2023中國個人信息出境標(biāo)準(zhǔn)合同白皮書

■中國個人信息出境標(biāo)準(zhǔn)合同白皮書聯(lián)合發(fā)布信息出境標(biāo)準(zhǔn)合同白皮書中國個人信息出境標(biāo)準(zhǔn)合同信息出境標(biāo)準(zhǔn)合同白皮書 1第一部分全球與中國個人信息跨境合規(guī)及監(jiān)管趨勢 2一、全球個人信息跨境合規(guī)及監(jiān)管趨勢 2 2 2 3 3 3 4二、中國個人信息跨境合規(guī)及監(jiān)管現(xiàn)狀 4路徑一：數(shù)據(jù)安全評估審查 4路徑二：個人信息保護認(rèn)證 5路徑三：個人信息出境標(biāo)準(zhǔn)合同 5第二部分中國個人信息出境焦點問題及標(biāo)準(zhǔn)合同應(yīng)對方案 7一、個人信息出境中的焦點問題 7（一）境內(nèi)個人信息處理者特定身份鑒別 7（二）盤點出境個人信息的數(shù)量 7（三）個人信息怎么樣才算“出境” 8（四）識別出境個人信息中的重要數(shù)據(jù) 9（五）如何處理敏感個人信息 9二、適用標(biāo)準(zhǔn)合同路徑進行個人信息跨境傳輸?shù)闹黧w及場景 10（一）適用標(biāo)準(zhǔn)合同的個人信息處理主體 10（二）適用標(biāo)準(zhǔn)合同的個人信息跨境場景 11三、應(yīng)對方案——個人信息出境標(biāo)準(zhǔn)合同備案 11（一）事前：內(nèi)部合規(guī)、準(zhǔn)備出境 12（二）事中：執(zhí)行標(biāo)準(zhǔn)合同備案 14（三）事后：持續(xù)監(jiān)督、適時更新 15第三部分重點行業(yè)個人信息跨境傳輸要點解析 16一、金融 16（一）金融機構(gòu)和個人金融信息 16（二）個人金融信息跨境傳輸常見場景 16（三）個人金融信息跨境傳輸合規(guī)要點 17二、汽車 18（一）個人汽車信息出境概況 18（二）個人汽車信息跨境傳輸常見場景 19（三）個人汽車信息跨境傳輸合規(guī)建議 20三、醫(yī)療健康 20（一）個人醫(yī)療健康信息跨境傳輸法律規(guī)制 20（二）個人醫(yī)療健康信息跨境傳輸常見場景 21四、跨境電商 22（一）跨境電商相關(guān)個人信息出境場景及法律規(guī)制 22（二）跨境電商相關(guān)個人信息跨境傳輸合規(guī)要點 23五、航空 23（一）個人航空信息跨境傳輸法律規(guī)制 24（二）個人航空信息跨境傳輸常見場景 24 26 27盈科簡介 27檢測中心簡介 27閃捷簡介 28信息出境標(biāo)準(zhǔn)合同白皮書基于對個人信息的保護和對國家安全的重視，越來越多的國家和地區(qū)開始加強對企業(yè)跨境個人信息流動的監(jiān)管。個人信息合規(guī)跨境傳輸成為當(dāng)今企業(yè)跨國經(jīng)營時必須面臨和解決的問題。徑：數(shù)據(jù)出境安全評估、個人信息保護認(rèn)證和個人信息出境標(biāo)準(zhǔn)合同?；凇秱€人信息出境標(biāo)準(zhǔn)合同辦法》于2023年6月1日起開始施行，并隨著2023年5月30日國家網(wǎng)信辦發(fā)布《個人信息出境標(biāo)準(zhǔn)合同備案指南（第一版）》，我國個人信息出境標(biāo)準(zhǔn)合同路徑已落地執(zhí)行。中國個人信息出境標(biāo)準(zhǔn)合同白皮書第一部分全球與中國個人信息跨境合規(guī)及監(jiān)管趨勢一、全球個人信息跨境合規(guī)及監(jiān)管趨勢各國爭奪的對象。世界主要經(jīng)濟體先后出臺了數(shù)個個人信息保護相關(guān)法案，整體來看，全球各法域?qū)€人信息的跨境流動監(jiān)管趨嚴(yán)。歐盟于2016年通過《通用數(shù)據(jù)保護條例》（GDPR），明確規(guī)定了個人數(shù)據(jù)跨境轉(zhuǎn)移的條件。目前歐盟個人信息跨境傳輸路徑主要分為以下三種機制：一是充分性認(rèn)定。根據(jù)GDPR規(guī)定，只有當(dāng)?shù)谌龂鴮€人數(shù)據(jù)的保護水平達到歐盟的要求，歐盟成員國的個人數(shù)據(jù)才能進行數(shù)據(jù)跨境流動。認(rèn)定第三國是否提供“充分”數(shù)據(jù)保護，主要是根據(jù)第三國個人數(shù)執(zhí)行情況等因素判斷。但目前中國尚未通過該認(rèn)定；標(biāo)準(zhǔn)合同條款是從歐洲經(jīng)濟區(qū)向區(qū)域外第三國或組織跨境傳輸數(shù)據(jù)時使用的標(biāo)得充分的保護。約束性企業(yè)規(guī)則可以簡單地理解為適用于跨國企業(yè)的“白名單”，即當(dāng)歐盟行政機關(guān)對整個企業(yè)內(nèi)部的數(shù)據(jù)跨境流通合規(guī)框架審查合格之后，企業(yè)內(nèi)部的個人數(shù)據(jù)跨境流通不再受限；三是克減情形?？藴p僅適用于只涉及少量數(shù)據(jù)主體在特定情形下偶爾進行的數(shù)據(jù)跨境傳輸，數(shù)據(jù)輸出者不應(yīng)將此作為常規(guī)化數(shù)據(jù)跨境傳輸?shù)暮戏ㄒ罁?jù)。美國對個人數(shù)據(jù)跨境傳輸?shù)恼咭?guī)制整體持開放態(tài)度，先后與歐盟簽訂《安全港協(xié)議》和《隱私盾協(xié)議》，對大西洋兩岸跨境轉(zhuǎn)移個人數(shù)據(jù)的隱私保護進行規(guī)范。但在特定的重要數(shù)據(jù)上，美國則采取了相應(yīng)限制措施。如制定被稱為“全球最貴數(shù)據(jù)保護法案”的《加州消費者隱私法案》（CCPA）和對部分關(guān)鍵技術(shù)與特定中國個人信息出境標(biāo)準(zhǔn)合同白皮書領(lǐng)域的數(shù)據(jù)出口進行限制的《出口管理條例》（EAR）。另外，美國在醫(yī)療健康領(lǐng)域的《健康保險可攜性和責(zé)任法案》（HIPAA）和金融服務(wù)數(shù)據(jù)方面的《格雷姆－里奇－比利雷法案》（GLB）等行業(yè)特殊規(guī)定也需要重點關(guān)注?！秱€人數(shù)據(jù)保護法》（PDPA）是新加坡的主要個人信息保護立法，用來管理各機構(gòu)對個人數(shù)據(jù)的收集、使用和披露。PDPA適用于所有在新加坡收集、使用和披露個人數(shù)據(jù)的營業(yè)機構(gòu)，無論其是否在新加坡物理存在。PDPA規(guī)定，企業(yè)必須遵守數(shù)據(jù)轉(zhuǎn)移限制的義務(wù)。即除非企業(yè)能確保個人數(shù)據(jù)的接收者受到法律上可執(zhí)行的義務(wù)的約束，被轉(zhuǎn)移的個人數(shù)據(jù)獲得與PDPA規(guī)定的保護標(biāo)準(zhǔn)相當(dāng)?shù)谋Ｗo，否則個人數(shù)據(jù)不能被轉(zhuǎn)移到新加坡以外的國家或地區(qū)。這些“可依法執(zhí)行的義務(wù)”包括根據(jù)法律法規(guī)、合同或具有約束力的公司規(guī)則或任何其他具有法律約束力的文書規(guī)定的義務(wù)。韓國是世界上對數(shù)據(jù)安全相關(guān)規(guī)定最嚴(yán)格的法域之一。韓國個人信息保護委員會（PIPC）在對《個人信息保護法》（PIPA）的修正案中增加了向海外傳輸個人息保護標(biāo)準(zhǔn)指南》《關(guān)于個人信息影響評估的通知》《違反個人信息保護法的處罰標(biāo)準(zhǔn)》《個人信息技術(shù)和行政保護措施標(biāo)準(zhǔn)》等。日本與歐盟于2019年作出“充足性認(rèn)定”，互相認(rèn)定對方的保護水平及安全措施，允許個人數(shù)據(jù)在歐盟和日本之間自由流動。但日本對于其本土個人數(shù)據(jù)跨境傳輸態(tài)度較為嚴(yán)格。2022年4月修訂后的《日本個人信息保護法》（APPI）在保留原有要求處理個人信息的經(jīng)營者應(yīng)獲取數(shù)據(jù)主體的同意之外，新增了披露信息接收方所在國家及該國的個人信息保護體系、信息接收方采取的個人信息保護措施的要求；如采取必要措施確保該境外第三方持續(xù)實施了與APPI對個人信息的保護要求相當(dāng)?shù)谋Ｗo措施，并能夠在數(shù)據(jù)主體要求的情況下提供關(guān)于企業(yè)采取的必要措施的信息等要求。信息出境標(biāo)準(zhǔn)合同白皮書俄羅斯在新修訂的《聯(lián)邦個人數(shù)據(jù)法》第22條規(guī)定了“個人數(shù)據(jù)處理通報”義務(wù)，增加了個人數(shù)據(jù)跨境傳輸?shù)那爸猛▓?，意味著運營商要履行兩份通報義務(wù)，即“個人數(shù)據(jù)處理通報”義務(wù)和“個人數(shù)據(jù)跨境流動通報”義務(wù)，兩份通報要分開發(fā)送，這項要求已于2023年3月1日起生效。同時，俄羅斯《聯(lián)邦個人數(shù)據(jù)保護法》對于個人信息出境的監(jiān)管提出相對嚴(yán)格的要求，概括為相關(guān)機構(gòu)、國外政府或者國家必須擁有同等的數(shù)據(jù)保護水平才可以將個人信息傳輸出。二、中國個人信息跨境合規(guī)及監(jiān)管現(xiàn)狀根據(jù)《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》或《個保法》）和《信息安全技術(shù)個人信息安全規(guī)范》（GB/T35273—2020）等制度規(guī)范，個人信息指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別身份證件號碼、住址、通信通訊聯(lián)系方式、健康生理信息等。自2017年6月1日《中華人民共和國網(wǎng)絡(luò)安全法》（實施以來，我國立法機構(gòu)及有關(guān)政府主管部門逐步推動建立同個人信息出境相關(guān)的法律、法規(guī)和監(jiān)管規(guī)則，至今已初步形成以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個人信息保護法》三法為綱領(lǐng)，結(jié)合配套辦法、規(guī)定、標(biāo)準(zhǔn)和指南為補充的個人信息跨境傳輸合規(guī)框架。根據(jù)《個人信息保護法》第38條等有關(guān)法律法規(guī)，我國個人信息跨境傳輸目前路徑一：數(shù)據(jù)安全評估審查國家互聯(lián)網(wǎng)信息辦公室（以下簡稱國家網(wǎng)信辦）于2022年7月7日發(fā)布的《數(shù)據(jù)出境安全評估辦法》（以下簡稱《安全評估辦法》）第4條明確了數(shù)據(jù)出境安全評估審查的強制觸發(fā)條件：1、數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)；2、關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外信息出境標(biāo)準(zhǔn)合同白皮書的數(shù)據(jù)處理者向境外提供個人信息；4、國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。約束性文件。數(shù)據(jù)出境風(fēng)險自評估報告對于順利通過安全評估審查至關(guān)重要，可以理解為是企業(yè)向網(wǎng)信部門提交的“考卷”。因而企業(yè)在提交申報前需要按照要求開展數(shù)據(jù)合規(guī)治理工作，完成數(shù)據(jù)風(fēng)險篩查及整改。路徑二：個人信息保護認(rèn)證個人信息保護認(rèn)證是跨國企業(yè)或同一經(jīng)濟實體處理個人信息出境業(yè)務(wù)的重要手段，該機制的適用情形和底層邏輯與歐盟的約束性企業(yè)規(guī)則類似，認(rèn)證獲批后即可在法定/約定范圍內(nèi)進行個人信息跨境傳輸。2022年11月至12月我國先后發(fā)布了《個人信息保護認(rèn)證實施規(guī)則》及其配套文件《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——個人信息跨境處理活動安全認(rèn)證規(guī)范V2.0》，對開展跨境處理活動的個人信息保護認(rèn)證機制作出完善。個人信息保護認(rèn)證流程由五個主要環(huán)節(jié)組成，分別是認(rèn)證申請、技術(shù)驗證、現(xiàn)場審核、認(rèn)證決定、獲證路徑三：個人信息出境標(biāo)準(zhǔn)合同《個人信息出境標(biāo)準(zhǔn)合同辦法》（以下簡稱《標(biāo)準(zhǔn)合同辦法》）和《個人信息出境標(biāo)準(zhǔn)合同備案指南（第一版）》（以下簡稱《備案指南》）對于能夠采取標(biāo)準(zhǔn)合同實施個人信息跨境的主體范圍進行了界定，包括：1、非關(guān)鍵信息基礎(chǔ)設(shè)施運營者；4、自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的。中國個人信息出境標(biāo)準(zhǔn)合同白皮書路徑，任意一條不滿足，則境內(nèi)個人信息處理者應(yīng)進行個人信息出境安全評估或個人信息保護認(rèn)證?？v觀全球各法域的個人信息出境監(jiān)管趨勢，整體呈現(xiàn)出法規(guī)逐漸完善、路徑逐漸清晰的特點。接下來我們將以中國個人信息出境過程中面臨的重點問題為基礎(chǔ)，分析個人信息標(biāo)準(zhǔn)合同的適用及落地方案。中國個人信息出境標(biāo)準(zhǔn)合同白皮書第二部分中國個人信息出境焦點問題及標(biāo)準(zhǔn)合同應(yīng)對方案數(shù)據(jù)出境不僅影響個人信息權(quán)益，更關(guān)乎國家安全和社會公共利益。中國監(jiān)管機構(gòu)正在陸續(xù)出臺一系列法規(guī)對個人信息出境活動進行規(guī)制，相關(guān)企業(yè)正在面臨新一輪的數(shù)據(jù)合規(guī)挑戰(zhàn)。數(shù)據(jù)違規(guī)出境不僅會面臨監(jiān)管處罰風(fēng)險，更會損害跨國公司的聲譽，甚至觸發(fā)刑事責(zé)任。接下來我們將分析個人信息出境實踐中的焦點問題，并分享個人信息出境標(biāo)準(zhǔn)合同如何落地實施。一、個人信息出境中的焦點問題（一）境內(nèi)個人信息處理者特定身份鑒別境內(nèi)個人信息處理者是否被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施運營主體（CIIO）是首先需要關(guān)注的問題。根據(jù)《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》以及國家標(biāo)準(zhǔn)《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》（GB/T39204-2022）思路如下：通常來說，關(guān)鍵信息基礎(chǔ)設(shè)施運營（CII）所涉及的重點行業(yè)和領(lǐng)域包括：公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的行業(yè)和領(lǐng)域。目前我國CII及CIIO的認(rèn)定工作由各行業(yè)的主管部門負(fù)責(zé)，企業(yè)是否屬于我國認(rèn)定的CIIO，主要取決于主管機構(gòu)的判定和通知。換句話說，只要企業(yè)未被主管機構(gòu)明確認(rèn)定為關(guān)鍵基礎(chǔ)信息運營者，則滿足了適用個人信息出境標(biāo)準(zhǔn)合同的（二）盤點出境個人信息的數(shù)量鑒于個人信息出境路徑需要根據(jù)出境個人信息的體量進行區(qū)分，盤點出境個人信息的數(shù)量成為了企業(yè)數(shù)據(jù)合規(guī)出境的基礎(chǔ)步驟。點個人信息的數(shù)量這一工作就無法順利開展。因此，越來越多的企業(yè)選擇通過專業(yè)的數(shù)據(jù)庫審計系統(tǒng)來管理企業(yè)數(shù)據(jù)。作為數(shù)據(jù)安全治理的基礎(chǔ)系統(tǒng)，數(shù)據(jù)庫審中國個人信息出境標(biāo)準(zhǔn)合同白皮書計不僅能夠?qū)崟r記錄、分析和匯報訪問數(shù)據(jù)庫的行為，便于企業(yè)形成數(shù)據(jù)統(tǒng)計報告，還能多角度分析企業(yè)數(shù)據(jù)活動，自動根據(jù)相關(guān)法律規(guī)定，對數(shù)據(jù)進行發(fā)現(xiàn)、分類、粒度策略控制等管理，從而幫助律法規(guī)，降低合規(guī)風(fēng)險。（三）個人信息怎么樣才算“出境”根據(jù)國家網(wǎng)信辦發(fā)布的《備案指南》，以下情形屬于個人信息出境行為：1、個人信息處理者將在境內(nèi)運營中收集和產(chǎn)生的個人信息傳輸、存儲至境外；2、個人信息處理者收集和產(chǎn)生的個人信息存儲在境內(nèi)，境外的機構(gòu)、組織或者個人可以查詢、調(diào)取、下載、導(dǎo)出；3、國家網(wǎng)信辦規(guī)定的其他個人信息出境行為。念。要厘清“出境”的個人信息，就需要先明晰個人信息的出境鏈路。實踐中，數(shù)據(jù)流轉(zhuǎn)監(jiān)測系統(tǒng)（SMP）可滿足企業(yè)這一需求。SMP一般會利用數(shù)據(jù)元采集監(jiān)測、敏感數(shù)據(jù)識別、數(shù)據(jù)流轉(zhuǎn)跟蹤等技術(shù)，實現(xiàn)對數(shù)據(jù)訪問、數(shù)據(jù)調(diào)用、數(shù)據(jù)共享、數(shù)據(jù)使用等數(shù)據(jù)活動和數(shù)據(jù)流轉(zhuǎn)等行為進行全程監(jiān)控和跟蹤溯源，智能化識別產(chǎn)生數(shù)據(jù)流轉(zhuǎn)的行為和流向，并可視化呈現(xiàn)出各組織、節(jié)點間的數(shù)據(jù)流轉(zhuǎn)鏈路。目前，成熟的SMP會充分考慮自身安全性、易操作、易維護等中國個人信息出境標(biāo)準(zhǔn)合同白皮書并能使技術(shù)實現(xiàn)與平臺業(yè)務(wù)相分離，確保企業(yè)自身數(shù)據(jù)安全和業(yè)務(wù)效能最大化。（四）識別出境個人信息中的重要數(shù)據(jù)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會于2022年1月13日發(fā)布的《信息安全技術(shù)重?fù)p毀，可能直接危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全”。若向境外提供的個人信息中包括重要數(shù)據(jù)，按照《數(shù)據(jù)出境安全評估辦法》的規(guī)定，企業(yè)必須通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估，而不能選擇其他數(shù)據(jù)出境路徑。（五）如何處理敏感個人信息自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿（GB/T35273—2020）作為推薦性國家標(biāo)準(zhǔn)，在附錄B中列舉了部分敏感個人信息類型，可以對企業(yè)合規(guī)實踐起到指引的作用。附錄B個人敏感信息舉例（圖片來源：《信息安全技術(shù)個人信息安全規(guī)范》）中國個人信息出境標(biāo)準(zhǔn)合同白皮書因我國監(jiān)管部門目前傾向認(rèn)定去標(biāo)識化處理后的敏感個人信息不再計為敏感個人信息，如何處理跨境敏感個人信息成為企業(yè)選擇數(shù)據(jù)出境路徑的重點關(guān)注問題。目前，數(shù)據(jù)庫脫敏技術(shù)可以通過特定算法規(guī)則對敏感信息進行變形和隱藏，將敏感數(shù)據(jù)轉(zhuǎn)換為非敏感數(shù)據(jù)，從而為敏感數(shù)據(jù)的使用提供安全保證。更為重要的是，脫敏后的數(shù)據(jù)特征與原始數(shù)據(jù)可以保持一致，數(shù)據(jù)依然可以被用于業(yè)務(wù)過程，且無需改變支撐系統(tǒng)或數(shù)據(jù)存儲設(shè)備，脫敏的同時不影響企業(yè)業(yè)務(wù)持續(xù)運行。（六）保證跨境個人信息安全傳輸國家出臺系列數(shù)據(jù)出境法律法規(guī)的最終目的在于保障出境個人信息的安全，因此可以應(yīng)用（API）審計系統(tǒng)可以幫助企業(yè)通過梳理龐雜的應(yīng)用及接口，繪制接口畫像和接口訪問軌跡，監(jiān)測敏感數(shù)據(jù)流動風(fēng)險，識別接口調(diào)用的異常用戶行為，為應(yīng)用系統(tǒng)的業(yè)務(wù)數(shù)據(jù)合規(guī)使用和流轉(zhuǎn)提供數(shù)據(jù)安全保障。二、適用標(biāo)準(zhǔn)合同路徑進行個人信息跨境傳輸?shù)闹黧w及場景（一）適用標(biāo)準(zhǔn)合同的個人信息處理主體外國公司駐華代表處、全資子公司等外商投資企業(yè)、分支機構(gòu)以及中資出海企業(yè)等，一般境內(nèi)處理或跨境傳輸?shù)膫€人信息較少，通常僅涉及員工商/經(jīng)銷商個人信息等，最為適宜個人信息出境標(biāo)準(zhǔn)合同路徑。中國個人信息（二）適用標(biāo)準(zhǔn)合同的個人信息跨境場景1、企業(yè)基于母公司的全球信息管理的統(tǒng)一要求，通過辦公自動化OA系統(tǒng)等向境外母公司提供員工個人信息等管理信息。2、企業(yè)向境外接收方提供完成訂單所需的用戶地址信息和身份信息等，也可能進一步提供用戶的購物記錄和瀏覽行為等額外數(shù)據(jù)。3、在向跨國供應(yīng)商采購、國際貨運及倉儲等環(huán)節(jié)，企業(yè)會收集供應(yīng)商倉庫對接人等相關(guān)個人信息，并傳輸至總部供應(yīng)商部門進行使用。4、企業(yè)在通過網(wǎng)絡(luò)遠(yuǎn)程接入境外客戶的系統(tǒng)網(wǎng)絡(luò)進行技術(shù)支持、故障處理等，會涉及對客戶個人信息的處理。5、企業(yè)在境外組織開展品牌宣傳、展會等活動，匯總客戶名片等個人信息，進而與境外母公司共享。6、企業(yè)在進行全球市場調(diào)研、客戶關(guān)系維護等過程中，需要收集、傳輸、使用和維護客戶信息。7、企業(yè)在跨境開展業(yè)務(wù)合作、提供跨境產(chǎn)品過程中，將其運營過程中收集的個人信息提供給境外公司，或者在境外設(shè)置的服務(wù)器、數(shù)據(jù)中心等存儲相應(yīng)個人信8、因FCPA調(diào)查案件、反舞弊調(diào)查、境外訴訟和仲裁機構(gòu)需要，企業(yè)向境外政府部門及境外母公司、律所等提供涉及個人信息的調(diào)查信息、證據(jù)材料。三、應(yīng)對方案——個人信息出境標(biāo)準(zhǔn)合同備案保護認(rèn)證路徑還有待進一步檢驗，而標(biāo)準(zhǔn)合同具備高效便捷、認(rèn)可度高、便于跨國公司合規(guī)制度銜接、爭議解決方式開放靈活等優(yōu)勢。因此對于個人信息處理規(guī)模較小、出境需求頻次較低的企業(yè)而言，選用個人信息出境標(biāo)準(zhǔn)合同出境路徑更國家網(wǎng)信辦于2022年6月發(fā)布的《個人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》以及標(biāo)準(zhǔn)合同文本，此后2023年2月和5月，國家網(wǎng)信辦又陸續(xù)發(fā)布了《個人信息出境標(biāo)準(zhǔn)合同白皮書信息出境標(biāo)準(zhǔn)合同辦法》和《個人信息出境標(biāo)準(zhǔn)合同備案指南（第一版）》，共同為我國2023年6月1日正式實施的個人信息出境標(biāo)準(zhǔn)合同提供了法律依據(jù)和人信息出境標(biāo)準(zhǔn)合同備案工作：（一）事前：內(nèi)部合規(guī)、準(zhǔn)備出境1、企業(yè)內(nèi)部合規(guī)治理體系（1）建立數(shù)據(jù)跨境前評估機制。在個人信息跨境傳輸前完成數(shù)據(jù)跨境可行性評估、數(shù)據(jù)跨境字段最小化評估、數(shù)據(jù)跨境安全性評估等流程。（2）完善業(yè)務(wù)模式中的個人單獨同意采集程序，充分履行告知義務(wù)。（3）識別出境場景、進行數(shù)據(jù)盤點。境內(nèi)個人信息處理者首先應(yīng)對其出境活動是否適用標(biāo)準(zhǔn)合同。2、完成個人信息保護影響評估（PIA）人信息安全影響評估指南》等的要求，境內(nèi)個人信息處理者需成立PIA工作小信息的處理活動從個人權(quán)益影響和安全保護措施進行分析，并制作個人信息保護影響評估報告。作為個人信息出境標(biāo)準(zhǔn)合同備案手續(xù)中必備的關(guān)鍵一步，境內(nèi)個人信息處理者在進行PIA時需要特別關(guān)注以下幾點：（1）數(shù)據(jù)映射分析：要求企業(yè)在針對個人信息處理過程進行全面的調(diào)研后，形成清晰的數(shù)據(jù)清單及數(shù)據(jù)映射圖表。數(shù)據(jù)映射分析工具示例信息出境標(biāo)準(zhǔn)合同白皮書（圖片來源：《信息安全技術(shù)個人信息安全影響評估指南》）（2）個人敏感數(shù)據(jù)識別：依據(jù)《信息安全技術(shù)個人信息安全規(guī)范》對個數(shù)據(jù)（包含個人財產(chǎn)信息、個人健康生理信息、個人生物識別信息、個人身份信息等）進行識別并進行敏感程度劃分；（3）個人信息處理活動分析：根據(jù)個人信息的類型、敏感程度、收集場景、處息處理活動的具體情形。（4）個人數(shù)據(jù)流轉(zhuǎn)圖繪制：基于個人信息處理活動分析結(jié)果，繪制個人數(shù)據(jù)流轉(zhuǎn)圖，包括個人信息處理場景、涉及部門、流轉(zhuǎn)形式、涉及個人信息數(shù)據(jù)、涉及（5）風(fēng)險源識別：風(fēng)險源識別是為了分析個人信息處理活動面臨哪些威脅源，是否缺乏足夠的安全措施導(dǎo)致存在脆弱性而引發(fā)安全事件。風(fēng)險源識別歸納為網(wǎng)絡(luò)環(huán)境和技術(shù)措施、個人信息處理流程、參與人員與第三方、業(yè)務(wù)特點和規(guī)模及安全態(tài)勢四個方面。（6）個人權(quán)益影響分析：指分析特定的個人信息處理活動是否會對個人信息主信息出境標(biāo)準(zhǔn)合同白皮書人信息敏感程度分析階段、個人信息處理活動特點分析階段、個人信息處理活動問題分析階段和個人權(quán)益影響程度分析階段。（7）關(guān)鍵技術(shù)能力，包括個人信息管理能力、數(shù)據(jù)源識別能力、個人敏感數(shù)據(jù)識別能力、個人信息生命周期監(jiān)測能力、個人信息脫敏/加密技術(shù)驗證能力、API接口審計能力等。1、確定簽約主體自開展的個人信息出境活動，建議每個實體單獨與境外接收方簽訂標(biāo)準(zhǔn)合同并進方在境外再行委托處理或再傳輸?shù)那闆r。實踐中，可能存在有的境外接收方不愿意成為簽約主體的情況。在此情況下，則需要調(diào)整境外接收方的數(shù)據(jù)處理流程，將一對多的數(shù)據(jù)出境活動調(diào)整為一對一再對多的數(shù)據(jù)出境活動。2、核實是否存在沖突鑒于標(biāo)準(zhǔn)合同正文部分不得隨意修改，且雙方簽署的其他合作協(xié)議不得與標(biāo)準(zhǔn)合同相沖突，因此企業(yè)內(nèi)部在簽署標(biāo)準(zhǔn)合同之前應(yīng)特別注意協(xié)議間的沖突與兼容，例如：校驗不同協(xié)議之間的兼容性，尤其是各方權(quán)利義務(wù)是否沖突、法律適用、監(jiān)管應(yīng)對責(zé)任等。3、申報及執(zhí)行要完成個人信息出境標(biāo)準(zhǔn)合同備案手續(xù)，企業(yè)應(yīng)向所在地省級網(wǎng)信部門提交標(biāo)準(zhǔn)合同、個人信息保護影響評估報告，以及一系列程序性文件。省級網(wǎng)信辦收到材因，網(wǎng)信辦要求補充、完善材料的，企業(yè)應(yīng)進行補充、完善，并在10個工作日中國個人信息出境標(biāo)準(zhǔn)合同白皮書與必須每兩年重新評估一次的安全評估不同，標(biāo)準(zhǔn)合同的備案持續(xù)有效。但在以下情況下，企業(yè)需要補充或者重新訂立標(biāo)準(zhǔn)合同，并向網(wǎng)信辦重新備案：1、向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發(fā)生變化，或者延長個人信息境外保存期2、境外接收方所在國家或者地區(qū)的個人信息保護政策和法規(guī)發(fā)生變化等可能影3、可能影響個人信息權(quán)益的其他情形。及是否需要重新簽訂標(biāo)準(zhǔn)合同并備案。中國個人信息出境標(biāo)準(zhǔn)合同白皮書第三部分重點行業(yè)個人信息跨境傳輸要點解析一、金融（一）金融機構(gòu)和個人金融信息隨著網(wǎng)絡(luò)技術(shù)在金融業(yè)廣泛應(yīng)用，個人金融信息的轉(zhuǎn)移與流動實際上已構(gòu)成了現(xiàn)目前，我國金融機構(gòu)主要包括經(jīng)國家金融管理部門批準(zhǔn)從事商業(yè)銀行、金融租賃公司、信托公司、證券公司、期貨公司、保險公司等，和從事金融活動的金融企業(yè)或其他組織，如私募基金管理公司、小貸/網(wǎng)貸公司、互聯(lián)網(wǎng)支付機構(gòu)、各類交易場所、商業(yè)保理公司等。這些主體都屬于廣泛意義上的金融機構(gòu)，都可能涉及個人金融信息合規(guī)問題。2020年2月13日中國人民銀行發(fā)布的《個人金融信息保護技術(shù)規(guī)范》給予個人金融信息明確的定義，即指金融業(yè)機構(gòu)通過提供金融產(chǎn)品和服務(wù)或其他渠道獲取、加工和保存的個人信息，包括不限于：2、個人財產(chǎn)信息（收入、動產(chǎn)不動產(chǎn)等）；3、個人賬戶信息（賬號、賬戶開立時間、開戶行等）；4、個人信用信息；6、衍生信息（反映特定個人金融信息主體某些情況的信息，如：消費習(xí)慣、投7、在與個人建立業(yè)務(wù)關(guān)系過程中獲取、保存的其他個人金融信息。（二）個人金融信息跨境傳輸常見場景通常情況下，金融個人信息跨境傳輸有以下幾種情形：■中國個人信息出境標(biāo)準(zhǔn)合同白皮書1、外資公司在中國的分公司需要向總公司報告客戶金融信息；2、跨國金融集團母國出于審計需求或稅務(wù)監(jiān)管、反洗錢等監(jiān)管需求，根據(jù)美國、歐盟、英國等司法、執(zhí)法部門的要求調(diào)取境外信息；3、跨境支付（如銀行卡跨境支付），若不提供客戶金融信息將無法進行結(jié)算；4、協(xié)議規(guī)定的常規(guī)數(shù)據(jù)傳輸，如歐盟與美國之間隱私盾協(xié)議；5、境內(nèi)銀行的客戶在境外使用信用卡付款，發(fā)卡行需要將客戶的個人信息傳輸?shù)絿庖则炞C信用卡；6、國際金融集團在內(nèi)部管理時也要進行個人金融信息轉(zhuǎn)移，如跨國銀行母行為符合母國監(jiān)管的規(guī)定開展日常管理活動，通常要求海外分支機構(gòu)定期報送相關(guān)業(yè)（圖片來源：深圳市地方金融監(jiān)督管理局）（三）個人金融信息跨境傳輸合規(guī)要點中國人民銀行2020年9月發(fā)布的《中國人民銀行金融消費者權(quán)益保護實施辦法》金融消費者或者其監(jiān)護人明示同意。中國個人信息出境標(biāo)準(zhǔn)合同白皮書如個人金融信息確需出境，根據(jù)中國人民銀行2020年2月發(fā)布的金融行業(yè)標(biāo)準(zhǔn)《個人金融信息保護技術(shù)規(guī)范》（JR/T0171-2020），我國個人金融信息出境需滿足“業(yè)務(wù)必須+客戶授權(quán)+境外關(guān)聯(lián)機構(gòu)+保密”四要件，即金融機構(gòu)（包括提供金融服務(wù)的其他金融類企業(yè)）在涉及個人金融信息跨境傳輸時可以參照完成以1、獲得個人金融信息主體明示同意；2、做好主體資質(zhì)合規(guī)與保密要求，金融機構(gòu)處理相關(guān)金融數(shù)據(jù)的前提是具備相3、可開展個人金融信息安全影響評估，檢驗個人金融信息處理活動的合法合規(guī)程度，以及評估境外機構(gòu)數(shù)據(jù)安全保護能力是否達到國家、行業(yè)有關(guān)部門與金融4、與境外機構(gòu)通過簽訂協(xié)議、現(xiàn)場核查等方式，明確并監(jiān)督境外機構(gòu)有效履行個人金融信息保密、數(shù)據(jù)刪除、案件協(xié)查等職責(zé)義務(wù)；5、采用數(shù)據(jù)加密、數(shù)據(jù)完整性校驗等方式，保證數(shù)據(jù)存儲過程中的保密性、完6、對通信雙方（包括機構(gòu)、接口、設(shè)備、系統(tǒng)等）進行身份驗證，并通過數(shù)字簽名等方式保證數(shù)據(jù)傳輸抗抵賴性；7、利用通道加密、數(shù)據(jù)加密、專線通道等機制保護數(shù)據(jù)傳輸過程的安全性；8、建立個人信息出境記錄并至少保存5年。（一）個人汽車信息出境概況隨著我國車企在全球進行業(yè)務(wù)布局，汽車數(shù)據(jù)處理者對掌握的個人信息跨境轉(zhuǎn)移括智能網(wǎng)聯(lián)汽車制造商、零部件和軟件供應(yīng)商、經(jīng)銷商、維修機構(gòu)以及出行服務(wù)企業(yè)等。上述主體只要在中國境內(nèi)開展汽車數(shù)據(jù)處理活動，均可能成為汽車數(shù)據(jù)信息出境標(biāo)準(zhǔn)合同白皮書（圖片來源：搜狐網(wǎng)）括可以直接識別自然人身份的車主姓名、身份證號、生物識別信息，也包括可以與其他信息結(jié)合識別自然人身份的車牌號、車輛行蹤軌跡和車輛識別碼（VIN份信息、生物信息、軌跡及位置信息等信息屬于個人敏感信息。（二）個人汽車信息跨境傳輸常見場景外直接訪問。個人汽車信息跨境傳輸?shù)膱鼍爸饕ǎ?、通過車載及手機APP收集用戶個人信息和敏感個人信息，而后向境外提供，2、通過車內(nèi)攝像頭收集的數(shù)據(jù)，如駕駛?cè)说囊粢曨l等數(shù)據(jù)，而后向境外提供，用于技術(shù)的研發(fā)、服務(wù)改進；3、通過車外攝像頭收集的數(shù)據(jù)：例如收集包含人臉信息、車牌信息等的車外視4、跨境執(zhí)法調(diào)查等。信息出境標(biāo)準(zhǔn)合同白皮書（三）個人汽車信息跨境傳輸合規(guī)建議信息等的車外視頻、圖像數(shù)據(jù)以及涉及個人信息主體超過10萬人的個人信息為重要數(shù)據(jù)。上述重要數(shù)據(jù)原則上應(yīng)在境內(nèi)存儲，因業(yè)務(wù)需要確需向境外提供的，應(yīng)當(dāng)通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的安全評估。在個人汽車數(shù)據(jù)跨境傳輸過程中，根據(jù)《車聯(lián)網(wǎng)信息服務(wù)用戶個人信息保護要求》（YD/t3746-2020）等的規(guī)定，境內(nèi)個人信息處理者應(yīng)參考執(zhí)行以下合規(guī)建議：1、實施嚴(yán)格的技術(shù)和管理措施，收集和轉(zhuǎn)移用戶個人信息時應(yīng)征得用戶同意；2、信息收集和轉(zhuǎn)移的傳輸過程應(yīng)采取必要的加密措施，保障數(shù)據(jù)的機密性和完3、確保車聯(lián)網(wǎng)用戶個人信息訪問控制安全，建立嚴(yán)格的用戶個人信息安全管理規(guī)范以及數(shù)據(jù)實時監(jiān)控機制；4、設(shè)置企業(yè)內(nèi)部的數(shù)據(jù)審批流程及制度，并對用戶個人信息的使用進行實時監(jiān)隨著全球醫(yī)學(xué)交流日益頻繁，醫(yī)療健康數(shù)據(jù)所面臨的跨境需求也愈加迫切。近年來，我國“互聯(lián)網(wǎng)+醫(yī)療健康”與醫(yī)療機構(gòu)信息化逐漸鋪開，國內(nèi)醫(yī)療機構(gòu)因此掌握了大量醫(yī)療健康個人信息。另外，我國《個人信息保護法》將“醫(yī)療健康”息、不良反應(yīng)報告信息、臨床試驗數(shù)據(jù)等，均會因其“醫(yī)療健康”屬性落入敏感個人信息的范疇。（一）個人醫(yī)療健康信息跨境傳輸法律規(guī)制在開展個人醫(yī)療健康信息出境工作時，境內(nèi)個人信息處理者既要關(guān)注行業(yè)規(guī)范的要求，也不能忽視網(wǎng)絡(luò)及數(shù)據(jù)安全監(jiān)管體系中的醫(yī)療數(shù)據(jù)屬性。個人醫(yī)療健康信息跨境傳輸主要有如下特殊規(guī)定：1、健康醫(yī)療大數(shù)據(jù)原則上應(yīng)當(dāng)存儲于境內(nèi)服務(wù)器，因業(yè)務(wù)需要確需向境外提供中國個人信息出境標(biāo)準(zhǔn)合同白皮書2、根據(jù)《人類遺傳資源管理條例》，人類遺傳資源信息是指利用人類遺傳資源材料產(chǎn)生的數(shù)據(jù)等信息資料。國家科技部于2023年5月26日發(fā)布的《人類遺傳資源管理條例實施細(xì)則》，向境外提供人類遺傳資源信息的，境內(nèi)信息所有者原則上應(yīng)當(dāng)向科技部事先報告并提交信息備份；如提供的人類遺傳資源信息可能影3、根據(jù)《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》（GB/T39725—2020）的有關(guān)規(guī)定，基于學(xué)術(shù)研討需要的健康醫(yī)療數(shù)據(jù)跨境傳輸需進行必要的去標(biāo)識化處理，經(jīng)數(shù)據(jù)安全委員會討論審批同意，且數(shù)量在250條以內(nèi)的非涉密非重要數(shù)據(jù)可以（二）個人醫(yī)療健康信息跨境傳輸常見場景1、醫(yī)藥研發(fā)當(dāng)前醫(yī)藥研發(fā)領(lǐng)域的一個常見模式是國際多中心臨床試驗（MRCT即在同一個方案下多地區(qū)進行臨床試驗，以便節(jié)約時間成本、避免臨床試驗的重復(fù)。這當(dāng)中存在多地區(qū)之間共享試驗結(jié)果，需要傳輸相關(guān)試驗數(shù)據(jù)。2、國際合作研究涉及的臨床試驗數(shù)據(jù)出境傳輸出境，或?qū)?shù)據(jù)向境外主體開放訪問權(quán)限，或其服務(wù)器和運維部署在境外，都可能構(gòu)成臨床試驗數(shù)據(jù)出境。3、跨境申報新藥臨床試驗審批（IND）和新藥注冊申請（NDA）如果我國藥企向美國申請新藥上市，需要向美國食品與藥品管理局（FDA）提出新藥臨床試驗審批申請（IND）和新藥注冊申請（NDA且申請者必須提供臨床研究的計劃書，這些文件中往往包含重要數(shù)據(jù)和個人敏感信息。4、基于科研目的向境外發(fā)布臨床試驗結(jié)果中國個人信息出境標(biāo)準(zhǔn)合同白皮書開展臨床試驗的研究機構(gòu)對于其研究發(fā)現(xiàn)可能會向境外機構(gòu)或刊物投稿發(fā)布研究成果，在投稿或?qū)徃宓冗^程中可能涉及相關(guān)臨床試驗數(shù)據(jù)向境外機構(gòu)提供的情5、患者個人信息出境：如出境就診或跨境會診。6、商業(yè)保險對接商業(yè)保險機構(gòu)通常會與醫(yī)療機構(gòu)建立連接，對就診主體的治療狀況與診療費用情況等信息進行流通對接，從而實現(xiàn)系統(tǒng)自動進行商業(yè)保險自動結(jié)算與賠付。7、脫敏數(shù)據(jù)二次利用公共衛(wèi)生部門、科研機構(gòu)與企業(yè)可能基于政府決策、科學(xué)研究統(tǒng)計等目的對健康醫(yī)療數(shù)據(jù)進行脫敏后開展分析、挖掘等處理活動。（一）跨境電商相關(guān)個人信息出境場景及法律規(guī)制全球大型跨境電商平臺阿里巴巴、亞馬遜等通過互聯(lián)網(wǎng)跨境傳輸和處理信息，構(gòu)建了跨境電商經(jīng)營者的世界用戶網(wǎng)絡(luò)，有助于降低交易成本、實現(xiàn)商業(yè)擴張?？梢哉f，跨境電商的發(fā)展必然伴生跨境數(shù)據(jù)的流動。信息出境標(biāo)準(zhǔn)合同白皮書在跨境電商活動全生命周期流程中，海關(guān)等政府部門、境內(nèi)外消費者、跨境電商企業(yè)、平臺企業(yè)、境內(nèi)服務(wù)商等主體在線上及線下場景深度交織，形成諸多主體之間的數(shù)據(jù)交互關(guān)系。消費者每一筆交易衍生的交易電子數(shù)據(jù)、支付、物流信息費者的聯(lián)系方式、地址等給到境外，就沒法交付快遞發(fā)貨。（二）跨境電商相關(guān)個人信息跨境傳輸合規(guī)要點《個人信息保護法》第58條增設(shè)了平臺企業(yè)保護個人信息的“守門人義務(wù)”，要求提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者，應(yīng)當(dāng)履行下列義務(wù)：1、按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系，成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督；2、遵循公開、公平、公正的原則，制定平臺規(guī)則，明確平臺內(nèi)產(chǎn)品或者服務(wù)提供者處理個人信息的規(guī)范和保護個人信息的義務(wù)；3、對嚴(yán)重違反法律、行政法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務(wù)提供者，4、定期發(fā)布個人信息保護社會責(zé)任報告，接受社會監(jiān)督。5、在目前統(tǒng)一的個人信息跨境保護立法模式下，須從合理清晰地界定個人信息的范圍、完善跨境數(shù)據(jù)流動規(guī)則、明確跨境電商經(jīng)營者的法律責(zé)任等方面對個人信息出境的規(guī)則加以梳理。五、航空航空業(yè)作為擁有巨大信息體量產(chǎn)業(yè)，其涉及的個人信息保護問題不容小覷。航空領(lǐng)域涉及個人信息跨境傳輸場景最多的主體應(yīng)屬民航企業(yè)。民航旅客個人信息因具有真實性、國家安全屬性等特征，其跨境傳輸合規(guī)安全要求應(yīng)受到格外重視。信息出境標(biāo)準(zhǔn)合同白皮書（圖片來源：新浪財經(jīng)）（一）個人航空信息跨境傳輸法律規(guī)制目前涉及個人信息保護的立法多集中于私法保護，但關(guān)系到跨境轉(zhuǎn)移則需關(guān)注國航空企業(yè)涉及向境外提供個人信息時，除需要履行《個人信息保護法》第39條規(guī)定的“告知+取得單獨同意”義務(wù)，如涉及向邊檢、海關(guān)等執(zhí)法機構(gòu)提供個人信息，還需額外遵循《個人信息保護法》第41條規(guī)定的額外義務(wù)，即我國遵守者不得向外國司法或者執(zhí)法機構(gòu)提供存儲于我國境內(nèi)的個人信息。（二）個人航空信息跨境傳輸常見場景因航空運輸天然具有的國際性，民航旅客個人信息的跨境傳輸在所難免。民航旅業(yè)、航空運輸銷售保障企業(yè)、機場地面服務(wù)部門以及旅客等多渠道之間存在錯綜復(fù)雜的信息流動。因此在出境航線上，售出客票的民航企業(yè)通常需要將旅客票務(wù)承運人；3、為境外地面服務(wù)提供支持的IT信息提供商；4、沿路的政府邊檢海1、機票銷售市場上的跨境電商模式，機票銷售平中被定義為“航空運輸