数据出境100问系列 | Part1：数据出境关键概念剖析（三）

Original W&W国际法律团队出海互联网法律观察

2024-08-25

团队介绍：

W&W国际法律团队，国内外一站式法律合规顾问

W&W 国际法律团队已为超过50+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供专业的法律合规服务和落地解决方案。为多个产品及业务线落地互联网综合合规、国内外数据合规及出海合规法律项目。特殊行业覆盖前沿科技领域，如AIGC、区块链、GPT、云计算等新兴领域、智能网联汽车与车机系统、智能制造业与物联网。涉及业务地区为国内、欧洲、北美、亚太、中东等地区。

（如有项目需求或了解代表案例，欢迎联系。）

联系方式：

邮箱：jie.wang@kindinglaw.com

TEL：+86 13650790754

文/ 王捷律师团队

导言

随着《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》的公布，由《个人信息保护法》第三十八条确定的数据出境路径的实践脉络已经越发清晰，可以判断，数据出境合规是企业开展国际业务必须面对的课题。

我们一直专注于网络法实务，特别是数据合规实务工作，在日常为各大企业提供合规服务的过程中，亦遇到各类新型的值得探讨的问题。为了方便实务，让数据出境需求者能够尽快的熟悉、理解我国关于数据出境的各项法律要求与规定，我们计划以前述规定为基础，对我国数据出境有关的法律问题进行一个全方位的解读，一方面对数据出境相关的法律法规进行分析，另一方面也就日常工作中遇到的高频出境问题进行总结。

报告全文获取方式：跨境无忧，合规先行|《数据出境100问》PRO版重磅发布：您的全球合规导航手册

我们热切地期待与各位同行朋友深入探讨各种新型问题，有任何数据合规实务需求与问题探讨，请随时联系王捷律师团队，联系方式见文末。

更新说明

本文章的V1.0版本更新于2022年7月，彼时《个人信息出境标准合同办法》仍在征求意见稿阶段，《数据出境安全评估办法》亦刚刚发布。

在本次2024年4月的更新中，本专题补充了个人信息保护认证、粤港澳大湾区标准合同、境外个人信息跨境传输部分，根据《促进和规范数据跨境流动规定》、《数据出境安全评估申报指南（第二版）、《个人信息出境标准合同备案指南（第二版）》的最新规定进行了更新，对原有部分，包括数据出境关键概念剖析、数据出境安全评估、个人信息出境标准合同等部分，均进行了更新或更正。

系列预告

”

本系列文章将分为以下七部分，将在本公众号持续更新。

第一部分：数据出境关键概念剖析
第二部分：数据出境安全评估高频问题与适用解读
第三部分：标准合同高频问题与适用解读
第四部分：粤港澳大湾区(内地、香港)个人信息跨境流动标准合同
第五部分：个人信息保护认证高频问题与适用解读
第六部分：数据出海实践关键问题与海外SCCS要点对比
第七部分：境外个人信息跨境传输

本篇是第一部分内容，主要就部分数据出境的关键概念进行梳理和解读。

第一部分：数据出境关键概念剖析

很多看似非常难解答和处理的问题，并非问题本身，更多是基础概念没有真正理解到位。在日常为各大企业提供数据合规法律服务的过程中，我们经常遇到各项要素交织在一起的复杂情况，解决问题的关键之一，是对基础概念进行准确理解，并识别出待解决问题的真正核心。下面主要就部分数据出境的关键概念进行梳理和解读。

Q21

什么是“敏感个人信息”？

同样，我国《个人信息保护法》，就何谓“敏感个人信息”也给出了具体的定义，敏感个人信息是指，一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

实务中企业想要判断其处理的信息是否涉及“敏感个人信息”时，可以结合该等信息被泄漏或被非法使用时对数据主体权益的影响程度、是否属于特殊类型数据以及结合《个人信息安全规范》的“附录B（资料性附录）个人敏感信息”等进行综合判断。

Q22

如何理解《数据跨境流动规定》第四条，即“在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的”？

适用该情形需要满足两个条件，即：

出境的个人信息是在境外收集和产生的；

在境内处理个人信息时没有引入境内个人信息或重要数据。

举例来说，中国互联网企业在出海过程中，收集海外自然人的数据，并将其传输至境内自有的数据中心进行处理，处理完成后向境外机构、组织或个人提供，且企业在境内处理的过程中没有引入境内的个人信息或者重要数据。

又如出海语音识别SaaS服务提供商，收集海外的B端客户传输的自然人语音信息，在境内识别分析后向境外机构、组织或个人返回语音识别后的结果，且该服务提供商在境内进行语音识别分析的过程中没有引入境内的个人信息或者重要数据。

Q23

如何理解《数据跨境流动规定》第五条第一款的“订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的”？

该情形需要满足以下的条件：

合同的一方当事人为个人（该个人的个人信息将向境外提供）；

个人信息处理者向境外提供个人信息，是为了订立、履行其与个人之间的合同；

个人信息处理者为订立、履行其与个人之间的合同，确需向境外提供个人信息。

企业在确定适用该情形之前，需要就向境外提供的各个人信息字段进行必要性评估，对于企业来说，评估是否为“确需”是较难把握的问题。目前监管部门尚未公布进一步的明确标准，评估是否可适用该情形的负担很大程度上归于企业，企业也可能担心若“错误”适用是否可能被监管部门事后处罚。如企业希望寻求协助的，欢迎随时联系王捷律师团队。

Q24

如何理解《数据跨境流动规定》第五条第二款的“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的”？

针对该豁免情形，我们需要注意以下要点：

关于劳动规章制度和集体合同

依法制定的劳动规章制度：是指企业与本单位职工根据法律、法规、规章的规定有关劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利、职工培训、劳动记录以及劳动定额管理等直接涉及劳动者切身利益的规章制度，例如员工手册、绩效管理办法等文件。
依法签订的集体合同是指企业与本单位职工根据法律、法规、规章的规定，就劳动报酬、工作时间、休息休假、劳动安全卫生、职业培训、保险福利等事项，通过集体协商签订的书面协议，也可就集体协商的某项内容签订专项书面协议。就我国而言签订该合同的企业为少数。

跨境人力资源管理场景不仅局限于入职阶段，我们理解此场景包含入职阶段（文件签订、体检、培训等）、在职阶段（考勤、社保、绩效等）、离职阶段（竞业限制、离职关怀等）。

“确需”的必要性评估

例如跨国企业需要将境内员工相关信息传输至境外统一的人力资源系统进行绩效分析时，境内公司向境外母公司传输员工的全部个人信息不具备必要性，实践中需就各个字段进行充分、必要的论证。

Q25

如何理解《数据跨境流动规定》第六条第二款的“自由贸易试验区内数据处理者向境外提供负面清单外的数据，可以免于申报安全评估、订立标准合同、通过保护认证”？

《数据跨境流动规定》规定自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（负面清单），经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。

注册于自由贸易试验区（“自贸区”）的企业可持续关注所属自贸区发布的负面清单，若经核对后，出境数据（包括个人信息）属于负面清单之外的数据，则可免于安全评估、订立标准合同或通过保护认证；但如出境数据落入负面清单的范围，则仍需根据适用条件，申报安全评估、订立标准合同或通过保护认证。

实践中，上海和天津的自贸区均对区域内数据分类分级的流程进行了规定。上海也已基本编制完成智能网联汽车车辆远程诊断、公募基金市场投研信息、跨国公司集团管理、生物医药临床试验和研发等20个场景的跨境流动分级分类的首批清单目录，在完成论证后将于近期对外发布。

Q26

自贸区若尚未发布负面清单，是否可以等负面清单落地再进行相关申报、备案？

根据《数据跨境流动规定》答记者问，负面清单出台前，自由贸易试验区内的数据出境活动按照国家数据出境安全管理有关规定执行。我们理解，在负面清单出台前，企业仍需按照现有的数据出境制度、自身向境外提供数据的情况申报数据出境安全评估、签署《标准合同》并备案、通过个人信息保护认证等，但若落入《数据跨境流动规定》中的其他豁免情形，则免于数据出境前置程序。

Q27

CIIO可否适用豁免情形？

《数据跨境流动规定》第七条也规定了“属于本规定第三条、第四条、第五条、第六条规定情形的，从其规定。”因此，若CIIO数据出境场景符合《数据跨境流动规定》第三至五条的情形，亦可适用豁免情形。

Q28

若出境场景属于豁免数据出境前置程序的情形，还需要做什么？

《数据跨境流动规定》设置了一系列免予申报安全评估、订立标准合同、通过保护认证的数据出境场景，但这不意味着，落入豁免情形的数据出境活动可以不受限制地进行。

根据《个人信息保护法》的规定，在豁免数据出境前置程序的条件下，在个人信息出境方面，个人信息处理者仍需履行包括但不限于以下义务：

（1）向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项；

（2）取得个人的单独同意；

（3）进行个人信息保护影响评估；

（4）采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

对于个人信息之外的数据，如果豁免数据出境前置程序，根据《数据跨境流动规定》第十一条的规定，数据处理者仍需遵守法律、法规的规定，包括履行数据安全保护义务，采取技术措施和必要措施；发生或者可能发生数据安全事件的，应当采取补救措施，及时向省级以上网信部门和其他有关主管部门报告。

Q29

《数据跨境流动规定》发布的背景下，企业如何合规地进行数据出境活动？

针对不同情况的企业，我们建议：

对于那些已经根据原有规定进行申报和备案的企业，应当根据申报的进展和结果，评估自身的数据出境活动是否符合《数据跨境流动规定》中的豁免情况。同时，与监管部门保持紧密的沟通，为接下来的应对措施和最终的收尾工作做好准备。

对于之前处于观望状态的企业，现在数据出境监管的不确定性已经有所缓解。企业应当开始对数据处理（其中包括数据出境）的情况进行彻底的排查，并采取相应的合规措施。鉴于当前政策强调行业监管和事前事中事后的监管检查，即便企业可能符合豁免情况，也应当加强内部的合规工作，并确保其他的义务得到有效履行，以实现业务长远稳定的发展。

Q30

什么是“单独同意”？

“单独同意”是指个人针对其个人信息进行特定处理而专门作出具体、明确授权的行为，不包括一次性针对多种目的或方式的个人信息处理活动作出的同意。与“单独同意”相对的是所谓的“一揽子同意”，比如一款AI产品在用户交互界面向用户提供了一个勾选同意的选项，同意的内容包括将个人信息向境外主体提供、利用个人信息优化AIGC产品、对个人信息向境内主体共享等，这种一揽子的同意就不属于单独同意。关于单独同意的实施，在《GB/T42574–2023信息安全技术个人信息处理中告知和处理的实施指南》的第9.3点有更为详细、区分不同情形的说明。

如个人信息处理者以“同意”为合法性基础向境外提供个人信息、不具备《个人信息保护法》第十三条第一款第（二）至（七）项的合法性基础，则需要取得个人的单独同意；这意味着，如个人信息处理者具备“同意”之外的合法性基础，则无需取得个人的单独同意，常见的如“为履行个人作为一方当事人的合同所必需”。

Q31

什么是“数据出境风险自评估”？

数据出境风险自评估是申报数据出境安全评估的前置程序，《安全评估办法》规定，企业在申报数据出境安全评估前，需要开展数据出境风险的自评估。在要求提交的申报安全评估材料中，自评估报告是提交的材料之一。

虽然数据出境风险自评估与个人信息影响保护评估一样都是由企业自主进行的，但是自评估的内容呈现会关系到后续国家网信办的安全评估结果，企业在进行自评估时可以关注配合《安全评估申报指南》的要求。本专题的后续部分也会详细解读自评估值得重点关注的内容事项。此外，许多企业困惑于“数据出境风险自评估”、“数据出境安全评估”以及“个人信息保护影响评估”的关系区别，在了解分别是何种程序，由谁负责进行后，我们也将会在后文为大家继续做出详细对比分析。

Q32

什么是“个人信息保护影响评估”？

个人信息保护影响评估是企业对其个人信息处理活动进行合法合规程度检查、判断企业的个人信息处理活动是否对个人信息主体合法权益造成损害及相关风险、以及评估保护个人信息主体的各项措施有效性的过程。我国《个人信息保护法》中明确规定，在几大特别情形下，企业应当在开展个人信息处理活动之前，先进行个人信息保护影响评估，并且评估报告和处理记录应当至少保存三年。《个人信息保护法》第五十五条则规定了企业需要进行个人信息保护影响评估的适用范围，包括：

（1）处理敏感个人信息

（2）利用个人信息进行自动化决策

（3）委托处理个人信息

（4）向其他处理者提供个人信息

（5）公开个人信息

（6）向境外提供个人信息

（7）其他对个人权益有重大影响的个人信息处理活动

个人信息保护影响评估应当包括下列内容：

个人信息的处理目的、处理方式等是否合法、正当、必要；

对个人权益的影响及安全风险；

所采取的保护措施是否合法、有效并与风险程度相适应。

在确定数据出境中需要个人信息保护影响评估的前提下，《标准合同办法》《标准合同备案指南》进一步的对出境个人信息保护影响评估的适用条件、程序、内容进行了细化扩充，在本专题的后续部分将会对问题进行深化解读。

Q33

如果落入《数据跨境流动规定》规定的豁免情形，仍需开展的个人信息保护影响评估需要参照哪个版本进行？

目前我国有两种个人信息保护影响评估，一种为参照《GB/T39335-2020信息安全技术个人信息安全影响评估指南》开展的个人信息保护影响评估，另一种为《标准合同备案指南》附件5《个人信息保护影响评估报告（模板）（出境版）》。

我们理解，特定个人信息出境活动，即使根据《数据跨境流动规定》豁免数据出境前置程序，其仍然属于个人信息出境，因此建议按照《个人信息保护影响评估报告（模板）（出境版）》开展个人信息保护影响评估，当然企业可在条件允许的情况下融入《个人信息安全影响评估指南》的相关要求。

附：数据出境路径判断流程图

✦

声明

报告内容系作者对法律及项目实务的理解及高度总结，同时包含部分实践中向监管咨询后得到的答复内容。报告内容仅代表作者个人观点，不构成法律意见。鉴于数据合规法律法规的多变，以及各个国家或地区的立法可能会有变化或存在法院自由裁量权的情况，具体内容需要依赖于对现有规则的理解和把握，且相关预判与建议应当根据具体业务模式以及当地法律法规的变化而不断调整修正。

报告内容系作者原创，引用、转载均请联系作者并注明出处，禁止抄袭，谢谢！欢迎联系主编投稿。

主编介绍

王捷 律师

垦丁律师事务所合伙人、广州创始合伙人、主任律师

W&W国际法律团队创始人

荣登律商联讯（LexisNexis）2023「40位40岁以下的法律精英」榜单

王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了13年+科技型公司实务经验，具备中外律所从业背景；为各类涉互联网企业提供各类综合合规支持，包括数据合规、个人信息保护、产品模式合规等，尤其擅长为企业出海产品提供各类有效的合规解决方案与落地支持。目前已为超过50+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供服务和产品落地解决方案；并发表了超过200多篇的实务文章与专题报告。

专攻领域：

个人信息保护与全球数据合规、企业出海合规、互联网产品及业务模式综合合规、网络安全、广告合规、知识产权攻防布局、前沿科技领域实务合规等。专精于移动互联网、智能制造业与物联网、智能网联汽车与车机系统、电子商务及平台、直播与短视频、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等新兴前沿行业。

涉足国家及地区：

中国（含港澳台地区）、印度、印尼、东南亚等多国、日、韩、欧盟、美国、中东多国、南美洲、非洲。

职业资格：

持有CIPP/E（国际信息隐私专家认证/欧盟）、区块链应用操作员资格证书、数据安全师、数据合规官等资格证书，是联合国世界丝绸之路委员会专家，中国国际贸易促进委员会深圳调解中心专家调解员，广东省法学会信息通讯法学常务理事，荷兰RuG国际经济法与商法硕士。

联系方式：jie.wang@kindinglaw.com

+86 13650790754

推荐阅读：

垦丁荣誉｜王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单

让我们继续以文会友，以笔聚力|盘点2023&共迎2024

访谈实录（上）：法务转型律师，并非拍脑袋

访谈实录（中）：没有什么事是做分享解决不了的，如果有，那就继续坚持

新年贺礼| 《全球数据合规2023图鉴》重磅发布，要做年终总结吗，我们帮你梳理好了