2023年2月，《个人信息出境标准合同办法》出台。至此，数据出境安全评估、标准合同及保护认证三大数据出境路径已全部落地，并分别适用于不同情形，实现了个人信息出境场景的全覆盖。基于此，企业应如何制定方略以应对监管要求，做到既保障个人信息权益，又促进企业经济发展就成为当下值得关注和思考的问题。本文在结合数据出境相关法律法规的基础上，结合企业数据跨境所面临的问题，进行如下梳理。

 一、数据出境的合规方法

（一）排查数据出境的场景

排查数据出境场景是数据出境合规的首要步骤，其目标是回答几个核心问题，即“是否存在出境？”“出境了何种、多少数据？”“向何地、何组织传输数据？”。上述问题既是事实判断，也是法律判断，仰赖“数据”“出”“境”几个重要概念的规范性解释。

（二）选择数据出境的合规路径

虽然《个人信息保护法》《数据安全法》规定了数据出境安全评估、标准合同、保护认证等多条合规路径，但并不意味着路径选择完全处于企业自由决策范畴。换言之，不同合规路径存在法定适用情形，在保障数据安全的前提下满足多元化的数据出境需求。鉴于此，企业须结合数据出境情况选择合适的合规路径，有效防控法律与合规风险。

（三）对标法定监管要求，实施专项整改、补齐短板

数据出境安全评估、标准合同、保护认证的适用情形不同，规制逻辑与合规流程亦存在差异，企业须及时对标相应监管要求，找出合规差距并进行及时整改。数据出境安全评估针对高风险数据出境场景，涉及完备性审查、安全评估等流程，具有更强的行政监管属性。相较于安全评估，标准合同、保护认证针对低风险场景。标准合同采用备案机制，保护认证则依靠第三方专业机构审查。

二、如何排查数据出境场景？

（一）厘清法律规范意义上的数据出境

1. 关于“数据”的理解

从立法沿革来看，我国数据出境监管始终紧扣个人信息和重要数据两大类，但并非所有个人信息均属出境监管的对象。依据《个人信息保护法》第七十二条，自然人因个人或者家庭事务向境外提供的，则不受出境监管。需要指出的是，既非个人信息又非重要数据的数据仍可能受到监管，部分行业和特殊领域对数据出境也有专门规定。例如，境内电波参数资料、国家秘密、遗传资源、汽车行业特定数据等领域作出了限制乃至禁止出境的规定，当然其中或涉及与《保密法》之间的竞合问题。

此外，核心数据的出境问题同样值得注意，2023年1月1日实施的《工业和信息化领域数据安全管理办法（试行）》删除了“核心数据不得出境”，由禁止出境改为限制出境，即经安全评估后可以出境。《数据出境安全评估办法》未提及核心数据，但从现有立法来看核心数据并未处于禁止出境的数据范围，且保护标准高于重要数据。鉴于此，核心数据出境在数据出境安全评估之外，将会受到更为严格的保护，相关规定有待立法进一步明晰。

2. 关于“出”的理解

依据《个人信息保护法》第三十八条、第三十九条，“出”与“提供”一词相对应。国家网信办2022年8月31日发布的《数据出境安全评估申报指南（第一版）》明确了“提供”一词的具体内涵，一类是数据处理者主动将其在中国境内收集和产生的数据通过网络或硬件载体传输至境外接收方；另一类是数据处理者向境外接收方（例如关联方，如外资股东、全球或地区总部等）开放访问权限，允许访问存储于境内的数据。不论是主动向境外传输、存储，还是被动查询或调用，均需考虑该类数据是否在境内运营中收集和产生。若仅为数据中转过境，则不属于数据出境的范畴。此外，实务中人体携带U盘、电脑等载体出境与境外数据处理者直接收集境内自然人个人信息同样可能落入到出境监管的范畴中。

3. 关于“境”的理解

“出境”一词同时涉及行为性质与目标指向的判断。目前在实务中存在国境、边境等多种理解。从监管的意旨与方式来看，“境”的理解更适宜理解为边境。其原因在于：一是数据属于无体物，难以通过关境管制进行管理；二是数据出境监管的底层逻辑是同等保护，数据传输至不同数据保护水平的司法管辖区是风险变化的重要原因，司法管辖区的划分可以边境为界限；三是由于历史遗留问题，我国国境与边境并未重合，呈现“一国四法域”的情况。向香港、澳门或台湾地区提供数据亦属于数据出境，因此不宜采用国境的表述。

（二）判定数据出境的几个核心问题

如前所述，数据出境包括主动向境外传输、存储，亦包含被动查询、调取、下载、导出。但实务中，对于数据出境的判定仍存在几点争议，通过论证与监管机构确认，我们作出以下总结：

1. 关于“重要数据”如何认定？

我国《数据出境安全评估办法》等规范已对“重要数据”作出了定义，但定义相较宽泛与原则，无法为识别“重要数据”提供明确指引。《数据安全法》等规定均围绕重要数据具体目录展开重点保护，可目前仅有汽车行业、电信行业制定了重要数据具体目录，其他领域的始终付之如阙。不过，2021年至2022年，陆续公开的《重要数据识别指南》进一步细化了重要数据的定义、范围、识别原则与识别流程。江苏省网信办发布的《申报指引》首次提及重要数据的定义和规范。

鉴于此，“重要数据”的识别理应先遵循本地区、本部门以及相关行业、领域重要数据具体目录，例如《汽车数据规定》及《基础电信企业重要数据识别指南》（YD/T 3867-2021）。在缺乏重要数据具体目录的前提下，参考通用识别规则，充分考量特定领域、特定群体、特定区域、是否公开、是否达到一定精度与规模等识别要素。此外，亦可咨询上级行业主管部门。

2.关于“境内运营”如何理解？

“境内运营”是数据出境法律规范中的常见概念，也是实务工作中的难点问题。目前对“境内运营”作出定义的文件仅有2017年《信息安全技术 数据出境安全评估指南（征求意见稿）》第3.2条，即境内运营是指“网络运营者在中华人民共和国境内开展业务，提供产品或服务的活动”。除此之外，该指南还有两项规定须注意：一是“境内运营”不以在中国注册为基础，判断“境内运营”的要素包括但不限于“使用中文；以人民币作为结算货币；向中国境内配送物流等”因素。二是“境内运营”须以境内公民个人信息和重要数据为前提。

（三）通过调查梳理数据出境情况

梳理数据出境的方式有多种，其中广泛使用的是通过调查的方式。在实践中，常见调查方式有多种，包括技术、问卷、访谈与建立台账等方式，使用者可结合实际情况可选择其中一种或多种。

1. 技术调查

为了保障企业管理、业务、运营、研发的有效开展，企业依赖IT设备的底层支撑形成多个信息系统。日常企业管理、业务、运营、研发、人事的相关数据可能分布在不同的系统之中，一个数据出境场景可能涉及数个系统及多种数据。鉴于此，采用技术尽调的方式能够提升数据出境场景梳理的效率，不仅为后续问卷尽调、访谈尽调提供依据，也能为后续开展自评估时填写数据规模和链路信息提供有力支撑。因此，企业可与外部供应商合作，或在技术能力允许的情况下使用自研工具，集中发现数据出境场景。

2. 问卷调查

问卷、表单是数据合规工作的常用工具，但考虑到数据出境场景的复杂性，问卷、表单的设计与适用方法则尤为重要。问卷、表单设计的合理性与可用性将保障后续数据出境梳理工作的效率，否则将会增加返工的可能性。因此，问卷调查应以设计类型化的问卷、表单以供不同业务条线、产品线、运营线、采购线的工作人员填写。问卷尽调能够为发现出境场景提供更多的信息与线索。通过问卷尽调，可以弥补技术调查的技术死角，更加全面地发现数据出境场景。

3. 访谈调查

访谈调查与问卷调查具有强关联性，访谈调查的目的在于解决个体问卷的认知差异以及认知盲区。采用深度访谈的方式，可以就技术调查结论与问卷调查结论与被访谈人进行系统、全面的了解。例如，从目前的监管口径来看，《数据出境安全评估申报表》中的“数据规模”不仅要核算已出境的数据量，还需要预估未来两年预计新增出境的数据量。与企业工作人员的访谈，将有助于对未来数据出境需求与计划进行前瞻性把握。

4. 建立出境数据台账

结合技术、问卷、访谈尽调的结果，对出境的数据类型进行梳理，建立出境数据台账，记录存在出境的系统、客户数据（如手机号码、身份证号等）、业务数据以及人力资源数据（员工个人信息等）。为了实现出境数据的动态化管理，企业可与外部供应商合作，或在技术能力允许的情况下自研出境台账系统，归口出境数据情况，可及时触发数据出境合规管理机制。

三、如何选择数据出境的合规路径

（一）明确各合规路径的适用情形

《数据出境安全评估》明确了出境安全评估的三种情形，第一类是重要数据出境；第二类是关键信息基础设施运营者收集和产生的个人信息出境；第三类是达到一定条件的非关键信息基础设施运营者收集和产生的个人信息出境，该情形亦数据量为标准，又区分了一般个人信息与敏感个人信息。

若不符合申报数据出境安全评估的法定情形，企业则可结合实际情况选择“标准合同”“保护认证”作为出境路径。在修订过程中，以上两大路径的规范均对适用予以了充分的考量。《个人信息出境标准合同办法》第4条禁止个人信息处理者采取数量拆分等手段，以避免实践中企业借此规避安全评估义务，保证安全评估与标准合同的有效衔接。就保护认证而言，相较于《个人信息跨境处理活动安全认证规范》， 2022年12月发布的第二版第一条删除了适用情形的限制。自此，保护认证的适用范围同时包含个人信息出境活动与《个人信息保护法》第三条第二款适用的个人信息处理活动。

（二）选择合规出境路径的两步法

1. 针对“高风险”场景，适用数据出境安全评估

数据出境安全评估主要针对高风险场景，高风险主要体现在三个特殊：处理者特殊（CIIO或国家机关）；数据类型特殊（重要数据）；数据规模特殊（个人信息与敏感个人信息分别达量）。当符合以上任意一个特定情形，则应当适用数据出境安全评估。因此，在判断是否适用数据出境安全评估时，通常按照以下三步走：

一是判断身份的特殊性，即数据出境企业是否为CIIO[1]或达量个人信息处理者[2]或者国家机关[3]，若为CIIO或达量的主体或国家机关，仅能通过数据出境安全评估。结合《关键信息基础设施安全保护条例》确定的CIIO识别制度，认定结果将由行业和领域的主管部门、监督管理部门向CIIO发出通知。但谨慎起见，建议企业结合自身经营情况和相关数据处理情况，初步判断自身CIIO身份。

二是判断数据类型的特殊性，即出境的数据是否为重要数据，若为重要数据的，仅能适用数据出境安全评估。识别“重要数据”应先遵循本地区、本部门以及相关行业、领域重要数据具体目录，在缺乏具体目录的情况下可参考通用识别规则和行业监管机构的回复。

三是判断数据规模的特殊性，即个人信息和敏感个人信息是否达到法定数量。若自上年1月1日起累计向境外提供10万人个人信息或1万人个人敏感信息，则仅能适用数据出境安全评估。数据安全的触发依赖数据规模的动态监测，企业应当建立数据出境台账或在技术能力允许的情况下使用自研系统监控数据规模的变化，在数据达量时及时预警并触发相应的数据出境合规机制。

2. 针对“低风险”场景，选择标准合同与保护认证

若不符合上述申报数据出境安全评估的法定情形，企业则可结合实际情况选择“标准合同”“保护认证”作为出境路径。从效果上来说，认证是对第三方同等保护的证明，能够适应持续性的数据出境需求。从成本来看，认证对境外接收方的安全保障能力与配合意愿都提出了高要求，相较而言标准合同则更具优势。在选择时，企业可以考虑自身数据跨境提供的持续性、合规落地的难易程度。

一是数据出境需求的持续性。若数据出境场景存在于单笔涉外义务，在该场景下通常倾向于建议境内企业选择适用标准合同作为数据出境的合规路径。如跨境投资并购交易，在跨境投资并购交易中，尤其是中国企业境外投资或收购境外企业时，需出境的数据体量不大，往往可通过一次性的交易安排完成。

二是合规落地达成的难易度。若跨国公司或者集团化管理企业间存在长期的数据跨境需求，在该场景下则更倾向于建议境内企业选择适用保护认证作为数据出境传输的合规路径。通常而言，跨国公司或者集团化管理企业内部各方关系稳定、公司架构一致，存在达成保护认证合规要求的天然优势。

四、如何有效落实数据出境的合规工作

经过数据出境场景排查、数据出境合规路径选择两大前期准备工作后，如何落实数据出境的合规工作便成为了当务之急。此阶段须从以下几个方面展开：一是明确监管要求；二是明确合规风险；三是制定个性化合规方案。（后续团队将针对三类不同的数据出境路径分别提供合规建议。）

注：

[1]如果企业是CIIO，不论其跨境传输的数据量多少，均需要按照《安全评估办法》进行数据出境安全评估。如前所述，本文暂不对CIIO的认定及合规要求多加评述。

[2]如果企业非CIIO且出境数据不包含重要数据，则需要判断企业处理及出境的个人信息所涉及的个人信息主体数量是否达到《安全评估办法》规定的标准

[3]根据《个人信息保护法》第36条，国家机关处理个人信息应当境内存储；确需向境外提供的，应当进行安全评估。