一步分析標準細化的規定與方法。

01從《標準合同》的內容上判斷，數據安全以及保護個人信息權益是重要的規范目標

這在《標準合同》的多項規定中都可以體現，比如《標準合同》第八條第（六）項規定盡管在境外處理者違反規定侵害個人權益的情形下，個人信息處理者也可能需要先向個人信息主體承擔責任。因此，在判斷自己的出境活動評估是否已經是盡到“最大努力”、并“足夠保護”個人信息主體時，企業應保持一個嚴格的態度，并在評估的過程中增加“個人信息主體權益”的判斷視角。

02我國數據出境法律不斷完善的過程實際也是出境標準細化的過程，《標準合同》中的許多技術指標，我國各部門機關是有提供細化規范參考的

如《信息安全技術—個人信息安全影響評估指南》提供的更細節的流程、事項指引，同時，實踐中企業對自評估各事項的經驗總結以及有關部門對各評估事項完成度的反饋也是細化這些概述表達的方法。

Q41.未履行備案程序需要承擔相應法律責任，但是若因備案標準不清晰，難以落實，該如何處理？

回應該問題需先判斷《標準合同》確認的備案適用標準，再進一步分析備案標準是否存在需要考慮適用范圍不清晰的部分。

首先，問題中提及的備案制度作為《規定》中的要求，當然是在企業開展數據出境活動中適用，數據出境的判斷標準我們在第一部分的基礎概念解答中已經有詳細的解答，標準相對清晰。

其次，判斷數據出境中企業在何種條件下可以適用《規定》并進行備案，《規定》內容中有詳細要求，前文也有進行列舉。

從現階段規定的適用標準來看，還是比較明確的，基于規定，企業適用不清晰的情況應該很少出現，但仍值得進一步分析:

第一，何為非關鍵信息基礎設施運營者，這個標準我們第一部分也完成了詳細解讀；

第二，若企業現階段尚符合備案標準，但可能日后有不符合的風險如何處理，由于此時不符合備案條件的情形尚未發生，我們認為該階段企業仍然可以選用《標準合同》的路徑，但是一般該情況可以在個人信息影響保護評估中體現，如確有超過條件風險的，企業宜提前做好準備，例如考慮落入安全評估范圍時的數據出境規則。

Q42.在滿足何種情況下，境外接收方可以再向境外第三方提供所接收的個人信息？

境外接收方原則上不應再向境外第三方提供所接收的個人信息，除非業務確有需要，并且滿足特定的要求。具體而言，《標準合同》要求境外接收方將向個人信息提供給位于境外的第三方時需要同時滿足以下要求：

明確有特定的業務需要而提供個人信息
告知個人信息主體境外第三方的具體信息（境外第三方身份、聯系方式、處理目的、方式、個人信息種類及個人行使權利的方式和程序），并獲取個人信息主體單獨同意（但法律法規另有規定的除外）
涉及敏感個人信息的，則需要向個人信息主體告知傳輸敏感個人信息的必要性及對個人的影響。若難以告知或難以取得單獨同意，則境外接收方應及時告知個人信息處理者并請求其協助告知個人信息主體或協助取得個人的單獨同意
與境外第三方達成書面合同，確保境外第三方的保護水平不低于我國數據保護法律的標準
承擔因再提供而可能導致的個人信息主體損害的連帶責任
向個人信息處理者提供以上規定的合同副本

因此，企業在海外業務開展過程中，應首先判斷是否確實有進行境外二次流轉的必要，若確有必要的，不僅應獲得個人信息主體的單獨同意（但法律法規另有規定的除外），還應簽訂合同，以保障第三方對個人信息的保護水平不低于我國相關法律法規規定的個人信息保護標準，并承擔因再提供而可能導致對個人信息主體造成損害的連帶責任，此外，還應主動向中國境內的數據處理者提供以上合同的副本。

Q43.境外接收方向境外第三方再次提供所接收的個人信息，是否需要再次簽署《標準合同》？

如果在部分業務場景中境外接收方確需將所接收的個人信息提供給境外第三方，在滿足Q42中所列明的條件的同時，建議境內個人信息處理者在與境外數據接收方所簽訂的《標準合同》中以排他性列舉的方式明確境內個人信息處理者所認可的境外第三方（即分處理者或次處理者）。

未經境內個人信息處理者同意，不得再向境外第三方提供個人信息，并要求境外數據接收方對第三方的過錯承擔連帶責任。

綜上所述，若存在境外接收方向境外第三方再次提供所接收的個人信息的情況，境內個人信息處理者可以直接在與境外接收方所簽的《標準合同》中約定關于境外第三方的相關條款，比如在《標準合同》附錄一的第（六）項中闡明境外接收方可能再向哪些第三方主體提供個人信息，避免重復簽訂《標準合同》或補充協議以及進行多次備案。

Q44.企業在何種情況下可以解除《標準合同》，以及需要注意的問題包括哪些？

當企業與境外接收方在履行《標準合同》的過程中，根據《標準合同》第七條的規定，企業可以在出現以下情況的時候與境外接收方解除合同：

（1）境外接收方嚴重或持續違反標準合同規定的義務；

（2）境外接收方遭遇了破產、解散或清算等情況。

如果出現以下情況，則企業和境外接收方任何一方都可以解除合同：

因境外接收方違反合同規定的義務，且企業暫停向境外接收方傳輸個人信息的時間超過一個月
境外接收方繼續遵守標準合同將會違反其所在國家的法律規定
根據境外接收方的主管法院或監管機構作出的不能上訴的終局性決定，境外接收方或企業違反了標準合同的規定
在監管機構按照相關法律法規作出個人信息出境相關的決定導致標準合同無法執行的情況下

需要注意的是，標準合同的解除，并不能免除境外接收方在個人信息處理過程中的個人信息保護義務，境外接收方應當返還、銷毀或匿名化處理接收的個人信息；并提供對應的審計報告。

Q45.《標準合同》的違約救濟途徑包括哪些？

發生違反《標準合同》的情形時，個人信息處理者、境外接收方、個人信息主體及有關部門都有可采取的救濟措施：

01個人信息處理者、境外接收方

對于數據出境相關的雙方而言，任意一方出現違反合同義務情形的，另一方可以要求其承擔違約責任，《標準合同》提供的合同模版中規定違約責任及于非違約方遭受的損失，在法定情形下或協商一致的情況下，雙方亦可解除合同。

02個人信息主體

對于個人信息主體，也即第三方受益人而言，合同任意一方侵害第三方受益人權益的，個人信息主體都有權獲得賠償。此外，《規定》還明確了任何組織和個人發現個人信息處理者違反《規定》的，都可以向省級以上網信部門投訴、舉報。

03監管部門

省級以上網信部門除通過接收備案進行監督外，也會對《標準合同》雙方的實際處理過程進行主動監管。

Q46.企業是否需要向個人信息主體提供《標準合同》副本文件？在提供時有什么注意事項？

目前未見有規定強制要求企業需要主動向個人信息主體提供《標準合同》的副本文件，但考慮到這是企業的配合義務之一，因此仍然建議企業在簽署《標準合同》后及時完成副本文件的準備，因為《標準合同》明確個人信息主體具有要求個人信息處理者提供其所簽訂的《標準合同》副本的權利，企業必須配合。在提供副本的過程中，企業可以著重考慮保密以及方便個人理解閱讀的問題。

例如：

(1) 及時將《標準合同》進行適當處理，包括遮蔽機密信息（如有），避免商業秘密泄露；

(2) 提供便于個人信息主體理解合同的摘要內容；

(3) 在可行的情況下，提供《標準合同》副本公示入口或其他查看方式。

Q47.數據出境場景中，除“單獨同意”外，企業還需告知用戶哪些內容？

由于涉及數據的跨境傳輸，企業在進行數據出境時需符合《個人信息保護法》第三十九條規定的“單獨同意”要求。此外，《標準合同》要求個人信息處理者與境外接收方依據《標準合同》附錄一“個人信息出境說明” 所列約定開展與個人信息出境有關的活動，企業還需完成并向個人信息主體告知“個人信息出境說明”的相關情況，包括：

（1）傳輸的個人信息屬于特定類別的個人信息主體，列出該特定類別的個人信息主體；

（2）傳輸的目的；

（3）傳輸個人信息的數量；

（4）出境個人信息類別；

（5）出境敏感個人信息類別；

（6）境外接收方傳輸的個人信息只向特定的接收方提供，列出該特定的接收方；

（7）傳輸的方式；

（8）出境后的存儲時間；

（9）出境后的存儲地點；

（10）其他事項。

Q48.企業違反《標準合同》規定的，對企業出境活動有什么影響？

風險承擔是企業在開展數據出境活動之前必須要清楚考慮的問題，根據《標準合同》的內容來看，除承擔違約責任或面臨行政處罰外，省級以上網信部門有權要求個人信息處理者立即終止個人信息出境活動，由此可能會給企業產生較大損失，是企業在風險承擔中需要考慮的事項。

第三部分：《數據出境安全評估辦法》高頻問題與適用解讀

《辦法》的發布促進了我國維護數據安全及保護數據利益的制度設計到實踐操作的良性銜接，本次《辦法》共包括二十條，對安全評估的目的，適用范圍，評估程序，評估內容，評估效果等各進行了全面規定。

《辦法》實施后，符合要求的企業最好在規定的期限內盡快配合完成評估，盡早熟悉、準備安全評估的相關事項及流程，以避免因違反《辦法》規定而導致企業的數據出境活動受到影響。本專題的第三部分，將匯總《辦法》的高頻問題以及適用難點，結合團隊多年的數據出境業務經驗，為大家帶來詳細解讀。

Q49. 本次《辦法》相比先前的各個意見稿版本有何變化？與《網安法》、《個保法》、《數安法》中關于跨境安全評估的規定有何異同？

與早些年相比，目前我國數據保護相關的法律成果是比較豐富的，借助回答本問題的機會，我們可以先對《辦法》及與數據出境評估相關的立法脈絡進行一個梳理。

從當下的法律布局來看，在已經實施并生效的法律中，《網絡安全法》、《數據安全法》、以及《個人信息保護法》共同搭建起了立體的數據安全評估法律體系，其中，《網絡安全法》側重網絡安全風險、對關鍵信息基礎設施提出了評估要求；《數據安全法》更關注重要數據處理相關的評估事項；《個人信息保護法》則把安全評估作為個人信息數據出境可能采取的路徑之一；而隨著《辦法》的發布，后續企業將能獲得數據出境安全評估事項的詳細指引，我國安全評估從規定事項到具體做法逐漸清晰。

從《辦法》制定的時間脈絡來看，《辦法》的制定先后經歷2017年《個人信息和重要數據出境安全評估辦法（征求意見稿）》、2019年《個人信息安全出境評估辦法（征求意見稿）》、2021年《數據出境安全評估辦法（征求意見稿）》以及2022年《數據出境安全評估辦法》4個版本，期間名稱、內容的改動可以很好地看到我國近年來對數據出境安全立法思路的調整與發展，如對于是否要分類調整個人信息及重要數據、安全評估如何開展、是否需要自評估等，在不斷的調整和立法探索中，如今的《辦法》才最終敲定。

對我國數據出境評估相關法律規定進行扼要對比如下：

（2021年征求意見稿與2022年正式稿的內容對比在本專題最后附錄部分提供）

Q50. 企業如何判斷自身業務是否需要進行出境安全評估的申報？

是否需要進行安全評估，企業可以按照以下流程圖進行判斷：

但是，在實務中，企業還有很多既不是個人信息又不是重要數據的數據，且這些數據也會有大量出境的情況存在，若按照現有《辦法》的條文來看，這類的數據，并不需要進行安全評估，或者簽署標準合同，但仍然建議企業考慮通過完成風險自評估的方式來進行自我檢測。

Q51. 延伸一如何理解“數據處理者向境外提供重要數據”以及具體情況可能包括哪些？

《辦法》第十九條對重要數據進行了詳細的定義，主要強調考慮數據產生的社會影響，該部分在本專題第一部分有進行講解，進一步補充的是，《信息安全技術重要數據識別指南》（以下簡稱《指南》）中除給出了重要數據的定義外，對危害國家安全、公共利益等各個領域重要數據的識別需要考慮的因素也作出了詳細的列舉，故企業可以通過對處理數據的領域進行判斷以明確是否處理了重要數據。比如，地圖軟件中掌握的地圖數據，城市車輛的行駛路線等。

需要注意的是，《指南》中規定重要數據不包括國家秘密和個人信息，但是基于海量個人信息形成的統計數據、衍生數據有可能屬于重要數據，其中“海量”的具體數字并未明確。在《汽車數據安全管理若干規定（試行）》中，其明確指出“涉及個人信息主體超過10萬人的個人信息”屬于重要數據。故在實務中，關于海量個人數據的具體化可能需要在不同行業領域進行分別規范。

Q52. 延伸 — 核心數據是否可以通過安全評估數據出境？

從數據類型上看，《辦法》只規定了重要數據、達量的敏感數據及個人數據出境需要進行安全評估，而并未列明核心數據可以通過安全評估完成出境，由此核心數據的數據出境規則值得進一步分析，根據《數據安全法》第二十一條規定：“關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，實行更加嚴格的管理制度。”由此可以判斷核心數據可能不能通過安全評估辦法進行出境，一是因為核心數據其對國家、社會的重要性要比《辦法》中規定的幾種數據類型更高，二是《數據安全法》中已說明將會實行更嚴格的管理制度要求，至于這是否意味著核心數據不具有出境的可能性，或者核心數據出境需要適用何種規則，由于其需要更多維度要素的考量，可以在未來進一步觀察。

Q53.延伸 — 如何理解“CIIO和達量數據處理者向境外提供個人信息”以及具體情況可能包括哪些？

關于關鍵基礎設施運營者，《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》中給出了明確的定義。除此之外，《條例》第十條規定保護工作部門根據認定規則負責組織認定本行業、本領域的關鍵信息基礎設施，及時將認定結果通知運營者，并通報國務院公安部門，故企業應當注意是否接到主管部門的認定結果的通知，以判斷自己是否屬于關鍵基礎設施運營者。關于CIIO的其他內容，在本系列文章第一部分做了更詳細的闡釋，如仍有疑問可以進行參照。

其次，關于處理100萬人以上個人信息是對數據處理者處理個人信息的人數要求，同時，處理個人信息主體量達到100萬，不管向境外傳輸多少，都已符合該條要求，需要進行申報。

Q54.《關鍵信息基礎設施確定指南（試行）》提及的100萬訪問人次和《辦法》的人數一樣嗎？

實務中有企業注意到了《關鍵信息基礎設施確定指南（試行）》（以下簡稱《指南》）中也提及到“100萬”的衡量標準，并前來咨詢《指南》的100萬與《辦法》的標準是否等同的問題.

實際是，雖然都是100萬，但是衡量標準是不同的，根據《指南》的規定，“日均訪問量超過100萬人次的網站，或可能影響超過100萬人工作、生活，或造成超過100萬人個人信息泄露的網站可認定為關鍵信息基礎設施。”注意，《指南》中提及的標準是100萬“人次”，而《辦法》則是100萬“人數”，前者計算訪問次數，后者計算主體數量，單個主體可能會訪問多次網站，每次訪問都會以人次作為計算。

Q55.《辦法》中提及的100萬“人”、10萬“人”、1萬“人”是否只計算具有中國國籍的公民？例如，收集境外來境內的游客的個人信息是否應計算在內？

該問題的核心在于確認我國保護的個人信息主體的涵蓋范圍，結論是，只要是我國境內的自然人的個人信息都受到保護，并不止于我國的公民。該范圍可以在《個人信息保護法》第二條及第三條的內容中找到法律依據，只要是位于我國境內的自然人都將會落入《辦法》計算中被判斷的主體。如理解有誤，歡迎拍磚指正。

Q56.《辦法》中關于100萬數據出境的規定是否可以理解為就是《個人信息保護法》第四十條規定的境內儲存達量標準？

該問題出現了一個針鋒相對的觀點，早在《個人信息保護法》剛發布實施時，其第四十條要求的國家網信部的規定數量究竟為何一直是被業內關注的重點，《辦法》實施后，100萬是否應當同時也是個人信息處理者應當把信息儲存到境內的標準。有企業認為，既然數據出境的達量標準為100萬，那么境內儲存的標準應當與其等同或者，至少不會比數據出境的標準更低；亦有企業認為，若境內儲存的標準為100萬人數或者要求更嚴格的話，實務中會為企業的數據處理活動帶來過高的處理成本。

我們認為，判斷該問題可以分為兩步，

從目前來看，《辦法》規定的是數據出境的適用規則而并非是數據儲存，二者的標準可能有參考價值但不能從法條文義上直接得出數據儲存也適用該標準的結論

由此，數據儲存的標準不會因為《辦法》的頒布施行而當然的提高；

從近年來的實踐判斷，企業實踐中亦尚未出現因掌握個人信息人數達到100萬即被要求必須在境內儲存信息的情形

由此，在未進一步明確境內儲存規則之前，目前實務中企業的境內儲存規則狀況可能會仍暫時維持現狀。

Q57. 延伸 — 如何理解“累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息”，其具體情況可能包括哪些？

首先，需要注意的是時間起算點為自上年1月1日起，由于本《辦法》自2022年9月1日起施行，故在實務中應理解為自2021年1月1日起計算，此條與《規定》中關于簽署《標準合同》的主體的時間要求銜接，如此規定避免了長時間的數據累計，可使數據量較小的數據處理者不必落入監管范圍。

其次，10萬人與1萬人為實際累計向境外傳輸個人信息主體的人數，關于傳輸信息的計量單位（例如條數、容量等等）在本系列第二部分文章中也進行了討論，這是一個在實務中較為模糊，需要進一步立法規定的問題。最后，關于敏感個人信息，在本系列文章第一部分進行了解釋，故企業在實務中應當注意時間的起算要求以及收集個人信息的種類是否屬于敏感個人信息。

Q58.延伸 — 如何理解“網信部門規定的其他需要申報數據出境安全評估的情形”以及具體情況可能包括哪些？

該條為兜底條款，企業在實務中應當注意經營領域是否有相關行業法規規章對數據收集以及出境具有要求，而不僅局限于《網絡安全法》《數據安全法》和《個人信息保護法》等整體性法律框架內。

Q59.小劇場：仔細研讀《辦法》后，為后續便利出境，A公司就累計起算規則日期的問題前來和律所探討，A公司認為，《辦法》是今年9月1號開始施行，今年的1月1號已經經過，是否可以理解為累計時間的起算點是從2022年1月1日、或2023年1月1日才開始起算？

結合現有法條的文義來看，我們理解，累計的起算時間點應當從2021年1月1日開始，除非有額外的規定說明，否則《辦法》2022年9月1日生效后，就應該在生效的時間點開始遵循《辦法》規定的起算點，即，2022年9月1日為生效時間點，自上一年1月1日開始累計計算。同時，若累計起算的時間點尚需等待2022年乃至2023年起算，那么《辦法》提出的六個月的整改期，以及盡快完善出臺我國數據出境的各項規則的效果也會大打折扣。

Q60.延伸 — 規定關于100萬人數的標準并沒有上一年1月1號的限制條件，是否意味著只要歷史到現在累計達到100人，就得申報而不是采用滾動清零措施？

從《辦法》的適用標準框架來分析，100萬人目前確實并未采取滾動清零的措施。

考慮到累計人數達到100萬，已經是一個相當龐大的數據合集，容易產生較大的數據安全隱患，盡管是歷史累計，可能牽涉的主體以及產生的社會影響力仍然比較高；
從規則設計可行性上看，如果100萬人數采取的累積規則若仍是上一年1月1號，很難有企業會達到100萬的要求，監管目的容易落空；
從適用標準的體系來看，4項標準分別從主體類型、數據類型、人數規模、時間累計四個層面進行了多層次的規定，體系上標準相對完善；
《辦法》的目的是盡可能的降低法數據安全出境風險，若采用歷史累計達100萬的方式也與《辦法》的目的相符合。

Q61. 延伸 — 未達到《辦法》要求進行安全評估的人數要求，但是處理個人信息的條數規模較大是否需要進行安全評估？

鑒于《辦法》中關于100萬、10萬、1萬均指的是人數要求，而非信息條數的要求。在此情況下，實務和業內基于此標準延伸出了一個疑問，若企業處理的人數未達標準，但是所持有的信息條數足夠多，企業是不是就無需進行安全評估。

該問題的著眼內容不僅在于人數標準，而在于在該情形下企業是否需要進行安全評估，我們認為，該情形下，雖然企業確實達不到安全評估的人數要求，但是其持有的條數如果足夠多，以至于對國家、經濟、社會、公共健康等產生影響的，企業可能會因為其所處理的數據被認定為重要數據或屬于法律規定的其他情況而達到進行安全評估的要求。

Q62.延伸 — 現階段未達到申報要求但未來有達到要求可能的企業是否需要申報？

若數據類型為個人信息的，現階段未達到申報要求的企業可以通過簽訂《標準合同》等其他途徑進行數據出境，若數據非涉及個人信息且未達到《辦法》要求的，無需進行安全評估申報。但是根據《辦法》第十六條以及第十八條規定，違反本辦法規定的，不僅面臨被舉報的風險，更有可能構成犯罪，依法追究刑事責任。

由于進行出境安全評估申報，需要開展自評估以及安全評估，提交申報書、自評估報告以及各項法律文件，且需要通過省級網信部門查驗以及國家網信部門受理，整個申報過程需要大量時間成本，故建議企業應當根據現階段經營狀況進行及時預估，如果預測未來發展走勢積極，應當盡早做好申報準備，以免因為不符合數據出境要求影響企業業務發展。

Q63.企業是否可以通過安排不同主體去承接數據的方式規避《辦法》要求的數據出境安全評估？

在《辦法》實施后各企業包括業內都有曾進行類似場景的討論，假設一個需要安全評估的企業主體把個人信息分散給不同的企業主體進行處理，且分散后每個主體都達不到安全評估的要求，此時企業是否就可以不用完成安全評估了。

從實務經驗來看，判斷該問題的核心在于分析處理數據的不同企業之間的關系如何，若企業與企業之間能夠保持獨立，人員、資金、管理制度等都能達到不混同、不融合、不共享的，我們可以認為，每一個處理數據企業都構成一個完全獨立的主體，因此，若此時每一個企業主體處理數據的情形都未達到安全評估的要求標準，數據出境活動可以不進行安全評估。

但是隨著對數據出境監管力度的加強，不排除之后監管部門會通過對不同企業主體進行詳細審查，若通過判定企業之間的數據流轉情況、數據融合情況、企業的具體經營狀況（包括但不限于業務人員的對應的勞動合同關系，各企業主體是否獨立承擔責任，是否具有獨立責任人等），以及向境外提供個人信息和重要數據的各企業之間的關系，最終判斷出各企業主體之間是較難保持獨立性，或實際為同一企業所控制的話，則仍然需要考慮依據《辦法》要求的內容完成數據出境安全評估。

故目前來說，這種方式并不能當然就完全避免企業面臨的被監管部門審查問責的風險。

Q64.企業在進行數據出境安全評估時將需要經歷哪些具體流程？

Q65.企業應該如何進行自評估報告，完成自評估的過程中需要重點關注哪些內容？

我們在本專題的第一部分對自評估報告的概念進行了說明，簡單來說，自評估報告中需要對數據出境業務、數據出境過程中可能涉及的風險、境外接收方的安全保護能力、個人信息權益維護、簽訂的法律文件等進行評估。

結合法條內容，我們理解，風險自評估的報告可以包括如下內容：

Q66.延伸—自評估報告和安全評估報告有什么區別？

首先，我們先從兩個評估流程的法律規定進行內容上的對比：

其次，除常規法條對比外，從實務角度進行理解，討論該問題的核心目的并不是為了從學理上理解二者的差別，而是知道安全評估辦法的重點內容，以便于企業在完成自評估的時候盡可能地配合安全評估辦法的著眼點，確保企業數據成功出境，就如同日常中給客戶講解項目報告，關鍵點在于如何闡述到客戶的心檻里才是提高成功率的關鍵。

從對比可以看到，在法條描述的內容里，自評估與安全評估有許多內容保持了一致性，由此可以推斷，對于兩個評估環節保持一致的部分，企業按照評估要求完成材料準備即可。

此外，安全評估與自評估的差異性在于，從內容上看，相比于企業，國家在考察境外法律、政策方面的評估更具有優勢，因此安全評估比自評估多了“關于境外接收方所在國/地區的數據安全保護政策法規和網絡安全環境對出境數據安全的影響；遵守中國法律、行政法規、部門規章情況”這兩條；從考察視角上看，自評估相對而言側重評估個人信息主體的權益在境外是否能得到同等的保障，出境安全評估除了評估個人信息主體權益外，還更多地考量國家安全、公共利益。

基于以上差別，可以推斷出，企業在進行自評估的時候，在條件允許的情況下，可以事先對境外接收方所在國家的法律政策有所考察，并對國家、社會、個人風險進行一個初步的判斷。

概述而言，企業進行自評估的主要目標是為了讓數據出境，開展業務，盡管自評估與安全評估在規定上有所差別，但是企業在條件以及成本允許的情況下，進行自評估時可以兼顧安全評估的標準，提高獲得批準的可能性。

Q67.《標準合同》的個人信息保護影響評估與《辦法》規定的自評估有什么區別？

二者的對比如下：

基于《標準合同》傳輸的個人信息的數量以及風險程度相對較低(不涉及或較少涉及重要數據、敏感數據)，因此，企業進行個人信息保護影響評估更多關注對個人信息權益帶來的風險，而自評估還需更多考量數據出境給國家安全、公共利益帶來的風險。

企業使用簽訂標準合同的方式進行傳輸時，按規定需要備案。若《規定》生效，網信部門將面臨大量的備案工作，不太可能對備案的內容進行實質性審查，因此個人信息保護影響評估將“評估境外接收方所在國家的法律、政策對履行合同的影響”這一內容規定由企業承擔，從上一問的對比也可以知道，在安全評估中這一內容主要由國家網信部門以及其他有關部門開展，企業的自評估并不涉及這一點。單從這一項對比來看，個人信息保護影響評估所要評估的內容（廣度）是多于自評估的。但是，自評估由于可能涉及重要數據、敏感個人信息以及傳輸數量較大，其所需的評估程度（深度）是大于個人信息保護影響評估的。

此外，對比自評估的第5項“是否訂立了法律文件來符合數據安全保障義務”，由于個人信息保護影響評估是企業簽署《標準合同》的配套評估活動，且《標準合同》是網信部門制定的，其中已經涵蓋安保義務的約定，故在個人信息保護影響評估中無需另外評估標準合同。對于需要進行安全評估的企業，我們建議可以在簽訂《標準合同》的基礎上，再根據具體業務情況簽訂其他法律文件。

Q68. 企業是否需要分開做個人信息保護影響評估以及自評估？

個人信息保護影響評估主要適用數據類型為個人信息的情形，自評估則可能涉及到更多數據類型，由于個人信息保護影響評估以及自評估涉及的評估廣度以及深度上的差異，對于不同類型的數據，企業都需要完成數據出境的，有可能存在分別進行個人信息保護影響評估以及自評估的情況。

Q69.企業進行自評估以及個人信息保護影響評估的材料是否有可以共用的部分？

承接上一問，由于個人信息保護影響評估以及自評估涉及的評估廣度以及深度上的差異，企業可能需要分別進行個人信息保護影響評估以及自評估。但是，這并不意味著二者沒有可以共用的部分。

相反，許多企業在進行兩項評估的過程中實際上有許多調查的事項材料是重合的，比如涉及到個人信息相關的目的、類型、使用范圍、境外接收者保障信息安全的技術和管理制度、境外的責任承擔義務等，這也提醒企業，在進行各項評估時，相關的評估材料可以進行及時備份和保存，以提高企業經辦數據出境流程的效率。

在對個人信息主體的保護方面，自評估涵蓋了個人信息保護影響評估內容，可以合并進行評估。而對于涉及接收方所在國/地區的政策評估，則需要在個人信息保護影響評估中額外進行。

Q70. 《辦法》中提及的數據出境的法律文件具體有哪些要求？

《辦法》中表述數據處理者與境外接收者之間簽訂的文本使用的是“法律文件”而并非“合同”，這說明，企業雙方也可能采取在原有合同的基礎上簽訂補充協議或者增加附件的方式完成義務內容的約定，同時與《標準合同》不同，《辦法》規定發布后并沒有提供一個官方的樣本，而主要強調法律文件中的數據安全保護責任義務內容。主要包括以下要點：

Q71.延伸—《辦法》中的法律文件和《標準合同》有什么區別？

本質上，《辦法》的法律文件以及《規定》提供的標準合同，都能體現國家對于數據出境的監管，只是由于約束的數據內容在涉及的范圍、類型、重要性及影響力上存在差異，因此兩個文本背后體現出來的，采用的監管策略可能會存在差異，關于差異性，二者的比較可以從多個角度進行分析：

Q72.延伸—在企業起草法律文件中的安全保障義務條款時，是否可以參考《標準合同》的內容？

目前來看，《標準合同》的條款還是具有較高參考價值的，尤其在《辦法》實施的初期，境內各企業對法律文件的條款內容可能尚缺乏充足的經驗幫助判斷，《標準合同》中關于個人信息處理者及境外接收者的權利義務、對個人信息的制度及技術保護要求、對出現侵害個人信息事件風險時的處置措施等內容都值得借鑒。由于進行安全評估的個人信息重要性更高，影響力更大，雙方的安全保障義務條款可能會比《標準合同》更為嚴格。

Q73.安全評估結果的有效期持續多久？

安全評估活動并非是一勞永逸，《辦法》規定評估結果的有效期為出具結果之日起二年，如果企業在評估結果有效期屆滿后仍計劃繼續開展數據出境活動的，應當在有效期屆滿前60個工作日前重新申報評估，即大約三個自然月。

從《辦法》的時效要求來看，如果達到《辦法》規定要求的企業，持續有數據出境相關業務的話，安全評估可能將會是企業未來頻繁接觸的流程。

Q74. 有效期屆滿時企業何時需要進行重新評估？

需要注意的是，若想確保企業數據出境活動不受評估結果失效而終止，企業需要留夠充分的申報時間，雖然流程中有規定申報材料流程的相關部門大概的處理時長，但目前《辦法》要求最終出具評估結果的最長時間尚不明確，建議企業需要重新進行安全評估的，應當盡早著手準備。

Q75.企業在重新申報評估的過程中原評估結果有效期屆滿，數據出境活動效力為何？

既然目前并不確定評估結果出具的最長時間需要多久，那么盡管企業在60個工作日前完成重新申報，也有可能會出現原評估結果有效期屆滿，但是新評估結果也尚未出具的情形，嚴格按照《個人信息保護法》以及《辦法》的規定來判斷，有效的安全評估結果是符合要求的企業開展數據出境活動的前置條件，有效期屆滿后，企業繼續進行數據出境活動的，可能會被因違反《辦法》要求而被終止活動。

Q76.符合安全評估要求的企業需要現在就著手準備安全評估嗎？

自《辦法》發布后，近日許多企業都前來咨詢該問題，未來一段時間內，很有可能是數據安全評估申報的高峰期。

首先，《辦法》要求符合安全評估要求的企業堅持事前評估、風險自評估，并在申報安全評估時提交申報書、數據處理者與境外接收方擬訂立的法律文件以及其他材料，這意味企業需要在申報前完成大量的準備工作；

其次，《辦法》第二十條規定，《辦法》自2022年9月1日起施行。《辦法》施行前已經開展的數據出境活動，不符合《辦法》規定的，應當自《辦法》施行之日起6個月內完成整改，即已有數據出境業務的企業應在實施之日起6個月內整改，即最遲于2023年3月1日完成整改；

最后，《辦法》規定，國家網信部門應當自向數據處理者發出書面受理通知書之日起45個工作日內完成數據出境安全評估，情況復雜或者需要補充、更正材料的，可以適當延長并告知數據處理者預計延長的時間，這意味目前監管部分對于數據出境安全評估審核的期限可能基于情況復雜、材料不足等原因延遲；

綜上所述，我們建議符合安全評估要求的企業盡快開始著手準備安全評估，避免因提交材料、審核期限等問題導致無法在《辦法》實施之日起6個月內整改。

Q77.若企業不進行安全評估需要承擔何種法律責任？

《辦法》明確了符合安全評估要求的企業違反《辦法》要求的法律后果，包括依據《網絡安全法》、《數據安全法》、《個人信息保護法》等法律法規處理，若情節嚴重，構成犯罪的，還有被追究刑事責任的風險。我們為企業梳理以上法律中的相關規定如下，供企業參考：

《網絡安全法》第六十六條中對違法在境外存儲網絡數據，或者向境外提供網絡數據的行為處罰規定
《數據安全法》第四十六條中針對向境外提供重要數據行為的處罰規定
《個人信息保護法》第六十六、六十七條中對違反規定處理個人信息，或者處理個人信息未履行《個保法》規定的個人信息保護義務的行為處罰規定

Q78.現階段不符合《辦法》規定的，《辦法》實施后還需要追究責任嗎？

企業數據出境現階段不符合《辦法》規定的，由于現階段《辦法》尚未實施，目前還不會受到處罰，但是《辦法》也給企業預留了整改期，這說明，《辦法》是考慮到了企業此時可能不合規的情況，并預留給企業調整時間的，因此，如企業在《辦法》實施前已有部分數據出境情形，建議企業在《辦法》施行之日起6個月內完成整改，否則可能面臨違規風險。

Q79.如果申報材料不符合規定或者對安全評估結果有異議的，企業如何進行補救？

與之前2021年征求意見稿的版本相比，《辦法》完善了安全評估的救濟流程，企業先把材料交給省級網信部門進行材料的完備性審查，當材料不齊全時，會退回數據處理者并告知補充材料，企業可在此時補充材料，并在此向省級網信部門重新提交申報材料；同時，若最終企業無法通過安全評估，數據處理者對國家網信部門的評估結果有異議的，還可以在收到評估結果15個工作日內向國家網信部門申請復評，需注意此復評結果為最終結果。

Q80.通過安全評估后是否還有其他持續性的審查？

會的，我國數據出境安全堅持事件評估和持續監督相結合，也就是說國家網信部門可以主動對正在進行的各項企業數據出境活動進行監督，一旦發現已經通過評估的數據出境活動在實際處理過程中不再符合數據出境安全管理要求的，應當書面通知數據處理者終止數據出境活動。數據處理者需要繼續開展數據出境活動的，應當按照要求整改，整改完成后重新申報評估。

Q81.已經進行了網絡安全審核評估的企業，還要做數據出境安全評估嗎？

從現有法律的規定與監管的角度來看，完成網絡安全審核評估的企業，建議仍然需要根據企業實際情況以及現有規定進行數據出境安全評估。網絡安全審查評估與數據出境安全評估在許多內容上都有明顯差別，二者共同作為我國數據安全的法治框架的一部分，數據安全既包括數據出境場景，同時也包括境內活動場景。

Q82.企業如何合規地進行數據出境活動？

企業馬上需要做的內容是判斷自身是否符合《辦法》規定的需進行申報的要求，具體的事務事項可能受限篇幅無法完全展開，此處可以提供大致的思路，企業可以先對自己日常經營過程中處理的數據類型、規模、范圍、業務流程進行一個確認歸類，并梳理出企業內部的數據處理流程，以確保企業對其合規的判斷足夠精確。

其次，若符合《辦法》要求的，由于《辦法》規定了有限的整改期，且可能近段時間為申報的高峰期，可以盡早按照《辦法》的要求完成申報材料的準備。

最后，企業除了考慮《辦法》的要求外，本次解讀第二部分《規定》的內容也需要關注，尤其《標準合同》中約定的各項權利義務及責任要求，可以成為企業日常數據出境活動中完成法律文件時的參考內容。當然，企業若想要安全合規的完成數據出境，只考慮出境規則是不夠的，企業內部數據處理各項環節都可能會有違規的風險，精準的找到出血點，并對癥下藥，也是保證合規的關鍵。具體開展企業數據合規的相關事宜時，也非常歡迎企業與王捷律師團隊進一步聯系。

【附件】

數據出境評估2021年征求意見稿與2022年正式稿對比

第四部分：數據出海實踐關鍵問題與海外SCCs

在專題的前三部分，我們已經基本完成了對近期境內數據出境相關的重要法律內容進行了解讀，除對國內的相關規定進行詳細的研究以外，實務及業內同時也關注歐盟與我國境內數據出境規定的比較，由于本專題主要圍繞《辦法》及《規定》的內容展開，我們擬在第四部分也針對歐盟地區與之相對應的部分進行分析比較，而在歐盟地區并無國家安全評估的相關要求，因此，我們將會對歐盟SCCs與國內的規定進行比對。

歐盟委員會于2021年6月4日以發布（EU）2021/91號執行決定的方式提供的標準合同條款最新版本（Standard Contractual Clauses，下稱“SCCs”）。此最新版本的SCCs總共分為4個部分,主要規定了個人信息數據跨境傳輸過程中數據輸出方與數據接收方與數據保護相關的權利義務、數據主體的利益保護、向第三國傳輸的相關事項以及法律適用等方面的內容。

Q83.什么是SCCs？

SCCs全稱為Standard Contractual Clauses（標準合同條款）。現行SCCs是一組由歐盟委員會于2021年6月4日通過的標準合同條款，旨在保護離開了EEA的個人數據，確保個人數據在數據接收方得到GDPR規定的同等保護。

SCCs中包含2套，其中一套適用于數據控制者與數據處理者之間的數據委托處理活動（“委托處理SCCs”）；另一套則適用于向第三國傳輸個人數據的情形（“跨境傳輸SCCs”或“SCCs”）。

從 EEA 境內向 EEA 境外的數據接收方傳輸個人數據時，必須遵守 GDPR 及其針對個人數據國際傳輸制定的規則。跨境傳輸SCCs 是可用于合規的保障措施之一，也是相對高效且節省成本的保障措施之一。跨境傳輸SCCs有助于統一跨境處理方法，從而確保繼續遵守 GDPR 對數據跨境傳輸的要求，并有助于確保個人數據的自由流動。

Q84.SCCs的適用主體和我國《標準合同》有什么區別？

兩份文件中對于主體的劃分是有較大差別的，在我國《標準合同》中對雙方主體的劃分方式主要為境內的個人信息處理者以及境外的數據接收方，而SCCs的主體劃分則與我國不同，SCCs在境內及境外場景劃分的基礎之上，還基于數據跨境傳輸雙方對數據的支配狀態進行了角色區分，即數據控制者和數據處理者，二者區別在于，數據控制者決定數據處理的目的和方式，而數據處理者基于數據控制者的委托按照其指示進行數據處理活動。

Q85.SCCs有哪幾種類型？每種類型的適用情形如何？

如上個問題所述，企業依據對數據處理目的以及處理方式是否具有決定能力，可以區分為數據控制者（controller)和數據處理者(processor）2種角色。SCCs根據數據輸出方以及數據接收方的不同角色定位分為4種類型（Module）。具體為：

第一種類型（Module One：c-c）適用于數據控制者向數據控制者的跨境傳輸；

第二種類型（Module Two:c-p）適用于數據控制者向數據處理者的跨境傳輸；

第三種類型（Module Three:p-p）適用于數據處理者向數據處理者的跨境傳輸；

第四種類型（Module Four:p-c）適用于數據處理者向數據控制者的跨境傳輸。

企業可以根據具體的業務場景，判斷雙方的角色，選擇相應的類型（Module)進行簽署。

Q86.如何判斷企業跨境傳輸活動是否需要簽署SCCs？

該問題下我們首要考慮的是我國境內企業何時可能需要簽署SCCs，如果企業是數據輸出方，依據歐洲委員會2022年5月公布的新版SCCs問答的第24問規定，在判斷是否適合簽署SCCs時，需要考慮以下4個問題：

企業是否受GDPR管轄
數據跨境傳輸的雙方是否為GDPR規定的數據控制者或者數據處理者
傳輸的是否為個人數據
數據接收方是否不受GDPR管轄

如果以上四個問題的答案均為是，則企業可以考慮使用SCCs作為跨境傳輸的工具。

Q87.符合SCCs簽署條件的企業必須要簽署SCCs嗎？

根據歐洲委員會2022年5月發布的官方問答提供的內容，SCCs的條款是在自愿的基礎上使用的，各企業并無義務必須簽署SCCs，企業也可以選擇自行制定一份符合GDPR要求的合同，但是由于SCCs提供了合規模板，出于節省成本和確保合規等原因的考慮，實際場景中，SCCs是許多符合簽署條件的企業原意選擇的路徑。

該問題進一步有討論價值的內容在于，相比之下，我國符合《規定》條件的企業是否必須要簽署《標準合同》抑或是允許簽署同等保護水平的合同完成數據出境，根據《個人信息保護法》第三十八條的內容，企業通過數據出境的四種路徑是確定的，在提及標準合同的出境路徑時，并未做額外允許簽署同等水平協議的說明，同時《規定》中也未對該部分進行闡述，而考慮到一方面備案相比較于安全評估可能監管的力度會稍微放寬，另一方面若自行起草相關合同可能需要有更嚴格審核，在沒有更進一步的官方解釋的情況下，未來我國境內企業選擇官方標準合同模版而非自行擬定合同是風險更低的選擇。

Q88.跨國集團內部的數據傳輸行為，可以簽署SCCs嗎？

可以。SCCs與具有約束力的公司規則BCRs不同， SCCs既可以適用于向境外第三方進行數據傳輸的場景，也可以適用于跨國集團內部的數據傳輸。實務中，有企業會咨詢我們SCCs和BCRs哪種方式更推薦使用。

具有約束力的公司規則BCRs適用于從事聯合經濟活動的企業集團或企業集團的每個相關成員，包括其雇員。不過，BCRs不適用于與第三方（例如服務提供商、客戶、供應商等）之間的數據跨境轉移，并且采用BCRs工具要求跨國企業必須在歐洲經濟區內有實體以及由主管監管機構批準。由此可以判斷，BCRs進行跨境傳輸的成本較高，建議企業采用簽署內部SCCs的方式進行集團內部的數據跨境傳輸。

Q89.企業雙方簽訂完SCCs后，若SCCs的條款與雙方之前簽訂的合同相沖突，企業需要重新簽訂合同嗎？

類似的問題其實我們在本專題第二部分探討我國《標準合同》的問題時也討論過，即若曾經簽署的條款與生效后的《標準合同》條款沖突時如何處理，此情形下SCCs與《標準合同》的處理結論類似，從效力優先性上判斷，SCCs第五條有說明，若SCCs的條款內容與雙方存在的或未來訂立的協議內容間存在沖突，應以SCCs條款為準。因此，在雙方簽署SCCs后，一般企業并非必須重新簽訂合同，后續的數據跨境傳輸活動可以SCCs的條款為準。

Q90.若歐盟用戶可以訪問中國境內企業提供的網站，并且企業收集了歐盟用戶的個人信息，此種情況是否需要簽署SCCs？

不需要。適用SCCs的前提是存在一個數據控制者（或處理者）向另一個數據處理者（或控制者）進行跨境數據傳輸，在該問題的場景下，則并不存在兩個這樣的數據傳輸主體，我們可以通過案例更好理解這個問題，比如歐盟用戶A在中國境內公司B的網站中享受服務，填寫用戶信息，此時由于數據是由用戶A自己直接上傳給公司B的，而并非由兩個數據控制者或處理者之間完成傳輸，此時無需簽署SCCs。

Q91.企業簽署了SCCs，需要和中國一樣到有關部門進行備案嗎？

與我國《規定》里體現的“自主締約+備案管理”相結合不同，歐盟SCCs無需備案，企業簽署SCCs之后，即可將數據依據合同約定的方式進行跨境傳輸。但是，雖然沒有備案的要求，依據SCCs第14條的規定，數據輸出方可能也需要對傳輸的具體情況進行評估。

Q92.延伸—《標準合同》中的個人信息保護影響評估和歐盟SCCs的評估有何不同？

我們先了解SCCs評估的背景，在Schrems II 案后，歐盟更加強調了當使用SCCs作為數據跨境傳輸工具時對數據接收方的評估，一旦評估的過程中發現傳輸行為可能出現有悖歐盟規定的最低限度保障措施要求，則可能需要考慮停止數據傳輸或者采取適當補救措施。而根據SCCs第14條（b）的規定，評估需要考慮的內容，包括處理鏈條的長度、涉及的信息數量和使用的傳輸渠道；預期的再傳輸；接收者的類型；處理的目的；傳輸的個人數據的類別和格式；發生傳輸的經濟領域；傳輸數據的存儲位置；目的地第三國與傳輸的具體情況相關的法律和慣例；為補充本條款下的保障措施而制定的任何相關的合同、技術或組織保障措施，包括在傳輸過程中采取的措施以及在目的地國家處理個人數據的措施。

完成對SCCs的簡單介紹后，結合我們本專題第二部分已經提及的個人信息影響保護內容，我們會發現，兩個評估間有許多相似的特點，比如，需要考慮數據的類型、方式；對境外接收主體個人信息保護能力的考察；境外接收方所在地區，國家的法律政策影響等，評估的核心目的都在于確保數據安全能夠符合文本制定國/區域的要求。

同時，兩個評估間當然也有差異性的部分，比如程序上，我國的評估是數據出境的必須要求，而SCCs中的評估并非出境活動所必須，側重點上，《標準合同》的評估內容會更全面，除了與SCCs一樣關注境外風險以外，對境內主體的考量也是評估的重點之一。

Q93.如果中國企業和位于歐盟境內的企業互相傳輸數據，雙方是否需要同時簽署中國標準合同以及簽署歐盟SCCs？

我們的建議是在符合各自的適用前提的條件下，中國標準合同以及歐盟SCCs均要簽署。《標準合同》以及SCCs規定的適用，都是境內輸出方向境外接收方進行數據傳輸的情況。在問題提及的雙向傳輸的場景內，可以理解為，在國內企業數據傳輸向歐盟企業時受《標準合同》調整；在歐盟企業向國內企業進行數據傳輸時受SCCs調整。

同時，從數據保護目的上看，為了確保數據在第三國能夠得到和在境內同等的保護水平，企業分別簽署可以分別就中國數據出境以及歐盟數據出境事宜進行約束。可以確保中國數據在歐盟能得到充分保護，以及歐盟數據在中國能夠得到GDPR規定的同等保護水平。

Q94.我國《標準合同》如何應對歐盟SCCs體現的長臂管轄？

判斷該問題的重點在于關注我國對境內企業數據出境的保護。在歐盟GDPR的框架下，企業主體間若通過SCCs完成數據出境，要求企業必須配合歐盟監管部門各項安全性調查，面對歐盟SCCs的監管要求，我國《標準合同》也做出了相似的回應，同樣也要求境外接收方接受并配合我國監管機構采取的各項安全性措施，從制度設計上分析，我國《標準合同》在監管內容上的回應能夠很好的保護了我國境內企業及個人信息主體的利益。

Q95.延伸—作為數據接收方且為數據控制者的中國企業如何應對歐盟相關機構的監管？

結合我們過去積累的實務來看，要妥善應對數據出境目的國的監管是一個復雜的實踐課題，一方面需要對企業內部、合作方、數據本身等各維度進行顆粒度足夠細的詳盡調查研究，另一方面也還需要各方人員的深度配合，才能形成契合每個企業自身情況的定制化建議，因此，我們就該問題部分先提供一個大致的方向，依據SCCs第13（b）條的約定，作為數據接收方的企業有責任服從歐盟相關監管機關的管轄，回應其詢問，接受審計。因此，企業應保留在約定職責范圍內進行處理活動的適當文件，按照歐盟監管機構的要求提供此類證明文件。

如想了解更詳細的定制化應對策略，也歡迎聯系我們。

Q96.延伸——作為數據接收方且為數據處理者的中國企業如何應對歐盟相關機構的監管？

同樣，如上問題所述，此部分我們先提供一個大致的應對方向，企業應該保存有關代表數據輸出方進行數據處理活動的文件，以及能夠證明企業遵守了SCCs條款下約定的義務（包括但不限于采取了技術和組織措施等）的文件。如果企業收到歐盟監管機構的要求，可以提供上述材料用于證明。除此之外，企業在日常經營活動中，也需要配合數據控制者的審計活動以及回應來自監管機構的問詢。

綜上，不管企業是作為控制者或者是處理者，其對處理活動的記錄文件十分必要，可以用于證明企業遵守了SCCs約定的條款義務、回應可能來自監管機構的審查。

Q97.SCCs和《標準合同》的文本是否都可以刪減更改？

在涉及合同雙方當事人權利義務，第三人權利，責任承擔等合同的核心內容時，無論是SCC還是《標準合同》都不可以刪減更改，我國《標準合同》各項內容由國家網信部門官方制定，對雙方主體以及受益第三人的各項事項都做出了符合我國對數據出境安全要求以及實現數據出境安全目的的條款規定，因此，我國《標準合同》除非有特別說明，一般不得刪減更改，當然，《標準合同》中個人信息處理者和境外接收方允許自由磋商的部分有可以調整的空間，雙方可以在談判過程中酌情調整，如附件一的個人信息出境說明及附件二的約定其他條款的部分等。

同樣，根據2022年5月歐盟委員會的官方問答。SCCs的文本不得更改，除非（1）為了選擇模塊或文本中提供的選項；（2）為完成文本必要的，例如指明主管法院和監督機構，并制定時間段；（3）為填寫附件；（4）為添加額外的保護措施，以提高數據的保護水平。但這些改變并不能視為改變了核心的文本內容。

Q98.歐盟SCCs與我國《標準合同》適用的管轄規則一樣嗎？

無論是SCCs或是我國的《標準合同》，在企業雙方就合同各事項發生爭議糾紛時，原則上都傾向于由本國或本地區的司法機關進行處理，我國《標準合同》第九條第（五）項中就提及個人信息處理者及境外接收方可以選擇就爭議事項尋求指定仲裁機構提起仲裁或向國內有管轄權的人民法院提起訴訟。

SCCs體現的管轄內容基本與《標準合同》的約定一致，但需要注意的是，在p-c的類型（Module 4）下，SCCs允許數據傳輸雙方約定歐盟境外的法院進行爭議的解決。

Q99.在使用SCCs完成跨境數據傳輸時，企業是否要考慮對第三方受益主體的保護？

SCCs的四個模塊中都有較大的篇幅用以規定跨境傳輸雙方如何保護第三方受益主體利益的內容，包括如確認雙方責任承擔，充分考慮境外接收方國家及地區的法律政策，規定第三方受益主體有權要求企業提供合同副本，以及規定第三方受益主體的救濟方法等，這部分內容為我國《標準合同》的規定內容提供了很高的借鑒價值，從內容上比較，兩份文件在第三方受益主體的保護上比較相似，也進一步體現了我國對保護個人信息保護主體權益的重視程度。因此，無論是何種場景，企業對個人信息保護的合規性都是數據出境活動中需要著重考慮的部分。

Q100.在簽署SCCs后，如果企業想讓額外相關方加入其已簽署的SCCs，可以怎么做？

在SCCs合同簽訂后，如果有第三方想加入，可以根據SCCs第7條（docking clause）的約定，在合同締約方同意后，以數據輸出方或數據接收方的身份填寫附錄并簽署的方式加入，加入之后該第三方就享有SCCs合同約定的權利以及需要承擔相應的義務。這與我國《標準合同》的規定存在差別，《標準合同》要求數據出境后再傳輸到第三方主體的，需要境外接收方與第三方重新達成對個人信息保護程度不低于我國法律規定標準的書面協議。

Q101.是否有可能在SCCs中添加其他條款，或將SCCs納入更廣泛的商業合同？

如果合同締約雙方有其他事項需要在合同中約定，只要該合同條款不損害數據主體的權利，同時也不直接或間接地與SCCs合同正文規定的內容沖突，合同締約雙方可以在SCCs中增添額外條款。

除此之外，如若合同締約雙方欲將SCCs置于締約方之間的其他商業合同之中，也需要滿足以上要求，即不損害數據主體的權利，同時也不直接或間接地與SCCs合同正文規定的內容沖突。合同雙方應當根據約定的管轄地域的法律要求，應簽署并遵守SCCs，并將其納入他們的其他合同中。

關于將SCCs合同納入商業合同中，舉例如下：SCCs國際數據傳輸第12（a）條規定了締約雙方的責任，其要求合同雙方不得在商業合同（其中包括了SCCs的合同）中制定一般免責條款，因為這將與SCCs的本條款相沖突。故在不違反SCCs正文內容的前提下，可以將其以附件等形式納入締約方之間的商業合同中。

以上為我們本次數據出境實務100問的全部問題，實際上，關于數據跨境傳輸的相關問題還有很多很多，遠非寥寥一百問可以囊括，在接下來的實踐中，也會出現更多實務性落地性的問題，以及需要監管進一步闡明的疑難問題。作為數據合規共同體的一部分，我們非常期待能夠有機會和各位同行、伙伴、朋友一起進行深入探討和研究，共同進步，互相成就。

來源：數據法盟