跨境数据传输系列——个人信息如何出境

2020.07.31 杨锦文高健

随着大数据时代的到来，个人信息作为重要的经济资源、国家安全资源成为各国争夺的对象，世界主要经济体先后加强对个人信息出境的规制。欧盟于2016年通过《一般数据保护条例》（以下简称“GDPR”），明确规定了个人数据跨境转移的条件；美国先后与欧盟签订《安全港协议》、《隐私盾协议》，对大西洋两岸跨境转移个人数据的隐私保护进行规范；日本与欧盟于2019年作出“充足性决定”，互相认定对方的保护水平及安全措施，允许个人数据在欧盟和日本之间自由流动。我国2017年实施的《网络安全法》做出“个人信息境内存储”的原则性规定，2020年5月28日公布的《民法典》对个人信息的传输行为也作出相关要求，从民事权益角度对个人信息出境予以限制。

本文拟通过对《网络安全法》、个人信息出境有关规范性文件的梳理，总结个人信息出境的界定、安全评估程序，以期为跨国公司等经营管理过程中的个人信息出境行为提供合规参考。

一、个人信息出境的界定及常见场景

1、个人信息的境内存储原则

根据2017年实施的《网络安全法》、《民法典》以及全国信息安全标准化技术委员会制定的《信息安全技术—个人信息安全规范（GB/T 35273—2020）》,“个人信息”是指，以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

2020年5月公布、将于2021年元旦实施的《民法典》在其人格权编专章规定了“隐私权和个人信息保护”，个人信息成为受《民法典》保护的人格权益。关于个人信息的存储，《网络安全法》、以及国家互联网信息办公室（以下称为“国家网信办”）后续制定的相应规范性文件（征求意见稿），均规定“个人信息应当在境内存储”的基本原则。例如，《网络安全法》第37条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息应当在境内存储。国家网信办2017年公布的《个人信息和重要数据出境安全评估办法（征求意见稿）》第2条规定，网络运营者在中华人民共和国境内运营中收集和产生的个人信息，应当在境内存储。我们注意到，《网络安全法》实施之后，为响应中国法律关于个人信息境内存储的要求，保护用户的个人信息，一些知名科技公司相继在中国建立数据中心以存储国内用户的个人信息。

此外，健康医疗、金融服务、交通服务等行业对于个人信息的境内存储也存在专门规定。

《人口健康信息管理办法(试行)》

不得将人口健康信息在境外的服务器中存储，不得托管、租赁在境外的服务器。人口健康信息，是指依据国家法律法规和工作职责，各级各类医疗卫生计生服务机构在服务和管理过程中产生的人口基本信息、医疗卫生服务信息等人口健康信息。

《中国人民银行金融消费者权益保护实施办法》

在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，金融机构不得向境外提供境内个人金融信息。

《网络预约出租汽车经营服务管理暂行办法》

网约车平台公司应当遵守国家网络和信息安全有关规定，所采集的个人信息和生成的业务数据，应当在中国内地存储和使用，保存期限不少于2年，除法律法规另有规定外，上述信息和数据不得外流。

2、常见的个人信息出境场景

伴随经济全球化及互联网经济的蓬勃发展，企业将国内个人信息跨境传输至境外的场景非常多，比较常见的包括以下情形：

1）外国公司驻华代表处、全资子公司等外商投资企业、分支机构基于母公司的全球信息管理的统一要求，通过办公自动化OA系统（Office Automation）等，向境外母公司提供员工个人信息等管理信息。

2）企业在其中国境内开展业务过程收集、汇总客户名片等个人信息，进而与境外母公司共享。

3）跨境电商、互联网企业等经营者在业务过程中，将其在境内经营过程中收集的个人信息存放在境外的服务器，或者将个人信息处理业务外包给境外公司。

4）保险、医疗、旅游、留学咨询等跨境服务行业开展业务合作、提供跨境服务过程中，将其运营过程中收集的个人信息提供给境外公司，或者在境外设置的服务器、数据中心等存储相应个人信息。

5）因FCPA调查案件、反舞弊调查、境外诉讼和仲裁机构需要，企业向境外政府部门及境外母公司、律所等提供涉及个人信息的调查信息、证据材料。

3、个人信息出境的界定

根据国家网信办2019年公布的《个人信息出境安全评估办法（征求意见稿）》第2条，“个人信息出境”，是指网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息。此外，国家质检总局与标准化委员会于2017年公布的《信息安全技术—数据出境安全评估指南（征求意见稿）》对“数据出境”作出以下更为详细的定义，是指：“网络运营者通过网络等方式，将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动”。

根据《信息安全技术—数据出境安全评估指南（征求意见稿）》，构成个人信息出境的还包括以下情形：

1）向本国境内，但不属于本国司法管辖或未在境内注册的主体提供个人信息；

2）个人信息数据未转移存储至本国以外的地方，但被境外的机构、组织、个人访问查看的（公开信息、网页访问除外）

3）网络运营者集团内部数据由境内转移至境外，涉及其在境内运营中收集和产生的个人信息的。

二、个人信息出境主要规制框架

根据《网络安全法》及国家网信办后续起草的配套规范性文件的规定，经营者在将个人信息出境前，均应依法办理安全评估手续。具体而言，《网络安全法》仅对个人信息出境的安全评估做出原则性规定，而授权国家网信办会同国务院有关部门制定其具体实施细则。对此，国家网信办于2017年、2019年先后公布两部关于数据出境安全评估办法的征求意见稿，截至目前两个办法均已结束征求意见，但尚未正式颁布。以下概括《网络安全法》、征求意见稿对于安全评估手续的申报主体、评估方式等规制内容的变迁。

事项

网络安全法

个人信息和重要数据出境安全评估办法

（征求意见稿）

个人信息出境安全评估办法

（征求意见稿）

制定/

起草主体

全国人大

常委会

国家网信办

效力

2017年

实施

2017年公布、尚未正式制定

2019年公布、尚未正式制定

评估

义务人

关键信息基础设施运营者

网络运营者

评估方式

仅规定实施 “安全评估”的原则性规定

运营者自行评估为主、特殊情况下行业主管部门或网信部门评估

均由经营者所在地省级网信部门评估

考虑到国家网信办2019年公布的征求意见稿系专门针对个人信息出境，且相比2017年公布的征求意见稿而言，2019年的征求意见稿对安全评估框架、评估流程、评估材料申报要求等做了较大调整，我们理解2019年征求意见稿更能反映监管部门的最新监管动向。因此，以下主要以2019年公布的《个人信息出境安全评估办法（征求意见稿）》（以下简称“《2019年征求意见稿》”）为基础，并结合我们以往的实务经验，梳理个人信息出境前的安全评估手续及注意点。

三、个人信息出境安全评估手续及注意点

1、评估义务人及评估机构

根据《2019年征求意见稿》，个人信息出境前，网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。由此可见，个人信息出境前的评估义务人为网络运营者，评估主管部门为网络运营者所在地的省级网信部门。

根据《网络安全法》第76条的规定，“网络运营者”，是指网络的所有者、管理者和网络服务提供者。网络运营者的范围非常广，除了互联网公司、电子商务企业之外，还包括运用互联网、企业内网、工业网等处理个人信息的企业等。可以预见，如果《2019年征求意见稿》的内容正式实施之后，跨国公司在中国投资的合资公司/独资公司、在华代表处以及办事机构向境外母公司提供员工姓名、电子邮箱地址、电话号码等员工管理信息时，均会构成个人信息出境从而应办理信息出境前的安全评估手续。

2、申报材料

根据《2019年征求意见稿》，网络运营者申报个人信息出境安全评估应当提供以下材料，并对材料的真实性、准确性负责：

1）申报书。

2）网络运营者与接收者签订的合同（以下简称“个人信息出境合同”）。

3）个人信息出境安全风险及安全保障措施分析报告（以下简称“安全风险及保障措施分析报告”）。

4）国家网信部门要求提供的其他材料。

从形式上看，个人信息出境合同、安全风险及保障措施分析报告是网信部门在评估出境安全时重点审核的申报材料。关于个人信息出境合同，主要参考了GDPR中的标准合同条款的思路，即通过对合同权利义务的安排，将网络运营者及境外接收者均纳入规制对象的范围，以弥补个人信息出境后的保护不足。

3、重点评估内容

根据《2019年征求意见稿》，在个人信息出境安全评估过程中，网信部门重点评估以下内容：

1）是否符合国家有关法律法规和政策规定；

2）信息出境合同条款能否充分保障个人信息主体合法权益，合同能否得到有效执行；

3）网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件；

4）网络运营者获得个人信息是否合法、正当；

5）其他应当评估的内容。

从内容上来看，网信部门重点评估点在于网络运营者获取个人信息的合法正当性、以及网络运营者与境外接收者对个人信息主体合法权益的保护能力、个人信息出境合同的可执行性。反之，如果网络运营者或接收者无力保障个人信息安全，或者网络运营者或接收者发生较大数据泄露、数据滥用等事件时，网信部门可以要求网络运营者暂停或终止向境外提供个人信息。

4、评估时间及频率、年度报告

省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后，应组织专家或技术力量进行安全评估。安全评估应当在15个工作日内完成，情况复杂的可以适当延长。网络运营者应每2年或者在个人信息出境目的、类型和境外保存时间发生变化时重新评估。此外，网络运营者应当在每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。

5、网络运营者的义务

根据《2019年征求意见稿》，个人信息出境合同应明确规定网络运营者（个人信息发送方）承担以下义务。

告知义务

以电子邮件、即时通信、信函、传真等方式告知个人信息主体网络运营者和接收者的基本情况，以及向境外提供个人信息的目的、类型和保存时间。

提供合同

副本义务

应个人信息主体的请求，提供网络运营者与接收者签订的个人信息出境合同的副本。

先行

赔付义务

应个人信息主体的请求，向境外接收者转达个人信息主体诉求，包括向境外接收者索赔；当个人信息主体不能从境外接收者获得赔偿时，网络运营者应先行赔付。

6、对境外接收者设置个人信息保护义务

（1）个人信息出境合同中规定的境外接收者义务

根据《2019年征求意见稿》，个人信息出境合同应明确规定境外接受者承担以下责任和义务，跨国公司的境外母公司在接收中国境内的个人信息时应引起注意。

保障信息主体对其个人信息的访问、更正及删除权利的义务

为个人信息主体提供访问其个人信息的途径，个人信息主体要求更正或者删除其个人信息时，应在合理的代价和时限内予以响应、更正或者删除；

所在国家和地区法律环境发生重大变化时的报告义务

确认签署合同及履行合同义务不会违背接收者所在国家的法律要求，当接收者所在国家和地区法律环境发生变化可能影响合同执行时，应当及时通知网络运营者，并通过网络运营者报告网络运营者所在地省级网信部门。

个人信息出境合同终止后的义务

除非境外接收者已经销毁了接收到的个人信息或作了匿名化处理，即使个人信息出境合同终止，也不能免除接收者承担涉及个人信息主体合法权益的义务。

（2）对境外机构的域外适用

《2019年征求意见稿》第20条规定，境外机构经营活动中，通过互联网等收集境内用户个人信息，应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。一般认为，该条规定意味着《2019年征求意见稿》可能会适用于不在我国境内但为我国用户提供服务的机构，这一适用对象思路与GDPR（《通用数据保护条例》）的思路类似¹。

结合GDPR第3条第2款²的规定，如果境外设置的电商平台等提供中文版网页并向中国用户推销商品或服务，同时支持人民币进行结算、向中国境内配送物流的，该电商平台构成向我国用户提供商品或服务的情形，很有可能需要按照《2019年征求意见稿》第20条的规定，在中国境内通过法定代表人或者机构来履行网络运营者的责任。

四、个人信息违法出境的法律责任

根据现有规定，网络经营者未经安全评估向境外提供个人信息或者在境外存储个人信息的，可能承担相应的民事责任、行政责任。

1、民事责任

根据《民法典》人格权编关于个人信息保护的规定，个人信息受到侵害时，受害人有权依照《民法典》和其他法律的规定，请求行为人承担停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉的民事责任。此外，根据《2019年征求意见稿》，在个人信息出境合同中，个人信息主体是涉及个人信息主体权益的受益人。个人信息主体合法权益受到损害时，可以向网络运营者或者接收者或者双方索赔，网络运营者或者接收者应当予以赔偿，除非证明没有责任。

2、行政责任

《2019年征求意见稿》第18条规定，网络运营者违反本办法规定向境外提供个人信息的，依照有关法律法规进行处理，但该条并未明确指出作为处罚依据的法律法规的名称。同时，《网络安全法》第66条对于关键信息基础设施的运营者违反法律规定，在境外存储网络数据，或者向境外提供网络数据的情形，规定了除由有关主管部门责令改正、警告、没收违法所得、罚款之外，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照³。由于《网络安全法》将在境内存储网络数据的义务主体限缩为关键信息基础设施的运营者，而且要求境内存储的对象是网络数据（范围比个人信息更广，也可能与个人信息存在交叉），对于个人信息违法出境行为是否参照适用《网络安全法》第66条，经过公开渠道尚未查询到相关处罚案例。

另一方面，在人类遗传资源等特殊领域，对于未经批准或者备案向外国组织、个人或实际控制机构提供或者开展中国人类遗传资源国际合作的行为，科技部有权责令停止违法行为，没收违法采集、保藏的人类遗传资源和违法所得，并处以罚款⁴。根据科技部公示的信息，某基因公司及某医院于2015年未经许可，与英国某大学开展关于中国人类遗传资源国际合作研究，将部分人类遗传资源信息从网上传递出境。对此，科技部依法要求涉案医院及基因公司立即停止研究工作，销毁前述研究工作中所有未出境的遗传资源材料及相关研究数据；停止涉案医院和基因公司涉及中国人类遗传资源的国际合作并进行整改⁵。

五、企业应对个人信息出境规制的合规建议

尽管《2019年征求意见稿》尚未形成法规正式发布，但从有关个人信息出境的规制框架及安全评估手续的规定中，可以窥见监管机关对个人信息出境提出比较严格的监管要求。为了降低个人信息出境风险，我们建议跨国公司参照相关规制框架进行内部自查，并建立完善公司个人信息保护制度，做到未雨绸缪、有备无患。

1、积极应对出境安全评估，开展个人信息出境自查

如上所述，《2019年征求意见稿》规定网络运营者申报个人信息出境安全评估时，需要向网信部门提交个人信息出境安全风险及安全保障措施分析报告，该报告应包含网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力等。为了降低跨国公司违规办理个人信息出境的风险，并在《2019年征求意见稿》正式实施后尽快按照要求向监管部门提交报告，我们曾协助多家企业进行信息数据资产尽职调查，梳理企业数据资产、对企业信息处理行为是否合规、网络安全能力及安全保障措施、数据出境计划等开展内部自查，并制作自查报告或数据出境评估报告。

结合《信息安全技术—数据出境安全评估指南（征求意见稿）》的相关规定，自查报告实施流程及主要内容如下：

主要流程

相应工作内容

设立自评估工作组

工作组主要包含法务、政策、安全、技术、管理相关专业人员。可以根据需要，邀请外部专家和律师加入工作组。

制定数据出境计划

计划的内容包括但不限于：

a) 涉及个人信息情况，包括个人信息的类型、数量、范围和敏感程度等；

b) 涉及的信息系统情况；

c) 个人信息发送方的安全保护能力；

d) 个人信息境外接收者的安全保护能力及其所在的国家或地区的法律基本情况；

e) 出境持续时间、个人信息出境后是否会再向第三方传输等。

安全自评估要点及方法

评估要点：包括获得个人信息是否合法、正当；出境计划的安全风险；个人信息发送方的安全保护能力；个人信息接收者的安全保护能力；个人信息接收者所在国家或区域的法律环境等。

评估方法：首先，评估个人信息出境对个人权益的影响等级，并根据信息发送方和境外接收者安全保障能力、以及接收者所在地法律，判定安全事件可能性等级；其次，从个人权益受影响程度及安全事件可能性两个层面开展安全风险综合评估综合评价，按照“极高”、“高”、“中”和“低”四个等级对整体安全风险进行评估。

形成安全自评估报告

网络运营者在完成数据出境安全自评估后，应形成安全自评估报告。安全自评估报告内容应包括但不限于：安全自评估对象基本情况、安全自评估组织实施情况、安全自评估结果、数据出境安全风险点、检查修正建议。

2、完善个人信息保护制度，对确需出境的内部管理信息事先取得员工同意

为满足监管机关对个人信息出境不断强化的监管要求，跨国公司应当依法建立并完善个人信息保护制度，对员工个人信息的收集、存储、使用、共享等处理行为做出明确规定，通过公司内部系统或者书面形式向员工通知并获得其签收确认。

跨国公司为了集团内部管理需要，一般会向境外母公司传输员工管理信息。为此，作为个人信息保护制度的配套文件，跨国公司应提前与员工签署《个人信息使用同意承诺函》等文件，单独列明为内部管理之目的而需要向境外母公司集团共享的员工信息类型（例如姓名、所属部门、电子邮箱、紧急联系手机号、住址等），并获得员工的授权同意。

此外，跨国公司还应注意仅在最小必要范围内向母公司集团共享员工个人信息，并对不同类型的个人信息设置不同的访问、管理权限，防止发生个人信息泄露事件。

3、实施文件筛查，对涉及个人信息的出境文件进行特殊加工

跨国公司出于FCPA调查、商业贿赂案件调查/反舞弊调查或者境外诉讼仲裁的原因，或者基于国际业务合作的需求，往往需要向境外政府部门、母公司、司法机构、客户公司等提供文件资料，其中有可能涉及员工的个人信息。对此，我们建议跨国公司持保守、谨慎的态度，在个人信息出境前，通过获取外部专家的协助对相关文件进行筛查，如果经筛查发现相关资料涉及个人信息，一般应通过特殊加工（Redaction）等措施进行排除，防止这些信息被传输至境外带来不必要的风险。

本文主要梳理了我国对于个人信息出境的规制框架及安全评估手续，并结合实务经验，对跨国公司运营管理过程中的个人信息出境提出合规建议。现行有效的《网络安全法》仅对信息出境规制框架做了原则性规定，而国家网信办、标准化委员会等公布的出境安全评估办法、评估指南等配套文件仅是征求意见稿，并未正式颁布，今后我们将持续关注相关立法进展及实务动向。

1.《个人信息出境安全评估办法（征求意见稿）》的个人用户关注点. http://www.cac.gov.cn/2019-06/27/c_1124680806.htm

2.《一般数据保护条例》第3条（地域范围）第2款规定如下，援引自中国人民大学法学院丁晓东副教授中文翻译。“2．本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立：(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或(b)对发生在欧洲范围内的数据主体的活动进行监控。”

3.《网络安全法》第66条：关键信息基础设施的运营者违反本法第37条规定，在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

4.《人类遗传资源管理条例》第36条：违反本条例规定，有下列情形之一的，由国务院科学技术行政部门责令停止违法行为，没收违法采集、保藏的人类遗传资源和违法所得，处50万元以上500万元以下罚款，违法所得在100万元以上的，处违法所得5倍以上10倍以下罚款：（三）未经批准，利用我国人类遗传资源开展国际合作科学研究；（四）未通过安全审查，将可能影响我国公众健康、国家安全和社会公共利益的人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用；（五）开展国际合作临床试验前未将拟使用的人类遗传资源种类、数量及其用途向国务院科学技术行政部门备案。

5.https://www.guancha.cn/industry-science/2018_10_26_476957.shtml