中国数据出境的合规路径

中国内地数据合规“基本法”

中国内地的《网络安全法》、《数据安全法》和《个人信息保护法》这三部法规被称为数据合规领域的“基本法”，规定了对数据出境的要求。

《个人信息保护法》直接明确了个人信息出境的三条基本合规路径，包括：

• 通过国家网信部门组织的安全评估，
• 经专业机构进行个人信息保护认证，或
• 按照国家网信部门制定的标准合同与境外接收方订立合同。

具体规范

另外，以下法规对这三条合规路径的适用条件和要求作出了进一步的具体规定：

• 《数据出境安全评估办法》、
• 《网络安全标准实践指南---个人信息跨境处理活动安全认证规范》（目前是2.0版本）、和
• 《个人信息出境标准合同办法》。

基本准则

• 达到相关适用条件时，按规定实施强制性安全评估；
• 未达到强制性安全评估的适用条件时，组织可根据自身具体情况选择适用个人信息保护认证或标准准合同备案。

强制性安全评估的适用情形

根据2022年9月1日起施行的《数据出境安全评估办法》，符合下列情形之一的数据出境活动应强制适用安全评估：

• 向境外提供重要数据；
• 关键信息基础设施运营者 (CIIO)；
• 处理100万人以上个人信息；
• 自上年1月1日起累计向境外提供10万人个人信息；
• 自上年1月1日起累计向境外提供1万人敏感个人信息；
• 国家网信部门规定的其他需要申报数据出境安全评估的情形。

2024年3月22日，国家互联网信息办公室公布和实施《促进和规范数据跨境流动规定》后，组织的数据出境的整体合规义务略有减轻。

• 当年累计提供10万人以上个人信息（但不足100万人）的，组织只需进行个人信息保护认证或标准合同备案。
• 以下情形下，数据处理者无需进行申报安全评估、进行个人信息保护认证和标准合同备案的监管流程。

• 当年累计提供不满10万人个人信息（不含敏感个人信息）的；
• 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供，不包含个人信息或者重要数据的；
• 数据过境；
• 为订立、履行个人作为一方当事人的合同，按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，紧急情况下为保护自然人的生命健康和财产安全等情况下确需个人信息出境；
• 自由贸易试验区内数据处理者向境外提供负面清单外的数据。

数据出境路径的选择

对于中国内地个人信息出境路径的选择，组织需要考虑以下因素：

• 是否适用于上述相关豁免。
• 是否属于关键信息基础设施运营者 (CIIO)。
  《关键信息基础设施安全保护条例》对关键信息基础设施 (CII) 作出了规定，主要包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域。根据此条例，CII由相应行业的主管或监督管理部门进行认定并通知运营者。
• 出境数据是否属于重要数据。
  根据《数据出境安全评估办法》规定，重要数据是指“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。”　数据处理者需要根据相关地区和部门的政策指引来判断出境数据是否属于重要数据。
• 出境数据的数量级及相应的监管要求。
• 组织的体系和数据出境情况。
  个人信息保护认证偏重于对有比较完善的数据合规管理体系的组织，而标准合同备案适用于个别少量的个人信息跨境活动。
• 个别地区，例如大湾区或自贸区，可能发布的一些简化或创新政策。

数据处理者的义务

不管选取哪种出境路径或是否适用某些监管豁免，数据处理相关组织都有尽责实施个人信息数据的义务。尽责的体现可以包括个人信息管理体系的实施和认证、私隐影响分析 (PIA)、储存个人信息的IT系统的定期渗透测试等。

DQS的相关服务：

• DQS 提供 ISO 27701 私隐信息管理体系认证服务
• DQS HK 提供渗透测试服务
• DQS HK 提供私隱影響評估 (PIA)服務

注：

以上信息只作为策划管理体系时的参考，DQS不提供法律意见；
跟各地法规有关的事项，在你作出判断和决定前，请咨询律师的意见。