数据出境合规100问

《数据出境安全评估办法》与《个人信息出境标准合同规定

（征求意见稿）》

剖析与解读

本系列文章将分为以下四部分

第一部分：初阶--数据出境关键概念剖析

第二部分：进阶--《个人信息出境标准合同规定》高频问题与适用解读

第三部分：进阶--《数据出境安全评估办法》高频问题与适用解读

第四部分：高阶—数据出海实践关键问题与海外SCC要点对比

本篇是第一部分内容，主要就部分数据出境的关键概念进行梳理和解读。

第一部分：

从零读懂数据出境初阶--数据出境关键概念剖析

目前谈论最热的“数据出境”，其实早在2017年版的《个人信息和重要数据出境安全评估办法（征求意见稿）》已经给出过解析。数据出境，是指“网络运营者将在中国境内运营中收集和产生的个人信息与重要数据，提供给位于境外的机构、组织、个人”。

同时，本次《办法》的出台，更为我们进一步厘清了“数据出境活动”的明确定义，即包括两种情况：

第一种，是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。

第二种，是数据处理者收集和产生的数据存储在境内，但境外的机构、组织或者个人可以访问或者调用。

企业在判断公司业务行为是否属于“数据出境”的时候，需要注意以下内容：

我们常说的“出境”和“跨境”，不仅是指物理上跨越国境的行为，更是指从一个司法管辖区域到另一个司法管辖区域的行为，而其中司法管辖区域是既包括独立主权的国家，也包括具有司法独立主权的地区。

经常有客户咨询，中国大陆企业向香港、澳门、台湾地区传输数据，是否属于出境的行为。当我们对“境”有一个更准确的理解时，该问题便能轻松解决。

“境内运营”是一个经常出现在各个规定、办法、指南中的常见概念，也是我们研究“数据出境”行为的常见概念。根据《2017年信息安全技术 数据出境安全评估指南（征求意见稿）》中的规定，“境内运营（domestic operation）”是指，网络运营者在中华人民共和国境内开展业务，提供产品或服务的活动。

判断这个问题的关键，一是看出海企业选择使用哪些主体进行运营，二是看收集的数据是否涉及个人信息与重要数据，三是看是否涉及了收集境内的公民个人信息与重要数据。如果出海企业是选择使用境内主体进行运营，且境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务，但不涉及境内公民个人信息和重要数据的，则不视为境内运营。

在实务中，有很多看似不是数据出境，但实质上属于数据出境的“迷惑性”情况。判断这些问题的关键，主要看该业务场景是否落入“数据出境”的范围。

如前所述，出境的“境”是指跨越了司法管辖区域的边界，如果是向在我国境内，但不属于我国司法管辖的另一主体，或没有在我国境内注册的另一主体提供了数据，且该数据涉及个人信息和重要数据的，则仍然属于“数据出境”。

如前所述，关键是如何理解“境”， 就该问题，本次《办法》公布后，官方也做出了确定的回复，虽然数据没有传输、也没有存储至中国境外的地方，仍然存储在位于中国境内的服务器中，但实际上，该等数据可以被境外的机构、组织、个人直接或间接地访问、查看、调用的，仍然属于“数据出境”，但是如果是属于公开信息，仅通过正常公开网页进行访问等的情况除外。

同样是如何理解“境”的问题，即便是跨境集团内部的数据传输行为，由于数据是通过境内的网络运营者从境内转移至境外的，如果该等数据也是属于其在境内运营中收集和产生的个人信息和重要数据的，则仍然属于“数据出境”。

因此，在实务中，当涉及跨国集团常发的集团统一采购、人事管理、OA系统、财务管理、文档管理、供应商管理、远程运维等情况时，将可能经常发生企业内部数据流动，并向境外关联主体提供数据的情况，从而可能会落入“数据出境”的范畴，需要特别注意。

简而言之，排除了所有属于“数据出境”的情况，则属于不构成数据出境的情况。概括起来，主要有两种情况并不属于数据出境：

第一，没有进行任何加工和处理的“过境中转数据”，即该等数据只是经由我国境内中转，但没有经过任何的变动或加工处理，则不属于“数据出境”。

第二，即便进行了加工和处理的“过境中转数据”，但该等数据并非是在我国境内产生和收集的个人信息和重要数据，则不属于“数据出境”。

判断企业正在处理的数据是否属于“个人信息”，是开展各类数据合规事项最基本的前提，我国《个人信息保护法》就何谓“个人信息”给出了明确的定义，即，个人信息，是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

从法条内容可以判断，我国个人信息保护法对“个人信息”的定义是非常宽泛的，只要具有识别自然人相关信息的可能性即可被认定为“个人信息”，此外，本法条还进行了反向的规定，只有被真正匿名化处理过的信息，才不属于个人信息。可见，任何可能识别出特定自然人的各种各样的信息，都可能会被认为是“个人信息”。

在实务中，会经常出现有大量看似不是“个人信息”的业务数据，则在判断是否属于“个人信息”时候需要特别注意识别，在出现有可能识别到特定个人的情况下，建议倾向按“个人信息”的标准对待和处理。

同样，我国《个人信息保护法》，就何谓“敏感个人信息”也给出了具体的定义，敏感个人信息是指，一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

可见，“个人信息”包括了“敏感个人信息”，并且，法律严格要求了个人信息处理者，只有在具有特定的目的和充分的必要性，并且采取了严格保护措施的情形下，才可以处理敏感个人信息。

实务中企业想要判断其处理的信息是否涉及“敏感个人信息”时，可以结合该等信息对数据主体权益的影响程度、是否属于特殊类型数据、以及结合《信息安全技术-个人信息安全规范》的附录的举例表等进行综合判断。 

“重要数据”也是在各个规定、办法、指南中都曾经出现的概念，本次《办法》有对重要数据作出定义，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。定义中对重要数据的识别主要关注数据产生的影响力。

此外，在2022年1月发布的《信息安全技术 重要数据识别指南（征求意见稿）》中，为企业给出了如何识别出“重要数据”的具体指引，包括识别的基本原则、判断因素和描述格式。

还需特别注意的是，基于海量个人信息形成的统计数据、衍生数据也有可能属于重要数据。

数据出境安全评估是符合要求的企业需要向境外提供重要数据和个人信息时，由企业申报，国家网信部门进行安全性审核的过程。

数据安全评估最初在2017年我国《网络安全法》第三十七条出现，同年的《个人信息和重要数据出境安全评估办法（征求意见稿）》也沿用了此规则，此后，《数据安全法》、《个人信息保护法》以及《信息安全技术 数据出境安全评估指南》等相继在重要数据、数据出境中提出了安全评估的要求。

本次《办法》则是对数据出境安全评估进行了内容的细化。在本专题的后续部分将会对问题进行深化解读。

自评估是上述安全评估的前置程序，本次《办法》规定，企业在申报数据出境安全评估前，需要开展数据出境风险的自评估。在要求提交的申报安全评估材料中，自评估报告是提交的材料之一。

虽然自评估与个人信息影响保护评估一样都是由企业自主进行的，但是自评估的内容呈现会关系到后续国家网信部的安全评估结果，企业在进行自评估时可以关注配合后续安全评估的要求。本专题在第三部分也会详细解读自评估值得重点关注的内容事项。此外，许多企业困惑于“自评估”、“安全评估”以及“个人信息保护影响评估“的关系区别，在了解分别是何种程序，由谁负责进行后，本专题在二三部分也将会为大家继续做出详细对比分析。

第二部分(上篇）：

《个人信息出境标准合同规定》高频问题与适用解读

该问题的回应可以分成两个部分，一是确定适用场景，二是确定规定场景下的适用条件。

从适用场景上看，《个人信息保护法》第三十八条规定了我国个人信息处理者数据出境的四个路径，而双方订立标准合同约定权利义务是其中可选用的路径之一。

从适用条件上看，根据《规定》第四条规定：使用标准合同的企业（个人信息处理者）应当同时满足以下条件：

（一）非关键信息基础设施运营者；

（二）处理个人信息不满100万人的；

（三）自上年1月1日起累计向境外提供未达到10万人个人信息的；

（四）且自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。

故可知，以上四项条件是对通过签订标准合同进行数据出镜的个人信息处理者身份的限制，只有同时满足以上四项条件的个人信息处理者方可使用标准合同。

由上述问题可知，适用我国《标准合同》对企业自身情况有严格要求，前述4个需要同时满足的条件，已经将我国《个人信息保护法》以及《数据出境安全评估办法》中规定的必须向网信部门申请数据出境安全评估的情形都排除出去了。

即，可以通过签署中国版SCC而实现数据出境的适用主体需要是非关键信息基础设施运营者，且要求是处理个人信息人数或敏感信息数量较少的个人信息处理者，因此，在实务中多适用于用户量小，规模较小的企业主体。而大型公司或平台由于收集个人信息体量大，应用场景广泛，易于对个人信息主体的权利造成威胁，其选择签署《标准合同》作为数据出境路径的可能性一般较低。

值得注意的是，这并不代表申报了网信部门数据出境安全评估的情况就不需要签署《标准合同》了，而只是说明了企业不能单单靠通过签署《标准合同》的路径来实现数据出境，企业仍然需要在签署《标准合同》的基础上，进行网信部门数据出境安全评估的申报。

中国版SCC的适用前提是个人信息处理者依据我国《个人信息保护法》第三十八条第一款第（三）项，发生了与境外接收方订立合同而向我国境外提供个人信息的情况；同时，在现在公布的《标准合同》开篇处双方主体中的表述也是使用了“个人信息处理者”，可见，不论是《规定》本身，还是在《标准合同》的表述，都是使用了“个人信息处理者”，并没有对该个人信息处理者是否必须是在境内注册的企业进行要求，结合我国《个人信息保护法》的要求，只要是在个人信息处理活动中可以自主决定处理目的、处理方式的组织和个人都将会被认定为个人信息处理者。

判断这个问题，首先判分析境外主体直接收集境内自然人个人信息的情况，是否属于境内个人信息处理者向境外提供个人信息的情况。

从字面的意思来看，境内个人信息处理者向境外提供个人信息，是需要有一个在境内的个人信息处理者，该境内的主体向境外的主体（境外接收方）提供个人信息，此处会有一个境内向境外提供的过程。因此如果是境外主体收集了境内自然人的个人信息的情况的，并不属于境内个人信息处理者向境外提供个人信息的情况，即该情况不属于《个人信息保护法》第三十八条和《规定》意义上的“个人信息出境”行为。从这一点看，由于没有境内主体这个环节，因此难以适用签署《标准合同》的情形。

但需要注意的是，该情况下，如果该境外主体是以向境内自然人提供产品或提供服务为目的的，即当该境外主体落入了《个人信息保护法》第三条第二款的规定的，则该境外主体收集并处理境内自然人个人信息的行为仍然是属于“个人信息跨境处理活动”，可以参考《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》中的规定，由该境外主体在境内设置的专门机构或指定代表申请认证。

首先，《标准合同》第二条第二款规定，个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同，不得与标准合同冲突，该法条说明了《标准合同》的优先效力。

其次，虽然《规定》的征求意见稿已经发布，但此时《标准合同》的正式稿尚未正式生效，此时开展数据出境的企业双方签订的合同条款效力仍然继续保持原有效力。

最后，当《标准合同》正式生效后，《标准合同》签订前已经签定的数据处理相关合同与《标准合同》冲突的条款，以《标准合同》为准，其他不冲突的条款依然有效，不会当然导致原有的合同失效。

实务中常会出现数据出境的企业双方想要进行更细致的条款补充的情况，补充条款并不被《标准合同》所禁止，同时，也符合《规定》“自主缔约+备案管理”的目的精神，企业如果认为标准合同中已经规定的内容不足以满足双方的需要，可以通过《标准合同》附件2增加补充条款，但需要注意的是，企业增加的补充条款不能与标准合同条款本身相冲突，也不能通过增加补充条款来规避标准合同条款的实施，以及不能通过增加补充条款来限制和缩小数据主体本应享有的数据主体权利。

目前《规定》中尚未有确定重新签订的备案期限，但是对于符合条件的企业而言，签订《标准合同》及备案是企业开展数据出境活动的前提，且考虑到配合《规定》出境安全及保护个人信息权益的精神，为了降低企业风险，企业在得知已达到重签条件后，宜尽早进行重签。

除合同双方当事人即个人信息处理者与境外接收方外，《标准合同》还明确了保护第三方受益人权益的相关内容，这是需要注意的问题。根据《标准合同》的规定，企业需要向数据主体告知其与境外接收方通过标准合同约定数据主体为第三方受益人，如果数据主体没有在三十天内明确拒绝的，则可以依据标准合同享有第三方受益人的权利。

关于第三方受益人，该概念借鉴了欧盟《关于向第三国转移个人数据的标准合同条款》的内容，并首次在国内提出，《标准合同》中赋予个人信息主体相应的权利，即作为合同第三方受益人，有权向个人信息处理者、境外接收方任何一方主张并要求履行合同中规定的与个人信息主体权利相关的权利。同时还明确了个人信息主体在权利受到侵犯时，可以通过向监管机构提出投诉或根据管辖规则向相关法院提起诉讼的救济途径。

备案制度体现了我国《规定》的监管规则，是指符合条件的个人信息处理者与境外接收方应当自行订立标准合同，并通过在监管部门备案的方式进行数据出境活动。

与欧盟的规定不同的是，欧盟允许数据进出双方在不抵触数据主体基本权利及自由的前提下修订SCC并由各欧盟成员国的监管机构局进行批准，我国《规定》中提及的“自主缔约与备案管理相结合”的模式则未对是否允许双方修改标准合同条款进行说明。

在实务中不建议修改标准合同，但可以约定在附录二中进行补充，并且不能与标准合同条款相冲突。关于备案的方式以及频率则在下面的问题中进行说明。

依据《规定》第七条，企业有3点需要注意的：

首先是在备案的时间上，应当在标准合同生效之日起10个工作日内进行。

其次是在备案机关上，应向所在地省级网信部门备案。

最后，是在备案的材料上，企业需要提交2份材料，包括签署的《标准合同》以及《个人信息保护影响评估报告》。

请注意，备案并非是标准合同条款的生效要件。

《规定》第三条明确个人信息出境标准合同的使用规则是以“自主缔约与备案管理”相结合，企业不进行备案并不影响合同的效力，但是如果企业不完成备案，就会可能导致网信部门对企业进行责令改正、停止个人信息出境行为等情况，会对企业业务开展产生不良影响。因此，建议企业按要求进行备案。

“累计”的起算时间点并非《规定》生效之日，而是在《规定》生效时间点上一年1月1日起开始计算累计向境外提供的个人信息人数。可见，“累计提供”的个人信息数量应该按年度进行计算，且最长跨度为2年。

因此，企业应该每年度至少进行一次审查，审查企业向境外提供的个人信息涉及的总人数是否超过/即将超过临界值，如果超过，则通过签订《标准合同》进行数据出境可能已经不能满足现有规定了，便需要进行安全评估。有关出境安全评估的内容将会在本专题第三部分进行详细解读。

第二部分下篇：

《个人信息出境标准合同规定》高频问题与适用解读

本部分下篇将回答以下问题：

Q33.《规定》第四条中的100万、10万、1万是指人数还是个人信息的条数？

Q34.个人信息的信息数量计算单位是什么？

Q35.个人信息保护影响评估是否是《规定》中的必备要求？

Q36.个人信息保护影响评估中的主要评估内容是什么？

Q37.延伸-《规定》中要求的个人信息保护影响评估的难点是什么？

Q38.如何理解“境外接收方处理个人信息的活动是否达到本法规定的个人信息保护标准”？

Q39.如何在实务中确定境外接收方的政策法规变化是否影响了个人信息权益？

Q40.延伸-《标准合同》模板中，技术水平、技术措施、进到最大努力、足够保护，这些不够精准的表达如何理解？

Q41.未履行备案程序需要承担相应法律责任，但是若因备案标准不清晰，难以落实，该如何处理？

Q42.在满足何种情况下，境外接收方可以再向境外第三方提供所接收的个人信息？

Q43.境外接收方向境外第三方再次提供所接收的个人信息，是否需要再次签署《标准合同》？

Q44.企业在何种情况下可以解除《标准合同》，以及需要注意的问题包括哪些？

Q45.《标准合同》的违约救济途径包括哪些？

Q46.企业是否需要向个人信息主体提供《标准合同》副本文件？在提供时有什么注意事项？

Q47.数据出境场景中，除“单独同意”外，企业还需告知用户哪些内容？

Q48.企业违反《标准合同》规定的，对企业出境活动有什么影响？

本条中的3个数字均指的是人数，不是条数。举个极端的例子，从目前的规定来说，如果某企业的国内用户人数超过了100万，即便向境外接收方提供了一条个人信息，也需要按照《办法》的规定申报网信办安全评估。

《规定》中提及过“出境个人信息的数量”，并且出境个人信息的数量的变更将会触发重新签署《标准合同》的可能，因此，如何判断个人信息的“数量”非常重要，这一点也是笔者存疑并一直思考的地方。

实务中，一旦开启数据跨境传输的业务，境外接收方就会不断接收到来自境内的个人信息，如何在标准合同中确定出境个人信息的“数量”成为一个有待解决的问题。该“数量”是以条数、量级、范围计算不甚明确，以及企业在填写个人信息数量时是否可以填写具体的范围，而不是具体数字，仍然有待监管机关进一步明确。

这个问题的结论是肯定的，符合条件的企业如果想要选用签署标准合同的方式完成数据出境就必须要进行个人信息保护影响评估，我国依据《标准合同》开展出境活动采用的是自主缔约和备案管理相结合的方法，签订标准合同的个人信息处理者必需要进行备案，个人信息保护影响评估报告就是备案材料之一。

个人信息保护影响评估要求企业对境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响进行评估，此为评估的难点。

在《出境安全评估办法》中，该项评估是由网信部门进行的。境外政策的变化，是否会影响合同履行，影响的程度如何，实务中由企业判断存在一定难度。企业可能需要境外律师协助评估才能满足相应的评估要求。此外，为了方便企业评估活动，可以在与数据接收方签订的合同中，约定数据接收方有义务协助提供当地的法律政策文本、协助企业进行评估以及在政策变动时及时告知等。

总之，基于此评估要求，企业需要密切关注数据接收方所在国/地区的法律动态。

该问题的本质是要如何判断一个境外接收方整体上满足《标准合同》的要求，规定中对境外接收方的考虑主要包括三个方面：

第一是境外接收方的情况，包括技术、管理制度、应急处理能力等，需要确认境外接收方在技术以及制度上具有保护个人信息安全的能力；

第二是境外接收方与个人信息处理者的合同内容，确认双方与个人信息相关的责任要求符合规定标准；

第三是境外接收方所在的地区环境，主要考虑其所在的国家及地区的政策是否会影响个人信息权益。

王捷律师团队曾于2020年出具《全球数据合规观察报告》，里面有就不同国家与地区的数据保护法律环境情况进行介绍，以帮助企业客户更全面地了解目标国家与地区的数据保护动态。

这是实务中企业完成个人信息影响保护评估的难点，受限于跨地域、跨法域会产生信息差的客观原因，企业在进行个人信息保护影响评估时要毫无疏漏地分析境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响颇为困难，实务中要求企业需要更有意识的使用全球法律视角来判断问题，有数据出境业务的企业要对出境国家及地区的法律规定、政策变化保持敏感度。

王捷律师团队曾于2021年出具的《中国与海外多国/地区数据保护及企业合规要点对比报告》，里面有就部分主流出海国家与地区的数据保护法律要点进行分析与比对，以帮助企业客户更全面地掌握出境目标国家及地区的合规要点。

回应该问题需先判断《标准合同》确认的备案适用标准，再进一步分析备案标准是否存在需要考虑适用范围不清晰的部分。

首先，问题中提及的备案制度作为《规定》中的要求，当然是在企业开展数据出境活动中适用，数据出境的判断标准我们在第一部分的基础概念解答中已经有详细的解答，标准相对清晰。

其次，判断数据出境中企业在何种条件下可以适用《规定》并进行备案，《规定》内容中有详细要求，前文也有进行列举。

从现阶段规定的适用标准来看，还是比较明确的，基于规定，企业适用不清晰的情况应该很少出现，但仍值得进一步分析:

第一，何为非关键信息基础设施运营者，这个标准我们第一部分也完成了详细解读；

第二，若企业现阶段尚符合备案标准，但可能日后有不符合的风险如何处理，由于此时不符合备案条件的情形尚未发生，我们认为该阶段企业仍然可以选用《标准合同》的路径，但是一般该情况可以在个人信息影响保护评估中体现，如确有超过条件风险的，企业宜提前做好准备，例如考虑落入安全评估范围时的数据出境规则。

如果在部分业务场景中境外接收方确需将所接收的个人信息提供给境外第三方，在满足Q42中所列明的条件的同时，建议境内个人信息处理者在与境外数据接收方所签订的《标准合同》中以排他性列举的方式明确境内个人信息处理者所认可的境外第三方（即分处理者或次处理者）。

未经境内个人信息处理者同意，不得再向境外第三方提供个人信息，并要求境外数据接收方对第三方的过错承担连带责任。

综上所述，若存在境外接收方向境外第三方再次提供所接收的个人信息的情况，境内个人信息处理者可以直接在与境外接收方所签的《标准合同》中约定关于境外第三方的相关条款，比如在《标准合同》附录一的第（六）项中阐明境外接收方可能再向哪些第三方主体提供个人信息，避免重复签订《标准合同》或补充协议以及进行多次备案。

目前未见有规定强制要求企业需要主动向个人信息主体提供《标准合同》的副本文件，但考虑到这是企业的配合义务之一，因此仍然建议企业在签署《标准合同》后及时完成副本文件的准备，因为《标准合同》明确个人信息主体具有要求个人信息处理者提供其所签订的《标准合同》副本的权利，企业必须配合。在提供副本的过程中，企业可以着重考虑保密以及方便个人理解阅读的问题。

例如：

(1) 及时将《标准合同》进行适当处理，包括遮蔽机密信息（如有），避免商业秘密泄露；

(2) 提供便于个人信息主体理解合同的摘要内容；

(3) 在可行的情况下，提供《标准合同》副本公示入口或其他查看方式。

由于涉及数据的跨境传输，企业在进行数据出境时需符合《个人信息保护法》第三十九条规定的“单独同意”要求。此外，《标准合同》要求个人信息处理者与境外接收方依据《标准合同》附录一“个人信息出境说明” 所列约定开展与个人信息出境有关的活动，企业还需完成并向个人信息主体告知“个人信息出境说明”的相关情况，包括：

（1）传输的个人信息属于特定类别的个人信息主体，列出该特定类别的个人信息主体；

（2）传输的目的；

（3）传输个人信息的数量；

（4）出境个人信息类别；

（5）出境敏感个人信息类别；

（6）境外接收方传输的个人信息只向特定的接收方提供，列出该特定的接收方；

（7）传输的方式；

（8）出境后的存储时间；

（9）出境后的存储地点；

（10）其他事项。

风险承担是企业在开展数据出境活动之前必须要清楚考虑的问题，根据《标准合同》的内容来看，除承担违约责任或面临行政处罚外，省级以上网信部门有权要求个人信息处理者立即终止个人信息出境活动，由此可能会给企业产生较大损失，是企业在风险承担中需要考虑的事项。

第三部分上篇：

《数据出境安全评估办法》高频问题与适用解读

本部分上篇将回答以下问题：

Q49.本次《办法》相比先前的各个意见稿版本有何变化？与《网安法》、《个保法》、《数安法》中关于跨境安全评估的规定有何异同？

Q50.企业如何判断自身业务是否需要进行出境安全评估的申报？

Q51.延伸 一 如何理解“数据处理者向境外提供重要数据”以及具体情况可能包括哪些？

Q52.延伸 — 核心数据是否可以通过安全评估数据出境？

Q53.延伸 — 如何理解“CIIO和达量数据处理者向境外提供个人信息”以及具体情况可能包括哪些？

Q54.《关键信息基础设施确定指南（试行）》提及的100万访问人次和《办法》的人数一样吗？

Q55.《办法》中提及的100万“人”、10万“人”、1万“人”是否只计算具有中国国籍的公民？例如，收集境外来境内的游客是否应计算在内？

Q56.《办法》中关于100万数据出境的规定是否可以理解为就是《个人信息保护法》第四十条规定的境内储存达量标准？

Q57.延伸 — 如何理解“累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”，其具体情况可能包括哪些？

Q58.延伸 — 如何理解“网信部门规定的其他需要申报数据出境安全评估的情形”以及具体情况可能包括哪些？

Q59.小剧场：仔细研读《办法》后，为后续便利出境，A公司就累计起算规则日期的问题前来和律所探讨，A公司认为，《办法》是今年9月1号开始施行，今年的1月1号已经经过，是否可以理解为累计时间的起算点是从2022年1月1日、或2023年1月1日才开始起算？

Q60.延伸 — 规定关于100万人数的标准并没有上一年1月1号的限制条件，是否意味着只要历史到现在累计达到100万人，就得申报而不是采用滚动清零措施？

Q61.延伸 — 未达到《办法》要求进行安全评估的人数要求，但是处理个人信息的条数规模较大是否需要进行安全评估？

Q62.延伸 —  现阶段未达到申报要求但未来有达到要求可能的企业是否需要申报？

Q63.企业是否可以通过安排不同主体去承接数据的方式规避《办法》要求的数据出境安全评估？

但是，在实务中，企业还有很多既不是个人信息又不是重要数据的数据，且这些数据也会有大量出境的情况存在，若按照现有《办法》的条文来看，这类的数据，并不需要进行安全评估，或者签署标准合同，但仍然建议企业考虑通过完成风险自评估的方式来进行自我检测。

《办法》第十九条对重要数据进行了详细的定义，主要强调考虑数据产生的社会影响，该部分在本专题第一部分有进行讲解，进一步补充的是，《信息安全技术 重要数据识别指南》（以下简称《指南》）中除给出了重要数据的定义外，对危害国家安全、公共利益等各个领域重要数据的识别需要考虑的因素也作出了详细的列举，故企业可以通过对处理数据的领域进行判断以明确是否处理了重要数据。比如，地图软件中掌握的地图数据，城市车辆的行驶路线等。

需要注意的是，《指南》中规定重要数据不包括国家秘密和个人信息，但是基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据，其中“海量”的具体数字并未明确。在《汽车数据安全管理若干规定（试行）》中，其明确指出“涉及个人信息主体超过10万人的个人信息”属于重要数据。故在实务中，关于海量个人数据的具体化可能需要在不同行业领域进行分别规范。

从数据类型上看，《办法》只规定了重要数据、达量的敏感数据及个人数据出境需要进行安全评估，而并未列明核心数据可以通过安全评估完成出境，由此核心数据的数据出境规则值得进一步分析，根据《数据安全法》第二十一条规定：“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。”由此可以判断核心数据可能不能通过安全评估办法进行出境，一是因为核心数据其对国家、社会的重要性要比《办法》中规定的几种数据类型更高，二是《数据安全法》中已说明将会实行更严格的管理制度要求，至于这是否意味着核心数据不具有出境的可能性，或者核心数据出境需要适用何种规则，由于其需要更多维度要素的考量，可以在未来进一步观察。

关于关键基础设施运营者，《关键信息基础设施安全保护条例》（以下简称《条例》中给出了明确的定义。除此之外，《条例》第十条规定保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门，故企业应当注意是否接到主管部门的认定结果的通知，以判断自己是否属于关键基础设施运营者。关于CIIO的其他内容，在本系列文章第一部分做了更详细的阐释，如仍有疑问可以进行参照。

其次，关于处理100万人以上个人信息是对数据处理者处理个人信息的人数要求，同时，处理个人信息主体量达到100万，不管向境外传输多少，都已符合该条要求，需要进行申报。

实务中有企业注意到了《关键信息基础设施确定指南（试行）》（以下简称《指南》）中也提及到“100万”的衡量标准，并前来咨询《指南》的100万与《办法》的标准是否等同的问题.

实际是，虽然都是100万，但是衡量标准是不同的，根据《指南》的规定，“日均访问量超过100万人次的网站，或可能影响超过100万人工作、生活，或造成超过100万人个人信息泄露的网站可认定为关键信息基础设施。”注意，《指南》中提及的标准是100万“人次”，而《办法》则是100万“人数”，前者计算访问次数，后者计算主体数量，单个主体可能会访问多次网站，每次访问都会以人次作为计算。

该问题的核心在于确认我国保护的个人信息主体的涵盖范围，结论是，只要是我国境内的自然人的个人信息都受到保护，并不止于我国的公民。该范围可以在《个人信息保护法》第二条及第三条的内容中找到法律依据，只要是位于我国境内的自然人都将会落入《办法》计算中被判断的主体。如理解有误，欢迎拍砖指正。

首先，需要注意的是时间起算点为自上年1月1日起，由于本《办法》自2022年9月1日起施行，故在实务中应理解为自2021年1月1日起计算，此条与《规定》中关于签署《标准合同》的主体的时间要求衔接，如此规定避免了长时间的数据累计，可使数据量较小的数据处理者不必落入监管范围。

其次，10万人与1万人为实际累计向境外传输个人信息主体的人数，关于传输信息的计量单位（例如条数、容量等等）在本系列第二部分文章中也进行了讨论，这是一个在实务中较为模糊，需要进一步立法规定的问题。最后，关于敏感个人信息，在本系列文章第一部分进行了解释，故企业在实务中应当注意时间的起算要求以及收集个人信息的种类是否属于敏感个人信息。

该条为兜底条款，企业在实务中应当注意经营领域是否有相关行业法规规章对数据收集以及出境具有要求，而不仅局限于《网络安全法》《数据安全法》和《个人信息保护法》等整体性法律框架内。

结合现有法条的文义来看，我们理解，累计的起算时间点应当从2021年1月1日开始，除非有额外的规定说明，否则《办法》2022年9月1日生效后，就应该在生效的时间点开始遵循《办法》规定的起算点，即，2022年9月1日为生效时间点，自上一年1月1日开始累计计算。同时，若累计起算的时间点尚需等待2022年乃至2023年起算，那么《办法》提出的六个月的整改期，以及尽快完善出台我国数据出境的各项规则的效果也会大打折扣。

鉴于《办法》中关于100万、10万、1万均指的是人数要求，而非信息条数的要求。在此情况下，实务和业内基于此标准延伸出了一个疑问，若企业处理的人数未达标准，但是所持有的信息条数足够多，企业是不是就无需进行安全评估。

该问题的着眼内容不仅在于人数标准，而在于在该情形下企业是否需要进行安全评估，我们认为，该情形下，虽然企业确实达不到安全评估的人数要求，但是其持有的条数如果足够多，以至于对国家、经济、社会、公共健康等产生影响的，企业可能会因为其所处理的数据被认定为重要数据或属于法律规定的其他情况而达到进行安全评估的要求。

若数据类型为个人信息的，现阶段未达到申报要求的企业可以通过签订《标准合同》等其他途径进行数据出境，若数据非涉及个人信息且未达到《办法》要求的，无需进行安全评估申报。但是根据《办法》第十六条以及第十八条规定，违反本办法规定的，不仅面临被举报的风险，更有可能构成犯罪，依法追究刑事责任。

由于进行出境安全评估申报，需要开展自评估以及安全评估，提交申报书、自评估报告以及各项法律文件，且需要通过省级网信部门查验以及国家网信部门受理，整个申报过程需要大量时间成本，故建议企业应当根据现阶段经营状况进行及时预估，如果预测未来发展走势积极，应当尽早做好申报准备，以免因为不符合数据出境要求影响企业业务发展。

在《办法》实施后各企业包括业内都有曾进行类似场景的讨论，假设一个需要安全评估的企业主体把个人信息分散给不同的企业主体进行处理，且分散后每个主体都达不到安全评估的要求，此时企业是否就可以不用完成安全评估了。

从实务经验来看，判断该问题的核心在于分析处理数据的不同企业之间的关系如何，若企业与企业之间能够保持独立，人员、资金、管理制度等都能达到不混同、不融合、不共享的，我们可以认为，每一个处理数据企业都构成一个完全独立的主体，因此，若此时每一个企业主体处理数据的情形都未达到安全评估的要求标准，数据出境活动可以不进行安全评估。

但是随着对数据出境监管力度的加强，不排除之后监管部门会通过对不同企业主体进行详细审查，若通过判定企业之间的数据流转情况、数据融合情况、企业的具体经营状况（包括但不限于业务人员的对应的劳动合同关系，各企业主体是否独立承担责任，是否具有独立责任人等），以及向境外提供个人信息和重要数据的各企业之间的关系，最终判断出各企业主体之间是较难保持独立性，或实际为同一企业所控制的话，则仍然需要考虑依据《办法》要求的内容完成数据出境安全评估。

故目前来说，这种方式并不能当然就完全避免企业面临的被监管部门审查问责的风险。

第三部分中篇：

《数据出境安全评估办法》高频问题

与适用解读

本部分中篇将回答以下问题：

Q64.企业在进行数据出境安全评估时将需要经历哪些具体流程？

Q65.企业应该如何进行自评估报告，完成自评估的过程中需要重点关注哪些内容？

Q66.延伸—自评估报告和安全评估报告有什么区别？

Q67.《标准合同》的个人信息保护影响评估与《办法》规定的自评估有什么区别？

Q68.企业是否需要分开做个人信息保护影响评估以及自评估？

Q69.企业进行自评估以及个人信息保护影响评估的材料是否有可以共用的部分？

Q70.《办法》中提及的数据出境的法律文件具体有哪些要求？

Q71.延伸—《办法》中的法律文件和《标准合同》有什么区别？

Q72.延伸—在企业起草法律文件中的安全保障义务条款时，是否可以参考《标准合同》的内容？

个人信息保护影响评估主要适用数据类型为个人信息的情形，自评估则可能涉及到更多数据类型，由于个人信息保护影响评估以及自评估涉及的评估广度以及深度上的差异，对于不同类型的数据，企业都需要完成数据出境的，有可能存在分别进行个人信息保护影响评估以及自评估的情况。

承接上一问，由于个人信息保护影响评估以及自评估涉及的评估广度以及深度上的差异，企业可能需要分别进行个人信息保护影响评估以及自评估。但是，这并不意味着二者没有可以共用的部分。

相反，许多企业在进行两项评估的过程中实际上有许多调查的事项材料是重合的，比如涉及到个人信息相关的目的、类型、使用范围、境外接收者保障信息安全的技术和管理制度、境外的责任承担义务等，这也提醒企业，在进行各项评估时，相关的评估材料可以进行及时备份和保存，以提高企业经办数据出境流程的效率。

在对个人信息主体的保护方面，自评估涵盖了个人信息保护影响评估内容，可以合并进行评估。而对于涉及接收方所在国/地区的政策评估，则需要在个人信息保护影响评估中额外进行。

目前来看，《标准合同》的条款还是具有较高参考价值的，尤其在《办法》实施的初期，境内各企业对法律文件的条款内容可能尚缺乏充足的经验帮助判断，《标准合同》中关于个人信息处理者及境外接收者的权利义务、对个人信息的制度及技术保护要求、对出现侵害个人信息事件风险时的处置措施等内容都值得借鉴。由于进行安全评估的个人信息重要性更高，影响力更大，双方的安全保障义务条款可能会比《标准合同》更为严格。

第三部分下篇：

《数据出境安全评估办法》高频问题与适用解读

本部分下篇将回答以下问题：

Q73.安全评估结果的有效期持续多久？

Q74.有效期届满时企业何时需要进行重新评估？

Q75.企业在重新申报评估的过程中原评估结果有效期届满，数据出境活动效力为何？

Q76.符合安全评估要求的企业需要现在就着手准备安全评估吗？

Q77.若企业不进行安全评估需要承担何种法律责任？

Q78.现阶段不符合《办法》规定的，《办法》实施后还需要追究责任吗？

Q79.如果申报材料不符合规定或者对安全评估结果有异议的，企业如何进行补救？

Q80.通过安全评估后是否还有其他持续性的审查？

Q81.已经进行了网络安全审核评估的企业，还要做数据出境安全评估吗？

Q82.企业如何合规地进行数据出境活动？

安全评估活动并非是一劳永逸，《办法》规定评估结果的有效期为出具结果之日起二年，如果企业在评估结果有效期届满后仍计划继续开展数据出境活动的，应当在有效期届满前60个工作日前重新申报评估，即大约三个自然月。

从《办法》的时效要求来看，如果达到《办法》规定要求的企业，持续有数据出境相关业务的话，安全评估可能将会是企业未来频繁接触的流程。

需要注意的是，若想确保企业数据出境活动不受评估结果失效而终止，企业需要留够充分的申报时间，虽然流程中有规定申报材料流程的相关部门大概的处理时长，但目前《办法》要求最终出具评估结果的最长时间尚不明确，建议企业需要重新进行安全评估的，应当尽早着手准备。

既然目前并不确定评估结果出具的最长时间需要多久，那么尽管企业在60个工作日前完成重新申报，也有可能会出现原评估结果有效期届满，但是新评估结果也尚未出具的情形，严格按照《个人信息保护法》以及《办法》的规定来判断，有效的安全评估结果是符合要求的企业开展数据出境活动的前置条件，有效期届满后，企业继续进行数据出境活动的，可能会被因违反《办法》要求而被终止活动。

自《办法》发布后，近日许多企业都前来咨询该问题，未来一段时间内，很有可能是数据安全评估申报的高峰期。

首先，《办法》要求符合安全评估要求的企业坚持事前评估、风险自评估，并在申报安全评估时提交申报书、数据处理者与境外接收方拟订立的法律文件以及其他材料，这意味企业需要在申报前完成大量的准备工作；

其次，《办法》第二十条规定，《办法》自2022年9月1日起施行。《办法》施行前已经开展的数据出境活动，不符合《办法》规定的，应当自《办法》施行之日起6个月内完成整改，即已有数据出境业务的企业应在实施之日起6个月内整改，即最迟于2023年3月1日完成整改；

最后，《办法》规定，国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估，情况复杂或者需要补充、更正材料的，可以适当延长并告知数据处理者预计延长的时间，这意味目前监管部分对于数据出境安全评估审核的期限可能基于情况复杂、材料不足等原因延迟；

综上所述，我们建议符合安全评估要求的企业尽快开始着手准备安全评估，避免因提交材料、审核期限等问题导致无法在《办法》实施之日起6个月内整改。

企业数据出境现阶段不符合《办法》规定的，由于现阶段《办法》尚未实施，目前还不会受到处罚，但是《办法》也给企业预留了整改期，这说明，《办法》是考虑到了企业此时可能不合规的情况，并预留给企业调整时间的，因此，如企业在《办法》实施前已有部分数据出境情形，建议企业在《办法》施行之日起6个月内完成整改，否则可能面临违规风险。

与之前2021年征求意见稿的版本相比，《办法》完善了安全评估的救济流程，企业先把材料交给省级网信部门进行材料的完备性审查，当材料不齐全时，会退回数据处理者并告知补充材料，企业可在此时补充材料，并在此向省级网信部门重新提交申报材料；同时，若最终企业无法通过安全评估，数据处理者对国家网信部门的评估结果有异议的，还可以在收到评估结果15个工作日内向国家网信部门申请复评，需注意此复评结果为最终结果。

会的，我国数据出境安全坚持事件评估和持续监督相结合，也就是说国家网信部门可以主动对正在进行的各项企业数据出境活动进行监督，一旦发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的，应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的，应当按照要求整改，整改完成后重新申报评估。

从现有法律的规定与监管的角度来看，完成网络安全审核评估的企业，建议仍然需要根据企业实际情况以及现有规定进行数据出境安全评估。网络安全审查评估与数据出境安全评估在许多内容上都有明显差别，二者共同作为我国数据安全的法治框架的一部分，数据安全既包括数据出境场景，同时也包括境内活动场景。

企业马上需要做的内容是判断自身是否符合《办法》规定的需进行申报的要求，具体的事务事项可能受限篇幅无法完全展开，此处可以提供大致的思路，企业可以先对自己日常经营过程中处理的数据类型、规模、范围、业务流程进行一个确认归类，并梳理出企业内部的数据处理流程，以确保企业对其合规的判断足够精确。

其次，若符合《办法》要求的，由于《办法》规定了有限的整改期，且可能近段时间为申报的高峰期，可以尽早按照《办法》的要求完成申报材料的准备。

最后，企业除了考虑《办法》的要求外，本次解读第二部分《规定》的内容也需要关注，尤其《标准合同》中约定的各项权利义务及责任要求，可以成为企业日常数据出境活动中完成法律文件时的参考内容。当然，企业若想要安全合规的完成数据出境，只考虑出境规则是不够的，企业内部数据处理各项环节都可能会有违规的风险，精准的找到出血点，并对症下药，也是保证合规的关键。具体开展企业数据合规的相关事宜时，也非常欢迎企业与王捷律师团队进一步联系。

【附件】

数据出境评估2021年征求意见稿与2022年正式稿对比

向上滑动阅览

第四部分：

数据出海实践关键问题与海外SCCs

要点对比

本部分将回答以下问题：

Q83.什么是SCCs？

Q84.SCCs的适用主体和我国《标准合同》有什么区别？

Q85.SCCs有哪几种类型？每种类型的适用情形如何？

Q86.如何判断企业跨境传输活动是否需要签署SCCs？

Q87.符合SCCs签署条件的企业必须要签署SCCs吗?

Q88.跨国集团内部的数据传输行为，可以签署SCCs吗？

Q89.企业双方签订完SCCs后，若SCCs的条款与双方之前签订的合同相冲突，企业需要重新签订合同吗？

Q90.若欧盟用户可以访问中国境内企业提供的网站，并且企业收集了欧盟用户的个人信息，此种情况是否需要签署SCCs？

Q91.企业签署了SCCs，需要和中国一样到有关部门进行备案吗？

Q92.延伸—《标准合同》中的个人信息保护影响评估和欧盟SCCs的评估有何不同？

Q93.如果中国企业和位于欧盟境内的企业互相传输数据，双方是否需要同时签署中国标准合同以及签署欧盟SCCs？

Q94.我国《标准合同》如何应对欧盟SCCs体现的长臂管辖？

Q95.延伸—作为数据接收方且为数据控制者的中国企业如何应对欧盟相关机构的监管？

Q96.延伸—作为数据接收方且为数据处理者的中国企业如何应对欧盟相关机构的监管？

Q97.SCCs和《标准合同》的文本是否都可以删减更改？

Q98.欧盟SCCs与我国《标准合同》适用的管辖规则一样吗？

Q99.在使用SCCs完成跨境数据传输时，企业是否要考虑对第三方受益主体的保护？

Q100.SCCs在涉及向境外第三方传输数据时如何处理？

Q101.是否有可能在SCCs中添加其他条款，或将SCCs纳入更广泛的商业合同？

SCCs全称为Standard Contractual Clauses（标准合同条款）。现行SCCs是一组由欧盟委员会于2021年6月4日通过的标准合同条款，旨在保护离开了EEA的个人数据，确保个人数据在数据接收方得到GDPR规定的同等保护。

SCCs中包含2套，其中一套适用于数据控制者与数据处理者之间的数据委托处理活动（“委托处理SCCs”）；另一套则适用于向第三国传输个人数据的情形（“跨境传输SCCs”或“SCCs”）。

从 EEA 境内向 EEA 境外的数据接收方传输个人数据时，必须遵守 GDPR 及其针对个人数据国际传输制定的规则。跨境传输SCCs 是可用于合规的保障措施之一，也是相对高效且节省成本的保障措施之一 。跨境传输SCCs有助于统一跨境处理方法，从而确保继续遵守 GDPR 对数据跨境传输的要求，并有助于确保个人数据的自由流动。

两份文件中对于主体的划分是有较大差别的，在我国《标准合同》中对双方主体的划分方式主要为境内的个人信息处理者以及境外的数据接收方，而SCCs的主体划分则与我国不同，SCCs在境内及境外场景划分的基础之上，还基于数据跨境传输双方对数据的支配状态进行了角色区分，即数据控制者和数据处理者，二者区别在于，数据控制者决定数据处理的目的和方式，而数据处理者基于数据控制者的委托按照其指示进行数据处理活动。

如上个问题所述，企业依据对数据处理目的以及处理方式是否具有决定能力，可以区分为数据控制者（controller)和数据处理者(processor）2种角色。SCCs根据数据输出方以及数据接收方的不同角色定位分为4种类型（Module）。具体为：

第一种类型（Module One：c-c）适用于数据控制者向数据控制者的跨境传输；

第二种类型（Module Two:c-p）适用于数据控制者向数据处理者的跨境传输；

第三种类型（Module Three:p-p）适用于数据处理者向数据处理者的跨境传输；

第四种类型（Module Four:p-c）适用于数据处理者向数据控制者的跨境传输。

企业可以根据具体的业务场景，判断双方的角色，选择相应的类型（Module)进行签署。

根据欧洲委员会2022年5月发布的官方问答提供的内容，SCCs的条款是在自愿的基础上使用的，各企业并无义务必须签署SCCs，企业也可以选择自行制定一份符合GDPR要求的合同，但是由于SCCs提供了合规模板，出于节省成本和确保合规等原因的考虑，实际场景中，SCCs是许多符合签署条件的企业原意选择的路径。

该问题进一步有讨论价值的内容在于，相比之下，我国符合《规定》条件的企业是否必须要签署《标准合同》抑或是允许签署同等保护水平的合同完成数据出境，根据《个人信息保护法》第三十八条的内容，企业通过数据出境的四种路径是确定的，在提及标准合同的出境路径时，并未做额外允许签署同等水平协议的说明，同时《规定》中也未对该部分进行阐述，而考虑到一方面备案相比较于安全评估可能监管的力度会稍微放宽，另一方面若自行起草相关合同可能需要有更严格审核，在没有更进一步的官方解释的情况下，未来我国境内企业选择官方标准合同模版而非自行拟定合同是风险更低的选择。

可以。SCCs与具有约束力的公司规则BCRs不同， SCCs既可以适用于向境外第三方进行数据传输的场景，也可以适用于跨国集团内部的数据传输。实务中，有企业会咨询我们SCCs和BCRs哪种方式更推荐使用。

类似的问题其实我们在本专题第二部分探讨我国《标准合同》的问题时也讨论过，即若曾经签署的条款与生效后的《标准合同》条款冲突时如何处理，此情形下SCCs与《标准合同》的处理结论类似，从效力优先性上判断，SCCs第五条有说明，若SCCs的条款内容与双方存在的或未来订立的协议内容间存在冲突，应以SCCs条款为准。因此，在双方签署SCCs后，一般企业并非必须重新签订合同，后续的数据跨境传输活动可以SCCs的条款为准。

不需要。适用SCCs的前提是存在一个数据控制者（或处理者）向另一个数据处理者（或控制者）进行跨境数据传输，在该问题的场景下，则并不存在两个这样的数据传输主体，我们可以通过案例更好理解这个问题，比如欧盟用户A在中国境内公司B的网站中享受服务，填写用户信息，此时由于数据是由用户A自己直接上传给公司B的，而并非由两个数据控制者或处理者之间完成传输，此时无需签署SCCs。

与我国《规定》里体现的“自主缔约+备案管理”相结合不同，欧盟SCCs无需备案，企业签署SCCs之后，即可将数据依据合同约定的方式进行跨境传输。但是，虽然没有备案的要求，依据SCCs第14条的规定，数据输出方可能也需要对传输的具体情况进行评估。

我们先了解SCCs评估的背景，在Schrems II 案后，欧盟更加强调了当使用SCCs作为数据跨境传输工具时对数据接收方的评估，一旦评估的过程中发现传输行为可能出现有悖欧盟规定的最低限度保障措施要求，则可能需要考虑停止数据传输或者采取适当补救措施。而根据SCCs第14条（b）的规定，评估需要考虑的内容，包括处理链条的长度、涉及的信息数量和使用的传输渠道；预期的再传输；接收者的类型；处理的目的；传输的个人数据的类别和格式；发生传输的经济领域；传输数据的存储位置；目的地第三国与传输的具体情况相关的法律和惯例；为补充本条款下的保障措施而制定的任何相关的合同、技术或组织保障措施，包括在传输过程中采取的措施以及在目的地国家处理个人数据的措施。

完成对SCCs的简单介绍后，结合我们本专题第二部分已经提及的个人信息影响保护内容，我们会发现，两个评估间有许多相似的特点，比如，需要考虑数据的类型、方式；对境外接收主体个人信息保护能力的考察；境外接收方所在地区，国家的法律政策影响等，评估的核心目的都在于确保数据安全能够符合文本制定国/区域的要求。

同时，两个评估间当然也有差异性的部分，比如程序上，我国的评估是数据出境的必须要求，而SCCs中的评估并非出境活动所必须，侧重点上，《标准合同》的评估内容会更全面，除了与SCCs一样关注境外风险以外，对境内主体的考量也是评估的重点之一。

我们的建议是在符合各自的适用前提的条件下，中国标准合同以及欧盟SCCs均要签署。《标准合同》以及SCCs规定的适用，都是境内输出方向境外接收方进行数据传输的情况。在问题提及的双向传输的场景内，可以理解为，在国内企业数据传输向欧盟企业时受《标准合同》调整；在欧盟企业向国内企业进行数据传输时受SCCs调整。

同时，从数据保护目的上看，为了确保数据在第三国能够得到和在境内同等的保护水平，企业分别签署可以分别就中国数据出境以及欧盟数据出境事宜进行约束。可以确保中国数据在欧盟能得到充分保护，以及欧盟数据在中国能够得到GDPR规定的同等保护水平。

判断该问题的重点在于关注我国对境内企业数据出境的保护。在欧盟GDPR的框架下，企业主体间若通过SCCs完成数据出境，要求企业必须配合欧盟监管部门各项安全性调查，面对欧盟SCCs的监管要求，我国《标准合同》也做出了相似的回应，同样也要求境外接收方接受并配合我国监管机构采取的各项安全性措施，从制度设计上分析，我国《标准合同》在监管内容上的回应能够很好的保护了我国境内企业及个人信息主体的利益。

结合我们过去积累的实务来看，要妥善应对数据出境目的国的监管是一个复杂的实践课题，一方面需要对企业内部、合作方、数据本身等各维度进行颗粒度足够细的详尽调查研究，另一方面也还需要各方人员的深度配合，才能形成契合每个企业自身情况的定制化建议，因此，我们就该问题部分先提供一个大致的方向，依据SCCs第13（b）条的约定，作为数据接收方的企业有责任服从欧盟相关监管机关的管辖，回应其询问，接受审计。因此，企业应保留在约定职责范围内进行处理活动的适当文件，按照欧盟监管机构的要求提供此类证明文件。

如想了解更详细的定制化应对策略，也欢迎联系我们。

同样，如上问题所述，此部分我们先提供一个大致的应对方向，企业应该保存有关代表数据输出方进行数据处理活动的文件，以及能够证明企业遵守了SCCs条款下约定的义务（包括但不限于采取了技术和组织措施等）的文件。如果企业收到欧盟监管机构的要求，可以提供上述材料用于证明。除此之外，企业在日常经营活动中，也需要配合数据控制者的审计活动以及回应来自监管机构的问询。

综上，不管企业是作为控制者或者是处理者，其对处理活动的记录文件十分必要，可以用于证明企业遵守了SCCs约定的条款义务、回应可能来自监管机构的审查。

在涉及合同双方当事人权利义务，第三人权利，责任承担等合同的核心内容时，无论是SCC还是《标准合同》都不可以删减更改，我国《标准合同》各项内容由国家网信部门官方制定，对双方主体以及受益第三人的各项事项都做出了符合我国对数据出境安全要求以及实现数据出境安全目的的条款规定，因此，我国《标准合同》除非有特别说明，一般不得删减更改，当然，《标准合同》中个人信息处理者和境外接收方允许自由磋商的部分有可以调整的空间，双方可以在谈判过程中酌情调整，如附件一的个人信息出境说明及附件二的约定其他条款的部分等。

同样，根据2022年5月欧盟委员会的官方问答。SCCs的文本不得更改，除非（1）为了选择模块或文本中提供的选项；（2）为完成文本必要的，例如指明主管法院和监督机构，并制定时间段；（3）为填写附件；（4）为添加额外的保护措施，以提高数据的保护水平。但这些改变并不能视为改变了核心的文本内容。

无论是SCCs或是我国的《标准合同》，在企业双方就合同各事项发生争议纠纷时，原则上都倾向于由本国或本地区的司法机关进行处理，我国《标准合同》第九条第（五）项中就提及个人信息处理者及境外接收方可以选择就争议事项寻求指定仲裁机构提起仲裁或向国内有管辖权的人民法院提起诉讼。

 SCCs体现的管辖内容基本与《标准合同》的约定一致，但需要注意的是，在p-c的类型（Module 4）下，SCCs允许数据传输双方约定欧盟境外的法院进行争议的解决。

SCCs的四个模块中都有较大的篇幅用以规定跨境传输双方如何保护第三方受益主体利益的内容，包括如确认双方责任承担，充分考虑境外接收方国家及地区的法律政策，规定第三方受益主体有权要求企业提供合同副本，以及规定第三方受益主体的救济方法等，这部分内容为我国《标准合同》的规定内容提供了很高的借鉴价值，从内容上比较，两份文件在第三方受益主体的保护上比较相似，也进一步体现了我国对保护个人信息保护主体权益的重视程度。因此，无论是何种场景，企业对个人信息保护的合规性都是数据出境活动中需要着重考虑的部分。

在SCCs合同签订后，如果有第三方想加入，可以根据SCCs第7条（docking clause）的约定，在合同缔约方同意后，以数据输出方或数据接收方的身份填写附录并签署的方式加入，加入之后该第三方就享有SCCs合同约定的权利以及需要承担相应的义务。这与我国《标准合同》的规定存在差别，《标准合同》要求数据出境后再传输到第三方主体的，需要境外接收方与第三方重新达成对个人信息保护程度不低于我国法律规定标准的书面协议。

如果合同缔约双方有其他事项需要在合同中约定，只要该合同条款不损害数据主体的权利，同时也不直接或间接地与SCCs合同正文规定的内容冲突，合同缔约双方可以在SCCs中增添额外条款。

除此之外，如若合同缔约双方欲将SCCs置于缔约方之间的其他商业合同之中，也需要满足以上要求，即不损害数据主体的权利，同时也不直接或间接地与SCCs合同正文规定的内容冲突。合同双方应当根据约定的管辖地域的法律要求，应签署并遵守SCCs，并将其纳入他们的其他合同中。

关于将SCCs合同纳入商业合同中，举例如下：SCCs国际数据传输第12（a）条规定了缔约双方的责任，其要求合同双方不得在商业合同（其中包括了SCCs的合同）中制定一般免责条款，因为这将与SCCs的本条款相冲突。故在不违反SCCs正文内容的前提下，可以将其以附件等形式纳入缔约方之间的商业合同中。

WISS 2023 第四届世界物联网安全及数据安全治理峰会火热报名中 , 欢迎报名↓

来源：等级保护测评

更多文章

智能网联汽车信息安全综述

软件如何「吞噬」汽车？

汽车信息安全 TARA 分析方法实例简介

汽车FOTA信息安全规范及方法研究

联合国WP.29车辆网络安全法规正式发布

滴滴下架，我却看到数据安全的曙光

从特斯拉被约谈到车辆远程升级（OTA）技术的合规

如何通过CAN破解汽

会员权益: (点击可进入)谈思实验室VIP会员

END

微信入群

谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术，为汽车行业提供最优质的学习交流服务，并依托强大的产业及专家资源，致力于打造汽车产业一流高效的商务平台。

每年谈思实验室举办数十场线上线下品牌活动，拥有数十个智能汽车创新技术的精品专题社群，覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家，已经服务上万名智能汽车行业上下游产业链从业者。专属社群有：信息安全、功能安全、自动驾驶、TARA、渗透测试、SOTIF、WP.29、以太网、物联网安全等，现专题社群仍然开放，入满即止。

扫描二维码添加微信，根据提示，可以进入有意向的专题交流群，享受最新资讯及与业内专家互动机会。

谈思实验室，为汽车科技赋能，推动产业创新发展！