基于我国当前数据安全保障及经济发展的双重需求，近年我国加快推进数据跨境传输立法及完善监管体系。个人信息跨境提供是指个人信息出境，即个人信息处理者将处于中国境内的个人信息以一定的方式向境外接收方提供的个人信息处理行为。信息提供的行为具有多样性，比如通过在线方式提供，或通过物理存储介质提供，或者通过提供访问、下载、处理的路径和密码等方式提供。

　　个人信息出境活动主要包括：一是个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外；二是个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以访问或者调用。

　　根据《中华人民共和国个人信息保护法》（下称《个人信息保护法》）¹，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

　　（一）通过国家网信部门组织的安全评估；

　　（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

　　（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

　　（四）法律、行政法规或者国家网信部门规定的其他条件。

　　综上，《个人信息保护法》中对于数据境外传输明确规定了三种合规途径：数据安全评估、个人信息保护认证、个人信息出境标准合同。

　　2022年7月7日，国家网信办出台《数据出境安全评估办法》；2022年11月4日，国家网信办发布《个人信息保护认证实施规则》，2022年12月16日全国信息安全标准化技术委员会发布《网络安全标准实践指南-个人信息跨境处理活动安全认证规范V2.0》；2023年2月24日，国家网信办公布《个人信息出境标准合同办法》及《个人信息出境标准合同》。至此，《个人信息保护法》中明确的三种个人信息境外传输途径均已出台配套文件。

　　具有个人信息出境需求的企业如何在三种路径中选择适宜的出境途径？如何识别与评估个人信息出境过程中的重要风险点？本文将从三种个人信息境外传输途径的适用条件、审查要点以及申请路径三个方面进行综合分析，为需开展个人信息跨境提供活动的企业提供参考。

　　（一）数据出境安全评估

　　《数据出境安全评估办法》于2022年9月1日起施行。

　　1.适用条件

　　（1）数据处理者向境外提供重要数据；

　　（2）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

　　（3）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

　　（4）国家网信部门规定的其他需要申报数据出境安全评估的情形。

　　由此可知，数据安全评估的模式并非针对所有的数据或所有个人信息跨境传输的场景，这一路径针对的是重要数据、敏感个人信息、大规模个人信息以及关键信息基础设施领域的数据。

　　该适用条件具有一定强制性，符合数据出境安全评估适用条件的，个人信息处理者应当履行的数据出境安全评估义务，不得变相绕过数据出境安全评估，或采用其他传输途径替代。

　　2.审查要点

　　（1）自评估报告

　　①　论证处理个人信息的目的、范围、方式等的合法性、正当性、必要性；

　　②　评估出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能带来的风险；

　　③　境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力能否保障个人信息出境的安全；

　　④　披露、告知及评估个人信息遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险；

　　⑤　考察个人信息权益维护的渠道是否通畅；

　　⑥　法律文件是否充分约定了个人信息安全保护责任义务；

　　（2）法律文件

　　①　应明确个人信息出境的目的、方式和数据范围，境外接收方处理个人信息的用途、方式；

　　②　应载明个人信息在境外保存地点、期限，以及达到保存期限、完成约定目的或者法律文件终止后个人信息出境的处理措施；

　　③　增加对于境外接收方将出境个人信息再转移给其他组织、个人的约束性要求条款；

　　④　规定境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区个人信息保护方面的政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障个人信息安全时，应当采取的安全措施；

　　⑤　违反法律文件约定的个人信息安全保护义务的补救措施、违约责任和争议解决方式；

　　⑥　出境个人信息遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时，妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。

　　3.申请流程

　　（1）向省级网信部门提交申报材料；

　　（2）省级网信部门5个工作日内完成完备性查验；

　　（3）申报材料报送国家网信部门；

　　（4）国家网信部门于7个工作日内确定是否受理并出具书面通知；

　　（5）网信部门在发出书面受理通知书之日起45个工作日内完成数据出境安全评估；

　　（6）评估结果有效期为2年。

（点击查看思维导图）

　　（二）标准合同

　　2023年2月24日，国家网信办公布《个人信息出境标准合同办法》及《个人信息出境标准合同》。

　　1.适用对象

　　（1）非关键信息基础设施运营者；

　　（2）处理个人信息不满100万人的；

　　（3）自上年1月1日起累计向境外提供个人信息不满10万人的；

　　（4）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

　　根据上述适用对象，标准合同路径签订时间短，生效快，更加适用于从事单一性涉外业务的，具有轻量级个人信息跨境需求的企业，或者重要性较低的偶发性个人信息出境业务。

　　2.审查要点

　　（1）个人信息保护影响评估

　　①　个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；

　　②　出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；

　　③　境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；

　　④　个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；

　　⑤　境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；

　　⑥　其他可能影响个人信息出境安全的事项。

　　（2）标准合同

　　①　严格按照《个人信息出境标准合同》订立，标准合同生效后方可开展个人信息出境活动。

　　②　个人信息处理者可以与境外接收方约定的其他条款不得与标准合同相冲突。

　　（三）申请路径

　　（1）开展个人信息保护影响评估（PIA），并出具个人信息保护影响评估报告。

　　（2）严格按照标准合同模板订立标准合同；

　　（3）标准合同生效之日起10个工作日内向所在地省级网信部门备案；

　　（4）在标准合同有效期内出现需要重新评估的情形时，个人信息处理者应当重新开展个人信息保护影响评估，补充或重新订立标准合同，并履行相应备案手续。 

（点击查看思维导图）

　　（四）个人信息保护认证

　　个人信息保护认证的性质为国家推荐的自愿性认证，鼓励符合条件的个人信息处理者处理个人信息时自愿申请个人信息跨境处理活动认证。

　　1.适用对象

　　申请认证的个人信息处理者应取得合法的法人资格，正常经营且具有良好的信誉、商誉。

　　跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可由境内一方申请认证，并承担法律责任。

　　境外个人信息处理者，可由其在境内设置的专门机构或指定代表申请认证，并承担法律责任。2

　　根据上述适用对象，个人信息保护认证路径更加适用于从事日常性、持续性涉外业务的，具有个人信息跨境需求的企业。

　　2.审查要点

　　（1）法律协议是否充分约定了个人信息安全保护责任义务；

　　（2）责任是否落实，明确责任主体即境内外主体的个人信息保护负责人；

　　（3）个人信息跨境处理规则：境内处理者与境外接收方需遵守同一个信息跨境处理规则；

　　（4）个人信息保护影响评估；

　　（5）考察是否充分保障个人信息主体权利。

　　3.认证程序

　　（1）认证委托

　　认证委托人提交认证委托资料，认证机构在对认证委托资料审查后及时反馈是否受理。

　　（2）技术验证

　　技术验证机构应当按照认证方案实施技术验证，并向认证机构和认证委托人出具技术验证报告。

　　（3）现场审核

　　认证机构实施现场审核，并向认证委托人出具现场审核报告。

　　（4）验证结果评价和批准

　　认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价，作出认证决定。

　　（5）获证后监督

　　认证机构在认证有效期内将对获得认证的个人信息处理者进行持续性的监督，确保获得认证的个人信息处理者持续符合认证要求。

　　（6）认证证书的有效期为3年。

（点击查看思维导图）