数据出境合规实务50问-91页.docx

HUr11.2上篇：篇一、我国有哪些数据跨境相关的法律法规要求？4二、哪些行为属于数据跨境传输行为？7三、如何定义出境数据的“境外接收方”？8四、现行数据出境制度下的三条合规路径是什么？如何判断？8五、哪些情况下需要申报数据出境安全评估？11六、数据出境安全评估的流程是怎样的？11七、数据出境安全评估申报需要多长时间？14八、哪些情况下可以选择签署并备案个人信息出境标准合同？15九、个人信息出境标准合同的签署及备案流程是怎样的？16十、哪些情况下可以选择个人信息保护认证？18十一、进行个人信息保护认证的流程是怎样的？19十二、哪些情况下不需要采取三大数据出境制度即可出境数据？21十三、哪些情形属于“法律、行政法规另有规定，依照其规定进行评估/批准的情况”？25十四、Cno数据出境的要求有哪些？26十五、识别重要数据的法律法规依据有哪些？27十六、重要数据出境的要求有哪些？28十七、个人信息出境标准合同的具体内容有哪些？28十八、进行个人信息保护认证的具体要求有哪些？30十九、未符合数据出境制度，有何罚则？31二十、还有哪些应当注意的具体事项？32二十一、我国粤港澳大湾区就个人信息出境是否有特殊便利措施？33下篇：实践篇二十二、如何准确识别数据跨境传输场景？36二十三、企业可能涉及的数据跨境传输场景有哪些？40二十四、如何准确识别跨境传输数据的类型？43二十五、如何正确盘点跨境传输数据的数量？45二十六、如何确定落实数据跨境传输合规措施的内部牵头部门？46二十七、如何确定数据出境安全评估的申报主体？47二十八、如何把握数据出境安全评估的申报时间？48二十九、符合条件的企业应当向哪个/些机构申请数据出境安全评估？49三十、如何开展个人信息保护影响评估？49三十一、如何开展数据出境风险自评估？51三十二、数据跨境传输场景下的PIA与数据出境风险自评估是一回事吗？.53三十三、如何评估数据处理者和境外接收方的技术和制度措施是否充分？.55三十四、如何评估境外接收方法律与政策环境完善程度？57三十五、欧盟是如何对法律政策环境进行评估的？60三十六、数据出境安全评估的有效期为多久？什么情况下需要再次申请安全评估？62三十七、什么情况下需要重新签署个人信息出境标准合同并履行备案手续？63三十八、在订立监管机构发布的标准合同时是否可以对内容进行修改？64三十九、如果已与境外接收方签署数据处理协议，是否可将标准合同作为其附件？64四十、企业应当向哪个/些机构申请个人信息保护认证？65四十一、如何正确应对国际争议解决场景下取证所涉的数据跨境传输？66四十二、我国粤港澳大湾区个人信息出境标准合同如何签署和备案？68四十三、上海自贸区有无数据及个人信息出境的便利监管措施？69四十四、银行金融业数据出境有无特别规范需要注意？71四十五、证券基金业数据出境有无特别规范需要注意？73四十六、医药行业跨境传输的常见场景有哪些？75四十七、医药行业跨境传输涉及的数据有哪些类型？76四十八、医药行业数据跨境传输的主要合规义务有哪些？78四十九、通过境内数据交易所进行跨境数据贸易应考虑哪些跨境数据合规问题？80五十、公共数据运营主体是否可以就公共数据对境外主体进行授权使用或开财享？81附件一、国家及各地省级网信部门联系方式84一、 我国有哪些数据跨境相关的法律法规要求？随着经济全球化和数字化的深入发展，数据跨境传输已经成为全球经济的关键推动力。跨境数据在国际贸易活动、跨国科技合作、数据资源共享方面发挥越来越重要的作用，数据跨境流动已经成为推动数字经济发展，保障全球互联互通的重要途径。我国对数据跨境流动的规制起步较晚，对于数据跨境传输的限制与监管规定散见于各类法律法规、部门规章以及规范性文件中，处于持续创新和完善、趋向成熟体系形成的过程。数据出境的法律渊源可以追溯到2017年6月1日实施的中华人民共和国网络安全法（下称网络安全法）。网络安全法首次提出了数据出境的安全评估制度，要求关键信息基础设施运营者（下称Cno）因业务需要向境外提供个人信息和重要数据应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估随后，全国信息安全标准化技术委员会（TC260）CK称信安标委）于2017年8月30日发布了信息安全技术数据出境安全评估指南（征求意见稿）（下称安全评估指南（征），在数据出境安全评估办法未发布前对数据出境安全评估流程、评估要点以及评估方法等内容提供指引。2021年9月1日实施的中华人民共和国数据安全法（下称数据安全法）重申了CIIO跨境传输在境内运营中收集和产生的重要数据需进行评估的要求，并为出台其他数据处理者的重要数据出境监管制度提供了原则性规定2。此外，数据安全法对向境外司法和执法机构提供数据作出了限制，要求境内组织、个人向外国司法或者执法机构提供存储于中华人民共和国境内的数据必须获得主管机关批准3,这也与随后颁布的中华人民共和国个人信息保护法（下称个人信息保护法）提出的“非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息”的要求相呼应。,网络安全法第三十七条。2数据安全法第三十一条。3数据安全法第三十六条。2021年11月1日，个人信息保护法施行。同月，国家互联网信息办公室（下称国家网信办）发布了网络数据安全管理条例（征求意见稿）（下称网安条例（征），设专章对“数据跨境安全管理”作出具体规定4。个人信息保护法第三十八条和网安条例（征）第三十五条列明了数据出境应采取的三条主要合规路径，即“通过网信部门组织的安全评估”、“按照国家网信部门的规定经专业机构进行个人信息保护认证”、“按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务''（以下合称数据出境制度）5O随后，为推动上述数据出境制度落地，国家网信办及相关行业主管监管部门陆续出台了一系列政策文件。对于“个人信息保护认证”，国家市场监督管理总局和国家网信办于2022年11月4日联合发布关于实施个人信息保护认证的公告（下称认证公告）及附件个人信息保护认证实施规则（下称认证规则），规定了开展个人信息保护认证的基本规则，标志着我国个人信息保护认证制度的正式建立。信安标委于2022年6月发布的网络安全标准实践指南一个人信息跨境处理活动安全认证规范（下称认证规范V1.0）进一步为“个人信息保护认证制度”提供了落地支撑。随后，信安标委又于2022年12月发布了网络安全标准实践指南一个人信息跨境处理活动安全认证规范V2O（下称认证规范V2.0），从具有法律约束力的协议应明确的内容、个人信息保护机构应承担的职责、个人信息保护影响评估应涵盖的事项、个人信息主体应享有的权利以及个人信息处理者和境外接收方应承担的责任义务等五方面对认证规范V1.0进行了细化。2023年3月16日，信安标委发布了国家标准信息安全技术个人信息跨境传输认证要求（征求意见稿）（下称跨境认证要求（征），为推荐性国家标准，在效力层级上高于认证规范V2O。跨境认证要求（征）除增加“敏感个人信息''和"单独同意''的定义并删除了“认证主体''的相关要求外，整体内容与认证规范V2.0基本一致。2023年U月1日，信安标委依据关于促进粤港澳大湾区数据跨境流动的合作备忘录和属地相关法律法规，制定了4网安条例（征）第五章。3个人信息保护法第三十八条。网络安全标准实践指南一粤港澳大湾区跨境个人信息保护要求（征求意见稿），规定了粤港澳大湾区跨境处理个人信息应遵循的基本原则和保护要求，为粤港澳大湾区个人信息保护认证的实施提供了认证依据。对于“数据出境安全评估”，国家网信办于2022年7月7日发布数据出境安全评估办法（下称评估办法），自2022年9月1日起施行，规定了数据出境安全评估申报的具体情形以及要求；对于“个人信息出境标准合同”，国家网信办则于2023年2月22日发布个人信息出境标准合同办法（下称标准合同办法）,自2023年6月1日施行，规定了可以选择签署并备案标准合同的情形，并提供了标准合同范本。在数据出境制度下的三条合规路径已经初步成型的基础上，为优化完善数据出境制度，实现与数据出境安全风险的“精细化匹配”，并同时促进和规范数据依法有序自由流动，国家网信办结合迄今数据出境安全管理工作的实践情况，于2024年3月22日发布了重量级文件促进和规范数据跨境流动规定（下称跨境流动规定）O跨境流动规定主要从五方面对数据出境制度进行了优化：首先，明确了重要数据的认定标准；其次，提出了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件；第三，设立了自由贸易试验区负面清单制度；第四，对需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动门槛标准进行调整，适当放宽数据跨境流动条件，适度收窄数据出境安全评估范围；第五，延长了数据出境安全评估结果的有效期限。同时，为了配合跨境流动规定落地，国家网信办于同日发布了数据出境安全评估申报指南（第二版）（下称评估申报指南（第二版）和个人信息出境标准合同备案指南（第二版）（下称标准合同备案指南（第二版），对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明，对数据处理者需要提交的相关材料进行了优化简化。跨境流动规定评估申报指南（第二版）标准合同备案指南（第二版）的出台反映了主管部门对数据出境治理思路的变化，即在保障数据“依法有序流动”从而为组织或者个人跨境业务合作提供法治保障的同时，促进数据“自由流动”并进一步推动数据自由流动和数字经济发展。一方面，明确监管部门强化事前事中事后全领域的监管，加强指导监督向境外提供数据的数据处理者履行义务的情况，如告知、取得个人单独同意、进行个人信息保护影响评估、采取技术措施保障数据安全出境以及向省级以上网信部门和其他有关主管部门报告数据出境安全事件等。但另一方面，通过畅通数据跨境传输制度渠道打造跨境数字贸易新格局，鼓励企业积极开展数据跨境流动并推进国际贸易发展，如针对不同商业活动场景需求，在不包含个人信息或者重要数据的前提下，允许国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中产生的数据出境活动不适用数据出境安全评估、个人信息出境标准合同和个人信息保护认证机制，极大地减轻相关企业的合规成本。跨境流动规定的发布标志着企业迎来了全新的数据跨境合规窗口期。该规定不仅提升了现行数据出境制度的实用性和可操作性，还积极回应了企业数据跨境传输业务合规方面的常见困惑，从而降低了企业在数据出境活动中所面临的业务合规挑战和难度。对此，涉及跨境传输数据的企业应把握窗口期时机，依法梳理自身数据出境的场景以及对应合规操作要点，确保在积极参与国际经营和跨境业务合作的过程中不触及数据监管红线。二、 哪些行为属于数据跨境传输行为？评估申报指南（第二版）和标准合同备案指南（第二版）第一部分“适用范围”明确了哪些行为属于“数据出境”，具体包含以下三种情形： 数据处理者将在境内运营中收集和产生的数据传输至境外； 数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出； 符合个人信息保护法第三条第二款情形（即在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，包括以向境内自然人提供产品或者服务为目的、分析、评估境内自然人的行为、法律、行政法规规定的其他情形），以及在境外处理境内自然人其他数据处理活动。（具体内容请见下篇：实践篇“一、如何准确识别数据跨境传输场景？”部分）三、 如何定义出境数据的“境外接收方”？根据评估申报指南（第二版）的规定，即使数据未转移存储至中国大陆以外的地方，但被境外的机构、组织、个人访问查看或调用的（公开信息、网页访问除外）的情形属于数据出境。同理，国内企业聘用境外服务供应商通过境外服务器直接收集于中国境内产生的个人信息，也属于数据出境。“境外接收方”一般指第一手境外接收方，如果涉及多个境外第一手数据接收方，需在自评估报告中结合业务场景、数据出境规模、处理数据用途与方式以及数据接收方履行责任义务的管理和技术措施等因素，分别评估各接收方所具备的保障出境数据安全的能力。同时，如果数据出境后还会向其他境外接收方再传输数据，则也需要对该再传输行为进行评估。从跨国企业和其供应商的关系看，一般跨国企业和其聘用的供应商多为委托处理关系，并且多数为跨国公司总部直接委托境外供应商并签署数据处理协议（约定跨国企业及各分支机构均为数据处理者，供应商为受托方）。在此背景下，如果境外母公司可以自行查阅、浏览存储于境外服务器的中国子公司的数据，并且数据处理协议约定境外母公司可以根据自己的目的对境外供应商收集的数据进行处理，则在此数据跨境传输过程中境外母公司属于境外接收方，中国子公司实质上是将个人信息跨境传输至其境外母公司。四、 现行数据出境制度下的三条合规路径是什么？如何判断？综合网络安全法数据安全法以及个人信息保护法这三大数据合规基本法律要求来看，企业开展数据出境活动时，应结合自身的主体类型、出境数据类型和数量，综合判断是否须要额外（1）申报并通过数据出境安全评估;或（2）订立并备案个人信息出境标准合同；或（3）通过个人信息保护认证。具体如下表所示：法律名称生效日期规制主体合规路径网络安全法2017年6月1日CIIO向境外提供个人信息和重要数据，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。数据安全法2021年9月1日CIIO向境外提供重要数据，应当进行安全评估。CIIO以外的数据处理者向境外提供重要数据，遵照国家网信部门会同国务院有关部门制定的办法。个人信息保护法2021年Il月1日CIIO向境外提供个人信息，应当进行安全评估。CIIO以外的数据处理者处理个人信息达到国家网信部门规定数量的个人信息处理者向境外提供个人信息，应当进行安全评估。处理个人信息未达到国家网信部门规定数量的个人信息处理者向境外提供个人信息，可以选择：（1）订立并备案个人信息出境标准合同；或（2）通过个人信息安全保护认证。表1我国数据合规三大法律规制下的数据出境制度最新实施的跨境流动规定则对上述合规路径的适用范围进行了细化,提出：1 .如果企业拟出境的数据符合跨境流动规定第三条、第四条、第五条和第六条规定的情形（以下合称豁免情形），则企业可依法依规自由开展数据出境活动。（具体内容请见上篇：基础篇“十二、哪些情况下不需要采取三大数据出境制度即可出境数据？“部分）若不符合豁免情形，则可继续参照下方第24项进行判断。2 .如果企业是CnO,则应对其个人信息或重要数据的出境活动通过所在地省级网信部门向国家网信部门申报数据出境安全评估。3 .如果企业是CnO以外的数据处理者，则首先应当结合相关部门、地区告知或者公开发布的情况判断拟出境的数据是否属于重要数据，出境数据属于重要数据的，则应当申报数据出境安全评估。4 .如果企业是CnO以外的数据处理者，出境的数据是个人信息，贝U:（1）自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息的，应当申报数据出境安全评估；（2）自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。为方便理解，企业可以参考如下图1总结的数据出境制度适用流程进行判断:<Wt4ft<>一三0.11>六*/於仔。人0，出41*0cno>.4R使优：人6f不舍÷）与BE人*«««ilMlB<gHM4l'*t人启万人ooA>>>a<ItRMMI*y>>o出餐X«+1鼻16禽塞计育榄“R<A图1跨境流动规定下现行数据出境制度的适用流程五、 哪些情况下需要申报数据出境安全评估？最新发布的跨境流动规定适度收窄了数据出境安全评估范围。具体而言，根据跨境流动规定和评估申报指南（第二版）的规定，当数据处理者向境外提供数据不属于跨境流动规定下的豁免情形时（具体内容请见上篇：基础篇“十二、哪些情况下不需要采取三大数据出境制度即可出境数据？”部分），且具有下列情形之一时，应当申报数据出境安全评估：1. CIIO向境外提供个人信息或者重要数据；2. CIIO以外的数据处理者向境外提供重要数据；3. CIIO以外的数据处理者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）；4. CIIO以外的数据处理者自当年1月1日起累计向境外提供1万人以上敏感个人信息；同时，跨境流动规定第六条规定，自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（下称负面清单），经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。自由贸易试验区内数据处理者向境外提供负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。六、 数据出境安全评估的流程是怎样的？为指导数据处理者更好的开展数据出境安全评估申报工作，国家网信办结合此前申报工作开展的实践经验，发布了评估申报指南（第二版）并对数据处理者需要提交的相关材料进行了优化简化，同步开通了“数据出境申报系统”。根据评估申报指南（第二版），申报数据出境安全评估可分为线上申报和线下申报两种形式：（一）线上申报一般适用于Cno以外的数据处理者申报数据出境安全评估，如该等数据处理者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）申报数据出境安全评估等场景；U）CIIO或者其他不适合通过线上系统申报数据出境安全评估的，应采取线下申报流程。但是“不适合通过线上系统申报数据出境安全评估”的具体情形，仍待网信部门进一步澄清说明。线上申报<CIIo以外的数据处理者CIIO线下申报其他不适用线上申报的情形图2数据出境安全评估不同申报流程的适用范围（一）线上申报流程数据处理者进行数据出境安全评估的线上申报，应当通过线上数据出境申报系统提交申报材料，系统网址为httg，/。结合系统附带的数据出境申报系统使用说明（第一版）来看，数据出境申报系统整合统一了数据出境制度下的数据出境安全评估申报、个人信息出境标准合同备案工作，即该系统目前同时支持数据处理者申报数据出境安全评估、个人信息出境标准合同备案；而对于个人信息保护认证，数据出境申报系统后续可能覆盖这一类数据出境制度的实施开展，但是相关功能仍在建设中，尚未上线。目前，申请个人信息保护认证可以登录个人信息保护认证管理系统，系统网址为https:data,6。数据处理者在准备正式评估申报前，应根据评估申报指南（第二版）第三条和数据出境申报系统使用说明（第一版）准备以下文件： 统一社会信用代码证件影印件（加盖公章） 法定代表人身份证件影印件（加盖公章） 经办人身份证件影印件（加盖公章）参考网信中国，促进和规范数据跨境流动规定答记者何，htM"mDwcixin<OYdYH1.2IiHTFOsMbeiVO. 经办人授权委托书、承诺书 数据出境安全评估申报表 数据出境相关合同或者其他具有法律效力的文件影印件（加盖公章） 数据出境风险自评估报告扫描件准备好以上材料后，数据处理者使用数据出境申报系统，应按照“注册用户账号一配置系统使用环境T选择新增评估填报入口”的流程进行数据出境安全评估申报：1 .在注册用户账号阶段，数据处理者应准备好统一社会信用代码证、法人证件、系统注册人证件、注册授权书等材料扫描件或者照片。如果进行申报的实体为个人，可以勾选“无法人代表信息”跳过并进行后续填写。2 .在配置系统使用环境阶段，数据处理者根据自身实际情况可以选择三种用户认证方式，即短信认证、使用专业浏览器加软证书结合认证、使用Ukey方式认证。3 .点击“数据出境安全评估管理”“新增评估”进入新增评估申报页面，上传安全评估材料，并在进入向导页面后，根据提示逐步完善申报信息，包括以下环节： 确认是否属于数据出境安全评估申报适用情形； 填写数据处理者情况； 填写法定代表人信息； 填写数据安全责任人和管理机构信息； 填写经办人信息； 填写数据处理者遵守中国法律、行政法规、部门规章情况； 填写数据出境场景； 上传其他数据出境安全评估申报材料。（二）线下申报流程CIIO或者其他不适合通过线上系统申报数据出境安全评估的，应采用线下方式通过所在地省级网信办向国家网信办申报数据出境安全评估，并按照评估申报指南（第二版）规定准备如下申报材料，将书面申报材料装订成册并附带材料电子版送达所在地省级网信办： 统一社会信用代码证件 法定代表人身份证件 经办人身份证件 经办人授权委托书 数据出境安全评估申报书 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件 数据出境风险自评估报告,其他相关证明材料七、 数据出境安全评估申报需要多长时间？评估申报指南（第二版）未区分数据处理者进行数据出境安全评估线上申报和线下申报整体所需时间。一般情况下，数据出境安全评估的申报时长周期如图3所示：图3数据出境安全评估申报时长周期根据评估申报指南（第二版）第二条的规定，省级网信办会在收到申报材料之日起5个工作日内完成完备性查验，并向数据处理者告知查验结果。对于通过完备性查验的，省级网信办将申报材料提请国家网信办处理；对于未通过完备性查验的，省级网信办向数据处理者告知未通过完备性查验原因。国家网信办自收到省级网信办提交的申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者。根据评估办法第十二条的规定，国家网信办会在向数据处理者发出书面受理通知书之日起45个工作日内，完成数据出境安全评估。在进行整体评估时，对于情况复杂或者需要补充、更正材料的情况，国家网信办会适当延长评估时间，并告知数据处理者预计延长的时间。数据处理者无正当理由不补充或者更正申报材料的，国家网信办可以终止安全评估。评估完成后，国家网信办向数据处理者出具评估结果通知书。数据处理者应当按照数据出境安全管理相关法律法规和评估结果通知书的有关要求，规范相关数据出境活动。数据处理者对评估结果有异议的，可以在收到评估结果通知书15个工作日内向国家网信办申请复评，复评结果为最终结论。八、 哪些情况下可以选择签署并备案个人信息出境标准合同？跨境流动规定适当放宽了数据跨境流动条件，对以往应当订立个人信息出境标准合同的条件作了优化调整。具体而言，根据跨境流动规定和标准合同备案指南（第二版）的规定，企业同时符合下列情形，且不属于跨境流动规定下的豁免情形时（具体内容请见上篇：基础篇“十二、哪些情况下不需要采取.三大数据出境制度即可出境数据？“部分），可以通过签署并备案个人信息出境标准合同的方式向境外提供个人信息：1. CIIO以外的数据处理者；2 .自当年1月1日起，累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）的；3 .自当年1月1日起，累计向境外提供不满1万人敏感个人信息的。需要说明的是，向境外提供被相关部门、地区告知或者公开发布为重要数据的个人信息，应当申报数据出境安全评估，不得选择订立个人信息出境标准合同或者通过个人信息保护认证的方式。九、个人信息出境标准合同的签署及备案流程是怎样的?为指导和帮助个人信息处理者规范有序备案个人信息出境标准合同，国家网信办结合此前备案实践经验发布了标准合同备案指南（第二版），并就个人信息出境标准合同备案的适用范围、备案方式、备案流程和材料以及咨询、举报联系方式等具体要求重新作出了优化说明。标准合同备案流程可以总结为“开展个人信息保护影响评估并订立合同一材料提交T材料查验及反馈备案结果T补充或者重新备案一合同备案一开展个人信息出境活动“环节，时限和流程如下图4所示：个人信息处理者人Ifi殁理者在标准合同生效之日起IO、个工作日内开展备案开晨个人信息保护影晌评估井灯立合同“省级睥信立自个人信'息处理者提交备案材料IS个工作H内完成材料豪验材料提交材料衣险并反馈备案结果要求扑充光普村料向个人信息处理者发放备案编号F过个人信息处理后费交补充完售材料个人信息处理,应当在IO小工作日内提交补充完善材料逾期未扑克终止本次备案程序图4个人信息出境标准合同备案流程示意图个人信息出境标准合同的签署及备案主要环节如下：（一）开展个人信息保护影响评估并订立合同首先，个人信息处理者在进行个人信息出境标准合同备案前，应开展个人信息保护影响评估。个人信息保护法第五十五条和标准合同办法第五条规定，向境外提供个人信息的，应当事前开展个人信息保护影响评估，并对处理情况进行记录。（具体内容请见下篇：实践篇“九、如何开展个人信息保护影响评估？”部分）同时，企业应按照国家网信办发布的标准合同范本结合企业自身个人信息出境情况补充附录二，并与境外接收方订立标准合同。（二）由于以往的线下备案模式统一改为线上备案，故个人信息处理者应根据标准合同办法第七条和标准合同备案指南（第二版）在标准合同生效之日起10个工作日内，通过数据出境申报系统开展个人信息出境标准合同备案，系统网址为hltDs:/,11SiC。根据数据出境申报系统使用说明（第一版），个人信息处理者使用数据出境申报系统，应按照“注册用户账号一配置系统使用环境一选择新增备案填报入口”的流程进行个人信息出境标准合同备案。其中，注册用户账号和配置系统使用环境的具体操作流程和要求与数据出境安全评估申报相同（具体内容请见上篇：基础篇“六、数据出境安全评估的流程是怎样的？”部分）。数据处理者登入系统后应选择“新增备案''进行个人信息出境标准合同备案。根据标准合同备案指南（第二版）和数据出境申报系统使用说明（第一版），数据处理者备案个人信息出境标准合同备案，应提交以下文件： 统一社会信用代码证件影印件 法定代表人身份证件影印件 经办人身份证件影印件 经办人授权委托书 承诺书签字盖章的影印件 个人信息出境标准合同影印件（加盖公章） 个人信息保护影响评估报告影印件（加盖公章）在实际使用数据出境申报系统进行备案的过程中，企业应通过页面向导，逐步完善备案信息，包括以下环节： 确认个人信息出境标准合同适用情形 填写个人信息处理者基本情况； 填写法定代表人信息；,填写经办人信息； 上传承诺书签字盖章的影印件； 填写个人信息处理者遵守中国法律、行政法规、部门规章情况; 填写个人信息出境场景； 上传个人信息出境标准合同加盖公章的影印件，并填写相关信息； 上传个人信息保护影响评估报告加盖公章的影印件； 上传其他相关证明材料。（三）材料查验及反馈备案结果个人信息处理者完成材料提交后，整体备案流程进入了材料查验及反馈备案结果阶段。根据标准合同备案指南（第二版）第三条的规定，省级网信办应当自个人信息处理者提交备案材料之日起15个工作日内完成材料查验，并向符合备案要求的个人信息处理者发放备案编号。需要补充完善材料的，个人信息处理者应当在10个工作日内提交补充完善材料；逾期未补充完善材料的，可以终止本次备案程序。十、哪些情况下可以选择个人信息保护认证？与签署并备案个人信息出境标准合同的情况一样，可以选择个人信息保护认证的情形亦发生了变化。具体而言，根据跨境流动规定的规定，企业在符合以下条件之一，且不属于跨境流动规定下的豁免情形时（具体内容请见上篇：基础篇“十二、哪些情况下不需要采取三大数据出境制度即可出境数据？”部分），可以通过开展个人信息保护认证的方式向境外提供个人信息：1. CIlo以外的数据处理者自当年1月1日起，累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）的；2. CIIO以外的数据处理者自当年1月1日起，累计向境外提供不满1万人敏感个人信息的。需要说明的是，向境外提供被相关部门、地区告知或者公开发布为重要数据的个人信息，应当申报数据出境安全评估，不得选择订立个人信息出境标准合同或者通过个人信息保护认证的方式。十一、进行个人信息保护认证的流程是怎样的？2022年11月18日，国家市场监督管理总局和国家网信办发布的认证公告以及附件认证规则，对开展个人信息保护认证的流程进行了细节说明，包括认证委托、技术验证、现场审核、认证结果评价和批准等环节。认证公告指出“从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动虽然，相关法律法规并未明确公布依法取得认证机构资质的企业名录，但根据向中国网络安全审查认证和市场监管大数据中心（下称网安审认证和市监大数据中心）咨询的结果以及国家网信办于2024年3月22日发布的促进和规范数据跨境流动规定答记者问，企业可以通过个人信息保护认证管理系统（具体网址为hllps:）向网安审认证和市监大数据中心进行申请（具体内容请见下篇：实践篇“十九、企业应当向哪个/些机构中请个人信息保护认证？”部分）。同时，跨境认证要求（征）具体规定了在个人信息跨境传输场景下开展个人信息保护认证的适用情形、基本原则以及基本要求，为认证机构对个人信息跨境处理活动开展个人信息保护认证提供了认证依据，同时也为企业作为个人信息处理者合规开展个人信息跨境处理活动提供了参考。开展个人信息保护认证包括“认证委托、技术验证、现场审核、认证结果评价和批准、获证后监督''五个环节，具体流程如图5所示：认近委托人物认迂机构健交认ii甲请.也。贲料评审存在不符合-技术验证认证娈托人要改认证决定颁发认证让书获证后胜忏督结果评价证书维持、暂停、撤销.短帮图5个人信息保护认证流程示意图首先，个人信息处理者（即认证委托人）应当按认证机构的要求提交认证委托资料，包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。认证委托人在申请个人信息保护认证前可以按照认证依据的要求开展自评估以及合规整改，以符合认证依据的有关要求。认证机构在对认证委托资料审查后及时反馈是否受理。认证机构会根据认证委托资料确定认证方案，包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等，并通知认证委托人7。通过后，技术验证机构会按照认证方案实施技术验证，并向认证机构和认证委托人出具技术验证报告8。认证机构会进行现场审核，并向认证委托人出具现场审核报告9。认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价，作出认证决定。对符合认证要求的，认证机构会颁发认证证书；对暂不符合认证要求的，认证机构有权要求认证委托人限期整改；对于整改后仍不符合的，认证机构有权以书面形式通知认证委托人终止认证。认证机构如发现认证委托人、个人信息处理者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时，认证不予通过。认证机构在认证有效期内，会对获得认证的个人信息处理者进行持续监督，确保获得认证的个人信息处理者持续符合认证要求。认证机构对获证后监督结论和其他相关资料信息进行综合评价，评价通过的，可继续保持认证证书；不通过的，认证机构应当根据相应情形作出暂停直至撤销认证证书的处理。十二、哪些情况下不需要采取三大数据出境制度即可出境数据？跨境流动规定第三、四、五、六条明确提出了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的豁免情形，具体包括：（一）个人信息过境根据跨境流动规定第四条，在境外收集和产生的个人信息传输至境内处理后向境外提供，若处理过程中没有引入境内个人信息或者重要数据的，则不再需要采取额外的数据出境制度。例如，某国内电商平台在境外设有物流仓库，并与境外的物流公司和航空公司合作。境外消费者在该平台国际站购买商7认证规则第4.1条。8认证规则第4.2条。9认证规则第4.3条。品后，平台内商家负责将商品整理发货，由境外物流公司和国外航空公司承运，运输商品并交付消费者。在这个流程中，境内电商平台、平台内商家、物流公司和航空公司等参与方均会涉及处理消费者个人信息。在此过程中，境外消费者的订单信息是由国内电商平台的境外站收集后入境的，用户账号也由该平台国际站负责运营管理，境外消费者的个人信息收集活动不发生在境内，且入境后的处理过程未引入境内消费者的个人信息，经过平台确认交易订单信息后发送给境外的物流公司和航空公司进行运输配送。所以，根据跨境流动规定第四条的规定，针对上述境外个人信息入境再出境的情形，电商平台无需采取额外的数据出境制度，提高了跨境电商的服务效率。（二）基于人力资源管理出境员工个人信息所确需根据跨境流动规定第五条第一款第二项规定，按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，确需向境外提供内部员工个人信息的，不需要采取额外的数据出境制度。但是，若企业希望依据该场景豁免采取数据出境制度，则需要重点排查并关注自身数据出境活动，确保跨境传输员工个人信息的行为是为实施人力资源管理所“确需”的、特定字段的出境也是为实施人力资源管理所“确需”的。（三）为订立、履行个人作为一方当事人的合同所确需根据跨境流动规定第五条第一款第一项规定，符合“为订立、履行个人作为一方当事人的合同所必需”这一前提，确需向境外提供个人信息的，不需要采取额外的数据出境制度。本条针对“履行合同所必需”进行了场景上的罗列，例如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等需要向境外提供个人信息的情形。例如，消费者投资国际金融产品时，为了满足合同的要求、法律规定或者行业监管要求，要向境外提供个人信息，如投资人姓名、身份证信息、联系方式、财务状况等。（四）紧急情况下为保护自然人的生命健康和财产安全所确需