隆安法言 | 个人信息出境合规现状及提示

自2016年我国第一部全面规范网络空间安全管理方面问题的基础性法律——《网络安全法》发布以来，数据安全与个人信息保护相关法律不断增加，个人信息出境法律体系逐渐建构起来。

2017年4月，国家互联网办公室发布《个人信息和重要数据出境安全评估办法（征求意见稿）》，作为对《网络安全法》的延伸与补充。

2019年6月，国家互联网办公室发布《个人信息出境安全评估办法（征求意见稿）》

2021年6月，全国人大常委会颁布《数据安全法》，作为数据领域的基础性法律，相较网络安全法，更聚焦于数据活动与安全，其中对《网络安全法》也做了相应的衔接；8月，全国人大常委会颁布《个人信息保护法》，成为首部针对个人信息保护的法律；10月，国家互联网办公室发布《数据出境安全评估办法（征求意见稿）》；11月，国家互联网办公室发布《网络数据安全管理条例（征求意见稿）》

2022年6月，全国信息安全标准化技术委员会发布《网络安全标准实施指南——个人信息跨境处理活动安全认证规范》、国家互联网信息办公室发布《个人信息出境标准合同规定（征求意见稿）》；7月，国家互联网办公室发布《数据出境安全评估办法》，旨在落实前述有关个人信息出境的法律。

除了《网络安全法》、《数据安全法》、《个人信息保护法》三部法律以外，其他部门规章和行政法规均为该三部法律的配套性实施措施。

当企业存在个人信息跨境处理活动时，应当通过以下三步进行数据出境合规：

（1）《数据出境安全评估办法》第二十条规定：“本办法施行前已经开展的数据出境活动，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改。”所以2022年9月1日前存在《数据出境安全评估办法》第四条规定的数据出境活动的企业，应当于2023年3月1日前完成整改（订立标准合同/完成个人信息保护认证/申报数据出境安全评估）

（2）根据《数据出境安全评估办法》第十四条的规定，数据出境安全评估结果的有效期为2年，企业需要每2年申报一次。

通过以上梳理，我们可以看出，目前存在个人信息出境活动的企业有三种路径进行合规化，即①按照国家网信部门制定的标准合同与境外接收方订立合同；②按照国家网信部门的规定经专业机构进行个人信息保护认证；③通过国家网信部门组织的安全评估。

截止本文发布前，路径①中标准合同尚未制定完成，《个人信息出境标准合同规定》处于征求意见稿阶段；路径②中的“专业机构”尚未明确，其中的规范《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》将对存在个人信息跨境处理活动的企业在a.有法律约束力的协议；b.组织管理；c.个人信息跨境处理规则；d.个人信息保护影响评估，几个方面进行认证；路径③中申报数据出境安全评估时需要向网信部门提交申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件以及安全评估工作需要的其他材料。

也就是说，个人信息出境法律体系仍在构建阶段，部分法规尚未正式出台，相关生效法规的具体操作方法也未完全明确。在此大局未定阶段，企业如何依据已生效的法律法规进行最大程度的个人信息出境合规管理？

首先，开展个人信息保护影响评估。根据《个人信息保护法》，只要存在个人信息跨境处理活动，企业就需要开展个人信息保护影响评估；

其次，与境外接收方订立有法律约束力的文件。无论企业最终通过以上三条路径中的哪一条进行个人信息跨境处理合规化，均需与境外接收方订立有法律约束力的文件。该法律约束力的文件目前可以参考还未生效的《个人信息出境标准合同规定》和已生效的《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》。

最后，若企业的数据跨境处理活动属于《数据出境安全评估办法》第四条规定的情形，则申报数据出境安全评估。