中國個人信息出境標(biāo)準(zhǔn)合同白皮書中

國

個

人

信

息

出

境標(biāo)

準(zhǔn)

合

同

白

皮

書聯(lián)合發(fā)布國家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量檢驗(yàn)檢測中心盈科律師事務(wù)所全國網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)中心閃捷信息科技有限公司威科先行iLaw中國個人信息出境標(biāo)準(zhǔn)合同白皮書中國個人信息出境標(biāo)準(zhǔn)合同白皮書總主編郭衛(wèi)紅盈科全國網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)中心

副主任郵箱：guoweihong@微信：daveylawyer副主編沈亮（shenliang@）、許云松（xuyunsong@）編委會姜斯勇、黎水林、李賀、葛若蕓、曹祖彬、袁博、李蕓飛、周一瓊、吳君戈中國個人信息出境標(biāo)準(zhǔn)合同白皮書目

錄前

言...................................................................................................................................................1第一部分

全球與中國個人信息跨境合規(guī)及監(jiān)管趨勢..................................................................2一、

全球個人信息跨境合規(guī)及監(jiān)管趨勢..............................................................................2（一）歐盟........................................................................................................................

2（二）美國........................................................................................................................

2（三）新加坡....................................................................................................................

3（四）韓國........................................................................................................................

3（五）日本........................................................................................................................

3（六）俄羅斯....................................................................................................................

4二、中國個人信息跨境合規(guī)及監(jiān)管現(xiàn)狀................................................................................4路徑一：數(shù)據(jù)安全評估審查............................................................................................4路徑二：個人信息保護(hù)認(rèn)證............................................................................................5路徑三：個人信息出境標(biāo)準(zhǔn)合同....................................................................................5第二部分

中國個人信息出境焦點(diǎn)問題及標(biāo)準(zhǔn)合同應(yīng)對方案......................................................7一、個人信息出境中的焦點(diǎn)問題............................................................................................7（一）境內(nèi)個人信息處理者特定身份鑒別....................................................................7（二）盤點(diǎn)出境個人信息的數(shù)量....................................................................................7（三）個人信息怎么樣才算“出境”............................................................................8（四）識別出境個人信息中的重要數(shù)據(jù)........................................................................9（五）如何處理敏感個人信息........................................................................................9二、適用標(biāo)準(zhǔn)合同路徑進(jìn)行個人信息跨境傳輸?shù)闹黧w及場景..........................................10（一）適用標(biāo)準(zhǔn)合同的個人信息處理主體..................................................................10（二）適用標(biāo)準(zhǔn)合同的個人信息跨境場景..................................................................11三、應(yīng)對方案——個人信息出境標(biāo)準(zhǔn)合同備案..................................................................11（一）事前：內(nèi)部合規(guī)、準(zhǔn)備出境

.........................................................................12（二）事中：執(zhí)行標(biāo)準(zhǔn)合同備案..................................................................................14（三）事后：持續(xù)監(jiān)督、適時更新..............................................................................15第三部分

重點(diǎn)行業(yè)個人信息跨境傳輸要點(diǎn)解析........................................................................16一、金融..................................................................................................................................

16（一）金融機(jī)構(gòu)和個人金融信息..................................................................................16（二）個人金融信息跨境傳輸常見場景......................................................................16（三）個人金融信息跨境傳輸合規(guī)要點(diǎn)......................................................................17二、汽車..................................................................................................................................

18（一）個人汽車信息出境概況......................................................................................18（二）個人汽車信息跨境傳輸常見場景......................................................................19（三）個人汽車信息跨境傳輸合規(guī)建議......................................................................20三、醫(yī)療健康..........................................................................................................................

20（一）個人醫(yī)療健康信息跨境傳輸法律規(guī)制..............................................................20（二）個人醫(yī)療健康信息跨境傳輸常見場景..............................................................21中國個人信息出境標(biāo)準(zhǔn)合同白皮書四、跨境電商..........................................................................................................................

22（一）跨境電商相關(guān)個人信息出境場景及法律規(guī)制..................................................22（二）跨境電商相關(guān)個人信息跨境傳輸合規(guī)要點(diǎn)......................................................23五、航空..................................................................................................................................

23（一）個人航空信息跨境傳輸法律規(guī)制......................................................................24（二）個人航空信息跨境傳輸常見場景......................................................................24結(jié)

語.................................................................................................................................................26附：發(fā)布單位簡介..........................................................................................................................

27盈科簡介..................................................................................................................................

27檢測中心簡介..........................................................................................................................

27閃捷簡介..................................................................................................................................

28中國個人信息出境標(biāo)準(zhǔn)合同白皮書前

言基于對個人信息的保護(hù)和對國家安全的重視，越來越多的國家和地區(qū)開始加強(qiáng)對企業(yè)跨境個人信息流動的監(jiān)管。個人信息合規(guī)跨境傳輸成為當(dāng)今企業(yè)跨國經(jīng)營時必須面臨和解決的問題。近年來，我國逐漸通過一系列法律法規(guī)，明確了個人信息出境的三大基礎(chǔ)路徑：數(shù)據(jù)出境安全評估、個人信息保護(hù)認(rèn)證和個人信息出境標(biāo)準(zhǔn)合同。基于《個人信息出境標(biāo)準(zhǔn)合同辦法》于

2023

年

6

月

1

日起開始施行，并隨著

2023

年

5月

30

日國家網(wǎng)信辦發(fā)布《個人信息出境標(biāo)準(zhǔn)合同備案指南（第一版）》，我國個人信息出境標(biāo)準(zhǔn)合同路徑已落地執(zhí)行。第

1

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書第一部分

全球與中國個人信息跨境合規(guī)及監(jiān)管趨勢一、全球個人信息跨境合規(guī)及監(jiān)管趨勢隨著大數(shù)據(jù)時代的到來，數(shù)據(jù)作為重要的經(jīng)濟(jì)生產(chǎn)要素、國家安全資源，已成為各國爭奪的對象。世界主要經(jīng)濟(jì)體先后出臺了數(shù)個個人信息保護(hù)相關(guān)法案，整體來看，全球各法域?qū)€人信息的跨境流動監(jiān)管趨嚴(yán)。（一）歐盟歐盟于

2016

年通過《通用數(shù)據(jù)保護(hù)條例》（GDPR），明確規(guī)定了個人數(shù)據(jù)跨境轉(zhuǎn)移的條件。目前歐盟個人信息跨境傳輸路徑主要分為以下三種機(jī)制：一是充分性認(rèn)定。根據(jù)

GDPR

規(guī)定，只有當(dāng)?shù)谌龂鴮€人數(shù)據(jù)的保護(hù)水平達(dá)到歐盟的要求，歐盟成員國的個人數(shù)據(jù)才能進(jìn)行數(shù)據(jù)跨境流動。認(rèn)定第三國是否提供“充分”數(shù)據(jù)保護(hù)，主要是根據(jù)第三國個人數(shù)據(jù)保護(hù)相關(guān)法律制度的完備情況、執(zhí)行情況等因素判斷。但目前中國尚未通過該認(rèn)定；二是適當(dāng)保障措施，常見的為標(biāo)準(zhǔn)合同條款（SCCs）和約束性企業(yè)規(guī)則（BCRs）。標(biāo)準(zhǔn)合同條款是從歐洲經(jīng)濟(jì)區(qū)向區(qū)域外第三國或組織跨境傳輸數(shù)據(jù)時使用的標(biāo)準(zhǔn)合同文本，通過合約的形式約束數(shù)據(jù)輸出者和數(shù)據(jù)輸入者，以確保個人數(shù)據(jù)獲得充分的保護(hù)。約束性企業(yè)規(guī)則可以簡單地理解為適用于跨國企業(yè)的“白名單”，即當(dāng)歐盟行政機(jī)關(guān)對整個企業(yè)內(nèi)部的數(shù)據(jù)跨境流通合規(guī)框架審查合格之后，企業(yè)內(nèi)部的個人數(shù)據(jù)跨境流通不再受限；三是克減情形?？藴p僅適用于只涉及少量數(shù)據(jù)主體在特定情形下偶爾進(jìn)行的數(shù)據(jù)跨境傳輸，數(shù)據(jù)輸出者不應(yīng)將此作為常規(guī)化數(shù)據(jù)跨境傳輸?shù)暮戏ㄒ罁?jù)。（二）美國美國對個人數(shù)據(jù)跨境傳輸?shù)恼咭?guī)制整體持開放態(tài)度，先后與歐盟簽訂《安全港協(xié)議》和《隱私盾協(xié)議》，對大西洋兩岸跨境轉(zhuǎn)移個人數(shù)據(jù)的隱私保護(hù)進(jìn)行規(guī)范。但在特定的重要數(shù)據(jù)上，美國則采取了相應(yīng)限制措施。如制定被稱為“全球最貴數(shù)據(jù)保護(hù)法案”的《加州消費(fèi)者隱私法案》（CCPA）和對部分關(guān)鍵技術(shù)與特定第

2

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書領(lǐng)域的數(shù)據(jù)出口進(jìn)行限制的《出口管理條例》（EAR）。另外，美國在醫(yī)療健康領(lǐng)域的《健康保險可攜性和責(zé)任法案》（HIPAA）和金融服務(wù)數(shù)據(jù)方面的《格雷姆－里奇－比利雷法案》（GLB）等行業(yè)特殊規(guī)定也需要重點(diǎn)關(guān)注。（三）新加坡《個人數(shù)據(jù)保護(hù)法》（PDPA）是新加坡的主要個人信息保護(hù)立法，用來管理各機(jī)構(gòu)對個人數(shù)據(jù)的收集、使用和披露。PDPA

適用于所有在新加坡收集、使用和披露個人數(shù)據(jù)的營業(yè)機(jī)構(gòu)，無論其是否在新加坡物理存在。PDPA

規(guī)定，企業(yè)必須遵守數(shù)據(jù)轉(zhuǎn)移限制的義務(wù)。即除非企業(yè)能確保個人數(shù)據(jù)的接收者受到法律上可執(zhí)行的義務(wù)的約束，被轉(zhuǎn)移的個人數(shù)據(jù)獲得與

PDPA

規(guī)定的保護(hù)標(biāo)準(zhǔn)相當(dāng)?shù)谋Ｗo(hù)，否則個人數(shù)據(jù)不能被轉(zhuǎn)移到新加坡以外的國家或地區(qū)。這些“可依法執(zhí)行的義務(wù)”包括根據(jù)法律法規(guī)、合同或具有約束力的公司規(guī)則或任何其他具有法律約束力的文書規(guī)定的義務(wù)。（四）韓國韓國是世界上對數(shù)據(jù)安全相關(guān)規(guī)定最嚴(yán)格的法域之一。韓國個人信息保護(hù)委員會（PIPC）在對《個人信息保護(hù)法》（PIPA）的修正案中增加了向海外傳輸個人數(shù)據(jù)的方法。除此之外，還頒布了一系列

PIPA

的配套實(shí)施條例，包括《個人信息保護(hù)標(biāo)準(zhǔn)指南》《關(guān)于個人信息影響評估的通知》《違反個人信息保護(hù)法的處罰標(biāo)準(zhǔn)》《個人信息技術(shù)和行政保護(hù)措施標(biāo)準(zhǔn)》等。（五）日本日本與歐盟于

2019

年作出“充足性認(rèn)定”，互相認(rèn)定對方的保護(hù)水平及安全措施，允許個人數(shù)據(jù)在歐盟和日本之間自由流動。但日本對于其本土個人數(shù)據(jù)跨境傳輸態(tài)度較為嚴(yán)格。2022

年

4

月修訂后的《日本個人信息保護(hù)法》（APPI）在保留原有要求處理個人信息的經(jīng)營者應(yīng)獲取數(shù)據(jù)主體的同意之外，新增了披露信息接收方所在國家及該國的個人信息保護(hù)體系、信息接收方采取的個人信息保護(hù)措施的要求；如采取必要措施確保該境外第三方持續(xù)實(shí)施了與

APPI

對個人信息的保護(hù)要求相當(dāng)?shù)谋Ｗo(hù)措施，并能夠在數(shù)據(jù)主體要求的情況下提供關(guān)于企業(yè)采取的必要措施的信息等要求。第

3

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書（六）俄羅斯俄羅斯在新修訂的《聯(lián)邦個人數(shù)據(jù)法》第

22

條規(guī)定了“個人數(shù)據(jù)處理通報”義務(wù)，增加了個人數(shù)據(jù)跨境傳輸?shù)那爸猛▓?，意味著運(yùn)營商要履行兩份通報義務(wù)，即“個人數(shù)據(jù)處理通報”義務(wù)和“個人數(shù)據(jù)跨境流動通報”義務(wù)，兩份通報要分開發(fā)送，這項要求已于

2023

年

3

月

1

日起生效。同時，俄羅斯《聯(lián)邦個人數(shù)據(jù)保護(hù)法》對于個人信息出境的監(jiān)管提出相對嚴(yán)格的要求，概括為相關(guān)機(jī)構(gòu)、國外政府或者國家必須擁有同等的數(shù)據(jù)保護(hù)水平才可以將個人信息傳輸出。二、中國個人信息跨境合規(guī)及監(jiān)管現(xiàn)狀根據(jù)《中華人民共和國個人信息保護(hù)法》（以下簡稱《個人信息保護(hù)法》或《個保法》）和《信息安全技術(shù)

個人信息安全規(guī)范》（GB/T

35273—2020）等制度規(guī)范，個人信息指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、出生日期、身份證件號碼、住址、通信通訊聯(lián)系方式、健康生理信息等。自

2017

年

6

月

1

日《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）實(shí)施以來，我國立法機(jī)構(gòu)及有關(guān)政府主管部門逐步推動建立同個人信息出境相關(guān)的法律、法規(guī)和監(jiān)管規(guī)則，至今已初步形成以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個人信息保護(hù)法》三法為綱領(lǐng)，結(jié)合配套辦法、規(guī)定、標(biāo)準(zhǔn)和指南為補(bǔ)充的個人信息跨境傳輸合規(guī)框架。根據(jù)《個人信息保護(hù)法》第

38

條等有關(guān)法律法規(guī)，我國個人信息跨境傳輸目前已確立以下“三大路徑”：路徑一：數(shù)據(jù)安全評估審查國家互聯(lián)網(wǎng)信息辦公室（以下簡稱國家網(wǎng)信辦）于

2022

年

7

月

7

日發(fā)布的《數(shù)據(jù)出境安全評估辦法》（以下簡稱《安全評估辦法》）第

4

條明確了數(shù)據(jù)出境安全評估審查的強(qiáng)制觸發(fā)條件：1、數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)；2、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理

100

萬人以上個人信息的數(shù)據(jù)處理者向境外第

4

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書提供個人信息；3、自上年

1

月

1

日起累計向境外提供

10

萬人個人信息或者

1

萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息；4、國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。此外，在提交申報前，企業(yè)需要完成數(shù)據(jù)出境風(fēng)險自評估，并提交擬訂立的法律約束性文件。數(shù)據(jù)出境風(fēng)險自評估報告對于順利通過安全評估審查至關(guān)重要，可以理解為是企業(yè)向網(wǎng)信部門提交的“考卷”。因而企業(yè)在提交申報前需要按照要求開展數(shù)據(jù)合規(guī)治理工作，完成數(shù)據(jù)風(fēng)險篩查及整改。路徑二：個人信息保護(hù)認(rèn)證個人信息保護(hù)認(rèn)證是跨國企業(yè)或同一經(jīng)濟(jì)實(shí)體處理個人信息出境業(yè)務(wù)的重要手段，該機(jī)制的適用情形和底層邏輯與歐盟的約束性企業(yè)規(guī)則類似，認(rèn)證獲批后即可在法定/約定范圍內(nèi)進(jìn)行個人信息跨境傳輸。2022

年

11

月至

12

月我國先后發(fā)布了《個人信息保護(hù)認(rèn)證實(shí)施規(guī)則》及其配套文件《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個人信息跨境處理活動安全認(rèn)證規(guī)范

V2.0》，對開展跨境處理活動的個人信息保護(hù)認(rèn)證機(jī)制作出完善。個人信息保護(hù)認(rèn)證流程由五個主要環(huán)節(jié)組成，分別是認(rèn)證申請、技術(shù)驗(yàn)證、現(xiàn)場審核、認(rèn)證決定、獲證后監(jiān)督。路徑三：個人信息出境標(biāo)準(zhǔn)合同《個人信息出境標(biāo)準(zhǔn)合同辦法》（以下簡稱《標(biāo)準(zhǔn)合同辦法》）和《個人信息出境標(biāo)準(zhǔn)合同備案指南（第一版）》（以下簡稱《備案指南》）對于能夠采取標(biāo)準(zhǔn)合同實(shí)施個人信息跨境的主體范圍進(jìn)行了界定，包括：1、非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者；2、處理個人信息不滿

100

萬人的；3、自上年

1

月

1

日起累計向境外提供個人信息不滿

10

萬人的；4、自上年

1

月

1

日起累計向境外提供敏感個人信息不滿

1

萬人的。第

5

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書根據(jù)目前規(guī)定，個人信息處理者必須同時滿足上述四項條件，才能適用標(biāo)準(zhǔn)合同路徑，任意一條不滿足，則境內(nèi)個人信息處理者應(yīng)進(jìn)行個人信息出境安全評估或個人信息保護(hù)認(rèn)證?？v觀全球各法域的個人信息出境監(jiān)管趨勢，整體呈現(xiàn)出法規(guī)逐漸完善、路徑逐漸清晰的特點(diǎn)。接下來我們將以中國個人信息出境過程中面臨的重點(diǎn)問題為基礎(chǔ)，分析個人信息標(biāo)準(zhǔn)合同的適用及落地方案。第

6

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書第二部分

中國個人信息出境焦點(diǎn)問題及標(biāo)準(zhǔn)合同應(yīng)對方案數(shù)據(jù)出境不僅影響個人信息權(quán)益，更關(guān)乎國家安全和社會公共利益。中國監(jiān)管機(jī)構(gòu)正在陸續(xù)出臺一系列法規(guī)對個人信息出境活動進(jìn)行規(guī)制，相關(guān)企業(yè)正在面臨新一輪的數(shù)據(jù)合規(guī)挑戰(zhàn)。數(shù)據(jù)違規(guī)出境不僅會面臨監(jiān)管處罰風(fēng)險，更會損害跨國公司的聲譽(yù)，甚至觸發(fā)刑事責(zé)任。接下來我們將分析個人信息出境實(shí)踐中的焦點(diǎn)問題，并分享個人信息出境標(biāo)準(zhǔn)合同如何落地實(shí)施。一、個人信息出境中的焦點(diǎn)問題（一）境內(nèi)個人信息處理者特定身份鑒別境內(nèi)個人信息處理者是否被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營主體（CIIO）是首先需要關(guān)注的問題。根據(jù)《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》以及國家標(biāo)準(zhǔn)《信息安全技術(shù)

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》（GB/T

39204-2022）等的規(guī)定，境內(nèi)個人信息處理者是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者，通常的判斷思路如下：通常來說，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營（CII）所涉及的重點(diǎn)行業(yè)和領(lǐng)域包括：公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的行業(yè)和領(lǐng)域。目前我國

CII

及

CIIO

的認(rèn)定工作由各行業(yè)的主管部門負(fù)責(zé)，企業(yè)是否屬于我國認(rèn)定的

CIIO，主要取決于主管機(jī)構(gòu)的判定和通知。換句話說，只要企業(yè)未被主管機(jī)構(gòu)明確認(rèn)定為關(guān)鍵基礎(chǔ)信息運(yùn)營者，則滿足了適用個人信息出境標(biāo)準(zhǔn)合同的第一個條件。（二）盤點(diǎn)出境個人信息的數(shù)量鑒于個人信息出境路徑需要根據(jù)出境個人信息的體量進(jìn)行區(qū)分，盤點(diǎn)出境個人信息的數(shù)量成為了企業(yè)數(shù)據(jù)合規(guī)出境的基礎(chǔ)步驟。目前很多企業(yè)的痛點(diǎn)在于部門眾多，數(shù)據(jù)分散在各處，如再缺乏統(tǒng)一的管理，盤點(diǎn)個人信息的數(shù)量這一工作就無法順利開展。因此，越來越多的企業(yè)選擇通過專業(yè)的數(shù)據(jù)庫審計系統(tǒng)來管理企業(yè)數(shù)據(jù)。作為數(shù)據(jù)安全治理的基礎(chǔ)系統(tǒng)，數(shù)據(jù)庫審第

7

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書計不僅能夠?qū)崟r記錄、分析和匯報訪問數(shù)據(jù)庫的行為，便于企業(yè)形成數(shù)據(jù)統(tǒng)計報告，還能多角度分析企業(yè)數(shù)據(jù)活動，自動根據(jù)相關(guān)法律規(guī)定，對數(shù)據(jù)進(jìn)行發(fā)現(xiàn)、分類、粒度策略控制等管理，從而幫助企業(yè)保證數(shù)據(jù)安全，促進(jìn)企業(yè)遵守相關(guān)法律法規(guī)，降低合規(guī)風(fēng)險。（三）個人信息怎么樣才算“出境”根據(jù)國家網(wǎng)信辦發(fā)布的《備案指南》，以下情形屬于個人信息出境行為：1、個人信息處理者將在境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息傳輸、存儲至境外；2、個人信息處理者收集和產(chǎn)生的個人信息存儲在境內(nèi)，境外的機(jī)構(gòu)、組織或者個人可以查詢、調(diào)取、下載、導(dǎo)出；3、國家網(wǎng)信辦規(guī)定的其他個人信息出境行為。由此可見，個人信息出境不僅涵蓋個人信息的物理出境，亦涵蓋了遠(yuǎn)程訪問的概念。要厘清“出境”的個人信息，就需要先明晰個人信息的出境鏈路。實(shí)踐中，數(shù)據(jù)流轉(zhuǎn)監(jiān)測系統(tǒng)（SMP）可滿足企業(yè)這一需求。SMP

一般會利用數(shù)據(jù)元采集監(jiān)測、敏感數(shù)據(jù)識別、數(shù)據(jù)流轉(zhuǎn)跟蹤等技術(shù)，實(shí)現(xiàn)對數(shù)據(jù)訪問、數(shù)據(jù)調(diào)用、數(shù)據(jù)共享、數(shù)據(jù)使用等數(shù)據(jù)活動和數(shù)據(jù)流轉(zhuǎn)等行為進(jìn)行全程監(jiān)控和跟蹤溯源，智能化識別產(chǎn)生數(shù)據(jù)流轉(zhuǎn)的行為和流向，并可視化呈現(xiàn)出各組織、節(jié)點(diǎn)間的數(shù)據(jù)流轉(zhuǎn)鏈路。目前，成熟的

SMP

會充分考慮自身安全性、易操作、易維護(hù)等多方面要求，第

8

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書并能使技術(shù)實(shí)現(xiàn)與平臺業(yè)務(wù)相分離，確保企業(yè)自身數(shù)據(jù)安全和業(yè)務(wù)效能最大化。（四）識別出境個人信息中的重要數(shù)據(jù)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會于

2022

年

1

月

13

日發(fā)布的《信息安全技術(shù)

重要數(shù)據(jù)識別指南（征求意見稿）》劃分了重要數(shù)據(jù)的范圍，規(guī)定重要數(shù)據(jù)是指“特定領(lǐng)域、特定群體、特定區(qū)域或達(dá)到一定精度和規(guī)模的數(shù)據(jù)，一旦被泄露或篡改、損毀，可能直接危害國家安全、經(jīng)濟(jì)運(yùn)行、社會穩(wěn)定、公共健康和安全”。若向境外提供的個人信息中包括重要數(shù)據(jù)，按照《數(shù)據(jù)出境安全評估辦法》的規(guī)定，企業(yè)必須通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估，而不能選擇其他數(shù)據(jù)出境路徑。（五）如何處理敏感個人信息根據(jù)《個人信息保護(hù)法》，敏感個人信息是指一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息?！缎畔踩夹g(shù)

個人信息安全規(guī)范》（GB/T35273—2020）作為推薦性國家標(biāo)準(zhǔn)，在附錄

B

中列舉了部分敏感個人信息類型，可以對企業(yè)合規(guī)實(shí)踐起到指引的作用。附錄

B

個人敏感信息舉例（圖片來源：《信息安全技術(shù)

個人信息安全規(guī)范》）第

9

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書因我國監(jiān)管部門目前傾向認(rèn)定去標(biāo)識化處理后的敏感個人信息不再計為敏感個人信息，如何處理跨境敏感個人信息成為企業(yè)選擇數(shù)據(jù)出境路徑的重點(diǎn)關(guān)注問題。目前，數(shù)據(jù)庫脫敏技術(shù)可以通過特定算法規(guī)則對敏感信息進(jìn)行變形和隱藏，將敏感數(shù)據(jù)轉(zhuǎn)換為非敏感數(shù)據(jù)，從而為敏感數(shù)據(jù)的使用提供安全保證。更為重要的是，脫敏后的數(shù)據(jù)特征與原始數(shù)據(jù)可以保持一致，數(shù)據(jù)依然可以被用于業(yè)務(wù)過程，且無需改變支撐系統(tǒng)或數(shù)據(jù)存儲設(shè)備，脫敏的同時不影響企業(yè)業(yè)務(wù)持續(xù)運(yùn)行。（六）保證跨境個人信息安全傳輸國家出臺系列數(shù)據(jù)出境法律法規(guī)的最終目的在于保障出境個人信息的安全，因此需要應(yīng)用可靠的安全技術(shù)，為跨境個人信息安全傳輸提供充足技術(shù)支撐。實(shí)務(wù)中，可以應(yīng)用（API）審計系統(tǒng)可以幫助企業(yè)通過梳理龐雜的應(yīng)用及接口，繪制接口畫像和接口訪問軌跡，監(jiān)測敏感數(shù)據(jù)流動風(fēng)險，識別接口調(diào)用的異常用戶行為，為應(yīng)用系統(tǒng)的業(yè)務(wù)數(shù)據(jù)合規(guī)使用和流轉(zhuǎn)提供數(shù)據(jù)安全保障。二、適用標(biāo)準(zhǔn)合同路徑進(jìn)行個人信息跨境傳輸?shù)闹黧w及場景（一）適用標(biāo)準(zhǔn)合同的個人信息處理主體外國公司駐華代表處、全資子公司等外商投資企業(yè)、分支機(jī)構(gòu)以及中資出海企業(yè)等，一般境內(nèi)處理或跨境傳輸?shù)膫€人信息較少，通常僅涉及員工個人信息、供應(yīng)商/經(jīng)銷商個人信息等，最為適宜個人信息出境標(biāo)準(zhǔn)合同路徑。第

10

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書（二）適用標(biāo)準(zhǔn)合同的個人信息跨境場景1、企業(yè)基于母公司的全球信息管理的統(tǒng)一要求，通過辦公自動化

OA

系統(tǒng)等向境外母公司提供員工個人信息等管理信息。2、企業(yè)向境外接收方提供完成訂單所需的用戶地址信息和身份信息等，也可能進(jìn)一步提供用戶的購物記錄和瀏覽行為等額外數(shù)據(jù)。3、在向跨國供應(yīng)商采購、國際貨運(yùn)及倉儲等環(huán)節(jié)，企業(yè)會收集供應(yīng)商、收貨人、倉庫對接人等相關(guān)個人信息，并傳輸至總部供應(yīng)商部門進(jìn)行使用。4、企業(yè)在通過網(wǎng)絡(luò)遠(yuǎn)程接入境外客戶的系統(tǒng)網(wǎng)絡(luò)進(jìn)行技術(shù)支持、故障處理等，會涉及對客戶個人信息的處理。5、企業(yè)在境外組織開展品牌宣傳、展會等活動，匯總客戶名片等個人信息，進(jìn)而與境外母公司共享。6、企業(yè)在進(jìn)行全球市場調(diào)研、客戶關(guān)系維護(hù)等過程中，需要收集、傳輸、使用和維護(hù)客戶信息。7、企業(yè)在跨境開展業(yè)務(wù)合作、提供跨境產(chǎn)品過程中，將其運(yùn)營過程中收集的個人信息提供給境外公司，或者在境外設(shè)置的服務(wù)器、數(shù)據(jù)中心等存儲相應(yīng)個人信息。8、因

FCPA

調(diào)查案件、反舞弊調(diào)查、境外訴訟和仲裁機(jī)構(gòu)需要，企業(yè)向境外政府部門及境外母公司、律所等提供涉及個人信息的調(diào)查信息、證據(jù)材料。三、應(yīng)對方案——個人信息出境標(biāo)準(zhǔn)合同備案目前觸發(fā)數(shù)據(jù)出境安全評估的門檻較高，適用主體和場景有限，而我國個人信息保護(hù)認(rèn)證路徑還有待進(jìn)一步檢驗(yàn)，而標(biāo)準(zhǔn)合同具備高效便捷、認(rèn)可度高、便于跨國公司合規(guī)制度銜接、爭議解決方式開放靈活等優(yōu)勢。因此對于個人信息處理規(guī)模較小、出境需求頻次較低的企業(yè)而言，選用個人信息出境標(biāo)準(zhǔn)合同出境路徑更為適宜。國家網(wǎng)信辦于

2022

年

6

月發(fā)布的《個人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》以及標(biāo)準(zhǔn)合同文本，此后

2023

年

2

月和

5

月，國家網(wǎng)信辦又陸續(xù)發(fā)布了《個人第

11

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書信息出境標(biāo)準(zhǔn)合同辦法》和《個人信息出境標(biāo)準(zhǔn)合同備案指南（第一版）》，共同為我國

2023

年

6

月

1

日正式實(shí)施的個人信息出境標(biāo)準(zhǔn)合同提供了法律依據(jù)和實(shí)施指南。在當(dāng)前個人信息跨境傳輸監(jiān)管體系下，我們建議企業(yè)通過如下步驟，合規(guī)開展個人信息出境標(biāo)準(zhǔn)合同備案工作：（一）事前：內(nèi)部合規(guī)、準(zhǔn)備出境1、企業(yè)內(nèi)部合規(guī)治理體系（1）建立數(shù)據(jù)跨境前評估機(jī)制。在個人信息跨境傳輸前完成數(shù)據(jù)跨境可行性評估、數(shù)據(jù)跨境字段最小化評估、數(shù)據(jù)跨境安全性評估等流程。（2）完善業(yè)務(wù)模式中的個人單獨(dú)同意采集程序，充分履行告知義務(wù)。（3）識別出境場景、進(jìn)行數(shù)據(jù)盤點(diǎn)。境內(nèi)個人信息處理者首先應(yīng)對其出境活動進(jìn)行全面檢視，盤點(diǎn)個人信息出境場景、出境個人信息的規(guī)模和屬性，判斷企業(yè)是否適用標(biāo)準(zhǔn)合同。2、完成個人信息保護(hù)影響評估（PIA）依據(jù)《個人信息保護(hù)法》《信息安全技術(shù)

個人信息安全規(guī)范》《信息安全技術(shù)

個人信息安全影響評估指南》等的要求，境內(nèi)個人信息處理者需成立

PIA

工作小組，自行開展或聘請第三方機(jī)構(gòu)（如律師事務(wù)所、咨詢機(jī)構(gòu)等）協(xié)助對涉及個人信息的處理活動從個人權(quán)益影響和安全保護(hù)措施進(jìn)行分析，并制作個人信息保護(hù)影響評估報告。作為個人信息出境標(biāo)準(zhǔn)合同備案手續(xù)中必備的關(guān)鍵一步，境內(nèi)個人信息處理者在進(jìn)行

PIA

時需要特別關(guān)注以下幾點(diǎn)：（1）數(shù)據(jù)映射分析：要求企業(yè)在針對個人信息處理過程進(jìn)行全面的調(diào)研后，形成清晰的數(shù)據(jù)清單及數(shù)據(jù)映射圖表。數(shù)據(jù)映射分析工具示例第

12

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書（圖片來源：《信息安全技術(shù)

個人信息安全影響評估指南》）（2）個人敏感數(shù)據(jù)識別：依據(jù)《信息安全技術(shù)

個人信息安全規(guī)范》對個人敏感數(shù)據(jù)（包含個人財產(chǎn)信息、個人健康生理信息、個人生物識別信息、個人身份信息等）進(jìn)行識別并進(jìn)行敏感程度劃分；（3）個人信息處理活動分析：根據(jù)個人信息的類型、敏感程度、收集場景、處理方式、涉及相關(guān)方等要素，對個人信息處理活動進(jìn)行分類，并描述每類個人信息處理活動的具體情形。（4）個人數(shù)據(jù)流轉(zhuǎn)圖繪制：基于個人信息處理活動分析結(jié)果，繪制個人數(shù)據(jù)流轉(zhuǎn)圖，包括個人信息處理場景、涉及部門、流轉(zhuǎn)形式、涉及個人信息數(shù)據(jù)、涉及業(yè)務(wù)系統(tǒng)等。（5）風(fēng)險源識別：風(fēng)險源識別是為了分析個人信息處理活動面臨哪些威脅源，是否缺乏足夠的安全措施導(dǎo)致存在脆弱性而引發(fā)安全事件。風(fēng)險源識別歸納為網(wǎng)絡(luò)環(huán)境和技術(shù)措施、個人信息處理流程、參與人員與第三方、業(yè)務(wù)特點(diǎn)和規(guī)模及安全態(tài)勢四個方面。（6）個人權(quán)益影響分析：指分析特定的個人信息處理活動是否會對個人信息主第

13

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書體合法權(quán)益產(chǎn)生影響，以及可能產(chǎn)生何種影響。個人權(quán)益影響包括以下方面：個人信息敏感程度分析階段、個人信息處理活動特點(diǎn)分析階段、個人信息處理活動問題分析階段和個人權(quán)益影響程度分析階段。（7）關(guān)鍵技術(shù)能力，包括個人信息管理能力、數(shù)據(jù)源識別能力、個人敏感數(shù)據(jù)識別能力、個人信息生命周期監(jiān)測能力、個人信息脫敏/加密技術(shù)驗(yàn)證能力、API接口審計能力等。（二）事中：執(zhí)行標(biāo)準(zhǔn)合同備案1、確定簽約主體就境內(nèi)簽約主體來說，若集團(tuán)企業(yè)在中國境內(nèi)有多個實(shí)體的，為區(qū)分不同實(shí)體各自開展的個人信息出境活動，建議每個實(shí)體單獨(dú)與境外接收方簽訂標(biāo)準(zhǔn)合同并進(jìn)行備案；就境外簽約主體而言，可能同時存在多個接收方，也可能存在境外接收方在境外再行委托處理或再傳輸?shù)那闆r。實(shí)踐中，可能存在有的境外接收方不愿意成為簽約主體的情況。在此情況下，則需要調(diào)整境外接收方的數(shù)據(jù)處理流程，將一對多的數(shù)據(jù)出境活動調(diào)整為一對一再對多的數(shù)據(jù)出境活動。2、核實(shí)是否存在沖突鑒于標(biāo)準(zhǔn)合同正文部分不得隨意修改，且雙方簽署的其他合作協(xié)議不得與標(biāo)準(zhǔn)合同相沖突，因此企業(yè)內(nèi)部在簽署標(biāo)準(zhǔn)合同之前應(yīng)特別注意協(xié)議間的沖突與兼容，例如：校驗(yàn)不同協(xié)議之間的兼容性，尤其是各方權(quán)利義務(wù)是否沖突、法律適用、監(jiān)管應(yīng)對責(zé)任等。3、申報及執(zhí)行要完成個人信息出境標(biāo)準(zhǔn)合同備案手續(xù)，企業(yè)應(yīng)向所在地省級網(wǎng)信部門提交標(biāo)準(zhǔn)合同、個人信息保護(hù)影響評估報告，以及一系列程序性文件。省級網(wǎng)信辦收到材料后，應(yīng)在

15

個工作日完成材料查驗(yàn)，并通知企業(yè)備案結(jié)果。通過備案的，網(wǎng)信辦將向企業(yè)發(fā)放備案編號；備案不通過的，網(wǎng)信辦將告知不通過的結(jié)果以及原因，網(wǎng)信辦要求補(bǔ)充、完善材料的，企業(yè)應(yīng)進(jìn)行補(bǔ)充、完善，并在

10

個工作日內(nèi)重新提交備案。第

14

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書（三）事后：持續(xù)監(jiān)督、適時更新與必須每兩年重新評估一次的安全評估不同，標(biāo)準(zhǔn)合同的備案持續(xù)有效。但在以下情況下，企業(yè)需要補(bǔ)充或者重新訂立標(biāo)準(zhǔn)合同，并向網(wǎng)信辦重新備案：1、向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點(diǎn)或者境外接收方處理個人信息的用途、方式發(fā)生變化，或者延長個人信息境外保存期限的；2、境外接收方所在國家或者地區(qū)的個人信息保護(hù)政策和法規(guī)發(fā)生變化等可能影響個人信息權(quán)益的；3、可能影響個人信息權(quán)益的其他情形?；诖耍ㄟ^個人信息出境標(biāo)準(zhǔn)合同備案后，企業(yè)應(yīng)持續(xù)監(jiān)控個人信息跨境傳輸活動，并在發(fā)生變動時評估是否需要重新告知個人信息主體并取得單獨(dú)同意，以及是否需要重新簽訂標(biāo)準(zhǔn)合同并備案。第

15

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書第三部分

重點(diǎn)行業(yè)個人信息跨境傳輸要點(diǎn)解析一、金融（一）金融機(jī)構(gòu)和個人金融信息隨著網(wǎng)絡(luò)技術(shù)在金融業(yè)廣泛應(yīng)用，個人金融信息的轉(zhuǎn)移與流動實(shí)際上已構(gòu)成了現(xiàn)代金融生命的血液。目前，跨境金融業(yè)務(wù)量逐年攀升，個人金融信息跨境傳輸場景隨之增加。目前，我國金融機(jī)構(gòu)主要包括經(jīng)國家金融管理部門批準(zhǔn)從事金融業(yè)務(wù)的主體，如商業(yè)銀行、金融租賃公司、信托公司、證券公司、期貨公司、保險公司等，和從事金融活動的金融企業(yè)或其他組織，如私募基金管理公司、小貸/網(wǎng)貸公司、互聯(lián)網(wǎng)支付機(jī)構(gòu)、各類交易場所、商業(yè)保理公司等。這些主體都屬于廣泛意義上的金融機(jī)構(gòu)，都可能涉及個人金融信息合規(guī)問題。2020

年

2

月

13

日中國人民銀行發(fā)布的《個人金融信息保護(hù)技術(shù)規(guī)范》給予個人金融信息明確的定義，即指金融業(yè)機(jī)構(gòu)通過提供金融產(chǎn)品和服務(wù)或其他渠道獲取、加工和保存的個人信息，包括不限于：1、個人身份信息；2、個人財產(chǎn)信息（收入、動產(chǎn)不動產(chǎn)等）；3、個人賬戶信息（賬號、賬戶開立時間、開戶行等）；4、個人信用信息；5、金融交易信息；6、衍生信息（反映特定個人金融信息主體某些情況的信息，如：消費(fèi)習(xí)慣、投資意愿等）；7、在與個人建立業(yè)務(wù)關(guān)系過程中獲取、保存的其他個人金融信息。（二）個人金融信息跨境傳輸常見場景通常情況下，金融個人信息跨境傳輸有以下幾種情形：第

16

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書1、外資公司在中國的分公司需要向總公司報告客戶金融信息；2、跨國金融集團(tuán)母國出于審計需求或稅務(wù)監(jiān)管、反洗錢等監(jiān)管需求，根據(jù)美國、歐盟、英國等司法、執(zhí)法部門的要求調(diào)取境外信息；3、跨境支付（如銀行卡跨境支付），若不提供客戶金融信息將無法進(jìn)行結(jié)算；4、協(xié)議規(guī)定的常規(guī)數(shù)據(jù)傳輸，如歐盟與美國之間隱私盾協(xié)議；5、境內(nèi)銀行的客戶在境外使用信用卡付款，發(fā)卡行需要將客戶的個人信息傳輸?shù)絿庖则?yàn)證信用卡；6、國際金融集團(tuán)在內(nèi)部管理時也要進(jìn)行個人金融信息轉(zhuǎn)移，如跨國銀行母行為符合母國監(jiān)管的規(guī)定開展日常管理活動，通常要求海外分支機(jī)構(gòu)定期報送相關(guān)業(yè)務(wù)信息、報表等。（圖片來源：深圳市地方金融監(jiān)督管理局）（三）個人金融信息跨境傳輸合規(guī)要點(diǎn)中國人民銀行

2020

年

9

月發(fā)布的《中國人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》規(guī)定銀行、支付機(jī)構(gòu)處理消費(fèi)者金融信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，經(jīng)金融消費(fèi)者或者其監(jiān)護(hù)人明示同意。第

17

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書如個人金融信息確需出境，根據(jù)中國人民銀行

2020

年

2

月發(fā)布的金融行業(yè)標(biāo)準(zhǔn)《個人金融信息保護(hù)技術(shù)規(guī)范》（JR/T0171-2020），我國個人金融信息出境需滿足“業(yè)務(wù)必須+客戶授權(quán)+境外關(guān)聯(lián)機(jī)構(gòu)+保密”四要件，即金融機(jī)構(gòu)（包括提供金融服務(wù)的其他金融類企業(yè)）在涉及個人金融信息跨境傳輸時可以參照完成以下合規(guī)工作：1、獲得個人金融信息主體明示同意；2、做好主體資質(zhì)合規(guī)與保密要求，金融機(jī)構(gòu)處理相關(guān)金融數(shù)據(jù)的前提是具備相應(yīng)經(jīng)營資質(zhì)；3、可開展個人金融信息安全影響評估，檢驗(yàn)個人金融信息處理活動的合法合規(guī)程度，以及評估境外機(jī)構(gòu)數(shù)據(jù)安全保護(hù)能力是否達(dá)到國家、行業(yè)有關(guān)部門與金融業(yè)機(jī)構(gòu)的安全要求；4、與境外機(jī)構(gòu)通過簽訂協(xié)議、現(xiàn)場核查等方式，明確并監(jiān)督境外機(jī)構(gòu)有效履行個人金融信息保密、數(shù)據(jù)刪除、案件協(xié)查等職責(zé)義務(wù)；5、采用數(shù)據(jù)加密、數(shù)據(jù)完整性校驗(yàn)等方式，保證數(shù)據(jù)存儲過程中的保密性、完整性；6、對通信雙方（包括機(jī)構(gòu)、接口、設(shè)備、系統(tǒng)等）進(jìn)行身份驗(yàn)證，并通過數(shù)字簽名等方式保證數(shù)據(jù)傳輸抗抵賴性；7、利用通道加密、數(shù)據(jù)加密、專線通道等機(jī)制保護(hù)數(shù)據(jù)傳輸過程的安全性；8、建立個人信息出境記錄并至少保存

5

年。二、汽車（一）個人汽車信息出境概況隨著我國車企在全球進(jìn)行業(yè)務(wù)布局，汽車數(shù)據(jù)處理者對掌握的個人信息跨境轉(zhuǎn)移不可避免。所謂汽車數(shù)據(jù)處理者，即開展智能網(wǎng)聯(lián)汽車數(shù)據(jù)處理活動的組織，包括智能網(wǎng)聯(lián)汽車制造商、零部件和軟件供應(yīng)商、經(jīng)銷商、維修機(jī)構(gòu)以及出行服務(wù)企業(yè)等。上述主體只要在中國境內(nèi)開展汽車數(shù)據(jù)處理活動，均可能成為汽車數(shù)據(jù)出境的當(dāng)事方。第

18

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書（圖片來源：搜狐網(wǎng)）結(jié)合相關(guān)規(guī)定及行業(yè)實(shí)踐，智能車輛收集的數(shù)據(jù)絕大多數(shù)屬于個人信息，其中包括可以直接識別自然人身份的車主姓名、身份證號、生物識別信息，也包括可以與其他信息結(jié)合識別自然人身份的車牌號、車輛行蹤軌跡和車輛識別碼（VIN），以及車輛本身的技術(shù)數(shù)據(jù)（如各部件運(yùn)行參數(shù)、駕駛習(xí)慣等）。并且，其中的身份信息、生物信息、軌跡及位置信息等信息屬于個人敏感信息。（二）個人汽車信息跨境傳輸常見場景就跨國車企而言，汽車數(shù)據(jù)出境既有可能涉及境內(nèi)向境外傳輸，也有可能涉及境外直接訪問。個人汽車信息跨境傳輸?shù)膱鼍爸饕ǎ?、通過車載及手機(jī)

APP

收集用戶個人信息和敏感個人信息，而后向境外提供，用于

APP

的開發(fā)等；2、通過車內(nèi)攝像頭收集的數(shù)據(jù)，如駕駛?cè)说囊粢曨l等數(shù)據(jù)，而后向境外提供，用于技術(shù)的研發(fā)、服務(wù)改進(jìn)；3、通過車外攝像頭收集的數(shù)據(jù)：例如收集包含人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù)，道路、交通狀況等車外信息后，而后向境外提供，用于自動駕駛技術(shù)研發(fā)；4、跨境執(zhí)法調(diào)查等。第

19

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書（三）個人汽車信息跨境傳輸合規(guī)建議《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》規(guī)定，汽車數(shù)據(jù)中包含人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù)以及涉及個人信息主體超過

10

萬人的個人信息為重要數(shù)據(jù)。上述重要數(shù)據(jù)原則上應(yīng)在境內(nèi)存儲，因業(yè)務(wù)需要確需向境外提供的，應(yīng)當(dāng)通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的安全評估。在個人汽車數(shù)據(jù)跨境傳輸過程中，根據(jù)《車聯(lián)網(wǎng)信息服務(wù)用戶個人信息保護(hù)要求》（YD/t

3746-2020）等的規(guī)定，境內(nèi)個人信息處理者應(yīng)參考執(zhí)行以下合規(guī)建議：1、實(shí)施嚴(yán)格的技術(shù)和管理措施，收集和轉(zhuǎn)移用戶個人信息時應(yīng)征得用戶同意；2、信息收集和轉(zhuǎn)移的傳輸過程應(yīng)采取必要的加密措施，保障數(shù)據(jù)的機(jī)密性和完整性；3、確保車聯(lián)網(wǎng)用戶個人信息訪問控制安全，建立嚴(yán)格的用戶個人信息安全管理規(guī)范以及數(shù)據(jù)實(shí)時監(jiān)控機(jī)制；4、設(shè)置企業(yè)內(nèi)部的數(shù)據(jù)審批流程及制度，并對用戶個人信息的使用進(jìn)行實(shí)時監(jiān)控及預(yù)警。三、醫(yī)療健康隨著全球醫(yī)學(xué)交流日益頻繁，醫(yī)療健康數(shù)據(jù)所面臨的跨境需求也愈加迫切。近年來，我國“互聯(lián)網(wǎng)+醫(yī)療健康”與醫(yī)療機(jī)構(gòu)信息化逐漸鋪開，國內(nèi)醫(yī)療機(jī)構(gòu)因此掌握了大量醫(yī)療健康個人信息。另外，我國《個人信息保護(hù)法》將“醫(yī)療健康”信息視為敏感信息，醫(yī)療行業(yè)中的大量患者相關(guān)信息，例如診療過程中的病歷信息、不良反應(yīng)報告信息、臨床試驗(yàn)數(shù)據(jù)等，均會因其“醫(yī)療健康”屬性落入敏感個人信息的范疇。（一）個人醫(yī)療健康信息跨境傳輸法律規(guī)制在開展個人醫(yī)療健康信息出境工作時，境內(nèi)個人信息處理者既要關(guān)注行業(yè)規(guī)范的要求，也不能忽視網(wǎng)絡(luò)及數(shù)據(jù)安全監(jiān)管體系中的醫(yī)療數(shù)據(jù)屬性。個人醫(yī)療健康信息跨境傳輸主要有如下特殊規(guī)定：1、健康醫(yī)療大數(shù)據(jù)原則上應(yīng)當(dāng)存儲于境內(nèi)服務(wù)器，因業(yè)務(wù)需要確需向境外提供第

20

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書的，應(yīng)按照相關(guān)法律法規(guī)及有關(guān)要求進(jìn)行安全評估審核；但《人口健康信息管理辦法（試行）》規(guī)定，一旦醫(yī)療數(shù)據(jù)屬性上構(gòu)成人口健康信息，其跨境傳輸活動將被嚴(yán)格禁止。2、根據(jù)《人類遺傳資源管理條例》，人類遺傳資源信息是指利用人類遺傳資源材料產(chǎn)生的數(shù)據(jù)等信息資料。國家科技部于

2023

年

5

月

26

日發(fā)布的《人類遺傳資源管理條例實(shí)施細(xì)則》，向境外提供人類遺傳資源信息的，境內(nèi)信息所有者原則上應(yīng)當(dāng)向科技部事先報告并提交信息備份；如提供的人類遺傳資源信息可能影響我國公眾健康、國家安全和社會公共利益的，應(yīng)當(dāng)通過科技部組織的安全審查。3、根據(jù)《信息安全技術(shù)

健康醫(yī)療數(shù)據(jù)安全指南》（GB/T

39725—2020）的有關(guān)規(guī)定，基于學(xué)術(shù)研討需要的健康醫(yī)療數(shù)據(jù)跨境傳輸需進(jìn)行必要的去標(biāo)識化處理，經(jīng)數(shù)據(jù)安全委員會討論審批同意，且數(shù)量在

250

條以內(nèi)的非涉密非重要數(shù)據(jù)可以出境。（二）個人醫(yī)療健康信息跨境傳輸常見場景1、醫(yī)藥研發(fā)當(dāng)前醫(yī)藥研發(fā)領(lǐng)域的一個常見模式是國際多中心臨床試驗(yàn)（MRCT），即在同一個方案下多地區(qū)進(jìn)行臨床試驗(yàn)，以便節(jié)約時間成本、避免臨床試驗(yàn)的重復(fù)。這當(dāng)中存在多地區(qū)之間共享試驗(yàn)結(jié)果，需要傳輸相關(guān)試驗(yàn)數(shù)據(jù)。2、國際合作研究涉及的臨床試驗(yàn)數(shù)據(jù)出境外方單位與中國合作方共同開展國家合作研究，涉及臨床試驗(yàn)的，若需要將數(shù)據(jù)傳輸出境，或?qū)?shù)據(jù)向境外主體開放訪問權(quán)限，或其服務(wù)器和運(yùn)維部署在境外，都可能構(gòu)成臨床試驗(yàn)數(shù)據(jù)出境。3、跨境申報新藥臨床試驗(yàn)審批（IND）和新藥注冊申請（NDA）如果我國藥企向美國申請新藥上市，需要向美國食品與藥品管理局（FDA）提

出新藥臨床試驗(yàn)審批申請（IND）和新藥注冊申請（NDA），且申請者必須提供臨床研究的計劃書，這些文件中往往包含重要數(shù)據(jù)和個人敏感信息。4、基于科研目的向境外發(fā)布臨床試驗(yàn)結(jié)果第

21

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書開展臨床試驗(yàn)的研究機(jī)構(gòu)對于其研究發(fā)現(xiàn)可能會向境外機(jī)構(gòu)或刊物投稿發(fā)布研究成果，在投稿或?qū)徃宓冗^程中可能涉及相關(guān)臨床試驗(yàn)數(shù)據(jù)向境外機(jī)構(gòu)提供的情形。5、患者個人信息出境：如出境就診或跨境會診。6、商業(yè)保險對接商業(yè)保險機(jī)構(gòu)通常會與醫(yī)療機(jī)構(gòu)建立連接，對就診主體的治療狀況與診療費(fèi)用情況等信息進(jìn)行流通對接，從而實(shí)現(xiàn)系統(tǒng)自動進(jìn)行商業(yè)保險自動結(jié)算與賠付。7、脫敏數(shù)據(jù)二次利用公共衛(wèi)生部門、科研機(jī)構(gòu)與企業(yè)可能基于政府決策、科學(xué)研究統(tǒng)計等目的對健康醫(yī)療數(shù)據(jù)進(jìn)行脫敏后開展分析、挖掘等處理活動。四、跨境電商（一）跨境電商相關(guān)個人信息出境場景及法律規(guī)制隨著經(jīng)濟(jì)全球化進(jìn)程的不斷加速，國內(nèi)消費(fèi)需求的增加，跨境電商發(fā)展愈加迅速。全球大型跨境電商平臺阿里巴巴、亞馬遜等通過互聯(lián)網(wǎng)跨境傳輸和處理信息，構(gòu)建了跨境電商經(jīng)營者的世界用戶網(wǎng)絡(luò)，有助于降低交易成本、實(shí)現(xiàn)商業(yè)擴(kuò)張?？梢哉f，跨境電商的發(fā)展必然伴生跨境數(shù)據(jù)的流動。（圖片來源：亞馬遜）第

22

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書在跨境電商活動全生命周期流程中，海關(guān)等政府部門、境內(nèi)外消費(fèi)者、跨境電商企業(yè)、平臺企業(yè)、境內(nèi)服務(wù)商等主體在線上及線下場景深度交織，形成諸多主體之間的數(shù)據(jù)交互關(guān)系。消費(fèi)者每一筆交易衍生的交易電子數(shù)據(jù)、支付、物流信息等個人信息，是跨境電商交易閉環(huán)的重要組成部分。在跨境電商零售進(jìn)口模式中，因交易的一方位于境外，勢必會涉及數(shù)據(jù)出境問題。比如在

b2c

模式下，不把消費(fèi)者的聯(lián)系方式、地址等給到境外，就沒法交付快遞發(fā)貨。（二）跨境電商相關(guān)個人信息跨境傳輸合規(guī)要點(diǎn)《個人信息保護(hù)法》第

58

條增設(shè)了平臺企業(yè)保護(hù)個人信息的“守門人義務(wù)”，要求提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者，應(yīng)當(dāng)履行下列義務(wù)：1、按照國家規(guī)定建立健全個人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對個人信息保護(hù)情況進(jìn)行監(jiān)督；2、遵循公開、公平、公正的原則，制定平臺規(guī)則，明確平臺內(nèi)產(chǎn)品或者服務(wù)提供者處理個人信息的規(guī)范和保護(hù)個人信息的義務(wù)；3、對嚴(yán)重違反法律、行政法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)；4、定期發(fā)布個人信息保護(hù)社會責(zé)任報告，接受社會監(jiān)督。5、在目前統(tǒng)一的個人信息跨境保護(hù)立法模式下，須從合理清晰地界定個人信息的范圍、完善跨境數(shù)據(jù)流動規(guī)則、明確跨境電商經(jīng)營者的法律責(zé)任等方面對個人信息出境的規(guī)則加以梳理。五、航空航空業(yè)作為擁有巨大信息體量產(chǎn)業(yè)，其涉及的個人信息保護(hù)問題不容小覷。航空領(lǐng)域涉及個人信息跨境傳輸場景最多的主體應(yīng)屬民航企業(yè)。民航旅客個人信息因具有真實(shí)性、國家安全屬性等特征，其跨境傳輸合規(guī)安全要求應(yīng)受到格外重視。第

23

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書（圖片來源：新浪財經(jīng)）（一）個人航空信息跨境傳輸法律規(guī)制目前涉及個人信息保護(hù)的立法多集中于私法保護(hù)，但關(guān)系到跨境轉(zhuǎn)移則需關(guān)注國家安全問題。航空企業(yè)涉及向境外提供個人信息時，除需要履行《個人信息保護(hù)法》第

39

條規(guī)定的“告知+取得單獨(dú)同意”義務(wù)，如涉及向邊檢、海關(guān)等執(zhí)法機(jī)構(gòu)提供個人信息，還需額外遵循《個人信息保護(hù)法》第

41

條規(guī)定的額外義務(wù)，即我國遵守締結(jié)或參加的國際條約和協(xié)定，按照平等互惠原則，處理外國司法或者執(zhí)法機(jī)構(gòu)關(guān)于提供存儲于境內(nèi)個人信息的請求；但非經(jīng)有關(guān)主管機(jī)關(guān)批準(zhǔn)，個人信息處理者不得向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲于我國境內(nèi)的個人信息。（二）個人航空信息跨境傳輸常見場景因航空運(yùn)輸天然具有的國際性，民航旅客個人信息的跨境傳輸在所難免。民航旅客信息處理涉及主體多，在行業(yè)層面，公共航空運(yùn)輸企業(yè)、航空運(yùn)輸銷售代理企業(yè)、航空運(yùn)輸銷售保障企業(yè)、機(jī)場地面服務(wù)部門以及旅客等多渠道之間存在錯綜復(fù)雜的信息流動。因此在出境航線上，售出客票的民航企業(yè)通常需要將旅客票務(wù)信息傳送給以下機(jī)構(gòu)：1、中轉(zhuǎn)地、目的地機(jī)場的地面服務(wù)公司；2、沿途的實(shí)際承運(yùn)人；3、為境外地面服務(wù)提供支持的

IT

信息提供商；4、沿路的政府邊檢海關(guān)部門。第

24

頁

共

29

頁中國個人信息出境標(biāo)準(zhǔn)合同白皮書目前中國民航旅客信息跨境傳輸主要有兩種途徑：1、機(jī)票銷售市場上的跨境電商模式，機(jī)票銷售平臺通過技術(shù)手段直接連接國外民航計算機(jī)定座系統(tǒng)（CRS）及其他旅游產(chǎn)品供應(yīng)商，為中國旅客在國內(nèi)用人