合规实践操作指南-数智化转型网szhzxw.cn

数字化转型网企业出海将关注品牌出海，全球化战略，合规与风控，供应链管理，数据保护与隐私安全，知识产权，税务，海外团队建设，海外运营，人力资源管理，组织管理等企业出海、全球化相关全产业链相关环节。点击图片或扫描图片二维码，加入数字化转型网企业出海研习社：

根据我国“事前评估、事中整改、事后问责，全流程动态监管”的合规体系要求，数据出境合规实践主要包括事前合规评估（包括自评估以及出境前个人信息保护影响评估）、事中合规执行以及事后合规审计等。

出境前评估数字化转型网www.szhzxw.cn

（1）典型数据出境业务场景评估识别：

境外上市场景：境内企业在境外上市，IPO过程中向境外投行、会计师事务所、律师事务所、证券服务机构及境外监管机构披露数据的；

境外并购场景：境内企业并购境外目标企业过程中，向境外投行、会计师事务所、律师事务所、证券服务机构及境外监管机构披露数据的；

内部管理场景：总部位于境外的跨国公司，出于总部对各散落的分支机构有集中管理的客观需要，境外总部公司可能收集分散于全国各地（其中包括中国）的相互关联实体的信息，包括供应商信息、供应商对接人的个人信息、人事管理信息、财务管理信息以及档案管理信息等，其中涉及到的关键数据可能包括员工姓名、电话、身份证号码、个人账户、纳税信息、教育背景、家庭情况等员工个人信息，以及境内公司的管理制度、合同文本、履约过程材料等数据信息；数字化转型网www.szhzxw.cn

业务活动场景：在具体业务活动中的业务数据跨境需求，视具体开展业务和所处行业而有所区别。通常发生于品牌推广、市场营销、远程维护等具体场景中，可能收集访问的数据类别包括IP地址、呼叫记录、电话号码、IMSI、潜在客户及合作伙伴的联系方式等。其中不乏很多信息为敏感个人信息范畴。

（2）出境数据类别的识别：

对所处理的数据对象进行识别，是个人信息数据还是重要数据，属于一般个人信息数据还是敏感个人信息数据，这就要求建立企业数据清单，根据数据分类分级机制梳理本单位数据资产状况，涉及到重要数据的识别问题，当前重要数据的识别仍然存在定义模糊、主观因素影响大、标准不统一等问题，建议可以参考《信息安全技术重要数据识别指南》、《重要数据识别指南》等标准文件，其中罗列了天然气、煤炭、石化、电力、国防军工等26个行业的重要数据，并就重要数据的特征以及识别的基本程序进行了规定和说明。

（3）处理数据的规模统计：

要求企业需要保持动态监测，一旦落入合规门槛，便要调整相应的合规路径，满足相应的合规监管要求。自此，前三个问题的确定将决定数据出境所适用的具体监管要求和相应的合规义务，即选择何种具体的出境合规路径：1）通过网信部门组织的安全评估；2）按照网信部门的规定经专业机构进行个人信息保护认证；3）按照网信部门制定的标准合同与境外接收方订立合同。数字化转型网www.szhzxw.cn

事中合规执行

（1）满足《个保法》关于处理个人信息的其他基础要求：

1）履行对个人信息主体的告知、同意义务；

2）数据出境的合法性、正当性、必要性的评估；

3）境外政策、法律法规对个人信息处理行为的影响评估；

4）发生个人信息安全事件后的补救措施；

5）个人信息主体的权益保障渠道是否通畅；

6）保障境外接收方处理个人信息的活动达到《个保法》要求的保护标准及其保障能力；

7）对等措施：如果信息接收国家和地区在个人信息保护方面对我国采取歧视性的禁止、限制或其他类似措施，我国可以根据实际情况对该国家或者地区采取对等的禁止、限制或其他类似措施；

8）协助境外司法执行：对于存储在我国境内的个人信息，唯有获得我国主管机关的批准，才能向外国司法或执法机构提供；数字化转型网www.szhzxw.cn

（2）满足不同行业的特殊监管要求：

企业需要结合自身所在行业，梳理特定领域的相应要求，比如《汽车数据安全管理若干规定》便对汽车重要数据及相应的出境要求进行了具体的规定。《工业和信息化领域数据安全管理办法（试行）》就工信领域的重要数据及核心数据的治理进行了具体的规制。

（3）完成向监管机构的合同备案或者申报安全评估等，并且需要关注监管部门的反馈结果，如需整改，需要完成整改后才能执行数据出境行为。数字化转型网www.szhzxw.cn

事后合规审计

数据出境后，开展数据出境合规审计工作，时刻关注监管部门的政策动态，根据监管部门的要求评估自身数据出境行为，并进行整改、差距修正，实时动态监测数据出境处理的规模、种类、目的等要素，在以上要素发生变化时，需要根据监管要求，重新履行合同备案或者安全评估申报工作。

跨国公司几种典型场景下的数据出海合规问题思考

跨国公司往往属于集团化发展和管理的模式，在集团化管理下，集团下各个不同的关联公司主体间必然面临不同的情况，包括业务类型、所处理的个人信息规模以及同一种类个人信息在不同行业中的敏感程度差异等，前述要素的差异将导致数据出境合规措施适用的差异，这将进一步导致跨国集团公司数据出海合规应对的复杂性和高风险性。具体表现有以下几个方面：

1）集团公司与子公司间的处理数据规模统计口径问题。

由于不同数据处理规模应该适用的出境合规路径截然不同，因而，出境合规的事前审查工作中非常重要的一块内容即为对拟出境数据的规模、范围、种类和敏感程度进行评估,然而，母公司和子公司间很难就单一数据确认为单一数据处理者，比如母公司A公司处理数据的规模已经达到法律规定的安全评估申报的条件，其集团下属子公司B公司只涉及少量的个人信息跨境传输，从B公司处理的数据规模来看，完全可以仅通过标准合同备案或者安全认证的路径实现合规要求，此种情形下，集团公司往往可以通过设立不同子公司的选择，将数据处理的规模分散于不同公司主体间，从而规避进行安全评估申报的强监管义务的履行，因此，实际的情形可能并非这么简单，B公司应当适用何种合规路径，取决于B公司对A公司管理的数据规模介入程度的深与浅，具体而言，如B公司与A公司共享同一集团的数据处理系统环境，导致A公司本地化存储的数据完全可能被B公司的境外接收方访问，则B公司根本无法独善其身，应当承担与A公司相同的安全评估申报义务。数字化转型网www.szhzxw.cn

2）合规义务履行的主体及方式确认问题。

前述第一种情形可以理解为，A公司与B公司在数据处理的全流程中处于同等地位，除非双方可以清晰地划分出，各自针对不同域的数据构成互不影响的、独立的数据处理者，否则双方需要履行同等数据出境合规义务，在此种情形中，履行安全评估申报义务或者标准合同备案义务的主体应当分别进行或是可以采便捷的合并进行方式，有待实务考察。考虑到安全评估申报的对象是国家网信部门，关联实体通过合并申报的方式具有可行性，而标准合同备案的对象考虑到为各省级网信部门，因此，如果各关联实体分属于不同省域的实体，那么自当分别签署合同并且分别备案，此种情形下，备案的标准合同可否采取由集团统一制定，各关联实体共同签署的模式，即向不同省网信办备案的实属同一份标准合同。由于无论适用何种出海合规路径，凡涉及到个人信息数据出境，就需要进行个人信息保护影响评估，因此个人信息保护影响评估可否适用同一份报告，有待实务界进一步验证。

3）相同的数据处理场景中，仅数据接收方不同的情形下，合规义务的履行方式。

即当面临同一个人信息处理者将个人信息传输至多个不同的境外接收方时，是否需要分别签署多份不同的标准合同，并分别进行备案的问题。欧盟的“对接条款”无疑为解决这个问题提供了思路，欧盟SCCs同意新的缔约方通过“对接条款”，便捷地加入已签署的SCCs，取代新加入的缔约方，均需重新再签署标准合同的方式，建议企业可以在面临实际出境业务时，仔细斟酌，并提前与监管部门积极沟通，确定符合监管要求的合规路径选择。数字化转型网www.szhzxw.cn

4）集团分公司能否成为适格签约主体的问题。

虽然绝大多数情况下，境内个人信息处理者与境外个人信息接收方分属于两个独立的法律实体，然而实践中，不排除存在数据在境内外同一个法律实体之间进行传输的情况，即境内A公司在境外设立分公司的情形，A公司向境外分公司传输数据，或者允许境外分公司访问境内存储的数据等数据出境情形。根据我国现有法律规定，分公司等分支机构虽然可以从事民事活动，但其属于非法人组织，分支机构的民事责任均由法人承担，因而，此类法人与分支机构之间签订的标准合同等文件体现的内部逻辑通常被认为是内部管理关系，而并不产生实质的法律效果。此前，铎伦律师参加个人信息保护司法路径研究调研活动，集团内部的数据传输并未让数据脱离集团的控制范围之外，风险相对可控，对于集团内部的数据流转，是不是可以建立一套独立的规则，有效发挥数据的集聚效益。考虑将此种情形扩大解释为个保法第二十二条“等原因”中的情形当中，在不改变原来的处理范围、处理目的的情况下，可否考虑不再需要重新同意，仅履行告知义务即可开展相应数据处理行为。

声明：本文来自网络，版权归作者所有。文章内容仅代表作者独立观点，不代表数字化转型网立场，转载目的在于传递更多信息。如有侵权，请联系我们。数字化转型网www.szhzxw.cn