个人信息跨境提供的三种合规路径分析

本文转自涉外法律圈，其综合整理自CCIA数据安全工作委员会 ，作者谭峻楠，转载请获得授权，版权归原作者所有，侵删

一、概述

《个人信息保护法》第三十八条规定个人信息跨境提供的三种合规路径：“（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；”。三个文件情况如下：

二、申报流程是什么样的

三、总结

1、数据处理者首先要关注涉及的数据和个人信息跨境业务符合哪种适用条件，如果确实属于，是需要在“自评估”的基础上，选择三种合规路径：

  ▽《标准合同》和《认证规范》要开展个人信息保护影响评估，《认证规范》要求评估报告保存3年；

  ▽《评估办法》应开展数据出境风险自评估；

  ▽选择《标准合同》和《认证规范》之后，是采取签署有法律约束力和执行力的文件作为保障；

  ▽选择《评估办法》之后，是由国家网信部门对跨境数据进行评估。

2、合规路径只能选择《评估办法》，而不能选择《标准合同》的四种数据出境情况：

（一）数据处理者向境外提供重要数据；根据《网络数据安全管理条例（征求意见稿）》第七十三条的规定，“重要数据”是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据；

（二）关键信息基础设施运营者；根据《关键信息基础设施安全保护条例》第二条的规定，关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等；

（三）处理100万人以上个人信息的数据处理者向境外提供个人信息（一般以企业全体部门所处理的个人信息数量之和进行计算）；

（四）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。

3、《认证规范》在摘要中提出开展跨境处理活动的个人信息处理者申请个人信息保护认证应符合GB/T 35273《信息安全技术 个人信息安全规范》和本文件的要求，可以作为跨境数据业务的企业或组织的国家标准参考。

总之，数据处理者从事跨境数据活动应当按照国家数据跨境安全监管要求，建立健全相关技术和管理措施，明确数据接收方按合同履行数据安全保护义务，保证数据安全，数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证。个人信息跨境提供的三种合规路径为跨境数据安全治理提供了有力保障。