（原标题：从《个人信息保护法》看个人信息出境合规要点）

《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）已由十三届全国人大常委会第三十次会议于2021年8月20日通过，自2021年11月1日起施行。结合《个人信息保护法》及其他相关规定，我们针对个人信息什么情况下可以出境、什么情况下不得出境、出境时应遵循的程序、处理个人信息的有关境外机构应注意的问题等这四个方面梳理有关个人信息出境合规要点。

一、什么情况下可以出境？

《个人信息保护法》第三十八条规定，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

尤其需要强调的是，要求个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。当然，根据《个人信息保护法》第十二条规定，国家积极参与个人信息保护国际规则的制定，促进个人信息保护方面的国际交流与合作，推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。在互认的情况下，以上情况就变得非常简单了。

二、什么情况下不得出境？

一是非经主管机关批准，不得向外国有关司法、执法机构提供境内个人信息。《个人信息保护法》第四十一条规定，中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

二是列入负面清单的境外组织、个人。《个人信息保护法》第四十二条规定，境外的组织、个人从事侵害中华人民共和国公民的个人信息权益，或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的，国家网信部门可以将其列入限制或者禁止个人信息提供清单，予以公告，并采取限制或者禁止向其提供个人信息等措施。

三是我国对其采取对等限制措施的国家和地区。《个人信息保护法》第四十三条规定，任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。

三、出境时应遵循什么程序？

（一）告知并取得个人同意

《个人信息保护法》第三十九条规定，个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

（二）应当进行个人信息保护影响评估

《个人信息保护法》第五十五条规定，向境外提供个人信息的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录。个人信息保护影响评估应当包括下列内容：（一）个人信息的处理目的、处理方式等是否合法、正当、必要；（二）对个人权益的影响及安全风险；（三）所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。

（三）符合一定条件的，应当进行安全评估

哪些情况需要进行安全评估？首先是关键基础设施运营者向境外提供个人信息，应当进行安全评估。《个人信息保护法》第四十条规定，关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

我国《网络安全法》第三十七条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。即将于2021年9月1日实施的《数据安全法》第三十一条规定：关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据的出境安全管理，适用《网络安全法》的规定。其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

国家机关向境外提供个人信息，应当进行安全评估。《个人信息保护法》第三十六条规定，国家机关处理的个人信息应当在中华人民共和国境内存储；确需向境外提供的，应当进行安全评估。安全评估可以要求有关部门提供支持与协助。而根据《个人信息保护法》第三十七条的规定，法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息，适用本法关于国家机关处理个人信息的规定。因此，法律、法规授权的具有管理公共事务职能的组织和国家机关一样，向境外提供个人信息，也应当进行安全评估。

国家网信办于2019年6月发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》第九条规定了出境需要评估的重要信息范围：“出境数据存在以下情况之一的，网络运营者应报请行业主管或监管部门组织安全评估：（一）含有或累计含有50万人以上的个人信息；（二）数据量超过1000GB；（三）包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；（四）包含关键信息基础设施的系统漏洞、安全防护等网络安全信息；（五）关键信息基础设施运营者向境外提供个人信息和重要数据；（六）其他可能影响国家安全和社会公共利益，行业主管或监管部门认为应该评估。行业主管或监管部门不明确的，由国家网信部门组织评估。”

国家网信办于2021年7月发布的《网络安全审查办法(修订草案征求意见稿)》做出了重要补充，其中第六条规定：“运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。”

关于具体的评估流程，目前《信息安全?数据出境安全评估指南》规定了包括总体流程、自行评估及主管部门评估流程及出境后的评估等具体内容。

（四）关于通过个人信息保护认证和签订合同出境

若个人信息出境尚未达到以上安全评估要求时，可选择个人信息保护认证、与境外方签订合同等办法。

1、个人信息的保护认证

如上所述，《个人信息保护法》规定，按照国家网信部门的规定经专业机构进行个人信息保护认证的也可以出境。从已经有媒体所公布的相关信息来看，支付宝（中国）网络技术有限公司，腾讯云计算（北京）有限责任公司，北京百度网讯科技有限公司云计算事业部等，因建立的个人信息安全管理体系符合国家标准及隐私政策要求，成为国内首批通过个人信息安全管理体系认证的试点单位，已于2019年2月2日获得中国网络安全审查技术与认证中心个人信息安全管理体系认证证书。据该媒体券商中国记者从北京某征信评级机构从业人士了解到，上述认证依据的国家标准GB/T 35273-2017《信息安全技术个人信息安全规范》，于2017年12月29日正式发布。

2、与境外接收方订立合同

如上所述，《个人信息保护》规定，按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务，也可以出境。2019年《个人信息出境安全评估办法（征求意见稿）》中对合同的签订、双方的责任和义务等条款列出了相关规定。

具体而言，网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件（统称合同），应当明确：a、个人信息出境的目的、类型、保存时限；b、个人信息主体是合同中涉及个人信息主体权益的条款的受益人；c、个人信息主体合法权益受到损害时，网络运营者或者接收者应当予以赔偿，除非证明没有责任；d、接收者所在国家法律环境发生变化导致合同难以履行时，应当终止合同，或者重新进行安全评估；e、合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务，除非接收者已经销毁了接收到的个人信息或作了匿名化处理；f、双方约定的其他内容。

上述文件还规定，合同应当明确网络运营者承担以下责任和义务：a、以电子邮件、即时通信、信函、传真等方式告知个人信息主体网络运营者和接收者的基本情况，以及向境外提供个人信息的目的、类型和保存时间；b、应个人信息主体的请求，提供本合同的副本；c、应请求向接收者转达个人信息主体诉求，包括向接收者索赔；个人信息主体不能从接收者获得赔偿时，先行赔付。

同时，合同应当明确接收者承担以下责任和义务：a、为个人信息主体提供访问其个人信息的途径，个人信息主体要求更正或者删除其个人信息时，应在合理的代价和时限内予以响应、更正或者删除。b、按照合同约定的目的使用个人信息，个人信息的境外保存期限不得超出合同约定的时限。c、确认签署合同及履行合同义务不会违背接收者所在国家的法律要求，当接收者所在国家和地区法律环境发生变化可能影响合同执行时，应当及时通知网络运营者，并通过网络运营者报告网络运营者所在地省级网信部门。

再有，合同应当明确接收者不得将接收到的个人信息传输给第三方，除非满足以下条件：a、网络运营者已经通过电子邮件、即时通信、信函、传真等方式将个人信息传输给第三方的目的、第三方的身份和国别，以及传输的个人信息类型、第三方保留时限等通知个人信息主体。b、接收者承诺在个人信息主体请求停止向第三方传输时，停止传输并要求第三方销毁已经接收到的个人信息；c、涉及到个人敏感信息时，已征得个人信息主体同意。d、因向第三方传输个人信息对个人信息主体合法权益带来损害时，网络运营者同意先行承担赔付责任。

四、处理个人信息的有关境外机构应注意的问题

《个人信息保护法》第三条第二款规定，在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：（一）以向境内自然人提供产品或者服务为目的；（二）分析、评估境内自然人的行为；（三）法律、行政法规规定的其他情形。如个人信息出境后，符合上述规定，仍适用本法。

此时，境外机构应设置专门机构和指定代表。《个人信息保护法》第五十三条规定，本法第三条第二款规定的中华人民共和国境外的个人信息处理者，应当在中华人民共和国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

本文系未央网专栏作者:张 烽 发表，内容属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！