【从零读懂】数据出境合规实务100问（文末领取完整版）｜iLaw

随着《个人信息出境标准合同规定（征求意见稿）》（以下简称《标准合同》）、《数据出境安全评估办法》（以下简称《办法》）的相继公布，由《个人信息保护法》第三十八条确定的数据出境选用路径的实践脉络已经越发清晰，可以判断，数据出境合规是企业数据出海必须面对的课题。

我们一直专注于网络法实务，特别是数据合规实务工作，在日常为各大企业提供合规服务的过程中，亦遇到各类新型的值得探讨的问题。

为了方便实务，让数据出境需求者能够尽快的熟悉，理解我国关于数据出境的各项法律要求与规定，我们计划以《标准合同》及《办法》作为基础，对我国数据出境有关的法律问题进行一个全方位的解读，一方面对数据出境相关的法律法规进行分析，另一方面也就日常工作中遇到的高频出境问题进行总结，形成「数据出境合规实务100 问」专题。

因篇幅原因，我们把100个问题呈现在文章正文中，也便于大家先行思考，对于每个问题的分析和答复，我们汇总成PDF文件放置文末，供大家下载阅读。

第一部分：初阶--数据出境关键概念剖析

第二部分：进阶--《个人信息出境标准合同规定》高频问题与适用解读

第三部分：进阶--《数据出境安全评估办法》高频问题与适用解读

第四部分：高阶--数据出海实践关键问题与海外 SCC 要点对比

很多看似非常难解答和处理的问题，并非问题本身，更多是基础概念没有真正理解到位。

在日常为各大企业提供数据合规法律服务的过程中，我们经常遇到各项要素交织在一起的复杂情况，解决问题的关键之一，是对基础概念进行准确理解，并识别出待解决问题的真正核心。

下面主要就部分数据出境的关键概念进行梳理和解读。

第一部分内容主要就部分数据出境的关键概念进行梳理和解读：

Q1.如何判断公司业务行为与场景是否属于数据出境？

Q2.如何理解数据出境的「境」？

Q3. 如何准确识别企业行为是否涉及「境内运营」？

Q4.延伸—外资企业高频问题之一：没有在中国境内注册，但是在境内开展业务，或向境内提供产品或服务的，是否属于境内运营？

Q5. 延伸—出海企业高频问题之二：出海企业运营的App仅向境外提供服务，不涉及收集境内的数据，是否属于境内运营？

Q6. 外资企业高频问题之三：境内主体向另一个位于境内的外资企业的办事处传输数据，是否属于「数据出境」？

Q7.外资企业高频问题之四：数据没有传输也没有存储到中国境外的任何地方，但外资企业在境外的主体可以访问、查看到这些数据，是否属于「数据出境」？

Q8.外资企业高频问题之五：跨国集团内部的数据传输行为，是否属于「数据出境」？

Q9.如何识别哪些情况不构成数据出境？

Q10.如何判断业务场景是否涉及处理了「个人信息」？

Q11.如何判断业务场景是否涉及处理了「敏感个人信息」？

Q12. 如何判断企业是否涉及处理了「重要数据」？

Q13. 如何判断企业是否属于「关键信息基础设施运营者（CIIO）」？

Q14.何谓「个人信息保护影响评估」？

Q15. 何谓「数据出境安全评估」？

Q16. 何谓「数据出境风险自评估」？

本次《规定》的发布一共包括两个部分。

第一部分为个人信息出境的标准合同法律规定，阐明了《规定》附件中的合同模板（以下简称《标准合同》或中国版SCC）的适用范围，适用要求，责任承担等基本问题。

第二部分为国家网信办制定的《标准合同》，共包括 9 项合同条款，涉及个人信息处理者与境外接收方的权利义务以及第三方受益主体的权利及救济内容。

《标准合同》中包含两份附录，供出境双方填写个人信息出境说明以及补充条款。

本部分将会总结《规定》中在业内以及企业实务方面常见的关注点以及困惑的内容并进行整理及解答。

本部分上篇将回答以下问题：

Q17.如何准确理解何谓「标准合同条款」？

Q18.企业如何识别是否落入我国《规定》的适用范围？

Q19.什么类型的企业可能符合签署《标准合同》的情形？

Q20.通过「申报网信部门安全评估」路径而实现数据出境的企业，是否还需要签署《标准合同》？

Q21.发起《标准合同》签署的个人信息处理者是否必须是中国境内的注册企业？

Q22.如果是境外主体直接收集了境内个人信息的情况下，是否需要签署《标准合同》？

Q23.《标准合同》签订前已经签定的数据处理相关合同的效力如何？

Q24.企业何种情形下需要签订补充条款？

Q25.企业何种情形下需要重新签订《标准合同》？

Q26.延伸问题—如果出现需重新签订《标准合同》的情形，企业需要在多长时间内进行重新签订以及备案？

Q27.如何理解境内个人信息处理者与境外接收方在《标准合同》中承担的责任与义务？在多长时间内进行重新签订以及备案？

Q28.如何理解《标准合同》中的第三方受益人？

Q29.如何理解「自主缔约与备案管理相结合」？

Q30.进行《标准合同》备案时需要注意哪些事项？

Q31.《标准合同》的备案是否是《标准合同》的生效要件？

Q32.「累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息」的起算时间是什么？

本部分下篇将回答以下问题：

Q33.《规定》第四条中的 100 万、 10 万、 1 万是指人数还是个人信息的条数？

Q34.个人信息的信息数量计算单位是什么？

Q35.个人信息保护影响评估是否是《规定》中的必备要求？

Q36.个人信息保护影响评估中的主要评估内容是什么？

Q37.延伸-《规定》中要求的个人信息保护影响评估的难点是什么？

Q38.如何理解「境外接收方处理个人信息的活动是否达到本法规定的个人信息保护标准」？

Q39.如何在实务中确定境外接收方的政策法规变化是否影响了个人信息权益？

Q40.延伸-《标准合同》中，技术水平、技术措施、进到最大努力、足够保护，这些不够精准的表达如何理解？

Q41.未履行备案程序需要承担相应法律责任，但是若因备案标准不清晰，难以落实，该如何处理？

Q42.在满足何种情况下，境外接收方可以再向境外第三方提供所接收的个人信息？

Q43.境外接收方向境外第三方再次提供所接收的个人信息，是否需要再次签署《标准合同》？

Q44.企业在何种情况下可以解除《标准合同》，以及需要注意的问题包括哪些？

Q45.《标准合同》的违约救济途径包括哪些？

Q46.企业是否需要向个人信息主体提供《标准合同》副本文件？在提供时有什么注意事项？

Q47.数据出境场景中，除「单独同意」外，企业还需告知用户哪些内容？

Q48.企业违反《标准合同》规定的，对企业出境活动有什么影响？

《办法》的发布促进了我国维护数据安全及保护数据利益的制度设计到实践操作的良性衔接，本次《办法》共包括二十条，对安全评估的目的，适用范围，评估程序，评估内容，评估效果等各进行了全面规定。

《办法》实施后，符合要求的企业最好在规定的期限内尽快配合完成评估，尽早熟悉、准备安全评估的相关事项及流程，以避免因违反《办法》规定而导致企业的数据出境活动受到影响。本专题的第三部分，将汇总《办法》的高频问题以及适用难点，结合团队多年的数据出境业务经验，为大家带来详细解读。

本部分上篇将回答以下问题：

Q49.本次《办法》相比先前的各个意见稿版本有何变化？与《网安法》、《个保法》、《数安法》中关于跨境安全评估的规定有何异同？

Q50.企业如何判断自身业务是否需要进行出境安全评估的申报？

Q51.延伸一如何理解「数据处理者向境外提供重要数据」以及具体情况可能包括哪些？

Q52.延伸—核心数据是否可以通过安全评估数据出境？

Q53.延伸—如何理解「 CIIO 和达量数据处理者向境外提供个人信息」以及具体情况可能包括哪些？

Q54.《关键信息基础设施确定指南（试行）》提及的 100 万访问人次和《办法》的人数一样吗？

Q55.《办法》中提及的 100 万「人」、 10 万「人」、 1 万「人」是否只计算具有中国国籍的公民？例如，收集境外来境内的游客是否应计算在内？

Q56.《办法》中关于 100 万数据出境的规定是否可以理解为就是《个人信息保护法》第四十条规定的境内储存达量标准？

Q57.延伸—如何理解「累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息」，其具体情况可能包括哪些？

Q58.延伸—如何理解「网信部门规定的其他需要申报数据出境安全评估的情形」以及具体情况可能包括哪些？

Q59.小剧场—仔细研读《办法》后，为后续便利出境，A 公司就累计起算规则日期的问题前来和律所探讨，A 公司认为，《办法》是今年9月1号开始施行，今年的1月1号已经经过，是否可以理解为累计时间的起算点是从2022年1月1日、或2023年1月1日才开始起算？

Q60.延伸—规定关于 100 万人数的标准并没有上一年1月1号的限制条件，是否意味着只要历史到现在累计达到 100 万人，就得申报而不是采用滚动清零措施？

Q61.延伸—未达到《办法》要求进行安全评估的人数要求，但是处理个人信息的条数规模较大是否需要进行安全评估？

Q62.延伸—现阶段未达到申报要求但未来有达到要求可能的企业是否需要申报？

Q63.企业是否可以通过安排不同主体去承接数据的方式规避《办法》要求的数据出境安全评估？

本部分中篇将回答以下问题：

Q64.企业在进行数据出境安全评估时将需要经历哪些具体流程？

Q65.企业应该如何进行自评估报告，完成自评估的过程中需要重点关注哪些内容？

Q66.延伸—自评估报告和安全评估报告有什么区别？

Q67.《标准合同》的个人信息保护影响评估与《办法》规定的自评估有什么区别？

Q68.企业是否需要分开做个人信息保护影响评估以及自评估？

Q69.企业进行自评估以及个人信息保护影响评估的材料是否有可以共用的部分？

Q70.《办法》中提及的数据出境的法律文件具体有哪些要求？

Q71.延伸—《办法》中的法律文件和《标准合同》有什么区别？

Q72.延伸—在企业起草法律文件中的安全保障义务条款时，是否可以参考《标准合同》的内容？

本部分下篇将回答以下问题：

Q73.安全评估结果的有效期持续多久？

Q74.有效期届满时企业何时需要进行重新评估？

Q75.企业在重新申报评估的过程中原评估结果有效期届满，数据出境活动效力为何？

Q76.符合安全评估要求的企业需要现在就着手准备安全评估吗？

Q77.若企业不进行安全评估需要承担何种法律责任？

Q78.现阶段不符合《办法》规定的，《办法》实施后还需要追究责任吗？

Q79.如果申报材料不符合规定或者对安全评估结果有异议的，企业如何进行补救？

Q80.通过安全评估后是否还有其他持续性的审查？

Q81.已经进行了网络安全审核评估的企业，还要做数据出境安全评估吗？

Q82.企业如何合规地进行数据出境活动？

数据出海实践关键问题与海外 SCCs 要点对比

在专题的前三部分，我们已经基本完成了对近期境内数据出境相关的重要法律内容进行了解读，除对国内的相关规定进行详细的研究以外，实务及业内同时也关注欧盟与我国境内数据出境规定的比较，由于本专题主要围绕《办法》及《规定》的内容展开，我们拟在第四部分也针对欧盟地区与之相对应的部分进行分析比较，而在欧盟地区并无国家安全评估的相关要求，因此，我们将会对欧盟SCCs与国内的规定进行比对。

欧盟委员会于2021年6月4日以发布（EU）2021/91号执行决定的方式提供的标准合同条款最新版本（ Standard Contractual Clauses ，下称「 SCCs 」）。此最新版本的 SCCs 总共分为 4 个部分,主要规定了个人信息数据跨境传输过程中数据输出方与数据接收方与数据保护相关的权利义务、数据主体的利益保护、向第三国传输的相关事项以及法律适用等方面的内容。

本部分将回答以下问题：

Q83.什么是 SCCs ？

Q84. SCCs 的适用主体和我国《标准合同》有什么区别？

Q85. SCCs 有哪几种类型？每种类型的适用情形如何？

Q86.如何判断企业跨境传输活动是否需要签署 SCCs ？

Q87.符合 SCCs 签署条件的企业必须要签署 SCCs 吗?

Q88.跨国集团内部的数据传输行为，可以签署 SCCs 吗？

Q89.企业双方签订完 SCCs 后，若 SCCs 的条款与双方之前签订的合同相冲突，企业需要重新签订合同吗？

Q90.若欧盟用户可以访问中国境内企业提供的网站，并且企业收集了欧盟用户的个人信息，此种情况是否需要签署 SCCs ？

Q91.企业签署了 SCCs ，需要和中国一样到有关部门进行备案吗？

Q92.延伸—《标准合同》中的个人信息保护影响评估和欧盟 SCCs 的评估有何不同？

Q93.如果中国企业和位于欧盟境内的企业互相传输数据，双方是否需要同时签署中国标准合同以及签署欧盟 SCCs ？

Q94.我国《标准合同》如何应对欧盟 SCCs 体现的长臂管辖？

Q95.延伸—作为数据接收方且为数据控制者的中国企业如何应对欧盟相关机构的监管？

Q96.延伸—作为数据接收方且为数据处理者的中国企业如何应对欧盟相关机构的监管？

Q97. SCCs 和《标准合同》的文本是否都可以删减更改？

Q98.欧盟 SCCs 与我国《标准合同》适用的管辖规则一样吗？

Q99.在使用 SCCs 完成跨境数据传输时，企业是否要考虑对第三方受益主体的保护？

Q100. 在签署SCCs后，如果企业想让额外相关方加入其已签署的SCCs，可以怎么做？ 

Q101.是否有可能在 SCCs 中添加其他条款，或将 SCCs 纳入更广泛的商业合同？

以上为我们本次数据出境实务 100 问的全部问题，实际上，关于数据跨境传输的相关问题还有很多很多，远非寥寥一百问可以囊括，在接下来的实践中，也会出现更多实务性落地性的问题，以及需要监管进一步阐明的疑难问题。

后台回复：100问，也可以领取到资料哦～