《个人信息保护法》第三十八条规定个人信息跨境有三种合规路径： 

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估； 

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证； 

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；”。 

目前，针对于这三种路径，相关执法部门已经发布了相应地配套规范和办法。从上位法到更 细化的规范办法，企业个人信息出境的相关活动正在紧锣密鼓的开展中。 

为此，LEB 于 2023 年 6 月 30 日特别邀请到了北京大成（上海）律师事务所的合伙人郭玉 兰律师、世界五百强法总，以及近期通过数据出境安全评估的会员单位的法务经理，共同分享企 业数据出境实践。 

分享之初，郭律师带领大家重温了数据合规的法律框架以及个人信息合规出境的“三套 马车”（数据出境的安全评估、个人信息出境的标准合同以及个人信息保护的认证）的最新 情况。目前，京、沪、粤、苏、浙、鲁均有企业通过了数据出境的安全评估，全国总计十余家；标准合同的备案工作也已经开启，备案通过首例已在北京出现；个人信息保护认证目前 仅 CCRC（中国网络安全审查技术与认证中心）受理，后续是否会有其他的机构值得期待。

数据如何算是”出境”？企业在实操过程中所面临的场景非常的庞杂。郭律师就一些企 业容易造成误解的数据出境情形做了一一列举和说明，帮助大家厘清了思路。郭律师提醒大 家，要明确数据出境，要考虑几个要素，第一，数据是在境内产生的，只要数据是在境内产 生，即使数据没有物理的出境，如境外远程访问境内的数据，也属于数据出境；第二，要有 个人信息处理者（公司），用户直接向境外提供，不算数据出境；第三，要有境内方和境外 方，个人网络用户注册境外的网站、向境外发邮件等，不算数据出境。

随后，郭律师为大家展开介绍了安全评估的的相关制度、适用范围、评估流程与要点、 申报安全评估所需核心评估材料、流程用时与重要时间节点以及不评估的法律后果。某网约 车 80.26 亿的罚款为我们敲响了警钟，其高管也被处以 100 万元的顶格罚款，系迄今为止 全球数额最高。顾律师强调，安全评估不能一劳永逸，当数据出境活动发生变化、境外接收 方处理活动发生变化、目的地网络安全环境变化等情形下，企业需要重新申请安全评估。 

之后，某世界 500 强的法总与我们分享了其进行安全评估申报的心路历程，也特别提到了与公司内部相关利益主体的沟通和协调的重要性。企业是否需要进行申报？如何确定需 要申报的系统？如何确定境外数据的接收方？申报文件制作有怎么的具体要求？该法总都 为我们做了一一的拆解，还特别强调了企业的评估报告与官方模板需要保持完全一致，从中 我们也感受到了网信办对于评估报告的高要求。 

此外，近期已经通过数据出境安全评估的会员单位的法务经理也分享了通过评估的经验。 该法务经理为我们介绍了他们公司的大致情况，他们如何分析其数据的链路，以及他们如何 积极地与网信那里沟通澄清情况。令人诧异的是，他们早在 2021 年《个人信息保护法》出 台后就已经开始了数据的梳理工作，早早地把工作做在了前面。最终安全评估的顺利通过， 也与他们内部的紧密配合是分不开的。

随后，郭律师又给大家介绍了个人信息出境标准合同的情况。《个人信息出境标准合同 办法》于 2023 年 2 月 24 日已经正式发布并于 2023 年 6 月 1 日起施行。宽限期是 6 个月， 也就是至 2023 年 11 月 30 日。郭律师为大家介绍了标准合同的适用范围、自评估要求、 备案流程、标准合同的签订与履行要点。郭律师指出，向境外提供个人信息的主体需同时满 足四个条件： 

 不是关键信息基础设施运营者 

 处理个人信息不满 100 万人 

 自上年 1 月 1 日起累计向境外提供个人信息不满 10 万人 

 自上年 1 月 1 日起累计向境外提供敏感个人信息不满 1 万人

当标准合同生效后，数据就可以出境，但是需要在合同生效后的 10 个工作日内向省级 网信办备案。此外，对于标准合同是否“名为备案，实为审批”的问题，郭律师也给出了自 己的看法。

关于个人信息保护的认证，郭律师表示，目前仅中国网络安全审查技术与认证中心 （CCRC）受理认证申请。郭律师为大家介绍了个人信息保护认证的基本要求、适用范围、 认证主体以及个人信息保护认证的流程。也向我们展示了个人信息保护认证的标志。包含跨 境处理活动的个人信息保护认证标志中带有“CB”，标志中“ABCD”代表认证机构识别 信息。

最后，郭律师也抛出了一些有待进一步澄清的问题，如获证后监管在实践中如何进行？ 是否会陆续指定除 CCRC 外的认证机构？若认证有效期内处理个人信息达量，能否切换至 安全评估申请？... ... 皆有待后续进一步的关注。