2023中国个人信息出境标准合同白皮书-2023.08

中国个人信息出境标准合同白皮书中

国

个

人

信

息

出

境标

准

合

同

白

皮

书联合发布国家网络与信息系统安全产品质量检验检测中心盈科律师事务所全国网络数据安全合规中心闪捷信息科技有限公司威科先行iLaw中国个人信息出境标准合同白皮书中国个人信息出境标准合同白皮书总主编郭卫红盈科全国网络数据安全合规中心

副主任邮箱：guoweihong@微信：daveylawyer副主编沈亮（shenliang@）、许云松（xuyunsong@）编委会姜斯勇、黎水林、李贺、葛若芸、曹祖彬、袁博、李芸飞、周一琼、吴君戈中国个人信息出境标准合同白皮书目

录前

言...................................................................................................................................................1第一部分

全球与中国个人信息跨境合规及监管趋势..................................................................2一、

全球个人信息跨境合规及监管趋势..............................................................................2（一）欧盟........................................................................................................................

2（二）美国........................................................................................................................

2（三）新加坡....................................................................................................................

3（四）韩国........................................................................................................................

3（五）日本........................................................................................................................

3（六）俄罗斯....................................................................................................................

4二、中国个人信息跨境合规及监管现状................................................................................4路径一：数据安全评估审查............................................................................................4路径二：个人信息保护认证............................................................................................5路径三：个人信息出境标准合同....................................................................................5第二部分

中国个人信息出境焦点问题及标准合同应对方案......................................................7一、个人信息出境中的焦点问题............................................................................................7（一）境内个人信息处理者特定身份鉴别....................................................................7（二）盘点出境个人信息的数量....................................................................................7（三）个人信息怎么样才算“出境”............................................................................8（四）识别出境个人信息中的重要数据........................................................................9（五）如何处理敏感个人信息........................................................................................9二、适用标准合同路径进行个人信息跨境传输的主体及场景..........................................10（一）适用标准合同的个人信息处理主体..................................................................10（二）适用标准合同的个人信息跨境场景..................................................................11三、应对方案——个人信息出境标准合同备案..................................................................11（一）事前：内部合规、准备出境

.........................................................................12（二）事中：执行标准合同备案..................................................................................14（三）事后：持续监督、适时更新..............................................................................15第三部分

重点行业个人信息跨境传输要点解析........................................................................16一、金融..................................................................................................................................

16（一）金融机构和个人金融信息..................................................................................16（二）个人金融信息跨境传输常见场景......................................................................16（三）个人金融信息跨境传输合规要点......................................................................17二、汽车..................................................................................................................................

18（一）个人汽车信息出境概况......................................................................................18（二）个人汽车信息跨境传输常见场景......................................................................19（三）个人汽车信息跨境传输合规建议......................................................................20三、医疗健康..........................................................................................................................

20（一）个人医疗健康信息跨境传输法律规制..............................................................20（二）个人医疗健康信息跨境传输常见场景..............................................................21中国个人信息出境标准合同白皮书四、跨境电商..........................................................................................................................

22（一）跨境电商相关个人信息出境场景及法律规制..................................................22（二）跨境电商相关个人信息跨境传输合规要点......................................................23五、航空..................................................................................................................................

23（一）个人航空信息跨境传输法律规制......................................................................24（二）个人航空信息跨境传输常见场景......................................................................24结

语.................................................................................................................................................26附：发布单位简介..........................................................................................................................

27盈科简介..................................................................................................................................

27检测中心简介..........................................................................................................................

27闪捷简介..................................................................................................................................

28中国个人信息出境标准合同白皮书前

言基于对个人信息的保护和对国家安全的重视，越来越多的国家和地区开始加强对企业跨境个人信息流动的监管。个人信息合规跨境传输成为当今企业跨国经营时必须面临和解决的问题。近年来，我国逐渐通过一系列法律法规，明确了个人信息出境的三大基础路径：数据出境安全评估、个人信息保护认证和个人信息出境标准合同。基于《个人信息出境标准合同办法》于

2023

年

6

月

1

日起开始施行，并随着

2023

年

5月

30

日国家网信办发布《个人信息出境标准合同备案指南（第一版）》，我国个人信息出境标准合同路径已落地执行。第

1

页

共

29

页中国个人信息出境标准合同白皮书第一部分

全球与中国个人信息跨境合规及监管趋势一、全球个人信息跨境合规及监管趋势随着大数据时代的到来，数据作为重要的经济生产要素、国家安全资源，已成为各国争夺的对象。世界主要经济体先后出台了数个个人信息保护相关法案，整体来看，全球各法域对个人信息的跨境流动监管趋严。（一）欧盟欧盟于

2016

年通过《通用数据保护条例》（GDPR），明确规定了个人数据跨境转移的条件。目前欧盟个人信息跨境传输路径主要分为以下三种机制：一是充分性认定。根据

GDPR

规定，只有当第三国对个人数据的保护水平达到欧盟的要求，欧盟成员国的个人数据才能进行数据跨境流动。认定第三国是否提供“充分”数据保护，主要是根据第三国个人数据保护相关法律制度的完备情况、执行情况等因素判断。但目前中国尚未通过该认定；二是适当保障措施，常见的为标准合同条款（SCCs）和约束性企业规则（BCRs）。标准合同条款是从欧洲经济区向区域外第三国或组织跨境传输数据时使用的标准合同文本，通过合约的形式约束数据输出者和数据输入者，以确保个人数据获得充分的保护。约束性企业规则可以简单地理解为适用于跨国企业的“白名单”，即当欧盟行政机关对整个企业内部的数据跨境流通合规框架审查合格之后，企业内部的个人数据跨境流通不再受限；三是克减情形。克减仅适用于只涉及少量数据主体在特定情形下偶尔进行的数据跨境传输，数据输出者不应将此作为常规化数据跨境传输的合法依据。（二）美国美国对个人数据跨境传输的政策规制整体持开放态度，先后与欧盟签订《安全港协议》和《隐私盾协议》，对大西洋两岸跨境转移个人数据的隐私保护进行规范。但在特定的重要数据上，美国则采取了相应限制措施。如制定被称为“全球最贵数据保护法案”的《加州消费者隐私法案》（CCPA）和对部分关键技术与特定第

2

页

共

29

页中国个人信息出境标准合同白皮书领域的数据出口进行限制的《出口管理条例》（EAR）。另外，美国在医疗健康领域的《健康保险可携性和责任法案》（HIPAA）和金融服务数据方面的《格雷姆－里奇－比利雷法案》（GLB）等行业特殊规定也需要重点关注。（三）新加坡《个人数据保护法》（PDPA）是新加坡的主要个人信息保护立法，用来管理各机构对个人数据的收集、使用和披露。PDPA

适用于所有在新加坡收集、使用和披露个人数据的营业机构，无论其是否在新加坡物理存在。PDPA

规定，企业必须遵守数据转移限制的义务。即除非企业能确保个人数据的接收者受到法律上可执行的义务的约束，被转移的个人数据获得与

PDPA

规定的保护标准相当的保护，否则个人数据不能被转移到新加坡以外的国家或地区。这些“可依法执行的义务”包括根据法律法规、合同或具有约束力的公司规则或任何其他具有法律约束力的文书规定的义务。（四）韩国韩国是世界上对数据安全相关规定最严格的法域之一。韩国个人信息保护委员会（PIPC）在对《个人信息保护法》（PIPA）的修正案中增加了向海外传输个人数据的方法。除此之外，还颁布了一系列

PIPA

的配套实施条例，包括《个人信息保护标准指南》《关于个人信息影响评估的通知》《违反个人信息保护法的处罚标准》《个人信息技术和行政保护措施标准》等。（五）日本日本与欧盟于

2019

年作出“充足性认定”，互相认定对方的保护水平及安全措施，允许个人数据在欧盟和日本之间自由流动。但日本对于其本土个人数据跨境传输态度较为严格。2022

年

4

月修订后的《日本个人信息保护法》（APPI）在保留原有要求处理个人信息的经营者应获取数据主体的同意之外，新增了披露信息接收方所在国家及该国的个人信息保护体系、信息接收方采取的个人信息保护措施的要求；如采取必要措施确保该境外第三方持续实施了与

APPI

对个人信息的保护要求相当的保护措施，并能够在数据主体要求的情况下提供关于企业采取的必要措施的信息等要求。第

3

页

共

29

页中国个人信息出境标准合同白皮书（六）俄罗斯俄罗斯在新修订的《联邦个人数据法》第

22

条规定了“个人数据处理通报”义务，增加了个人数据跨境传输的前置通报，意味着运营商要履行两份通报义务，即“个人数据处理通报”义务和“个人数据跨境流动通报”义务，两份通报要分开发送，这项要求已于

2023

年

3

月

1

日起生效。同时，俄罗斯《联邦个人数据保护法》对于个人信息出境的监管提出相对严格的要求，概括为相关机构、国外政府或者国家必须拥有同等的数据保护水平才可以将个人信息传输出。二、中国个人信息跨境合规及监管现状根据《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》或《个保法》）和《信息安全技术

个人信息安全规范》（GB/T

35273—2020）等制度规范，个人信息指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、出生日期、身份证件号码、住址、通信通讯联系方式、健康生理信息等。自

2017

年

6

月

1

日《中华人民共和国网络安全法》（以下简称《网络安全法》）实施以来，我国立法机构及有关政府主管部门逐步推动建立同个人信息出境相关的法律、法规和监管规则，至今已初步形成以《网络安全法》《数据安全法》和《个人信息保护法》三法为纲领，结合配套办法、规定、标准和指南为补充的个人信息跨境传输合规框架。根据《个人信息保护法》第

38

条等有关法律法规，我国个人信息跨境传输目前已确立以下“三大路径”：路径一：数据安全评估审查国家互联网信息办公室（以下简称国家网信办）于

2022

年

7

月

7

日发布的《数据出境安全评估办法》（以下简称《安全评估办法》）第

4

条明确了数据出境安全评估审查的强制触发条件：1、数据处理者向境外提供重要数据；2、关键信息基础设施运营者和处理

100

万人以上个人信息的数据处理者向境外第

4

页

共

29

页中国个人信息出境标准合同白皮书提供个人信息；3、自上年

1

月

1

日起累计向境外提供

10

万人个人信息或者

1

万人敏感个人信息的数据处理者向境外提供个人信息；4、国家网信部门规定的其他需要申报数据出境安全评估的情形。此外，在提交申报前，企业需要完成数据出境风险自评估，并提交拟订立的法律约束性文件。数据出境风险自评估报告对于顺利通过安全评估审查至关重要，可以理解为是企业向网信部门提交的“考卷”。因而企业在提交申报前需要按照要求开展数据合规治理工作，完成数据风险筛查及整改。路径二：个人信息保护认证个人信息保护认证是跨国企业或同一经济实体处理个人信息出境业务的重要手段，该机制的适用情形和底层逻辑与欧盟的约束性企业规则类似，认证获批后即可在法定/约定范围内进行个人信息跨境传输。2022

年

11

月至

12

月我国先后发布了《个人信息保护认证实施规则》及其配套文件《网络安全标准实践指南——个人信息跨境处理活动安全认证规范

V2.0》，对开展跨境处理活动的个人信息保护认证机制作出完善。个人信息保护认证流程由五个主要环节组成，分别是认证申请、技术验证、现场审核、认证决定、获证后监督。路径三：个人信息出境标准合同《个人信息出境标准合同办法》（以下简称《标准合同办法》）和《个人信息出境标准合同备案指南（第一版）》（以下简称《备案指南》）对于能够采取标准合同实施个人信息跨境的主体范围进行了界定，包括：1、非关键信息基础设施运营者；2、处理个人信息不满

100

万人的；3、自上年

1

月

1

日起累计向境外提供个人信息不满

10

万人的；4、自上年

1

月

1

日起累计向境外提供敏感个人信息不满

1

万人的。第

5

页

共

29

页中国个人信息出境标准合同白皮书根据目前规定，个人信息处理者必须同时满足上述四项条件，才能适用标准合同路径，任意一条不满足，则境内个人信息处理者应进行个人信息出境安全评估或个人信息保护认证。纵观全球各法域的个人信息出境监管趋势，整体呈现出法规逐渐完善、路径逐渐清晰的特点。接下来我们将以中国个人信息出境过程中面临的重点问题为基础，分析个人信息标准合同的适用及落地方案。第

6

页

共

29

页中国个人信息出境标准合同白皮书第二部分

中国个人信息出境焦点问题及标准合同应对方案数据出境不仅影响个人信息权益，更关乎国家安全和社会公共利益。中国监管机构正在陆续出台一系列法规对个人信息出境活动进行规制，相关企业正在面临新一轮的数据合规挑战。数据违规出境不仅会面临监管处罚风险，更会损害跨国公司的声誉，甚至触发刑事责任。接下来我们将分析个人信息出境实践中的焦点问题，并分享个人信息出境标准合同如何落地实施。一、个人信息出境中的焦点问题（一）境内个人信息处理者特定身份鉴别境内个人信息处理者是否被认定为关键信息基础设施运营主体（CIIO）是首先需要关注的问题。根据《网络安全法》《关键信息基础设施安全保护条例》以及国家标准《信息安全技术

关键信息基础设施安全保护要求》（GB/T

39204-2022）等的规定，境内个人信息处理者是否属于关键信息基础设施运营者，通常的判断思路如下：通常来说，关键信息基础设施运营（CII）所涉及的重点行业和领域包括：公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的行业和领域。目前我国

CII

及

CIIO

的认定工作由各行业的主管部门负责，企业是否属于我国认定的

CIIO，主要取决于主管机构的判定和通知。换句话说，只要企业未被主管机构明确认定为关键基础信息运营者，则满足了适用个人信息出境标准合同的第一个条件。（二）盘点出境个人信息的数量鉴于个人信息出境路径需要根据出境个人信息的体量进行区分，盘点出境个人信息的数量成为了企业数据合规出境的基础步骤。目前很多企业的痛点在于部门众多，数据分散在各处，如再缺乏统一的管理，盘点个人信息的数量这一工作就无法顺利开展。因此，越来越多的企业选择通过专业的数据库审计系统来管理企业数据。作为数据安全治理的基础系统，数据库审第

7

页

共

29

页中国个人信息出境标准合同白皮书计不仅能够实时记录、分析和汇报访问数据库的行为，便于企业形成数据统计报告，还能多角度分析企业数据活动，自动根据相关法律规定，对数据进行发现、分类、粒度策略控制等管理，从而帮助企业保证数据安全，促进企业遵守相关法律法规，降低合规风险。（三）个人信息怎么样才算“出境”根据国家网信办发布的《备案指南》，以下情形属于个人信息出境行为：1、个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外；2、个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；3、国家网信办规定的其他个人信息出境行为。由此可见，个人信息出境不仅涵盖个人信息的物理出境，亦涵盖了远程访问的概念。要厘清“出境”的个人信息，就需要先明晰个人信息的出境链路。实践中，数据流转监测系统（SMP）可满足企业这一需求。SMP

一般会利用数据元采集监测、敏感数据识别、数据流转跟踪等技术，实现对数据访问、数据调用、数据共享、数据使用等数据活动和数据流转等行为进行全程监控和跟踪溯源，智能化识别产生数据流转的行为和流向，并可视化呈现出各组织、节点间的数据流转链路。目前，成熟的

SMP

会充分考虑自身安全性、易操作、易维护等多方面要求，第

8

页

共

29

页中国个人信息出境标准合同白皮书并能使技术实现与平台业务相分离，确保企业自身数据安全和业务效能最大化。（四）识别出境个人信息中的重要数据全国信息安全标准化技术委员会于

2022

年

1

月

13

日发布的《信息安全技术

重要数据识别指南（征求意见稿）》划分了重要数据的范围，规定重要数据是指“特定领域、特定群体、特定区域或达到一定精度和规模的数据，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全”。若向境外提供的个人信息中包括重要数据，按照《数据出境安全评估办法》的规定，企业必须通过所在地省级网信部门向国家网信部门申报数据出境安全评估，而不能选择其他数据出境路径。（五）如何处理敏感个人信息根据《个人信息保护法》，敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。《信息安全技术

个人信息安全规范》（GB/T35273—2020）作为推荐性国家标准，在附录

B

中列举了部分敏感个人信息类型，可以对企业合规实践起到指引的作用。附录

B

个人敏感信息举例（图片来源：《信息安全技术

个人信息安全规范》）第

9

页

共

29

页中国个人信息出境标准合同白皮书因我国监管部门目前倾向认定去标识化处理后的敏感个人信息不再计为敏感个人信息，如何处理跨境敏感个人信息成为企业选择数据出境路径的重点关注问题。目前，数据库脱敏技术可以通过特定算法规则对敏感信息进行变形和隐藏，将敏感数据转换为非敏感数据，从而为敏感数据的使用提供安全保证。更为重要的是，脱敏后的数据特征与原始数据可以保持一致，数据依然可以被用于业务过程，且无需改变支撑系统或数据存储设备，脱敏的同时不影响企业业务持续运行。（六）保证跨境个人信息安全传输国家出台系列数据出境法律法规的最终目的在于保障出境个人信息的安全，因此需要应用可靠的安全技术，为跨境个人信息安全传输提供充足技术支撑。实务中，可以应用（API）审计系统可以帮助企业通过梳理庞杂的应用及接口，绘制接口画像和接口访问轨迹，监测敏感数据流动风险，识别接口调用的异常用户行为，为应用系统的业务数据合规使用和流转提供数据安全保障。二、适用标准合同路径进行个人信息跨境传输的主体及场景（一）适用标准合同的个人信息处理主体外国公司驻华代表处、全资子公司等外商投资企业、分支机构以及中资出海企业等，一般境内处理或跨境传输的个人信息较少，通常仅涉及员工个人信息、供应商/经销商个人信息等，最为适宜个人信息出境标准合同路径。第

10

页

共

29

页中国个人信息出境标准合同白皮书（二）适用标准合同的个人信息跨境场景1、企业基于母公司的全球信息管理的统一要求，通过办公自动化

OA

系统等向境外母公司提供员工个人信息等管理信息。2、企业向境外接收方提供完成订单所需的用户地址信息和身份信息等，也可能进一步提供用户的购物记录和浏览行为等额外数据。3、在向跨国供应商采购、国际货运及仓储等环节，企业会收集供应商、收货人、仓库对接人等相关个人信息，并传输至总部供应商部门进行使用。4、企业在通过网络远程接入境外客户的系统网络进行技术支持、故障处理等，会涉及对客户个人信息的处理。5、企业在境外组织开展品牌宣传、展会等活动，汇总客户名片等个人信息，进而与境外母公司共享。6、企业在进行全球市场调研、客户关系维护等过程中，需要收集、传输、使用和维护客户信息。7、企业在跨境开展业务合作、提供跨境产品过程中，将其运营过程中收集的个人信息提供给境外公司，或者在境外设置的服务器、数据中心等存储相应个人信息。8、因

FCPA

调查案件、反舞弊调查、境外诉讼和仲裁机构需要，企业向境外政府部门及境外母公司、律所等提供涉及个人信息的调查信息、证据材料。三、应对方案——个人信息出境标准合同备案目前触发数据出境安全评估的门槛较高，适用主体和场景有限，而我国个人信息保护认证路径还有待进一步检验，而标准合同具备高效便捷、认可度高、便于跨国公司合规制度衔接、争议解决方式开放灵活等优势。因此对于个人信息处理规模较小、出境需求频次较低的企业而言，选用个人信息出境标准合同出境路径更为适宜。国家网信办于

2022

年

6

月发布的《个人信息出境标准合同规定（征求意见稿）》以及标准合同文本，此后

2023

年

2

月和

5

月，国家网信办又陆续发布了《个人第

11

页

共

29

页中国个人信息出境标准合同白皮书信息出境标准合同办法》和《个人信息出境标准合同备案指南（第一版）》，共同为我国

2023

年

6

月

1

日正式实施的个人信息出境标准合同提供了法律依据和实施指南。在当前个人信息跨境传输监管体系下，我们建议企业通过如下步骤，合规开展个人信息出境标准合同备案工作：（一）事前：内部合规、准备出境1、企业内部合规治理体系（1）建立数据跨境前评估机制。在个人信息跨境传输前完成数据跨境可行性评估、数据跨境字段最小化评估、数据跨境安全性评估等流程。（2）完善业务模式中的个人单独同意采集程序，充分履行告知义务。（3）识别出境场景、进行数据盘点。境内个人信息处理者首先应对其出境活动进行全面检视，盘点个人信息出境场景、出境个人信息的规模和属性，判断企业是否适用标准合同。2、完成个人信息保护影响评估（PIA）依据《个人信息保护法》《信息安全技术

个人信息安全规范》《信息安全技术

个人信息安全影响评估指南》等的要求，境内个人信息处理者需成立

PIA

工作小组，自行开展或聘请第三方机构（如律师事务所、咨询机构等）协助对涉及个人信息的处理活动从个人权益影响和安全保护措施进行分析，并制作个人信息保护影响评估报告。作为个人信息出境标准合同备案手续中必备的关键一步，境内个人信息处理者在进行

PIA

时需要特别关注以下几点：（1）数据映射分析：要求企业在针对个人信息处理过程进行全面的调研后，形成清晰的数据清单及数据映射图表。数据映射分析工具示例第

12

页

共

29

页中国个人信息出境标准合同白皮书（图片来源：《信息安全技术

个人信息安全影响评估指南》）（2）个人敏感数据识别：依据《信息安全技术

个人信息安全规范》对个人敏感数据（包含个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息等）进行识别并进行敏感程度划分；（3）个人信息处理活动分析：根据个人信息的类型、敏感程度、收集场景、处理方式、涉及相关方等要素，对个人信息处理活动进行分类，并描述每类个人信息处理活动的具体情形。（4）个人数据流转图绘制：基于个人信息处理活动分析结果，绘制个人数据流转图，包括个人信息处理场景、涉及部门、流转形式、涉及个人信息数据、涉及业务系统等。（5）风险源识别：风险源识别是为了分析个人信息处理活动面临哪些威胁源，是否缺乏足够的安全措施导致存在脆弱性而引发安全事件。风险源识别归纳为网络环境和技术措施、个人信息处理流程、参与人员与第三方、业务特点和规模及安全态势四个方面。（6）个人权益影响分析：指分析特定的个人信息处理活动是否会对个人信息主第

13

页

共

29

页中国个人信息出境标准合同白皮书体合法权益产生影响，以及可能产生何种影响。个人权益影响包括以下方面：个人信息敏感程度分析阶段、个人信息处理活动特点分析阶段、个人信息处理活动问题分析阶段和个人权益影响程度分析阶段。（7）关键技术能力，包括个人信息管理能力、数据源识别能力、个人敏感数据识别能力、个人信息生命周期监测能力、个人信息脱敏/加密技术验证能力、API接口审计能力等。（二）事中：执行标准合同备案1、确定签约主体就境内签约主体来说，若集团企业在中国境内有多个实体的，为区分不同实体各自开展的个人信息出境活动，建议每个实体单独与境外接收方签订标准合同并进行备案；就境外签约主体而言，可能同时存在多个接收方，也可能存在境外接收方在境外再行委托处理或再传输的情况。实践中，可能存在有的境外接收方不愿意成为签约主体的情况。在此情况下，则需要调整境外接收方的数据处理流程，将一对多的数据出境活动调整为一对一再对多的数据出境活动。2、核实是否存在冲突鉴于标准合同正文部分不得随意修改，且双方签署的其他合作协议不得与标准合同相冲突，因此企业内部在签署标准合同之前应特别注意协议间的冲突与兼容，例如：校验不同协议之间的兼容性，尤其是各方权利义务是否冲突、法律适用、监管应对责任等。3、申报及执行要完成个人信息出境标准合同备案手续，企业应向所在地省级网信部门提交标准合同、个人信息保护影响评估报告，以及一系列程序性文件。省级网信办收到材料后，应在

15

个工作日完成材料查验，并通知企业备案结果。通过备案的，网信办将向企业发放备案编号；备案不通过的，网信办将告知不通过的结果以及原因，网信办要求补充、完善材料的，企业应进行补充、完善，并在

10

个工作日内重新提交备案。第

14

页

共

29

页中国个人信息出境标准合同白皮书（三）事后：持续监督、适时更新与必须每两年重新评估一次的安全评估不同，标准合同的备案持续有效。但在以下情况下，企业需要补充或者重新订立标准合同，并向网信办重新备案：1、向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；2、境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；3、可能影响个人信息权益的其他情形。基于此，通过个人信息出境标准合同备案后，企业应持续监控个人信息跨境传输活动，并在发生变动时评估是否需要重新告知个人信息主体并取得单独同意，以及是否需要重新签订标准合同并备案。第

15

页

共

29

页中国个人信息出境标准合同白皮书第三部分

重点行业个人信息跨境传输要点解析一、金融（一）金融机构和个人金融信息随着网络技术在金融业广泛应用，个人金融信息的转移与流动实际上已构成了现代金融生命的血液。目前，跨境金融业务量逐年攀升，个人金融信息跨境传输场景随之增加。目前，我国金融机构主要包括经国家金融管理部门批准从事金融业务的主体，如商业银行、金融租赁公司、信托公司、证券公司、期货公司、保险公司等，和从事金融活动的金融企业或其他组织，如私募基金管理公司、小贷/网贷公司、互联网支付机构、各类交易场所、商业保理公司等。这些主体都属于广泛意义上的金融机构，都可能涉及个人金融信息合规问题。2020

年

2

月

13

日中国人民银行发布的《个人金融信息保护技术规范》给予个人金融信息明确的定义，即指金融业机构通过提供金融产品和服务或其他渠道获取、加工和保存的个人信息，包括不限于：1、个人身份信息；2、个人财产信息（收入、动产不动产等）；3、个人账户信息（账号、账户开立时间、开户行等）；4、个人信用信息；5、金融交易信息；6、衍生信息（反映特定个人金融信息主体某些情况的信息，如：消费习惯、投资意愿等）；7、在与个人建立业务关系过程中获取、保存的其他个人金融信息。（二）个人金融信息跨境传输常见场景通常情况下，金融个人信息跨境传输有以下几种情形：第

16

页

共

29

页中国个人信息出境标准合同白皮书1、外资公司在中国的分公司需要向总公司报告客户金融信息；2、跨国金融集团母国出于审计需求或税务监管、反洗钱等监管需求，根据美国、欧盟、英国等司法、执法部门的要求调取境外信息；3、跨境支付（如银行卡跨境支付），若不提供客户金融信息将无法进行结算；4、协议规定的常规数据传输，如欧盟与美国之间隐私盾协议；5、境内银行的客户在境外使用信用卡付款，发卡行需要将客户的个人信息传输到国外以验证信用卡；6、国际金融集团在内部管理时也要进行个人金融信息转移，如跨国银行母行为符合母国监管的规定开展日常管理活动，通常要求海外分支机构定期报送相关业务信息、报表等。（图片来源：深圳市地方金融监督管理局）（三）个人金融信息跨境传输合规要点中国人民银行

2020

年

9

月发布的《中国人民银行金融消费者权益保护实施办法》规定银行、支付机构处理消费者金融信息，应当遵循合法、正当、必要原则，经金融消费者或者其监护人明示同意。第

17

页

共

29

页中国个人信息出境标准合同白皮书如个人金融信息确需出境，根据中国人民银行

2020

年

2

月发布的金融行业标准《个人金融信息保护技术规范》（JR/T0171-2020），我国个人金融信息出境需满足“业务必须+客户授权+境外关联机构+保密”四要件，即金融机构（包括提供金融服务的其他金融类企业）在涉及个人金融信息跨境传输时可以参照完成以下合规工作：1、获得个人金融信息主体明示同意；2、做好主体资质合规与保密要求，金融机构处理相关金融数据的前提是具备相应经营资质；3、可开展个人金融信息安全影响评估，检验个人金融信息处理活动的合法合规程度，以及评估境外机构数据安全保护能力是否达到国家、行业有关部门与金融业机构的安全要求；4、与境外机构通过签订协议、现场核查等方式，明确并监督境外机构有效履行个人金融信息保密、数据删除、案件协查等职责义务；5、采用数据加密、数据完整性校验等方式，保证数据存储过程中的保密性、完整性；6、对通信双方（包括机构、接口、设备、系统等）进行身份验证，并通过数字签名等方式保证数据传输抗抵赖性；7、利用通道加密、数据加密、专线通道等机制保护数据传输过程的安全性；8、建立个人信息出境记录并至少保存

5

年。二、汽车（一）个人汽车信息出境概况随着我国车企在全球进行业务布局，汽车数据处理者对掌握的个人信息跨境转移不可避免。所谓汽车数据处理者，即开展智能网联汽车数据处理活动的组织，包括智能网联汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。上述主体只要在中国境内开展汽车数据处理活动，均可能成为汽车数据出境的当事方。第

18

页

共

29

页中国个人信息出境标准合同白皮书（图片来源：搜狐网）结合相关规定及行业实践，智能车辆收集的数据绝大多数属于个人信息，其中包括可以直接识别自然人身份的车主姓名、身份证号、生物识别信息，也包括可以与其他信息结合识别自然人身份的车牌号、车辆行踪轨迹和车辆识别码（VIN），以及车辆本身的技术数据（如各部件运行参数、驾驶习惯等）。并且，其中的身份信息、生物信息、轨迹及位置信息等信息属于个人敏感信息。（二）个人汽车信息跨境传输常见场景就跨国车企而言，汽车数据出境既有可能涉及境内向境外传输，也有可能涉及境外直接访问。个人汽车信息跨境传输的场景主要包括：1、通过车载及手机

APP

收集用户个人信息和敏感个人信息，而后向境外提供，用于

APP

的开发等；2、通过车内摄像头收集的数据，如驾驶人的音视频等数据，而后向境外提供，用于技术的研发、服务改进；3、通过车外摄像头收集的数据：例如收集包含人脸信息、车牌信息等的车外视频、图像数据，道路、交通状况等车外信息后，而后向境外提供，用于自动驾驶技术研发；4、跨境执法调查等。第

19

页

共

29

页中国个人信息出境标准合同白皮书（三）个人汽车信息跨境传输合规建议《汽车数据安全管理若干规定（试行）》规定，汽车数据中包含人脸信息、车牌信息等的车外视频、图像数据以及涉及个人信息主体超过

10

万人的个人信息为重要数据。上述重要数据原则上应在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估。在个人汽车数据跨境传输过程中，根据《车联网信息服务用户个人信息保护要求》（YD/t

3746-2020）等的规定，境内个人信息处理者应参考执行以下合规建议：1、实施严格的技术和管理措施，收集和转移用户个人信息时应征得用户同意；2、信息收集和转移的传输过程应采取必要的加密措施，保障数据的机密性和完整性；3、确保车联网用户个人信息访问控制安全，建立严格的用户个人信息安全管理规范以及数据实时监控机制；4、设置企业内部的数据审批流程及制度，并对用户个人信息的使用进行实时监控及预警。三、医疗健康随着全球医学交流日益频繁，医疗健康数据所面临的跨境需求也愈加迫切。近年来，我国“互联网+医疗健康”与医疗机构信息化逐渐铺开，国内医疗机构因此掌握了大量医疗健康个人信息。另外，我国《个人信息保护法》将“医疗健康”信息视为敏感信息，医疗行业中的大量患者相关信息，例如诊疗过程中的病历信息、不良反应报告信息、临床试验数据等，均会因其“医疗健康”属性落入敏感个人信息的范畴。（一）个人医疗健康信息跨境传输法律规制在开展个人医疗健康信息出境工作时，境内个人信息处理者既要关注行业规范的要求，也不能忽视网络及数据安全监管体系中的医疗数据属性。个人医疗健康信息跨境传输主要有如下特殊规定：1、健康医疗大数据原则上应当存储于境内服务器，因业务需要确需向境外提供第

20

页

共

29

页中国个人信息出境标准合同白皮书的，应按照相关法律法规及有关要求进行安全评估审核；但《人口健康信息管理办法（试行）》规定，一旦医疗数据属性上构成人口健康信息，其跨境传输活动将被严格禁止。2、根据《人类遗传资源管理条例》，人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料。国家科技部于

2023

年

5

月

26

日发布的《人类遗传资源管理条例实施细则》，向境外提供人类遗传资源信息的，境内信息所有者原则上应当向科技部事先报告并提交信息备份；如提供的人类遗传资源信息可能影响我国公众健康、国家安全和社会公共利益的，应当通过科技部组织的安全审查。3、根据《信息安全技术

健康医疗数据安全指南》（GB/T

39725—2020）的有关规定，基于学术研讨需要的健康医疗数据跨境传输需进行必要的去标识化处理，经数据安全委员会讨论审批同意，且数量在

250

条以内的非涉密非重要数据可以出境。（二）个人医疗健康信息跨境传输常见场景1、医药研发当前医药研发领域的一个常见模式是国际多中心临床试验（MRCT），即在同一个方案下多地区进行临床试验，以便节约时间成本、避免临床试验的重复。这当中存在多地区之间共享试验结果，需要传输相关试验数据。2、国际合作研究涉及的临床试验数据出境外方单位与中国合作方共同开展国家合作研究，涉及临床试验的，若需要将数据传输出境，或将数据向境外主体开放访问权限，或其服务器和运维部署在境外，都可能构成临床试验数据出境。3、跨境申报新药临床试验审批（IND）和新药注册申请（NDA）如果我国药企向美国申请新药上市，需要向美国食品与药品管理局（FDA）提

出新药临床试验审批申请（IND）和新药注册申请（NDA），且申请者必须提供临床研究的计划书，这些文件中往往包含重要数据和个人敏感信息。4、基于科研目的向境外发布临床试验结果第

21

页

共

29

页中国个人信息出境标准合同白皮书开展临床试验的研究机构对于其研究发现可能会向境外机构或刊物投稿发布研究成果，在投稿或审稿等过程中可能涉及相关临床试验数据向境外机构提供的情形。5、患者个人信息出境：如出境就诊或跨境会诊。6、商业保险对接商业保险机构通常会与医疗机构建立连接，对就诊主体的治疗状况与诊疗费用情况等信息进行流通对接，从而实现系统自动进行商业保险自动结算与赔付。7、脱敏数据二次利用公共卫生部门、科研机构与企业可能基于政府决策、科学研究统计等目的对健康医疗数据进行脱敏后开展分析、挖掘等处理活动。四、跨境电商（一）跨境电商相关个人信息出境场景及法律规制随着经济全球化进程的不断加速，国内消费需求的增加，跨境电商发展愈加迅速。全球大型跨境电商平台阿里巴巴、亚马逊等通过互联网跨境传输和处理信息，构建了跨境电商经营者的世界用户网络，有助于降低交易成本、实现商业扩张。可以说，跨境电商的发展必然伴生跨境数据的流动。（图片来源：亚马逊）第

22

页

共

29

页中国个人信息出境标准合同白皮书在跨境电商活动全生命周期流程中，海关等政府部门、境内外消费者、跨境电商企业、平台企业、境内服务商等主体在线上及线下场景深度交织，形成诸多主体之间的数据交互关系。消费者每一笔交易衍生的交易电子数据、支付、物流信息等个人信息，是跨境电商交易闭环的重要组成部分。在跨境电商零售进口模式中，因交易的一方位于境外，势必会涉及数据出境问题。比如在

b2c

模式下，不把消费者的联系方式、地址等给到境外，就没法交付快递发货。（二）跨境电商相关个人信息跨境传输合规要点《个人信息保护法》第

58

条增设了平台企业保护个人信息的“守门人义务”，要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：1、按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；2、遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；3、对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；4、定期发布个人信息保护社会责任报告，接受社会监督。5、在目前统一的个人信息跨境保护立法模式下，须从合理清晰地界定个人信息的范围、完善跨境数据流动规则、明确跨境电商经营者的法律责任等方面对个人信息出境的规则加以梳理。五、航空航空业作为拥有巨大信息体量产业，其涉及的个人信息保护问题不容小觑。航空领域涉及个人信息跨境传输场景最多的主体应属民航企业。民航旅客个人信息因具有真实性、国家安全属性等特征，其跨境传输合规安全要求应受到格外重视。第

23

页

共

29

页中国个人信息出境标准合同白皮书（图片来源：新浪财经）（一）个人航空信息跨境传输法律规制目前涉及个人信息保护的立法多集中于私法保护，但关系到跨境转移则需关注国家安全问题。航空企业涉及向境外提供个人信息时，除需要履行《个人信息保护法》第

39

条规定的“告知+取得单独同意”义务，如涉及向边检、海关等执法机构提供个人信息，还需额外遵循《个人信息保护法》第

41

条规定的额外义务，即我国遵守缔结或参加的国际条约和协定，按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内个人信息的请求；但非经有关主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于我国境内的个人信息。（二）个人航空信息跨境传输常见场景因航空运输天然具有的国际性，民航旅客个人信息的跨境传输在所难免。民航旅客信息处理涉及主体多，在行业层面，公共航空运输企业、航空运输销售代理企业、航空运输销售保障企业、机场地面服务部门以及旅客等多渠道之间存在错综复杂的信息流动。因此在出境航线上，售出客票的民航企业通常需要将旅客票务信息传送给以下机构：1、中转地、目的地机场的地面服务公司；2、沿途的实际承运人；3、为境外地面服务提供支持的

IT

信息提供商；4、沿路的政府边检海关部门。第

24

页

共

29

页中国个人信息出境标准合同白皮书目前中国民航旅客信息跨境传输主要有两种途径：1、机票销售市场上的跨境电商模式，机票销售平台通过技术手段直接连接国外民航计算机定座系统（CRS）及其他旅游产品供应商，为中国旅客在国内用人