个人信息保护合规系列：企业个人信息出境合规指南

2022年8月30日

.coverSection-module--coverImage--16ME5.gbi--1276355691-5KDJaLLcPFMR7x7BHw33oE:before { opacity: 1; background-image: url('/static/35008bcdc10ea3bc3c2654631d79a4f1/a6c62/4813a2f31ee5cb14e5855c985b3ad0ac.jpg'); }

2022年6月30日，国家互联网信息办公室发布了《个人信息出境标准合同规定（征求意见稿）》（下文简称“标准合同规定”），紧接着于2022年7月7日发布了《数据出境安全评估办法》（下文简称“评估办法”），并规定该评估办法自2022年9月1日起施行。该系列举措进一步具象化了《网络安全法》（下文简称“网安法”）、《数据安全法》（下文简称“数安法”）和《个人信息保护法》（下文简称“个保法”）中关于个人信息出境的相关要求，完善了我国个人信息出境的监管版图，体现了监管对个人信息出境活动的重视。普华永道建议，企业应当按照已有的法律法规及时评估个人信息出境活动的合规水平，主动发现风险并整改问题，确保个人信息出境活动的合规性。

01 - 个人信息出境的监管体系

自网安法出台以来，立法机构及有关政府主管部门逐步推动建立同个人信息出境相关的法律、法规和监管规则，至今已初步形成以网安法、数安法和个保法三法为纲领，结合配套办法、规定、标准和指南为补充的个人信息跨境传输合规框架。下图梳理了自网安法出台以来与个人信息跨境传输相关的法律法规，以供参考。

注：标星的为已或将正式实施的法律、配套法规和标准

02 - 什么是个人信息出境

国家互联网信息办公室有关负责人在答记者问时表明，评估办法所称的数据出境活动包括：

数据处理者将在境内运营中收集和产生的数据传输、存储至境外；
数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。

由此可见，个人信息出境不仅涵盖个人信息的物理出境，亦涵盖了远程访问的概念。企业在识别个人信息跨境传输场景时，应当对上述两种场景给予同样的关注。

03 - 个人信息出境流程和合规重点

在当前个人信息跨境传输监管体系下，普华永道建议企业通过如下四个步骤，合规开展个人信息跨境传输活动：

注：本图中的数字和字母序号，与后续图表中的序号对应

第一步识别出境场景

合规开展个人信息出境活动的第一步是识别个人信息出境场景，并根据实际情况进行法律法规的适用性判断，明确企业需履行的合规义务，从而为业务的合规展开做好筹备工作。下图梳理了个人信息出境场景的识别流程，及不同场景对应的合规义务：

第二步履行合规义务

在识别出境场景环节，企业已经识别出适用的合规义务，值得注意的是，个保法要求开展个人信息跨境传输的企业进行个人信息保护影响评估（PIA），评估办法对需要申报数据出境安全评估的企业提出了开展数据出境风险自评估的要求，虽然两项评估的侧重点略有不同——在PIA的基础上数据出境风险自评估还侧重于评估数据出境对国家安全和公众利益的影响，但企业在实务操作中可结合实际情况做合并处理：

无需申报数据出境安全评估的企业可按照个保法的要求开展评估；
需要申报数据出境安全评估的企业可合并个保法和评估办法的要求开展评估。

第三步申报及执行

个人信息处理者以通过数据出境安全评估或同境外接收方签署网信办制定的标准合同作为数据出境的充分条件的，需要分别向相关的政府主管部门进行申报或备案，审批通过或备案成功后，企业即可跨境传输个人信息。另外，企业也可以按照国家网信部门的规定经专业机构进行个人信息保护认证作为数据出境的充分条件

第四步持续追踪

个人信息出境合规是一个动态管理的过程。企业应当用发展的眼光持续关注业务变化对企业适用的规定的影响，及时履行个人信息出境合规义务。普华永道将个人信息出境后，企业应当关注的合规要点总结如下

04 - Privacy Ready助力个人信息合规出境

为帮助在华开展业务的企业应对个人信息保护的合规挑战，普华永道结合多年隐私保护专业合规经验，自主研发并推出了数字化个人信息保护合规管理平台——Privacy Ready。

Privacy Ready数字化平台聚焦《个人信息保护法》，旨在为中国境内涉及个人信息收集处理的企业自动、精准识别合规问题，持续监控风险处置进程，实现端到端的个人信息合规管理。

以数据出境场景为例，Privacy Ready可以从如下方面协助企业应对合规挑战：

联系我们

普华永道中国网络安全和隐私服务团队

中部

张俊贤普华永道中国网络安全和隐私服务合伙人电话：+86 (21) 2323 3927 邮箱：Email

黄思维普华永道中国网络安全和隐私服务合伙人电话：+86 (21) 2323 2605 邮箱：Email

徐静普华永道中国网络安全和隐私服务经理电话：+86 (21) 2323 6351 邮箱：Email

北部

李睿普华永道中国网络安全和隐私服务中国内地主管合伙人电话：+86 (10) 6533 2312 邮箱：Email

南部

黄景深普华永道中国内地及香港地区网络安全和隐私服务主管合伙人电话：+852 2289 2719 邮箱：Email

翁泽鸿普华永道中国网络安全和隐私服务合伙人电话：+86 (20) 3819 2629 邮箱：Email