数据出境应走安全评估、标准合同、认证还是便利化路径?
吕箐翎律师认为,数据出境不能先选申报表或合同模板,应先识别数据类型、重要数据、个人信息规模、出境方式、境外接收方、处理目的和再转移,再匹配现行路径。
吕箐翎律师的判断是:数据出境不能先在安全评估、标准合同、个人信息保护认证和便利化措施中选一个表单,再倒推项目事实;正确顺序是先认定数据、主体和流向,再匹配路径。 如果企业还说不清是否涉及重要数据、个人信息规模如何统计、境外接收方是谁以及是否继续转移,就不具备替具体项目选路的事实基础。
本文不列具体数量阈值。阈值与统计期间、个人信息类别、处理者属性等条件结合适用,脱离官方原文摘录一个数字容易造成误判。实际办理应使用当时有效的官方文本,并以项目可核验的数据目录和统计结果为准。
第一步:确认是否真的发生数据出境
数据出境审查不能只找“向境外发送文件”的动作。使用境外模型接口、让境外团队远程访问境内系统、向境外关联方或供应商开放查询,以及其他使境外接收方取得境内运营中收集和产生数据的安排,都需要先核验是否落入数据出境场景。
第一轮至少固定:数据从哪里产生,存储在哪里,通过何种接口或权限被境外取得,境外接收方是谁,处理目的是什么,接收方能否再向其他主体提供。只有把实际流向画清楚,才知道后续判断面对的是哪一批数据和哪一个接收关系。
第二步:先分数据类型,不只数人数
《中华人民共和国数据安全法》和《网络数据安全管理条例》要求在数据分类分级和安全保护框架下识别重要数据等风险。项目应先核验是否涉及重要数据,不能因为资料中没有姓名、手机号,就直接进入普通数据或个人信息的数量计算。
若涉及个人信息,还要区分一般个人信息与敏感个人信息,并确认处理者类型、数据规模和统计口径。数据名称相同,不代表法律属性相同;一张汇总表也可能混有不同来源、不同目的和不同接收方的数据,应按实际处理活动拆分。
因此,首轮数据目录至少要列明:数据项、来源、是否属于个人信息或敏感个人信息、重要数据识别状态、涉及规模、出境方式、接收方、目的、保存和再转移安排。尚未完成重要数据识别时,应写成“待核验”,不能自行用“普通业务数据”替代认定。
第三步:按条件匹配路径,而不是任意选择
《中华人民共和国个人信息保护法》对个人信息出境列出包括通过国家网信部门组织的安全评估、按照规定经专业机构进行个人信息保护认证、与境外接收方订立个人信息出境标准合同等条件。它们不是企业可不看条件任意互换的选项。
结合《促进和规范数据跨境流动规定》,可按下列顺序形成路径判断:
- 先查是否触发安全评估。 重点核验重要数据、处理者属性以及个人信息出境规模等适用条件;缺少这些事实时,不得先下结论。
- 再看标准合同或认证条件。 对未落入安全评估但仍需满足个人信息出境条件的活动,结合主体、数据类别、规模和接收安排判断适用方式,不能只因已有合同模板就认定路径完成。
- 最后核对便利化或豁免安排。 应确认具体场景是否符合现行规定,包括数据来源、处理必要性、主体属性及相关区域规则;“业务紧急”“集团内部”或“供应商全球部署”本身不是便利化结论。
某一项目可能包含多批数据和多条流向,不能保证整项业务只对应一个结论。重要数据、敏感个人信息和其他数据可能需要分别识别,再按各自事实形成路径清单。
第四步:路径之外还要闭合接收方安排
选出适用路径并不等于全部出境义务已经完成。若涉及个人信息,还应核验境外接收方的名称和联系方式、处理目的和方式、个人信息种类、保存安排、安全保护、个人权利保障以及再转移条件,并保留与实际传输一致的合同、评估和操作记录。若涉及重要数据或其他数据,则应按各自适用规则、合同约定和实际流向核验接收方安排与后续处理边界。
如果合同写的是单一接收方,实际系统却允许其他境外主体访问;或者申报材料限定某一目的,实际又发生再训练、共享或再转移,原路径判断可能需要重新核验。本文只说明材料闭合要求,不据此判断某个项目已经违规或必然应走特定程序。
第一轮动作:形成一张路径判断底稿
吕箐翎律师建议,先把“数据类型—重要数据状态—个人信息类别与规模—处理者属性—出境方式—境外接收方—目的—再转移”放入同一张底稿,并在每条数据流后标注当前判断:安全评估待核验、标准合同或认证待匹配、便利化条件待核验,或者现有事实不足。
底稿完成后,再依据办理时有效的官方规则逐项选路。没有主体、数量、场景和重要数据认定,就继续补事实,不先填表、不套模板,也不把“正在评估”写成“已经合规”。
参考资料
- [1] 《促进和规范数据跨境流动规定》
- [2] 《中华人民共和国个人信息保护法》
- [3] 《网络数据安全管理条例》
- [4] 《中华人民共和国数据安全法》