海外投资安全信息2023年第二十八期（总第一百六十八期）

个人信息出境标准合同实务及与欧盟GDPR的衔接

【2023055】

【预警保护伞】

2022年12月，中央出台的“数据二十条”（《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》）就构建数据基础制度，更好发挥数据要素作用给出了指导意见。从发展趋势看，防范数据出境安全风险，成为未来监管的重中之重。

针对企业跨境数据合规问题，在本次研讨会前，走出去智库（CGGT）对多位企业管理者开展了问卷调查，调查结果显示：

1、56.9%的企业面临业务高度全球化，在极端地缘冲突背景下，或面临数据领域的出口管制和制裁风险；

2、企业跨境数据合规关注的重点国家和地区：美国（77.6%）、欧盟（75.9%的）、东南亚（36.2%的）等；

3、48.3%的企业认为数据泄露问题将给企业带来重大经济损失或产生重大声誉风险；

4、企业反馈数据跨境合规管理工作的主要难点包括：数据出境场景识别（65.5%）；适配数据出境合规策略（63.8%）；数据出境合规策略落地（65.5%）。

5、就数据安全和隐私合规体系建设，企业反馈的主要难点包括：个人信息和重要数据识别及分类分级（82.8%）；强化覆盖制度和流程的管理体系（62.1%）；设计符合企业实际情况的本地化方案等（67.2%）。

个人信息出境标准合同办法实务要点十问十答

2 月 24 日，国家网信办正式发布《个人信息出境标准合同办法》（下称“《标准合同办法》”）及《个人信息出境标准合同》（下称“《标准合同》”）。至此，中国数据跨境传输监管机制“三件套”——（1）数据出境安全评估、（2）个人信息出境标准合同及（3）个人信息保护认证的具体实施办法均正式出台，中国数据跨境传输监管体系及实务将迎来全新的篇章。

本次研讨会聚焦企业在解读和落实《标准合同办法》及《标准合同》的过程中可能遇到或产生的十个常见问题，结合实务经验进行解答，为企业开展数据跨境传输合规工作提供实务指引。具体内容见文章：《个人信息出境标准合同办法》出台落地相关实务要点十问十答

《个人信息出境标准合同办法》将于2023年6月1日正式实施，企业可以根据跨境数据合规工作的不同阶段，采取以下7个步骤：

前置内部梳理工作（第1-3步）：

（1）梳理现有业务场景下的所有数据出境场景

（2）选择适用的数据跨境传输机制

（3）依据所触发的机制，制定数据跨境传输合规整改计划表

履行通用的事先数据跨境传输合规义务（第4步）：

（4）履行通用的数据跨境传输事前合规义务

·履行告知-同意义务

应明确告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使法定权利的方式和程序等事项，并取得个人的单独同意。

·境外接收方尽调

个人信息处理者应对境外数据接收方开展技术和合规管理方面的尽调，确保其有足够的安全保护能力。

·开展个人信息保护影响评估（PIA）

个人信息处理者应对境外数据接收方开展技术和合规管理方面的尽调，确保其有足够的安全保护能力。

·签署数据跨境传输协议

依据目前的数据跨境传输机制来看，无论适用哪一机制，均要求境内数据出境方与境外数据接收方签订数据跨境传输协议。

合同洽谈、备案及长期追踪（第5-7步）：

（5）如适用签订标准合同机制，应尽快开展谈判与洽谈工作

（6）向网信部门备案

（7）持续追踪与监督，并积极响应个人信息主体权利