个保法背景下，个人信息跨境的合规问题

个保法用第三章专章规定了个人信息跨境规则，第三章的第一条即对个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的条件进行了说明。可以看出个保法所称的个人信息跨境，应当是企业基于业务需要，在满足必要性的条件下进行的向境外提供个人信息的行为。具体到业务场景上，参考国标《信息安全技术数据出境安全评估指南（征求意见稿）》（以下简称“评估指南”）的规定，数据出境是指网络运营者通过网络等方式，将其在我国境内运营中收集和产生的个人信息和重要数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。

实践中常见的个人信息跨境的场景包括：境内企业与境外主体进行商业往来时提供了境内所收集的个人信息、境内企业向境外关联主体转移了所收集的个人信息、境内企业按照外国司法或者执法机构的请求提供了境内所收集的个人信息等，此外根据评估指南的说明，以下情形也属于个人信息跨境：

1）向本国境内，但不属于本国司法管辖或未在境内注册的主体提供个人信息。例如向别国驻我国大使馆、领事馆提供个人信息；

2）数据未转移存储至本国以外的地方，但被境外的机构、组织、个人访问查看的（公开信息、网页访问除外）。

以上列举仍然是开放式列举，就具体认定问题，国家网信办副主任盛荣华曾进行了进一步回答：相关保护工作部门会依据本行业本领域认定规则，组织认定是不是关键信息基础设施行业或者是范围，且企业所有制的形式不作为关键信息基础设施认定的依据或条件，《关键信息基础设施安全保护条例》并不单单针对外贸以及境外上市企业。

也就是说，关键信息基础设施的认定工作由相关行业主管部门、监督管理部门进行，是否是外资或境外上市企业并不作为认定条件，认定主要依据设施性质。实践中，新闻网站、即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台、大型数据中心、云计算平台等设施/系统的运营者更可能被纳入关键信息基础设施运营者的范畴。

评估办法第四条对此进行了说明，从数据量角度，企业向境外提供数据，符合以下情形之一的，就应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

1）处理个人信息达到100万人的个人信息处理者向境外提供个人信息；

2）累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息。

以上分别是通过主体的体量和提供数量两个角度来认定，满足条件之一，就应当进行安全评估。

CCRC由中央机构编制委员会办公室批准成立，是国家市场监督管理总局直属的事业单位，负责依据《网络安全法》《网络安全审查办法》及国家有关强制性产品认证法律法规承担网络安全审查技术支撑和认证工作，个保法生效后，该部门可能作为个人信息保护认证的专业机构之一，但认证机构及具体认证方式是否存在其他变化，仍有待相关部门说明。

1）数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等；

2）数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施；

3）限制境外接收方将出境数据再转移给其他组织、个人的约束条款；

4）境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区法律环境发生变化导致难以保障数据安全时，应当采取的安全措施；

5）违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款；

6）发生数据泄露等风险时，妥善开展应急处置，并保障个人维护个人信息权益的通畅渠道。

可以预测，网信部门所制定的标准合同将从数据跨境的全流程（传输、存储、期限、再转移、应急处置等）明确数据处理者与境外接收方的权利义务，并将进行更细节和更具操作性的规定。

确认受理后，国家网信办会组织行业主管部门、国务院有关部门、省级网信部门、专门机构等进行安全评估，并自出具书面受理通知书之日起45个工作日内完成数据出境安全评估，情况复杂或者需要补充材料的，可能适当延长，但一般不超过60个工作日。

数据出境评估结果有效期是2年，在目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件等情况下，企业需要重新申报评估。

向个人告知的具体内容较易理解，实践中我们遇到的问题主要是在单独同意的实现方式上。取得个人的单独同意，即意味不得将特定对象的授权与其他授权内容“进行捆绑”以获得个人“一揽子”同意，我们建议企业可以针对需要授权的数据处理活动制作专门的授权同意文件/文本，在用户实际触发相关业务功能时启动单独同意的授权机制，具体实现形式包括但不限于通过界面弹窗、跳转链接、邮箱推送、纸面文件等告知用户，并设置强制阅读停留、用户主动点击确认、填写、拍照、文件签署上传等同意模式。