2023年數(shù)據(jù)出境合規(guī)年鑒

?2023云安全聯(lián)盟大中華區(qū)版權(quán)所有?2023云安全聯(lián)盟大中華區(qū)版權(quán)所有@2023云安全聯(lián)盟大中華區(qū)-保留所有權(quán)利。你可以在你的電腦上下載、儲存、展示、查看及打印，或者訪問云安全聯(lián)盟大中華區(qū)官網(wǎng)（）。須遵守以下：(a)本文只可作個人、信息獲取、非商業(yè)用途；(b)本文內(nèi)容不得篡改；(c)本文不得轉(zhuǎn)發(fā)；(d)該商標(biāo)、版權(quán)或其他聲明不得刪除。在遵循中華人民共和國著作權(quán)法相關(guān)條款情況下合理使用本文內(nèi)容，使用時請注明引用于云安全聯(lián)盟大中華區(qū)。?2023云安全聯(lián)盟大中華區(qū)版權(quán)所有?2023云安全聯(lián)盟大中華區(qū)版權(quán)所?2023云安全聯(lián)盟大中華區(qū)版權(quán)所致謝北京啟明星辰信息安全技術(shù)有限公司北京神州綠盟科技有限公司關(guān)于研究工作組的更多介紹，請在CSA序言毫無疑問，2023年可稱為中國數(shù)據(jù)跨境監(jiān)管的元年，這一年初出境評估的“蓬勃”和將近年末的數(shù)據(jù)出境法律調(diào)整“震蕩”態(tài)勢，說明著包括中國在內(nèi)，數(shù)據(jù)跨境監(jiān)管在各種國際和國內(nèi)因素共同作用下的抉擇艱難。盡管如此，作為數(shù)據(jù)出境的主體，企業(yè)需要一種政策和法律的穩(wěn)定性和預(yù)期性，《2023年數(shù)據(jù)出境合規(guī)年鑒》（以下簡稱“報告”）正是從企業(yè)合規(guī)視角出發(fā)的一次對中國數(shù)據(jù)跨境法律的整體梳理。報告系統(tǒng)的整理了目前中國數(shù)據(jù)出境監(jiān)管的法律制度要求，這一制度呈現(xiàn)為基礎(chǔ)法律、規(guī)范性文件、標(biāo)準(zhǔn)、指南的立體結(jié)構(gòu)，并從原則到已經(jīng)具有一定顆粒度的指引，說明監(jiān)管者規(guī)范數(shù)據(jù)出境活動的良苦用心。同時，這一體系化結(jié)構(gòu)也意味著可解釋和可例外的場景雖然很多，包括自貿(mào)區(qū)等先行先試模式在一定區(qū)域范圍、數(shù)據(jù)類型、甚至字段級別的“突破”，但整體上不太可能存在“顛覆性”的規(guī)則重塑，因此企業(yè)所尋求的穩(wěn)定性和對出境活動后果的可預(yù)期性事實上也是清晰和明確的，大可不必為所謂監(jiān)管的“不確定性”焦慮。進(jìn)一步的，報告著力于從已經(jīng)公開的評估、備案信息中，分析和識別一般規(guī)律，包括涉及的行業(yè)特征、所在區(qū)域的省級網(wǎng)信部門的指導(dǎo)能力、企業(yè)對可適用出境路徑的定性判斷等等，這些抽象的、一般的規(guī)律性認(rèn)識，對未來無論是數(shù)據(jù)出境的細(xì)節(jié)考慮，還是常態(tài)化的企業(yè)數(shù)據(jù)合規(guī)建設(shè)應(yīng)都有啟發(fā)。當(dāng)然最為重要的是，需要將CSA大中華區(qū)在數(shù)據(jù)技術(shù)和管理中的最佳實踐和較優(yōu)做法注入到數(shù)據(jù)出境場景，成為數(shù)據(jù)跨境企業(yè)賦能的一部分，在更廣闊的全球范圍內(nèi)分享中國數(shù)據(jù)跨境的監(jiān)管規(guī)則變遷、落地個案的優(yōu)劣得失，并將全球主要國家的政策法律進(jìn)行符合中國跨境監(jiān)管要求的解讀和適配。在秉持中立性的原則下加強(qiáng)和推動不同國家跨境監(jiān)管制度的交流和協(xié)調(diào)，為繁榮數(shù)字經(jīng)濟(jì)和貿(mào)易活動貢獻(xiàn)力量，這也是啟動報告工作的初衷和意愿所在。從這一意義上，這份發(fā)起于數(shù)據(jù)跨境監(jiān)管元年的報告將只是一個起點、一個嘗試。在全球視野下報告所涉及的領(lǐng)域和方向仍將有諸多方向的持續(xù)性進(jìn)展，值得每位報告參與者和關(guān)注報告的每位讀者保持關(guān)注，甚至傾注更多力量。李雨航Y(jié)aleLiCSA大中華區(qū)主席兼研究院院長?2023云安全聯(lián)盟大中華區(qū)版權(quán)所 4 5 8 8 9 9 10 11 112.2數(shù)據(jù)出境安全評估申報指南（第一版摘引） 12 17 182.5個人信息出境標(biāo)準(zhǔn)合同備案指南（第一版摘引） 20 26 26 344、合規(guī)要求與示范 36 36 36 37 37 38 39 40 41 41 42 43?2023云安全聯(lián)盟大中華區(qū)版權(quán)所 44 45 46 47 48 48 49 50 51 52 52 52 53 53 53?2023云安全聯(lián)盟大中華區(qū)版權(quán)所1、法律規(guī)定施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定1；其他數(shù)據(jù)處理者在中華人民華人民共和國境外提供個人信息的，應(yīng)當(dāng)具備下列條件之一一）依照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評估二）按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個人信息保護(hù)認(rèn)證三）按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)四）法律、行政法規(guī)或者國1《網(wǎng)絡(luò)安全法》第三十七條規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估；法律、行政法規(guī)另有活動，保護(hù)個人信息權(quán)益，維護(hù)國家安全和社安全評估做出規(guī)定，設(shè)定了對個人信息適用（最嚴(yán)格的）評估監(jiān)管時的“上限”2022年6月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指2《個人信息保護(hù)法》第三條第二款規(guī)定：在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信評估境內(nèi)自然人的行為三）法律、行政法規(guī)規(guī)定的其他情形。V2.0規(guī)范對此略有調(diào)整，但整體上適用2023年6月《個人信息出境標(biāo)準(zhǔn)合同辦法》正式發(fā)布，規(guī)定了個人信息出2023年9月，為對上下限之外的情形做出進(jìn)一步澄清，國家網(wǎng)信辦發(fā)布了或者重要數(shù)據(jù)2）不是在境內(nèi)收集產(chǎn)生的個人信息向境外提供3）為訂立、履行個人作為一方當(dāng)事人的合同所必需，如跨境購物3、跨境匯款、機(jī)票酒店預(yù) （5）緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全等6）預(yù)計一年內(nèi)向境3例如目前對軟硬件在線激活方式中，頭部企業(yè)已經(jīng)大量調(diào)整了用戶條款和隱私政策：用戶點擊同意，即完成數(shù)據(jù)出境，而無需再履行標(biāo)準(zhǔn)合同、認(rèn)證或評估程序，并不再履示且均以有相對完備的規(guī)范性法律文件進(jìn)行界定和約束。實務(wù)中，為了指導(dǎo)2、指南規(guī)則數(shù)據(jù)處理者向境外提供數(shù)數(shù)據(jù)處理者向境外提供數(shù)據(jù)，有下列情形之一的，應(yīng)當(dāng)通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報（一）數(shù)據(jù)處理者向境外（二）關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理100萬人以上個人信息的數(shù)據(jù)處理者個人信息處理者開展個個人信息處理者開展個人信息跨境處理活動，（一）跨國公司或者同一經(jīng)濟(jì)、事業(yè)實體下屬（二）《個人信息保護(hù)法》第三條第二款規(guī)定的境外個人信息處理者（即在中國境外處理中華人民共和國境內(nèi)自然人個人信息以分析、評估境內(nèi)自然人的行為的（二）處理個人信息不滿100（二）處理個人信息不滿100萬人個人信息處理者通過訂立標(biāo)準(zhǔn)合同的方式向境外提供個人信息的，應(yīng)法律、行政法規(guī)或者國家網(wǎng)信部門（表一）（表一）2.2數(shù)據(jù)出境安全評估申報指南（第一版摘引）人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境（四）國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境個人信息處理者不得采取數(shù)量拆分等手段，將依法應(yīng)當(dāng)通過出境安全評估的個人信息通過訂立標(biāo)準(zhǔn)合同2022年9月，國家網(wǎng)信辦（包括主要的省級網(wǎng)信辦）陸續(xù)出臺了配合《數(shù)據(jù)出境安全評估辦法》的指南文件二、數(shù)據(jù)出境安全評估申報指南（第一估路徑的適用范圍、申報方式、流程、申報文件體系、解答咨詢聯(lián)系方式等進(jìn)行了完整規(guī)范，成為企業(yè)可參照的模板、手冊式指導(dǎo)。大部分觸發(fā)評估條件的企業(yè)均有參考或按照指南進(jìn)行申報準(zhǔn)備。一、適用范圍數(shù)據(jù)處理者向境外提供數(shù)據(jù)，有下列情形之一的，應(yīng)當(dāng)通過所在地省級網(wǎng)信辦向國家網(wǎng)信辦申報數(shù)據(jù)出境安全評估一）數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)二）關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息三）自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息四）國家網(wǎng)信辦規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。以下情形屬于數(shù)據(jù)出境行為：（一）數(shù)據(jù)處理者將在境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲至境外二）數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi)，境外的機(jī)構(gòu)、組織或者個人可以查詢、調(diào)取、下載、導(dǎo)出三）國家網(wǎng)信辦規(guī)定的其他數(shù)據(jù)出境行為。二、申報方式及流程數(shù)據(jù)處理者申報數(shù)據(jù)出境安全評估，應(yīng)當(dāng)通過所在地省級網(wǎng)信辦申報數(shù)據(jù)出境安全評估。申報方式為送達(dá)書面申報材料并附帶材料電子版。省級網(wǎng)信辦收到申報材料后，在5個工作日內(nèi)完成申報材料的完備性查驗。通過完備性查驗的，省級網(wǎng)信辦將申報材料上報國家網(wǎng)信辦；未通過完備性查驗的，數(shù)據(jù)處理者將收到申報退回通知。國家網(wǎng)信辦自收到省級網(wǎng)信辦上報申報材料之日起7個工作日內(nèi)，確定是否受理并書面通知數(shù)據(jù)處理者。數(shù)據(jù)處理者如被告知補充或者更正申報材料，應(yīng)當(dāng)及時按照要求補充或者更正材料。無正當(dāng)理由不補充或者更正申報材料的，安全評估將會終止。情況復(fù)雜的，數(shù)據(jù)處理者將被告知評估預(yù)計延長的時間。評估完成后，數(shù)據(jù)處理者將收到評估結(jié)果通知書。對評估結(jié)果無異議的，數(shù)據(jù)處理者須按照數(shù)據(jù)出境安全管理相關(guān)法律法規(guī)和評估結(jié)果通知書的有關(guān)要求，規(guī)范相關(guān)數(shù)據(jù)出境活動；對評估結(jié)果有異議的，數(shù)據(jù)處理者可以在收到評估結(jié)果通知書15個工作日內(nèi)向國家網(wǎng)信辦申請復(fù)評，復(fù)評結(jié)果為最終結(jié)論。三、申報材料數(shù)據(jù)處理者申報數(shù)據(jù)出境安全評估，應(yīng)當(dāng)提交如下材料：1、統(tǒng)一社會信用代碼證件影印件2、法定代表人身份證件影印件3、經(jīng)辦人身份證件影印件4、經(jīng)辦人授權(quán)委托書5、數(shù)據(jù)出境安全評估申報書6、與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件影印件7、數(shù)據(jù)出境風(fēng)險自評估報告8、其他相關(guān)證明材料數(shù)據(jù)處者對所提交材料的真實性負(fù)責(zé)，提交虛假材料的，按照評估不通過處理，并依法追究相應(yīng)法律責(zé)任。估報告（模板具有重大參考價值。特別需要關(guān)注的是，對數(shù)據(jù)出境安全評估申報書（申報表）如何填寫，指南提供了一份較為詳細(xì)的填表說明（見下解答了申報中的一些常見困惑，仍無法解惑，或需要進(jìn)一步尋找樣例參考的，可質(zhì)/類型、有效期等欄目填寫。單位注冊地應(yīng)具體到城市，如北京申報書05項中數(shù)據(jù)出境業(yè)務(wù)描述怎申報書06項中數(shù)據(jù)出境的目的怎么申報書07項數(shù)據(jù)出境的方式怎么填申報書08項數(shù)據(jù)出境鏈路怎么填申報書09項擬出境數(shù)據(jù)情況怎么填關(guān)于個人信息的敏感程度，可參照國家標(biāo)準(zhǔn)《信息安全技術(shù)個人信息安全規(guī)范》。涉及行業(yè)/領(lǐng)域填寫出境數(shù)據(jù)涉及的行業(yè)領(lǐng)域范申報書13項相關(guān)條款在法律文件中申報書14項遵守中國法律、行政法數(shù)據(jù)處理者簡述近2年在業(yè)務(wù)經(jīng)營活動中受到行政處罰和有關(guān)主當(dāng)性、必要性（其中對必要性的論證成為難點，對必要性論證不足，可能導(dǎo)致評估結(jié)果為不通過，或部分（字段）不通過管理制度、措施的進(jìn)一步參考，見本報告第五章12信息出境標(biāo)準(zhǔn)3浙江省的個人信息處理者通過訂立標(biāo)準(zhǔn)合同的方式向境外提供個人信4明確所在地為重慶市的個人信息處理者通過訂立標(biāo)準(zhǔn)合同的方式向境52022年11月的《個人信息保護(hù)認(rèn)證實施規(guī)則》實際上包括了個人信息保護(hù)認(rèn)證的一般規(guī)則和跨境處理活動的特殊規(guī)則兩種情況，對第二種情況，主要適用標(biāo)準(zhǔn)在GB/T35273《信息安全技術(shù)個人信息安全規(guī)范》基礎(chǔ)上附加了TC260-PG-20222A《個人信息跨境處理活動安全認(rèn)證規(guī)范》。整體上，規(guī)則的重點關(guān)注包括（為方便結(jié)構(gòu)理解，保留了原文序號（一）認(rèn)證模式個人信息保護(hù)認(rèn)證的認(rèn)證模式為：技術(shù)驗證+現(xiàn)場審核+獲證后監(jiān)督（二）認(rèn)證實施程序特別包括了以下程序：4.2技術(shù)驗證技術(shù)驗證機(jī)構(gòu)應(yīng)當(dāng)按照認(rèn)證方案實施技術(shù)驗證，并向認(rèn)證機(jī)構(gòu)和認(rèn)證委托人出具技術(shù)驗證報告。4.3現(xiàn)場審核認(rèn)證機(jī)構(gòu)實施現(xiàn)場審核，并向認(rèn)證委托人出具現(xiàn)場審核報告。4.5獲證后監(jiān)督4.5.1監(jiān)督的頻次認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)在認(rèn)證有效期內(nèi)，對獲得認(rèn)證的個人信息處理者進(jìn)行持續(xù)監(jiān)督，并合理確定監(jiān)督頻次。4.5.2監(jiān)督的內(nèi)容認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)采取適當(dāng)?shù)姆绞綄嵤┇@證后監(jiān)督，確保獲得認(rèn)證的個人信息處理者持續(xù)符合認(rèn)證要求。4.5.3獲證后監(jiān)督結(jié)果的評價認(rèn)證機(jī)構(gòu)對獲證后監(jiān)督結(jié)論和其他相關(guān)資料信息進(jìn)行綜合評價，評價通過的，可繼續(xù)保持認(rèn)證證書；不通過的，認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)根據(jù)相應(yīng)情形做出暫停直至撤銷認(rèn)證證書的處理。（三）認(rèn)證證書5.1.1認(rèn)證證書的保持認(rèn)證證書有效期為3年。在有效期內(nèi)，通過認(rèn)證機(jī)構(gòu)的獲證后監(jiān)督，保持認(rèn)證證書的有效性。5.1.3認(rèn)證證書的注銷、暫停和撤銷當(dāng)獲得認(rèn)證的個人信息處理者不再符合認(rèn)證要求時，認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)及時對認(rèn)證證書予以暫停直至撤銷。認(rèn)證委托人在認(rèn)證證書有效期內(nèi)可申請認(rèn)證證書暫停、注銷。2.5個人信息出境標(biāo)準(zhǔn)合同備案指南（第一版摘引）《個人信息出境標(biāo)準(zhǔn)合同辦法》自2023年6月1日起施行。為指導(dǎo)和幫助個人信息處理者規(guī)范、有序備案個人信息出境標(biāo)準(zhǔn)合同（“標(biāo)準(zhǔn)合同”國家網(wǎng)信辦制定了標(biāo)準(zhǔn)合同備案指南。一、適用范圍個人信息處理者通過訂立標(biāo)準(zhǔn)合同的方式向境外提供個人信息的，應(yīng)當(dāng)同時符合下列情（一）非關(guān)鍵信息基礎(chǔ)設(shè)施運營者二）處理個人信息不滿100萬人的三）自上年1月1日起累計向境外提供個人信息不滿10萬人的四）自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的。法律、行政法規(guī)或者國家網(wǎng)信部門另有規(guī)定的，從其規(guī)定。個人信息處理者不得采取數(shù)量拆分等手段，將依法應(yīng)當(dāng)通過出境安全評估的個人信息通過訂立標(biāo)準(zhǔn)合同的方式向境外提供。以下情形屬于個人信息出境行為：（一）個人信息處理者將在境內(nèi)運營中收集和產(chǎn)生的個人信息傳輸、存儲至境外二）個人信息處理者收集和產(chǎn)生的個人信息存儲在境內(nèi)，境外的機(jī)構(gòu)、組織或者個人可以查詢、調(diào)取、下載、導(dǎo)出三）國家網(wǎng)信辦規(guī)定的其他個人信息出境行為。二、備案方式個人信息處理者應(yīng)當(dāng)在標(biāo)準(zhǔn)合同生效之日起10個工作日內(nèi)，通過送達(dá)書面材料并附帶材料電子版的方式，向所在地省級網(wǎng)信辦備案。三、備案流程標(biāo)準(zhǔn)合同備案流程包括材料提交、材料查驗及反饋備案結(jié)果、補充或者重新備案等環(huán)節(jié)。（一）材料提交（指南并制備了相關(guān)文件模板、范本）個人信息處理者備案標(biāo)準(zhǔn)合同，應(yīng)當(dāng)提交如下材料：1、統(tǒng)一社會信用代碼證件影印件2、法定代表人身份證件影印件3、經(jīng)辦人身份證件影印件4、經(jīng)辦人授權(quán)委托書5、承諾書6、標(biāo)準(zhǔn)合同7、《個人信息保護(hù)影響評估報告》（二）材料查驗及反饋備案結(jié)果省級網(wǎng)信辦收到材料后，在15個工作日內(nèi)完成材料查驗，并通知個人信息處理者備案結(jié)果。備案結(jié)果分為通過、不通過。通過備案的，省級網(wǎng)信辦向個人信息處理者發(fā)放備案編號；不通過備案的，個人信息處理者將收到備案未成功通知及原因，要求補充完善材料的，個人信息處理者應(yīng)當(dāng)補充完善材料并于10個工作日內(nèi)再次提交。（三）補充或者重新備案在標(biāo)準(zhǔn)合同有效期內(nèi)出現(xiàn)下列情形之一的，個人信息處理者應(yīng)當(dāng)重新開展個人信息保護(hù)影響評估，補充或者重新訂立標(biāo)準(zhǔn)合同，并履行相應(yīng)備案手續(xù)：1、向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發(fā)生變化，或者延長個人信息境外保存期限的；2、境外接收方所在國家或者地區(qū)的個人信息保護(hù)政策和法規(guī)發(fā)生變化等可能影響個人信息權(quán)益的；3、可能影響個人信息權(quán)益的其他情形。個人信息處理者在標(biāo)準(zhǔn)合同有效期內(nèi)補充訂立標(biāo)準(zhǔn)合同的，應(yīng)當(dāng)向所在地省級網(wǎng)信辦提交補充材料；重新訂立標(biāo)準(zhǔn)合同的，應(yīng)當(dāng)重新備案。補充或者重新備案的材料查驗時間為15個工作日。個人信息處理者對所提交材料的真實性負(fù)責(zé)，提交虛假材料的，按照備案不通過處理，并依法追究相應(yīng)法律責(zé)任。一、評估工作簡述評估工作開展情況，包括起止時間、組織情況、實施過程、實施方式等內(nèi)容。如有第三方機(jī)構(gòu)參與評估，需說明第三方機(jī)構(gòu)的基本情況及參與評估的情況，并在相關(guān)內(nèi)容頁上加蓋第三方機(jī)構(gòu)公章。二、出境活動整體情況詳細(xì)說明個人信息處理者基本情況、個人信息出境涉及的業(yè)務(wù)和信息系統(tǒng)、出境個人信息情況、個人信息處理者個人信息保護(hù)能力情況、境外接收方情況、是否向第三方提供個人信息以及如何確保標(biāo)準(zhǔn)合同條款落實等。包括不限于：（一）個人信息處理者基本情況1.組織或者個人基本信息；2.股權(quán)結(jié)構(gòu)和實際控制人信息；3.組織架構(gòu)信息；4.個人信息保護(hù)機(jī)構(gòu)信息；5.整體業(yè)務(wù)與個人信息情況；6.境內(nèi)外投資情況。（二）個人信息出境涉及業(yè)務(wù)和信息系統(tǒng)情況1.個人信息出境涉及業(yè)務(wù)的基本情況；2.個人信息出境涉及業(yè)務(wù)的個人信息收集使用情況；3.個人信息出境涉及業(yè)務(wù)的信息系統(tǒng)情況；4.個人信息出境涉及的數(shù)據(jù)中心（包含云服務(wù)）情況；5.個人信息出境鏈路相關(guān)情況。（三）擬出境個人信息情況1.說明個人信息處理者和境外接收方處理個人信息的目的、范圍、方式，及其合法性、正當(dāng)性、必要性；2.說明出境個人信息的規(guī)模、范圍、種類、敏感程度，處理敏感個人信息和利用個人信息進(jìn)行自動化決策情況；3.擬出境個人信息在境內(nèi)存儲的系統(tǒng)平臺、數(shù)據(jù)中心等情況，計劃出境后存儲的系統(tǒng)平臺、數(shù)據(jù)中心等；4.個人信息出境后向境外其他接收方提供的情況。（四）個人信息處理者個人信息保護(hù)能力情況1.個人信息安全管理能力，包括管理組織體系和制度建設(shè)情況，全流程管理、應(yīng)急處置、個人信息權(quán)益保護(hù)等制度及落實情況；2.個人信息安全技術(shù)能力，包括個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等全流程所采取的安全技術(shù)措施等；3.個人信息保護(hù)措施有效性證明，例如開展的個人信息保護(hù)認(rèn)證、個人信息保護(hù)合規(guī)審計、網(wǎng)絡(luò)安全等級保護(hù)測評等情況；4.遵守個人信息保護(hù)相關(guān)法律法規(guī)的情況。（五）境外接收方情況1.境外接收方基本情況；2.境外接收方處理個人信息的用途、方式等；3.境外接收方的個人信息保護(hù)能力；4.境外接收方所在國家或地區(qū)個人信息保護(hù)政策法規(guī)情況；5.境外接收方處理個人信息的全流程過程描述。（六）個人信息處理者認(rèn)為需要說明的其他情況三、擬出境活動的影響評估情況就下列事項逐項說明影響評估情況，重點說明評估發(fā)現(xiàn)的問題和風(fēng)險隱患，以及相應(yīng)采取的整改措施及整改效果。（一）個人信息處理者和境外接收方處理個人信息的目的、范圍、方式等的合法性、正當(dāng)性、必要性；（二）出境個人信息的規(guī)模、范圍、種類、敏感程度，個人信息出境可能對個人信息權(quán)益帶來的風(fēng)險；（三）境外接收方承諾承擔(dān)的義務(wù)，以及履行義務(wù)的管理和技術(shù)措施、能力等能否保障出境個人信息的安全；（四）個人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風(fēng)險，個人信息權(quán)益維護(hù)的渠道是否通暢等；（五）境外接收方所在國家或者地區(qū)的個人信息保護(hù)政策和法規(guī)對標(biāo)準(zhǔn)合同履行的影響；（六）其他可能影響個人信息出境安全的事項。四、出境活動影響評估結(jié)論綜合上述影響評估情況和相應(yīng)整改情況，對個人信息出境活動作出客觀的影響評估結(jié)論，充分說明得出評估結(jié)論的理由和論據(jù)。在實務(wù)中具體準(zhǔn)備《個人信息保護(hù)影響評估報告》時，通常還應(yīng)參考另一重要的標(biāo)準(zhǔn)類文件《GB/T39335-2020信息安全技術(shù)個人信息安全影響評估指3、出境現(xiàn)狀1辦2辦3辦4辦5辦6辦7辦8等300多個數(shù)據(jù)項辦9辦辦辦司辦辦辦月辦月辦月辦月辦月辦月辦月辦月辦月辦月辦月辦月辦辦月司辦辦辦11月9日據(jù)辦從行業(yè)分布看，數(shù)據(jù)出境申報成功企業(yè)主要分布在軟件和信息技術(shù)服務(wù)業(yè)清單”。隨著三大措施和負(fù)面清單的實踐，上述經(jīng)濟(jì)發(fā)達(dá)及沿海地區(qū)與自貿(mào)區(qū)的1辦2辦3辦月4業(yè)辦月5辦月6辦月7辦月4、合規(guī)要求與示范適用評估的情形目前明確有一）數(shù)據(jù)處理者向關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提適用標(biāo)準(zhǔn)合同備案的情形明確為一）非關(guān)鍵信指南明確的數(shù)據(jù)出境行為包括一）數(shù)據(jù)處理者將在境內(nèi)運營中收生的數(shù)據(jù)傳輸、存儲至境外二）數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi)，以定性為直接出境（有些主體也稱之為主動出境第二類為可訪問（或間接出上的控制權(quán)2）通過境外集團(tuán)或總部的決定或授權(quán)安排3）通過協(xié)議中的權(quán)（1）最為典型的是與（境內(nèi)）的數(shù)據(jù)處理者存在傳統(tǒng)意義上的業(yè)務(wù)、商業(yè)（2）在數(shù)字經(jīng)濟(jì)業(yè)態(tài)下，數(shù)據(jù)和基于數(shù)據(jù)分析形成的交付，也成為跨境業(yè)直接成為了協(xié)議規(guī)制的標(biāo)的，這在新近通過（3）另外一種典型情況是存在同處于一個實際控制人的跨國集團(tuán)企業(yè)，集（4）未來需要關(guān)注的一種情況和跨國集團(tuán)企業(yè)類似，中國企業(yè)“走出去”的表述方式舉例如下（當(dāng)然實務(wù)中也存在如何表述無IP或數(shù)據(jù)中心地址不詳?shù)孺溌饭?yīng)商：[?]（可適當(dāng)援引通訊服務(wù)提供商信息，或境外提供商及在境鏈路數(shù)量：1司公告等文件中進(jìn)行披露。《健康保險攜帶和責(zé)任法