2022数据合规年度观察-上海融孚

发布时间:2023-1-19 | 杂志分类:其他
免费制作
更多内容

2022数据合规年度观察-上海融孚

星霜荏苒,岁聿云暮。2022 年是国际环境局势动荡、国内发展任务艰巨、新冠疫情反复影响的“多事之年”。而全球数据安全热度未减,各国数据保护执法与数据区域合作工作齐头并进,争相构筑数据治理版图。2022 年亦是我国数据领域“三驾马车”正式施行一周年,多项配套法规出台,“滴滴”等执法活动靴子落地,数据合规监管态势逐渐清晰。梨花落,燕归来。我们欣喜地看到,2022 年是数据保护规则细化、数据处理更加有章可循的一年。在国家网信办积极推动下,数据出境三大合规路径的具体办法/模版发布,各地网信部门开通安全评估申报通道,合规有序的数据出境活动已陆续展开。互联网信息服务监管压实推进,账号管理、算法治理等工作营造清朗网络空间。“一行两会”出台多项行业网络数据管理办法,强化数据检查机制,金融数据治理日臻完善。APP 违法违规整治工作已进入成熟期,合规环境稳中向好。通过司法实践积累,个人信息权利义务客体更为明确,权利保护规则逐渐细化。中央出台“数据二十条”,进一步释放数据要素红利,促进数据价值流通利用。潮落江平未有风,扁舟共济与君同。数据经济时代下,数据治理工作方兴未艾,我们精心整理了 2022 年数据合规... [收起]
[展开]
2022数据合规年度观察-上海融孚
粉丝: {{bookData.followerCount}}
文本内容
第1页

2022

数据合规年度观察

中国 上海 浦东 世纪大道210号 二十一世纪大厦15层(200120)

15/F, 21st Century Tower, 210 Century Avenue, Shanghai, 200120, P. R. C.

- 上海融孚律师事务所 -

第2页

星霜荏苒,岁聿云暮。2022 年是国际环境局势动荡、国内发展任务艰巨、新

冠疫情反复影响的“多事之年”。而全球数据安全热度未减,各国数据保护执法与

数据区域合作工作齐头并进,争相构筑数据治理版图。2022 年亦是我国数据领域

“三驾马车”正式施行一周年,多项配套法规出台,“滴滴”等执法活动靴子落地,

数据合规监管态势逐渐清晰。

梨花落,燕归来。我们欣喜地看到,2022 年是数据保护规则细化、数据处理

更加有章可循的一年。在国家网信办积极推动下,数据出境三大合规路径的具体办

法/模版发布,各地网信部门开通安全评估申报通道,合规有序的数据出境活动已

陆续展开。互联网信息服务监管压实推进,账号管理、算法治理等工作营造清朗网

络空间。“一行两会”出台多项行业网络数据管理办法,强化数据检查机制,金融

数据治理日臻完善。APP 违法违规整治工作已进入成熟期,合规环境稳中向好。通

过司法实践积累,个人信息权利义务客体更为明确,权利保护规则逐渐细化。中央

出台“数据二十条”,进一步释放数据要素红利,促进数据价值流通利用。

潮落江平未有风,扁舟共济与君同。数据经济时代下,数据治理工作方兴未艾,

我们精心整理了 2022 年数据合规领域重要的立法、执法、司法活动及其他热点问

题,愿与您一同回顾。春之所向,万物新生。2023 年承载着数据法律人士的众多

期待,希望能共同见证数据合规图谱的更新完善。

第3页

立 法 篇

Part II 数据出境合规路径渐明……Page 15

数据出境三大合规路径……Page 16

我国“个人信息保护认证规范”解读……Page 22

个人信息出境标准合同……Page 30

数据出境安全评估……Page 35

Part III 互联网信息服务全面监管……Page 41

互联网用户账号及内容信息审核……Page 44

APP 弹窗信息管理……Page 51

算法治理……Page 59

深度合成技术服务管理规定……Page 65

Part IV 汽车数据安全立法紧跟前沿……Page 69

Part V 证券期货业数据管理责任压实……Page 79

《证券期货业网络安全管理办法(征求意见稿)》解读……Page 80

证监会发布 7 项金融行业标准……Page 89

Part VI “网安法”修改提高处罚上限……Page 90

Part I 2022数据立法活动总览……Page 1

前 言

第4页

监管执法篇

Part II 数据治理领域行政处罚回顾……Page 109

个人信息保护行政处罚……Page 110

网络安全保护行政处罚……Page 123

数据安全行政处罚……Page 126

Part III 曲终寻问取——“滴滴”处罚事件的理解与展望……Page 109

Part IV 金融数据合规监管执法回顾……Page 140

Part I 2022年APP治理行动回顾……Page 102

司 法 篇

Part II 典型案例解读——个人信息保护纠纷……Page 109

Part I 2022个人信息保护司法裁判情况……Page 143

Part II 其他典型案例……Page 164

其他热点篇

Part II 境内上市中的数据合规观察……Page 181

Part I 蔚来信息泄露事件看车企用户数据存储合规工作……Page 172

第5页

前 言

Ø 立法篇

2022年,为衔接配套《网络安全法》《数据安全法》《个人信息保护法》等法律,数据领

域出台了多部法律规范或规范性文件,各层级共计129部规范文件。

数据出境合规路径渐明

全球数据主权浪潮下,各国对数据本地化存储的要求更高,对数据跨境传输的合规监管

更严。2022年,我国数据(个人信息)出境的三个重要合规路径——数据出境安全评估、个人

信息出境标准合同、个人信息保护认证的落地规范得以明晰,为企业数据出海业务提供了更具

实操性的合规指引。

1. 出境安全评估:《数据出境安全评估办法》于2022年9月1日正式施行,国家网信办在其

施行前夕配套发布《数据出境安全评估申报指南(第一版)》,明确了数据出境安全评

估的适用范围、评估要点及评估程序,指引了拟出境企业申报安全评估所需材料和申请

流程。各地网信部门也陆续开通安全评估的申报通道,并公布咨询窗口联系方式,安全

评估申报工作正式启动。

2. 出境标准合同:《个人信息出境标准合同规定(征求意见稿)》及标准合同样本于2022

年6月30日公布,为企业以“较为便捷”的订立标准合同的方式向境外传输个人信息提供

了重要实操模板。据了解,针对此版征求意见稿中适用场景、境外接收方责任承担等有

争议的问题,国家网信办也在广泛征求意见,有待正式版标准合同模板中明确。

3. 个人信息保护认证:2022年11月4日,市场监管总局和国家网信办联合发布《个人信息保

护认证实施规则》,确立了我国个人信息保护领域实施认证制度的规则,且明确对于开

展跨境处理活动的个人信息处理者,应当符合《网络安全标准实践指南——个人信息跨

境处理活动安全认证规范》的要求。为配套衔接前述《数据出境安全评估办法》《个人

信息出境标准合同规定(征求意见稿)》,全国信安标委将“认证规范”进行调整,形

成《个人信息跨境处理活动安全认证规范V2.0》。至此,我国《个人信息保护认证实施

规则》+《认证规范V2.0》构成了一套以国际标准化认证为工具,融合企业集团内部个人

信息保护规则认证机制的个人信息跨境合规办法。

第6页

互联网信息服务全面监管

为营造清朗网络空间,维护互联网服务良好生态,规范互联网平台有序发展,引导互联

网信息内容向上向善,2022年,国家网信办等监管部门密集出台多部关于“互联网信息服务”

的部门规章及规范性文件,进一步加强互联网信息服务合规要求和监管颗粒度。《互联网用户

账号信息管理规定》强化了互联网账号“后台实名”的审核机制,是信息服务有效监管的基础

前提。2022年6月17日,国家网信办《互联网跟帖评论服务管理规定》的修订草案征求意见稿,

并于11月16日发布正式稿,确定新闻信息跟帖评论“先审后发”的内容审查机制,以及实时巡

查、安全评估、应急处置等管理制度。针对部分互联网新兴技术发展带来的乱象,国家网信办

联合工信部、市场监管总局等有关部门,出台《互联网信息服务算法推荐管理规定》(1月4

日)、《互联网弹窗信息推送服务管理规定》(9月9日)、《互联网信息服务深度合成管理规

定》(12月11日),通过安全评估、事前备案、显著标识等手段,落实信息内容服务主体责任,

强化用户个人信息保护。此外,在互联网信息服务监管执法程序方面,2022年9月8日,国家网

信办发布《网信部门行政执法程序规定(征求意见稿)》,贯彻了新施行的《行政处罚法

(2021年)》中处罚听证、证据种类等多项新要求。2022年,互联网信息服务领域多项法规出

台及实施,进一步破除“信息茧房”、打击“违法和不良信息”、引导内容“向上向善”,构

建风朗气清的网络环境。

汽车数据安全立法紧跟前沿

在汽车安全领域,法规规范持续出台,监管框架日臻完善。新发布

的规范文件主要涉及地理测绘信息管理、汽车数据处理安全、自动驾驶

道路测试等方面,填补了汽车数据监管的部分短缺。2022年8月25日,

自然资源部发布《关于促进智能网联汽车发展维护测绘地理信息安全的

通知》,明确了测绘活动、测绘主体的定义,严格限制外资企业从事境

内测绘活动,为智能网联汽车的高精地图技术发展提出更高合规要求。

在汽车数据处理方面, 3月7日,针对车联网网络数据安全指引建设工作

的目标,工信部印发《车联网网络安全和数据安全标准体系建设指南》,

指出要在2025年前,形成较为完善的车联网网络安全和数据安全标准体

系,要完成100项以上标准的研制。在“建设指南”的要求下,多部汽

车数据安全相关标准性文件出台,如《信息安全技术 汽车数据处理安全

要求》(GB/T41871-2022)、《汽车驾驶自动化分级》(GB/T 40429-

2021)等。此外,行业监管部门应对汽车智能化、联网化等新功能,发

布多项关于自动驾驶及道路测试的规范通知,并积极开展高精地图应用

试点工作,通过法规引导、支持的方式推动产业发展。

第7页

证券期货业数据管理责任压实

目前,证券期货业正处于数据治理的关键时期,一方面,监管部门大力推进行业数据报

送规范、数据质量检查等工作,从严把控各机构的数据管理制度,推动数据合规全链条监管。

另一方面,证券期货业机构不断提高自身数据治理能力,加强对数据的管理和利用,进一步挖

掘金融大数据的价值。2022年,证监会继续加强行业网络安全和数据安全风险防控,安全管理

升级改造工作稳步推进,通过数项立法活动压实各机构的数据合规义务。其中,较为值得关注

的是证监会于4月29日发布的《证券期货业网络安全管理办法(征求意见稿)》,和于11月14

日〔2022〕47号公告中发布的7项行业标准。

“网安法”修改提高处罚上限

2022年9月14日,国家网信办发布关于公开征求《关于修改〈中华人民共和国网络安全法〉

的决定(征求意见稿)》(以下简称《网安法修改稿》),是《网络安全法》自2017年6月施

行以来首次调整。此次《网络安全法》的修改主要涉及四个方面:完善违反网络运行安全一般

规定的法律责任制度;修改关键信息基础设施安全保护的法律责任制度;调整网络信息安全法

律责任制度;修改个人信息保护法律责任制度。《网安法修改稿》有,一是将对单位罚款的上

限提高为一百万元,甚至部分违法情节特别严重的,罚款上限达到五千万元或上一年度营业额

百分之五,对责任人员的处罚上限提高为一百万元。二是将个人信息保护、CIIO数据出境的法

律责任修改为转致性规定。三是新增“通报批评”“限制从业”等行政处罚种类,与9月8日新

发布的《网信部门行政执法程序规定(征求意见稿)》呼应。四是加强网络运营者的信息管理

法律责任。但同时,《网安法修改稿》规定出现“违反法律规定的网络运行安全保护义务”的

情形,相关主体就要承担法律责任,可能与现行《网络安全法》“先违法,后有责”的责任逻

辑存在冲突,扩大了相关主体的责任边界。不过,目前尚未定文,最终条款的理解还有待后续

正式稿的出台。

第8页

APP治理行动回顾

监管部门继续深入开展违法违规APP综合整治行动。据统计,因处理个人

信息违法问题,工信部、国家网信办、公安部全年累计通报630款APP(含

SDK),其中,工信部通报340款,国家网信办通报135款,公安部(CNAAC)

通报171款。整体数量较2021年相比明显下降,强制下架的APP比例大幅降低,

APP合规环境逐渐向好。从通报内容看,对APP违法违规治理行动依然具有检查

持续性、处置严厉性的特点,“ APP强制、频繁、过度索权”“强制/频繁索要

非必要权限”“未向用户明示申请的全部隐私权限”是今年主要违法违规领域,

相关单位应提高重视。

Ø 监管执法篇

2022年,随着数据合规领域法规要求日臻细化,中央和地方各级、各行业

监管部门执法精度高、范围广,常态化执法持续从严,集中性执法重点突出。

APP检测通报、汽车数据合规年度报送等常态化工作机制更为成熟,数据合规治

理效果明显。网信部门“清朗网络空间治理”、银保监会“侵害个人信息乱象

整治”等专项行动多次开展,集中规制特定领域的“乱象”,成效显著。此外,

“滴滴公司”高额罚款等热点事件,使数据安全话题广受社会关注,起到执法

震慑效果。

数据治理领域行政处罚回顾

关于个人信息保护、网络安全保护及数据安全的行政执法继续深入,各监管执法部门公开大量

行政处罚案例。据不完全统计,2022年全年共有1498件与数据安全治理相关的行政处罚公开案例。

其一,网络安全保护依然是监管机关重点关注的领域,全年共公布千余件行政处罚案例,网络安全

管理工作继续强化。其二,恰逢我国《个人信息保护法》实施一周年,各部门积极践行个人信息保

护领域监管职责,共查处约399件相关违法案例,大力打击非法获取、出售、处理个人信息的违法

行为。其三,上海、广州等地网信、公安部门首次依据《数据安全法》作出行政处罚,但该法的落

地实操仍处于“探索期”,随着监管细则不断出台,“数安法”执法工作在稳步推进。

第9页

典型执法案例——“滴滴”处罚事件

2022年7月21日,国家网信办依法对滴滴公司作出网络安全审查相关行政处罚,

处人民币80.26亿元罚款,并对负责人个人处以100万元罚款,系我国数据安全及个人

信息保护领域最高罚单,也是《个人信息保护法》项下“上一年度营业额百分之五”

处罚标准的首次实践。滴滴公司的违法问题主要集中在违法收集用户信息、非法处理

个人信息等方面。我们也注意到,虽然滴滴公司因多项数据违法行为收到高额罚单,

但靴子落地,有利于其自身整改甚至后续资本市场融资,也为其他企业指引了数据安

全保护的监管态势。

金融数据合规监管执法回顾

金融行业一直是数据合规“强监管”领域,“一行两会”频繁下发网络系统安全、用户个人

信息保护、数据管理安全等通知文件,金融数据合规要求逐步压实。2022年,金融数据合规监管

有两个重点领域:一是数据质量、数据报送工作。3月25日,银保监会集中通报一批因标准化数据

(EAST)违法违规的行政处罚罚单,涉及21家银行机构,总计8760万元罚款。二是消费者个人信

息保护。各级各地银保监局公开14起该领域行政处罚罚单。8月9日,银保监会办公厅向各银保监

局及各银行保险机构下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》,

聚焦个人金融信息乱象,集中开展自查+抽查+报告的专项整治工作,强化机构主体责任。

第10页

个人信息保护司法实践观察

2022年,各级人民法院审结的个人信息保护相关民事、刑事案件共计302件,其中,

刑事案件237件(“侵犯公民个人信息罪”),民事案件65件(“个人信息保护纠

纷”)。 民事案件中,《民法典》第1034条、第1035条及《个人信息保护法》得到大

量引用。

在我国《个人信息保护法》实施一周年前后,多地司法机关发布了关于个人信息

保护的典型案例,起到指导、示范作用。如最高法院于2022年12月28日首次选取了典

型的侵犯公民个人信息犯罪案件,作为第35批指导性案例,为各级法院审理涉及个人

信息相关的刑事审判提供了参考。再如“某某与广州唯品会电子商务有限公司个人信

息保护纠纷案”中,广州中院系统地分析了个人信息主体查阅复制权的客体范围、行

权方式,删除权与撤回同意之间的关系,以及个人信息处理者权利响应方式等问题。

其中,关于浏览记录、第三方SDK共享信息、用户画像等问题,该案法官做了具体而

富有创设性的探讨,对今后个人信息行权制度的实践意义重大。又如,杭州互联网法

院审理了首例针对个人信息权利受到侵害请求司法救济的前置程序审查的案例,将履

行个人信息保护职责的主体作为个人信息权利受到侵害的第一救济途径,充分引导当

事人先寻求私力救济再诉诸司法保护。

Ø 司法篇

数据领域合规不起诉及公益诉讼

司法机关综合运用多种方式,积极推动数据安全保护工作。如,上海普陀区检察院办理了全国

首例数据合规不起诉案,开创性地在计算机信息系统数据保护领域推行刑事合规不起诉机制,促进

涉案企业有效整改。该案落实最高检“关于企业合规改革试点工作方案”内容,并发挥普陀区检察

院“涉案企业合规第三方监督评估机制管理委员会”的优势机制,以较小社会成本矫正企业数据违

法犯罪行为。

又如,《个人信息保护法》第七十条确立了个人信息侵权公益诉讼制度,2022年,全国各级各

地检察机关提起该类公益诉讼案件数千件,极大发挥了公益诉讼机制在保护特殊群体个人信息方面

的重要作用。杭州市人民检察院对邹某、韩某非法获取他人个人信息的犯罪行为提起公益诉讼,要

求公开赔礼道歉。杭州市中级人民法院依法判处二人刑事责任的同时,也要求其承担民事赔偿并公

开赔礼道歉。该案起到了公益诉讼弥补社会公众精神伤害的一大作用。

第11页

蔚来信息泄露敲响车企用户数据存储警钟

我国汽车数智化程度的不断提升,带来数据价值利用与数据安全的双刃剑,稍有

不慎,就会出现安全事件,给汽车企业带来严重负面影响。2022年底,蔚来汽车被曝

发生用户数据被窃取,暴露出安全存储漏洞,可能会导致公众对其失去信任,并面临

法律责任。车企应从安全策略、合规管理等方面落实《个人信息保护法》《汽车数据

安全管理若干规定(试行)》等法律法规要求,做好数据分类、数据分级、存储主体

三个维度的数据合规工作。建议车企积极探索与零部件供应商之间数据存储的不同制

度安排,注重云端存储的协议审查等工作。

Ø 其他热点篇

数据合规成为企业境内上市面临重点问题

数据合规问题已经成为审核问询的必答问题,2022年交易所重点关注的是四大方

面问题:数据来源合法性;数据使用、加工等处理环节合规性;数据合规内控制度;

数据安全法律法规对企业经营的影响。2022年,虽然尚未出现如墨迹科技等因数据合

规问题被终止上市的情形,不过例如合合信息、木仓科技等涉及大量数据处理业务的

企业,在相关问题上与交易所进行了多次深入探讨。监管问询颗粒度逐渐精细,严格

审查拟上市企业的数据合规制度搭建和执行情况。

第12页

立 法 篇

Part II 数据出境合规路径渐明

Part III 互联网信息服务全面监管

Part IV 汽车数据安全立法紧跟前沿

Part V 证券期货业数据管理责任压实

Part VI “网安法”修改提高处罚上限

Part I 2022数据立法活动总览

第13页

立法篇 Part I 2022 数据立法活动总览

Part I 2022 数据立法活动总览

2022 年,为衔接配套《网络安全法》《数据安全法》《个人信息保护法》等法律,

数据领域出台了多部法律规范或规范性文件,我们将此类有权机关发布政策法规、规

范性文件、标准指南等统称为“立法活动”。

据统计,全年重要的数据领域立法活动共发布 129 部规范文件,其中,政策、规

划 9 部,法律 3 部,司法解释 1 部,部门规章/规范性文件 36 部,标准指南性文件 50

部,地方性法规 20 部。我们按文件层级、发布时间等为序,梳理了具体立法情况及主

要规范内容。

发布日期 文件名称 发文机关 内容

政策、规划

1 月 6 日

《要素市场化

配置综合改革

试点总体方

案》

国务院办公厅

《方案》提出要积极探索建立数据要素流通

规则,重点围绕以下四个方面:完善公共数

据开放共享机制,探索开展政府数据授权运

营;建立健全数据流通交易规则,探索建立

数据用途和用量控制制度;拓展规范化数据

开发利用场景,探索以数据为核心的产品和

服务创新;加强数据安全保护,探索完善个

人信息授权使用制度、制定大数据分析和交

易禁止清单、完善重要数据出境安全管理制

度。

1 月 12 日

《“十四五”数

字经济发展规

划》

国务院

《规划》指出,“十三五”时期,我国推进数

字产业化和产业数字化取得积极成效,但也

面临一些问题和挑战。《规划》明确坚持“创

新引领、融合发展,应用牵引、数据赋能,

公平竞争、安全有序,系统推进、协同高效”

的原则,部署了八方面重点任务:优化升级

数字基础设施、充分发挥数据要素作用、大

力推进产业数字化转型、加快推动数字产业

化、提升公共服务数字化水平、健全完善数

字经济治理体系、强化数字经济安全体系、

有效拓展数字经济国际合作,并提出,到

2025 年,我国数字经济核心产业增加值占国

1

第14页

立法篇 Part I 2022 数据立法活动总览

内生产总值比重达到 10%。

3 月 2 日

《2022 年提升

全民数字素养

与技能工作要

点》

中央网信办 《工作要点》提出“基础教育精品课程”资源

数量、重点网站和移动应用程序适老化及无

障碍改造数量等指标。部署了做优做强数字

教育培训资源,提高智慧社区家庭建设应用

水平,加快推进信息无障碍建设,提高农民

数字化应用水平,完善数字技能职业教育培

训体系,提高全民网络文明素养等工作。

教育部

工业和信息化

人力资源和社

会保障部

4 月 10 日

《关于加快建

设全国统一大

市场的意见》

中共中央

《意见》指出,要加快培育统一的数据市场,

建立健全数据安全、权利保护、跨境传输管

理、交易流通、开放共享、安全认证等基础

制度和标准规范,深入开展数据资源调查,

推动数据资源开发利用。

国务院

4 月 18 日

《关于加强打

击治理电信网

络诈骗违法犯

罪 工作的 意

见》

中公告中央办

公厅

《意见》要求,要依法严厉打击电信网络诈

骗违法犯罪,对于买卖银行卡、电话卡、公

民个人信息、企业营业执照信息等关联违法

犯罪,应明确政法机关要健全涉诈资金查处

机制,最大限度追赃挽损。

国务院办公厅

4 月 19 日

《中央全面深

化改革委员会

第二十五次会

议》

会议强调,要全面贯彻网络强国战略,把数字技术广泛应用

于政府管理服务,推动政府数字化、智能化运行,为推进国

家治理体系和治理能力现代化提供有力支撑。

5 月 22 日

《关于推进实

施国家文化数

字化战略的意

见》

中公告中央办

公厅

《意见》要求,在数据采集加工、交易分发、

传输存储及数据治理等环节,制定文化数据

安全标准,强化中华文化数据库数据入库标

准,构建完善的文化数据安全监管体系,完

善文化资源数据和文化数字内容的产权保

护措施。

国务院办公厅

6 月 23 日

《关于加强数

字政府建设的

指导意见》

国务院

《指导意见》强调,各级政府及部门要主动

顺应经济社会数字化转型趋势,充分释放数

字化发展红利,全面推进政府履职和政务运

行数字化转型,加强数字政府建设,构建开

放共享的数据资源体系,强化政务信息平台

支撑能力,持续增强数字政府效能,营造良

好数字生态。

2

第15页

立法篇 Part I 2022 数据立法活动总览

12 月 19 日

《关于构建数

据基础制度更

好发挥数据要

素作用的 意

见》

中共中央

《意见》聚焦数据作为新型生产要素,如何

激活数据要素潜能、做强做优做大数字经

济、增强经济发展新动能、构筑国家竞争新

优势等问题,强调“坚持促进数据合规高效流

通使用、赋能实体经济”这一主线,提出建立

数据产权制度、数据要素流通交易制度、数

据要素收益分配制度、和数据要素治理制

度,要求切实加强组织领导、加大政策支持

力度、鼓励试验探索、稳步推进制度建设。

国务院

法律

9 月 2 日

《中华人民共

和国反电信网

络诈骗法》

全国人大常委

《反电信网络诈骗法》提出,个人信息处理

者应当依照《个人信息保护法》等法律规定,

规范个人信息处理,加强个人信息保护,建

立个人信息被用于电信网络诈骗的防范机

制。反电信网络诈骗工作涉及的有关管理和

责任制度,本法没有规定的,适用《网络安

全法》《个人信息保护法》《反洗钱法》等相

关法律规定。

9 月 14 日

《 关于修 改

〈中华人民共

和国网络安全

法〉的决定(征

求意见稿)》

国家互联网信

息办公室

《网络安全法(修改征求意见稿)》主要涉及

四个方面内容:完善违反网络运行安全一般

规定的法律责任制度;修改关键信息基础设

施安全保护的法律责任制度;调整网络信息

安全法律责任制度;修改网络个人信息保护

法律责任制度。值得关注的是,对违反网络

安全保障义务的行政罚款金额上限提高到

五千万元或上一年度营业额百分之五。

11 月 22 日

《中华人民共

和国反不正当

竞争法(修订

草案征求意见

稿)》

市场监管总局

新增“国家健全数字经济公平竞争规则。经

营者不得利用数据和算法、技术、资本优势

以及平台规则等从事不正当竞争行为。”

司法解释

12 月 27 日

《关于为促进

消费提供司法

服务和保障的

意见》

最高人民法院

在司法裁判中,对经营者违反单独同意规

则、过度收集消费者个人信息、未及时处理

撤回同意的个人信息、未取得未成年消费者

监护人的同意、强迫同意等行为,消费者请

3

第16页

立法篇 Part I 2022 数据立法活动总览

求经营者承担停止侵害等民事责任的,人民

法院应当依法支持。经营者处理个人信息侵

害个人信息权益造成损害,不能证明自己没

有过错的,应当承担损害赔偿等侵权责任。

部门规章、部门规范性文件

2021 年

12 月 28 日

《网络安全审

查办法》

国家互联网信

息办公室

《办法》结合《数据安全法》规定国家建立

数据安全审查制度,将网络平台运营者开展

数据处理活动影响或者可能影响国家安全

等情形纳入网络安全审查范围,并明确要求

掌握超过 100 万用户个人信息的网络平台运

营者赴国外上市必须申报网络安全审查,审

查结果是决定能否赴国外上市的必要条件。

同时,《办法》说明了网络安全审查办公室的

职权等内容。

发展改革委

工业和信息化

公安部

国家安全部

财政部

商务部

中国人民银行

市场监管总局

广播电视总局

中国证监会

国家保密局

国家密码管理

2021 年

12 月 29 日

《加强信用信

息共享应用促

进中小微企业

融 资 实 施 方

案》

国务院办公厅

《方案》要求省级政府健全信用信息共享平

台,对接全国融资信用服务平台,构建全国

一体化融资信用服务平台网络。扩大信息共

享范围,优化共享方式,规范信息管理使用。

2021 年

12 月 31 日

《互联网信息

服务算法推荐

管理规定》

国家互联网信

息办公室 《规定》明确了算法推荐服务提供者的多项

规范义务:内容应坚持主流价值导向;建立

健全用户注册、信息发布审核、数据安全和

个人信息保护、安全事件应急处置等管理制

工业和信息化

4

第17页

立法篇 Part I 2022 数据立法活动总览

公安部

度和技术措施;定期审验算法模型和结果;

建立违法和不良信息识别库;规范开展互联

网新闻信息服务;不得利用算法实施影响网

络舆论、规避监督管理以及垄断和不正当竞

争行为。针对算法推荐服务中的用户权益保

护,《规定》明确了知情权、选择权、及特殊

群体的特别规范。同时,《规定》提出了算法

推荐服务中的互联网新闻信息服务要求、备

案义务、安全评估和配合监督检查等义务。

市场监管总局

1 月 18 日

《关于推动平

台经济规范健

康持续发展的

若干意见》

发展改革委

《意见》推动平台经济开展模式创新,赋能

经济发展转型。一是试点推进重点行业数据

要素市场化进程,促进数据要素高效合规流

通使用,确保数据要素可使用、可流通。二

是发挥数据要素对土地、劳动、资本等其他

生产要素的放大、叠加、倍增作用。三是深

入实施普惠性“上云用数赋智”行动,推动农

业数字化转型。

市场监管总局

中央网信办

工业和信息化

人力资源社会

保障部

农业农村部

商务部

人民银行

税务总局

1 月 27 日

《关于银行业

保险业数字化

转型的指导意

见》

中国银保监会办公厅

2 月 28 日

《关于互联网

信息服务算法

备案系统上线

的通告》

国家互联网信息办公室

3 月 7 日

《车联网网络

安全和数据安

全标准体系建

设指南》

工业和信息化

《指南》提出,到 2023 年底,初步构建起车

联网网络安全和数据安全标准体系,完成 50

项以上急需标准的研制。到 2025 年,完成

100 项以上标准的研制,形成较为完善的车

联网网络安全和数据安全标准体系。

3 月 14 日 《未成年人网 国家互联网信 《条例》强化未成年人个人信息保护要求,

5

第18页

立法篇 Part I 2022 数据立法活动总览

络 保 护 条 例

(征求意见

稿)》

息办公室 网络服务提供者为未成年人提供信息发布、

即时通讯等服务,应当在确认提供服务时,

要求未成年人或者其监护人提供未成年人

真实身份信息。未成年人或者其监护人不提

供未成年人真实身份信息的,网络服务提供

者不得为未成年人提供相关服务。

3 月 21 日

《人类遗传资

源管理条例实

施细则(征求

意见稿)》

科学技术部

《实施细则》对人类遗传资源的采集、保藏、

开展国际合作、出境活动,要求应获得相应

的行政许可。人类遗传资源出境前,应当向

科技部指定的信息备份机构提交信息备份

并向科技部备案,若可能影响我国公众健

康、国家安全和社会公共利益的,应当通过

科技部组织的安全审查。

4 月 2 日

《关于加强境内企业境外发行

证券和上市相关保密和档案管

理工作的规定(征求意见稿)》

中国证监会

4 月 29 日

《证券期货业

网络安全管理

办法(征求意

见稿)》

中国证监会

《办法》落实网络数据领域安全治理的上位

法要求,并衔接了《证券法》《证券投资基金

法》《期货交易管理条例》等行业监管法规的

相关要求,旨在防范化解行业网络安全风险

隐患,维护资本市场安全平稳高效运行。涵

盖网络安全监管体系、网络安全运行、数据

安全统筹管理、网络安全应急处置、关键信

息基础设施网络安全、网络安全促进与发

展、法律责任等方面内容。

6 月 9 日

《数据安全管

理认证实施规

则》

市场监管总局 对网络运营者开展数据处理活动的数据安

全管理能力,《实施规则》提供了认证的基本

原则和要求,认证模式为:技术验证+现场审

核+获证后监督,认证证书有效期为 3 年。

国家互联网信

息办公室

6 月 14 日

《移动互联网

应用程序信息

服务管理规

定》

国家互联网信

息办公室

《规定》旨在进一步依法监管移动互联网应

用程序,促进应用程序信息服务健康有序发

展。《规定》从信息内容主体责任、真实身份

信息认证、分类管理、行业自律、社会监督

及行政管理等多个方面对移动互联网应用

程序信息服务进行具体而细致的规范,如信

息内容审核、数据安全保护、个人信息保护、

APP 分发平台审核职责等。

6

第19页

立法篇 Part I 2022 数据立法活动总览

6 月 27 日

《互联网用户

账号信息管理

规定》

国家互联网信

息办公室

《规定》提出互联网个人用户身份真实性核

验制度,互联网信息服务提供者为互联网用

户提供信息发布、即时通讯等服务的,应当

进行真实身份信息认证;应当对互联网用户

在注册时提交的和使用中拟变更的账号信

息进行核验。网信部门对互联网信息服务提

供者管理互联网用户注册、使用账号信息情

况实施监督检查。

6 月 30 日

《个人信息出

境标准合同规

定 ( 征求意见

稿)》

国家互联网信

息办公室

个人信息处理者依据《个人信息保护法》第

三十八条第一款第(三)项,以签订标准合

同的方式向境外提供个人信息的,《规定》提

供了标准合同文本。标准合同文本明确规定

了个人信息处理者及境外接收方的权利义

务、个人信息主体的权利与救济、合同解除

与违约责任、法律适用与争议解决等内容。

7 月 6 日

《数字藏品应

用参考》 国家新闻出版署

7 月 7 日

《数据出境安

全评估办法》

国家互联网信

息办公室

《办法》提出了数据出境安全评估的具体要

求,规定数据处理者在申报数据出境安全评

估前应当开展数据出境风险自评估并明确

了重点评估事项。规定数据处理者在与境外

接收方订立的法律文件中明确约定数据安

全保护责任义务,在数据出境安全评估有效

期内发生影响数据出境安全的情形应当重

新申报评估。此外,还明确了数据出境安全

评估程序、监督管理制度、法律责任以及合

规整改要求等。

8 月 4 日

《关于进一步

加强政务数据

有序共享工作

的通知》

文化和旅游部

办公厅

《通知》贯彻落实“国务院关于加强数字政

府建设的指导意见”对政务数据共享规范要

求,强调数据提供方的安全机制,以及各司

局、直属单位对政务数据的分类分级管理,

对运营企业的监管作用。

8 月 23 日

《公路水路关

键信息基础设

施安全保护管

理办法(征求

意见稿)》

交通运输部

《办法》落实了《关键信息基础设施安全保

护条例》在公路水路领域的多项要求,规定

公路水路 CIIO 应当设立首席网络安全官,

为每个公路水路 CII 明确一名安全管理责任

人,并细化了法律责任。

7

第20页

立法篇 Part I 2022 数据立法活动总览

8 月 25 日

《关于促进智

能网联汽车发

展维护测绘地

理信息安全的

通知》

自然资源部

《通知》对智能网联汽车相关的测绘活动、

测绘主体进行了明确界定,对空间坐标、影

像、点云及其属性信息等测绘地理信息数据

进行数据处理活动的都属于测绘活动。外资

企业不能直接从事测绘活动,需要委托我国

境内具有测绘资质的单位开展。存在向境外

传输相关测绘地理数据行为或计划的,应依

法履行对外提供审批或地图审核程序等,在

此之前应停止数据境外传输行为。

8 月 29 日

《医疗卫生机

构网络安全管

理办法》

国家卫生健康

《办法》要求各医疗卫生机构应成立网络安

全和信息化工作领导小组,由单位主要负责

人任组长,每年至少召开一次网络安全办公

会。在数据安全管理方面,《办法》提出了加

强全生命周期安全管理、境内处理原则、人

脸识别应用限制等要求。

国家中医药局

国家疾控局

9 月 8 日

《网信部门行

政执法程序规

定》

国家互联网信

息办公室

《规定》明确行政处罚由违法行为发生地的

网信部门管辖,包括实施违法行为的网络运

营者相关服务许可地或者备案地,主营业

地、工商登记地(工商登记地与主营业地不

一致的,应当按照主营业地),法人住所地,

网站平台建立者、管理者、使用者所在地,

网络接入地,计算机等终端设备所在地等。

另外,完善了行政处罚听证制度,调整了证

据的种类。

9 月 9 日

《互联网弹窗

信息推送服务

管理规定》

国家互联网信

息办公室

《规定》明确了互联网弹窗信息推动服务的

定义,及弘扬社会主义核心价值观、坚持正

确政治方向舆论导向和价值取向的原则。重

点强调优化推送内容生态、严格落实新闻资

质许可、规范新闻信息内容、严禁歪曲篡改、

设定各类内容占比、加强内容审核、保障用

户权益、算法合规等。

工业和信息化

市场监管总局

9 月 19 日

《气象数据开

放共享实施细

则(试行)》

中国气象局

《细则》指出,要充分发挥气象部门的技术

优势,优先采用提供产品数据和服务等方

式,依据数据使用用途和具体应用场景,通

过气象数据服务资源平台充分保障各类用

户的气象数据需求。对于原始数据和数据产

品,应提供经过严格质量控制评估并经过业

8

第21页

立法篇 Part I 2022 数据立法活动总览

务准入的数据,确保数据质量

10 月 25 日

《网络产品安

全漏洞收集平

台备案管理办

法》

工业和信息化

《办法》适用于在中国境内相关组织或者个

人设立的收集非自身网络产品安全漏洞的

公共互联网平台(而非仅用于修补自身网络

产品、网络和系统安全漏洞用途)。

10 月 25 日

《寄递用户个

人信息安全管

理规定 ( 草

案)》

国家邮政局

《规定》提出,寄递企业应当建立健全寄递

用户个人信息安全保障制度和措施,明确企

业部门、岗位的安全保护责任,合理确定寄

递用户个人信息处理的操作权限,定期对从

业人员进行安全教育和培训。

11 月 2 日

《关于开展智

能网联汽车准

入和上路通行

试点工作的通

知(征求意见

稿)》

工业和信息化

表示将遴选符合条件的道路机动车辆生产

企业和具备量产条件的搭载自动驾驶功能

的智能网联汽车产品,在特定公共道路区域

内开展准入通行试点。《通知》同时给出了申

报试点的流程及审批机构。公安部

11 月 8 日

《中小企业数

字化转型指

南》

工业和信息化

提出了“开展数字化评估、推进管理数字化、

开展业务数字化、融入数字化生态、优化数

字化实践”五方面要求,推动中小企业做好

数字资产评估工作,以及内部数据侧的管理

制度、组织架构、人才培训等管理优化工作,

开展数字化水平测评统计、督导等工作。

《中小企业数

字化水平评测

指标(2022 年

版)的通知》

11 月 16 日

《互联网跟帖

评论服务管理

规定》

国家互联网信

息办公室

新《规定》是 2017 年版“规定”基础上的修

订和完善,重点明确了跟帖评论服务提供者

跟帖评论管理责任、跟帖评论服务使用者和

公众账号生产运营者应当遵守的有关要求

等内容。强调公众账号生产运营者对账号跟

帖评论信息内容的审核管理责任,需对违法

和不良信息采取必要措施。

11 月 18 日

《个人信息保

护认证实施规

则》

市场监管总局

《规则》规定了对个人信息处理者开展个人

信息处理活动进行认证的基本原则和要求,

以“个人信息安全规范”“个人信息跨境处理

活动安全认证规范”为认证依据,证书有效

期为 3 年,届满前 6 个月内可提出续期申请。

国家互联网信

息办公室

9

第22页

立法篇 Part I 2022 数据立法活动总览

11 月 30 日

《关于进一步

规范移动智能

终端应用软件

预置行为的通

告》

工业和信息化

《通告》要求,生产企业应确保移动智能终

端中除基本功能软件外的预置应用软件均

可卸载,并提供安全便捷的卸载方式供用户

选择。基本功能软件仅限于:操作系统基本

组件、多媒体摄录软件、基本通信应用、应

用软件下载通道。实现同一基本功能的预置

应用软件,至多有一个可设置为不可卸载。

国家互联网信

息办公室

12 月 11 日

《互联网信息

服务深度合成

管理规定》

国家互联网信

息办公室

《深度合成规定》给出了深度合成技术的定

义及示例,要求服务提供者进行显著标识处

理,以避免公众产生混淆或误认。还规定了

用户注册、算法审核、科技伦理审查、个人

信息保护等管理制度。

12 月 13 日

《工业和信息

化领域数据安

全管理办 法

(试行)》

工业和信息化

《管理办法》对在我国境内开展的工业和信

息化领域工业数据、电信数据和无线电数据

处理活动进行规范,并规定相应的安全监管

义务。一是工业数据分类分级管理,重要数

据和核心数据的识别;二是数据全生命周期

安全管理保护措施;三是数据安全监测预

警、应急管理、认证与评估;四是监督检查

和法律责任。针对工业数据全生命周期的安

全要求,《管理办法》明确了本地化存储、数

据出境审批及评估、数据处理日志留存等规

定。

12 月 14 日

《电力行业网

络安全管理办

法》

国家能源局

结合新时代背景下网络安全管理方向,贯彻

落实《网络安全法》等法律法规要求,这两

项电力行业网络安全管理文件是对 2014 年

文件(317 和 318 号文)的修订和完善。规

定了电力行业网络安全等级保护定级、审

核、建设、测评、检查及密码管理等方面的

有关要求,以及法律责任。

《电力行业网

络安全等级保

护管理办法》

标准/指南性文件

5 月 7 日

《移动互联网应用程序(APP)收集使用个人信息最小必

要评估规范 第 1 部分:总则》

工业和信息化部 “第 2 部分:位置信息”

“第 3 部分:图片信息”

10

第23页

立法篇 Part I 2022 数据立法活动总览

“第 11 部分:短信信息”

6 月 13 日

《信息安全技

术 移动智能

终端的移动互

联网应用程序

(App)个人

信息处理活动

管理指南》

全国信息安全

标准化技术委

员会

《指南》规范了 APP 安装阶段措施、启动阶

段措施、运行阶段措施、更新阶段措施、退

出、卸载阶段措施,以及 App 使用个人信息

提示、App 调用个人信息行为记录、设备识

别码访问控制、敏感数据访问控制、存储空

间使用、系统权限能力增强几个方面措施。

6 月 24 日

《网络安全标准实践指南—个人信息跨境处理活动安全

认证规范》

全国信息安全标准

化技术委员会

7 月 15 日

《信息技术 安全技术 公有云中个人信息保护实践指

南》

全国信息安全标准

化技术委员会

7 月 29 日 《数据传输安全白皮书》 工信部网络安全产

业发展中心

8 月 8 日 《自动驾驶汽车运输安全服务指南(试行)》

交通运输部运输服

务司

8 月 22 日

《移动互联网应用程序(APP)收集使用个人信息最小

必要评估规范 第 5 部分:设备信息》

工业和信息化部科

技司

“第 8 部分:录像信息”

“第 10 部分:通话记录”

8 月 22 日 《移动互联网应用程序(APP)用户权益保护测评规范》

8 月 22 日 《移动应用软件安全评估方法》

8 月 31 日

《数据出境安

全评估申报指

南(第一版)》

国家互联网信

息办公室

《申报指南》指明了应当申报情形、数据出

境行为认定、数据出境风险自评估重点、数

据出境安全评估申报材料要求、安全评估重

点、与境外接收方订立的法律文件的必备内

容、安全评估结果有效期、应当重新评估情

形等重要内容。数据处理者符合数据出境安

全评估适用情形的,应当按照《申报指南》

申报数据出境安全评估。

9 月 14 日

《信息安全技

术 网络数据

分类分级要求

(征求意见

全国信息安全

标准化技术委

员会

《要求》给出了数据分类分级基本原则、数

据分类方法、数据分级框架和数据定级方法

等标准指引。

11

第24页

立法篇 Part I 2022 数据立法活动总览

稿)》

9 月 6 日 《信息技术 大数据 数据资产价值评估(征求意见稿)》

全国信息技术标准

化技术委员会

9 月 28 日 《信息安全技术 网络安全信息报送指南(征求意见稿)》

全国信息安全标准

化技术委员会

10 月 9 日

《信息安全技术 智能手机预装应用程序基本安全要求

(征求意见稿)》

全国信息安全标准

化技术委员会

10 月 12 日 《信息安全技术 关键信息基础设施安全保护要求》

全国信息安全标准

化技术委员会

10 月 12 日

《信息化和工业化融合 数字化转型 价值效益参考模

型》 全国信息化和工业

化融合管理标准化

技术委员会 《信息化和工业化融合管理体系 供应链数字化管理指

南》

10 月 19 日

《信息安全技术 汽车数据处理安全》

全国信息安全标准

化技术委员会

《信息安全技术 即时通信服务数据安全要求》

《信息安全技术 网络音视频服务数据安全要求》

《信息安全技术 个人信息安全工程指南》

《信息安全技术 快递物流服务数据安全要求》

《信息安全技术 网络预约汽车服务数据安全要求》

《信息安全技术 网络支付服务数据安全要求》

《信息安全技术 声纹识别数据安全要求》

《信息安全技术 步态识别数据安全要求》

《信息安全技术 网上购物服务数据安全要求》

《信息安全技术 人脸识别数据安全要求》

《信息安全技术 基因识别数据安全要求》

10 月 25 日 《数据资产确认工作指南(征求意见稿)》 浙江省财政厅

11 月 14 日

《证券期货业机构内部接口 证券交易》

中国证监会

《证券期货业数据安全管理与保护指引》

《证券期货业信息技术服务连续性管理指南》

《证券公司客户信息交换规范》

12

第25页

立法篇 Part I 2022 数据立法活动总览

《证券经营机构投资者适当性管理 投资者评估数据要

求》

11 月 25 日

《移动智能终端应用软件分类与可卸载实施规范》

电信终端产业协会

《APP 收集使用个人信息最小必要评估规范 第 1 部分:

总则》

《APP 用户权益保护测评规范 第 7 部分:欺骗误导强

迫行为》

《软件开发包(SDK)个人信息处理规范》

《基于差分隐私的用户个人信息保护技术要求》

《APP 推荐算法用户权益保护技术要求及测评规范》

《电信和互联网个人信息保护能力审计规范》

《智能手表用户权益保护测评规范》

《智能电视用户权益保护测评规范》

12 月 16 日

《网络安全标

准实践指南—

个人信息跨境

处理活动安全

认 证 规 范

V2.0》

全国信息安全

标准化技术委

员会

《规范 V2.0》指导个人信息处理者规范开展

个人信息跨境处理活动,内容包括跨境处理

个人信息应遵循的基本原则、个人信息处理

者和境外接收方在个人信息跨境处理活动

的个人信息保护、个人信息主体权益保障等

方面。

地方性法规

发布日期 发文机关 文件名称

1 月 12 日 江西省人民政府 《江西省公共数据管理办法》

1 月 31 日 山东省人民政府 《山东省公共数据开放办法》

4 月 28 日 江西省发展改革委 《江西省数据条例(征求意见稿)》

5 月 27 日 河北省人大常委会 《河北省数字经济促进条例》

5 月 31 日 江苏省人大常委会 《江苏省数字经济促进条例》

5 月 31 日 辽宁省人大常委会 《辽宁省大数据发展条例》

6 月 2 日

中国(上海)自由贸易试

验区临港新片区管理

委员会

《中国(上海)自由贸易试验区临港新片区公共数据

管理办法(试行)》

6 月 23 日 深圳市人大常委会 《深圳经济特区智能网联汽车管理条例》

13

第26页

立法篇 Part I 2022 数据立法活动总览

7 月 6 日 上海市经信委 《上海市数据交易场所管理实施办法(征求意见

稿)》

9 月 5 日 深圳市人大常委会 《深圳经济特区人工智能产业促进条例》

9 月 13 日 上海市经信委 《上海市公共数据开放实施细则》

9 月 22 日 上海市人大常委会 《上海市促进人工智能产业发展条例》

9 月 29 日 陕西省人大常委会 《陕西省大数据条例》

11 月 28 日 上海市人大常委会 《上海市浦东新区促进智能网联汽车创新应用规

定》

11 月 29 日

上海市交通委

上海市经信委 《上海市智能网联汽车示范运营实施细则》

上海市公安局

11 月 30 日

上海市规划和自然资

源局

《上海市智能网联汽车高精度地图试点审图工作细

则》

12 月 14 日 北京市人大常委会 《北京市数字经济促进条例》

12 月 27 日 厦门市人大常委会 《厦门经济特区数据条例》

14

第27页

立法篇 Part II 数据出境合规路径

Part II 数据出境合规路径

全球数据主权浪潮下,各国对数据本地化存储的要求更高,对数据跨境传输的合

规监管更严。同时,各国也在谋求更为成熟的数据区域合作机制。欧盟与美国在隐私

保护盾决议被 Schrems II 案判决无效后,重新寻找数据传输的充分性认证机制。2022

年 12 月 13 日,欧盟委员会发布《关于欧盟-美国数据隐私框架的充分性决定草案》,

若最终得到通过,欧洲经济实体将能从欧洲经济区自由且安全地向美国参相关实体传

输个人数据,而不受任何进一步条件或授权的限制,将很大程度上促进两个主要经济

体之间的数据流通,降低信息交互成本。此前,日本等国家和地区已被列入欧盟充分

性保护名单,享有个人数据传输的便捷渠道。我国面临着更大的数据跨境流通的机遇

和挑战。

2022 年,我国数据(个人信息)出境的三个重要合规路径——数据出境安全评估、

个人信息出境标准合同、个人信息保护认证的落地规范得以明晰,为企业数据出海业

务提供了更具实操性的合规指引。

15

第28页

立法篇 Part II 数据出境合规路径

数据出境三大合规路径

《网络安全法》《数据安全法》《个人信息保护法》均从法律层面对我国数据出境

行为进行了严格限定,但具体操作不够明晰。2022 年,监管部门关于数据跨境传输的

规则、办法陆续出台,逐渐形成可落地实操的三个出境合规路径——“安全评估”“保

护认证”“标准合同”。

数据出境合规路径的选择

《数据出境安全评估申报指南(第一版)》,针对数据处理者在境内运营中收集和

产生的数据,涉及数据出境包括双向六种具体行为:境内向境外传输、存储;境外的

机构或者个人向境内查询、调取、下载、导出。企业当前运营实践中,这六种数据出

境行为主要涉及三类场景:跨境资本活动、公司管理活动、业务经营活动。

针对不同数据出境场景,我国对境内数据处理者的合规义务要求不同,主要是从

主体属性和数据属性两个维度分类规范。企业在选择出境路径时,可参考如下方法:

数据出境安全评估

国家网信办

2022年7月7日 《数据出境安全评估办法》

2022年8月31日 《数据出境安全评估申报指南(第一版)》

个人信息保护认证

全国信安标委

2022年6月24日 《个人信息跨境处理活动安全认证规范》

2022年12月6日 《个人信息跨境处理活动安全认证规范v2.0》

市场监管总局

国家网信办 2022年11月4日 《个人信息保护认证实施规则》

个人信息出境标准合同

国家网信办 2022年6月30日 《个人信息出境标准合同规定(征求意见稿)》

16

第29页

立法篇 Part II 数据出境合规路径

(1)处理者主体属性

l 若企业属于关键信息基础设施运营者(CIIO),确需向境外提供其在境内运营中

收集和产生的个人信息和重要数据时,必须通过国家网信部门的数据出境安全

评估。

《网络安全法》第三十七条

关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息

和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信

部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,

依照其规定。

《数据安全法》第三十一条

关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据

的出境安全管理,适用《中华人民共和国网络安全法》的规定。

《个人信息保护法》第四十条

关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息

处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向

境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信

部门规定可以不进行安全评估的,从其规定。

l 若企业不属于关键信息基础设施运营者(CIIO),仅为一般主体,其数据出境的

合规路径选择取决于所传输数据的类型。

在此前“网安法”语境下,依据《个人信息和重要数据出境安全评估办法(征求意

见稿)》《个人信息出境安全评估办法(征求意见稿)》等规定,受监管的数据出境

主体分为 CIIO 和一般网络运营者。《数据安全法》《个人信息保护法》正式施行后,

受监管的出境主体涵盖所有数据/个人信息处理者,不再区分网络运营者或其他主

体。故,非 CIIO 的一般主体,并不当然需要通过出境安全评估。

(2)出境数据属性

l 若拟出境数据为重要数据或核心数据,则应通过国家网信部门的数据出境安全

评估后才可出境。

17

第30页

立法篇 Part II 数据出境合规路径

根据《数据出境安全评估办法》第二条、第四条及《网络数据安全管理条例(征求

意见稿)》第三十七条规定,出境数据含有重要数据的,应申报数据出境安全评估。

《数据安全法》第二十一条第二款规定,关系国家安全、国民经济命脉、重要民生、

重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。可见,核心数

据应适用与重要数据同等或更严的合规要求,在法律法规没有对核心数据出境有单

独规定时,应当以境内存储为原则,确需向境外传输的,亦应当申报数据出境安全

评估。例如,工信部于今年 12 月 13 日发布《工业和信息化领域数据安全管理办法

(试行)》,其中第二十一条要求工业和信息化领域数据处理者在境内收集和产生的

重要数据和核心数据,都应遵循“境内存储原则+出境安全评估”的制度。

l 若拟出境数据为个人信息,则应首先取得个人信息主体单独同意,并采取相应

保护措施,再选择出境路径。

在路径选择时,应判断处理及出境的个人信息主体数量是否达到《数据出境安

全评估办法》规定的标准:

· 若企业满足以下标准之一,则需进行数据出境安全评估:

(a) 企业是处理 100 万人以上个人信息的个人信息处理者;

(b) 从上一年 1 月 1 日起算,企业累计向境外提供 10 万人个人信息;

(c) 从上一年 1 月 1 日起算,企业累计向境外提供 1 万人敏感个人信息。

· 若企业未达到上述数量标准的,安全评估不是企业数据出境唯一的合规路

径,企业可根据情况选择(a)与境外接收方签订《个人信息出境标准合同》;

或(b)通过个人信息保护认证;或(c)进行数据出境安全评估。

《个人信息保护法》规定了“事前单独同意、个人信息保护影响评估+事中多项保

护措施+事后留存记录”等多项个人信息出境前置性条件,在满足该等条件的基础

上,企业还应判断个人信息数量情况,选择相匹配的出境路径。

(3)特殊出境场景识别

l 若出境数据涉及国家秘密的,需事前履行国务院有关主管部门或者省、自治区、

直辖市人民政府有关主管部门的批准程序,并与境外接收方签订保密协议。

18

第31页

立法篇 Part II 数据出境合规路径

《中华人民共和国保守国家秘密法》第三十条:“机关、单位对外交往与合作中需

要提供国家秘密事项,或者任用、聘用的境外人员因工作需要知悉国家秘密的,应

当报国务院有关主管部门或者省、自治区、直辖市人民政府有关主管部门批准,并

与对方签订保密协议。”

l 若向境外提供人类遗传资源信息的,应向科技部事先报告并提交信息备份;若

拟出境的人类遗传资源信息可能影响我国公众健康、国家安全和社会公共利益

的,应当通过科技部组织的安全审查。

《中华人民共和国生物安全法》第五十七条:“将我国人类遗传资源信息向境外组

织、个人及其设立或者实际控制的机构提供或者开放使用的,应当向国务院科学技

术主管部门事先报告并提交信息备份。”

《人类遗传资源管理条例》第二十八条:“将人类遗传资源信息向外国组织、个人

及其设立或者实际控制的机构提供或者开放使用,不得危害我国公众健康、国家安

全和社会公共利益;可能影响我国公众健康、国家安全和社会公共利益的,应当通

过国务院科学技术行政部门组织的安全审查。

将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放

使用的,应当向国务院科学技术行政部门备案并提交信息备份。”

l 拟向外国司法机构或执法机构提供存储于境内的个人信息,需事前经过主管机

关批准。

《个人信息保护法》第四十一条:“非经中华人民共和国主管机关批准,个人信息

处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。”

l 若境外接收方被列入国家网信部门限制、禁止个人信息提供清单中,将被限制、

或禁止向该方跨境传输。

《个人信息保护法》第四十二条:“境外的组织、个人从事侵害中华人民共和国公

民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理

活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,

并采取限制或者禁止向其提供个人信息等措施。”

19

第32页

立法篇 Part II 数据出境合规路径

l 若个人信息拟出境的国家或地区在个人信息保护方面对中华人民共和国采取

歧视性的禁止、限制或者其他类似措施的,应注意我国是否采取了对等措施。

《个人信息保护法》第四十三条:“任何国家或者地区在个人信息保护方面对中华

人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根

据实际情况对该国家或者地区对等采取措施。”

l 另需注意的是,实践中可申请个人信息保护认证的主体以“跨国企业或同一经

济、事业实体下属子公司或关联公司的境内一方”和“《个人信息保护法》第三

条第二款规定的境外个人信息处理者在境内设置的专门机构或指定代表”两类

法人实体为主,其他个人信息处理者是否能有效申请认证存疑。

《个人信息保护法》第三十八条第一款(二)项未在法律层面限定申请认证的主体

范围,且全国信安标委于今年 12 月发布修改后的《网络安全标准实践指南—个人

信息跨境处理活动安全认证规范 V2.0(征求意见稿)》将个人信息保护认证适用情

形扩大到全部个人信息跨境处理活动。但,一方面,“安全认证规范 V2.0”依然将

前述两类法人实体作为主要认证主体,另一方面,目前尚无认证机构扩大认证主体

范围的实际做法或明确态度,其他企业申请保护认证仍存在障碍。

我们整理了出境路径选择的判断标准,如下图所示:

数据出境路径判断

CIIO 一般主体

重要数据及核心数据

敏感个人信息

达到数量⓵

未达数量

一般个人信息

达到数量⓶

未达数量

一般数据

特殊出境场景

20

第33页

立法篇 Part II 数据出境合规路径

注:

⓵ 从上一年 1 月 1 日起算,企业累计向境外提供 1 万人敏感个人信息

⓶ 从上一年 1 月 1 日起算,企业累计向境外提供 10 万人个人信息

:应申报国家网信办进行出境安全评估

:可选择“订立标准合同”“个人信息保护认证”或“安全评估”的路径

:应注意更多特定的限制性条件,包括主管机关前置性审批、安全性审查、

信息报备、或禁止/限制数据出境等

:自由传输

21

第34页

立法篇 Part II 数据出境合规路径

我国“个人信息保护认证规范”解读

我国《个人信息保护法》第三十八条确立了“个人信息保护认证”制度是向境外

提供个人信息的合规路径之一。2022 年 4 月 29 日,全国信安标委发布《网络安全标

准实践指南——个人信息跨境处理活动认证技术规范(征求意见稿)》,并于 6 月 24 日

发布正式版《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》(“认

证规范 V1.0”)。此后,认证规范仍处于论证细化阶段,尚未有机构正式开展过认证活

动。12 月 16 日,全国信安标委将《认证规范 V1.0》进行修改、完善,并结合意见反

馈,发布了《网络安全标准实践指南——个人信息跨境处理活动安全认证规范 V2.0》

(“认证规范 V2.0”),成为个人信息保护认证工作的重要依据。此外,11 月 18 日,市

场监督管理总局和国家网信办发布“关于实施个人信息保护认证的公告”(2022 年第

37 号)。该公告载明,市监总局和国家网信办决定实施个人信息保护认证,明确对于

开展跨境处理活动的个人信息处理者,应当符合《网络安全标准实践指南——个人信

息跨境处理活动安全认证规范》的要求,并公布了较为原则性的认证程序。至此,我

国“个人信息保护认证”工作的规范体系已初步形成。

相较于《认证规范 V1.0》,《认证规范 V2.0》主要调整了认证的适用主体、法律约

束力文件的具体内容,增加了个人信息保护机构的职责、个人信息保护影响评估(PIA)

的要求,补充了境内外双方的安全保护义务等内容。

一、适用场景

《认证规范 V1.0》的适用情形限定在“跨国公司或者同一经济、事业实体下属子

公司或关联公司之间的个人信息跨境处理活动”及“《个人信息保护法》第三条第二款

适用的个人信息处理活动”,而《认证规范 V2.0》规定的“适用情形”扩大为“个人

信息处理者开展个人信息跨境处理活动”,“适用主体”也似乎并未限于前述两个场景

下的境内实体。

《认证规范 V1.0》 《认证规范 V2.0》

1.适用情形

本文件作为认证机构对个人信息

跨境处理活动进行个人信息保护

认证的基本要求,适用于以下情

形:

本文件作为认证机构对个人信息

跨境处理活动进行个人信息保护

认证的认证依据,适用于个人信息

处理者开展个人信息跨境处理活

22

第35页

立法篇 Part II 数据出境合规路径

a)跨国公司或者同一经济、事业实

体下属子公司或关联公司之间的

个人信息跨境处理活动;

b)《中华人民共和国个人信息保护

法》第三条第二款适用的个人信

息处理活动。

动。

2.适用主体

跨国公司或者同一经济、事业实

体下属子公司或关联公司之间的

个人信息跨境处理活动可由境内

一方申请认证,并承担法律责任。

《中华人民共和国个人信息保护

法》第三条第二款规定的境外个

人信息处理者,可由其在境内设

置的专门机构或指定代表申请认

证,并承担法律责任。

申请认证的个人信息处理者应取

得合法的法人资格,正常经营且具

有良好的信誉、商誉。

跨国公司或者同一经济、事业实体

下属子公司或关联公司之间的个

人信息跨境处理活动可由境内一

方申请认证,并承担法律责任。

《中华人民共和国个人信息保护

法》第三条第二款规定的境外个人

信息处理者,可由其在境内设置的

专门机构或指定代表申请认证,并

承担法律责任。

《个人信息保护法》没有限制“个人信息保护认证”制度的适用场景或主体,国

家网信办和市监总局发布的部门规范性文件《个人信息保护认证实施规则》亦未限定

申请主体范围。作为操作指南性文件,《认证规范 V1.0》排除其他主体申请个人信息

保护认证,似乎有突破立法权限之嫌。《认证规范 V2.0》在适用情形上不再限于 a)跨

国企业集团或关联方之间的个人信息跨境处理活动、或 b)境外处理者直接收集的情形,

而是扩大到所有个人信息跨境处理活动,并对申请主体新增总体性要求:“申请认证

的个人信息处理者应取得合法的法人资格,正常经营且具有良好的信誉、商誉”,似乎

扩大了保护认证这一出境合规路径的适用范围。

《个人信息保护法》第三条第二款列举的境外个人信息处理者直接收集境内个人

信息的场景是否属于我国“个保法”语境下的个人信息跨境提供行为,尚存争议。该

法第五十三条要求此类境外的个人信息处理者,应当在我国境内设立专门机构或者指

定代表,负责处理个人信息保护相关事务。《认证规范》允许境内机构或指定代表申请

保护认证,并承担法律责任,《认证规范 V2.0》进一步将其明确为法人实体。

虽然《认证规范 V2.0》在适用情形与主体的表述上有一些调整,但对于境内处理

23

第36页

立法篇 Part II 数据出境合规路径

者与境外非关联方接收主体之间的典型个人信息跨境活动,能否适用保护认证制度,

似乎并未明确。

比较欧盟《通用数据保护规则》(GDPR)语境下的认证保护规则。对于跨境数据

转移的机制,GDPR 第 46 条提出“认证(Certification)”“具有约束力的企业规则(BCR)”

“标准合同条款(SCCs)”等可以作为个人信息跨境传输的有效合规工具,为包括我

国在内的多个国家和地区提供了立法参考。

“认证(Certification)”机制下,根据 GDPR 第 46 条第 2 款(f)项,符合第 42

条和第 43 条要求的认证机制并取得数据进口方(即第三国数据接收方)的有效承诺,

个人数据可跨境转移。结合 GDPR 序言第 100 条、正文第 42 条等内容,认证的对象

包括诸多主体,如中小经济主体等,且认证不是强制性程序,而是自愿参与的过程。

同时,关于认证的条款(第 42 条认证、第 43 条认证机构)并没有列在第五章(将个

人数据转移到第三国或国际组织)中,而是作为数据处理者和控制者的安全保护规范

内容。也就是说,GDPR 规定的“认证”机制适用范围涵盖各类个人数据处理活动,

而非仅针对跨境转移的场景。我国《个人信息保护认证实施规则》也属于标准化认证

制度,在第 1 条适用范围中明确包括各类个人信息收集、存储、使用、加工、传输、

提供、公开、删除以及跨境等处理活动,这一点与 GDPR 的认证机制类似。

2022 年 6 月 14 日,欧盟数据保护委员会(EDPB)通过了《关于认证作为跨境传

输工具的第 07/2022 号指南》(Guidelines 07/2022 on Certification as a Tool for Transfers),

为 GDPR 第 46 条第 2 款(f)项关于在“认证”的基础上向第三国或国际组织转移个

人数据的应用提供了指导。该“指南”提出,个人数据跨境传输场景下申请认证的实

体是第三国的数据进口方(即境外接收方)。

“具有约束力的企业规则(Binding Corporate Rules,BCR)”是 GDPR 第 47 条

规定的企业集团内部涉及个人信息跨境转移的一种机制,其实施的基础是跨国集团内

部统一的规则具有强制性约束力,经数据保护监管机构批准(认可)即可实现安全保

护效果。根据 GDPR 第 47 条,及 EDPB 发布的两部关于对控制者(WP256rev.01)/处理

者(WP257rev.01)具有约束力的企业规则的工作文件,BCR 需要具备可执行文件、

数据保护官 DPO、数据主体权益、数据保护保障等要素和原则。我国《认证规范 V2.0》

也制定了相似的基本要求。2022 年 11 月 14 日,EDPB 通过了《关于批准以及控制者

约束性企业规则中的要素和原则的建议(GDPR 第 47 条)(草案)》(Recommendations

24

第37页

立法篇 Part II 数据出境合规路径

1/2022 on the Application for Approval and on the elements and principles to be found in

Controller Binding Corporate Rules (Art. 47 GDPR),以下简称“第 1/2022 号建议”),

是对现有的控制者约束性公司规则(BCR-C)的更新。《第 1/2022 号建议》规定了适

格申请主体严格的选择顺序:集团总部所在地—境内实体所在地—执行 BCR-C 公司

所在地—主要数据保护监管措施实施国—主要数据出口国。我国《认证规范 V2.0》规

定的申请认证主体为“境内方”或“在境内设置的专门机构或指定代表”。从效力、目

的、要素点、认证主体等方面看,我国《认证规范 V2.0》与欧盟 BCR 机制有很高的

相似性,只不过是以第三方机构认证取代了监管机构的批准(认可)。

可以说,《个人信息保护认证实施规则》+《认证规范 V2.0》构成了一套以国际标

准化认证为工具,融合欧盟企业集团内部 BCR 机制的个人信息跨境合规办法。

另外,考虑到《认证规范 V2.0》对境内外双方均提出了多项职责义务,若在非关

联方之间的跨境传输活动,境外接收方恐难以配合满足认证要求、提交完整的证明材

料,在此场景下可能无法实现企业对认证机制出境便利性的期待效果。

结合出境认证原理和实操难度,《认证规范 V2.0》依然是以“跨国公司或者同一

经济、事业实体下属子公司或关联公司之间”“《个人信息保护法》第三条第二款规定

的处理活动”两类场景为主,而一般性个人信息跨境提供行为可能并不会得到认证机

构的受理。

二、认证工作的重点要求

(一)认证的基本原则

《认证规范 V2.0》更新了对个人信息处理者和境外接收方在跨境传输时的基本原

则,与《个人信息保护法》多项条款相匹配:

《认证规范 V2.0》 《个人信息保护法》

a) 合法、正当、必要和诚信原则 第五条、第六条

b) 公开透明原则 第七条、第三十九条

c) 信息质量原则 第八条

d) 同等保护原则 第三十八条

25

第38页

立法篇 Part II 数据出境合规路径

e) 责任明确原则 第九条

f) 自愿认证原则 -

(二)具有法律约束力的协议

《认证规范 V2.0》第 5.1 条要求处理者与境外接收方签订具有法律约束力和可执

行的文件,确保个人信息主体权益得到充分保障。其相较于《认证规范 V1.0》调整了

部分内容,在主要内容上与《个人信息出境标准合同(征求意见稿)》《数据出境安全

评估办法》相关条款一致,但是各路径的合规控制侧重点不同,企业应针对性地拟定

不同的协议文件。

“标准合同模板” 《数据出境安全评估办法》 《认证规范 V2.0》

(一)个人信息处理者和境

外接收方的基本信息,包括

但不限于名称、地址、联系

人姓名、联系方式等

(一)数据出境的目的、方式

和数据范围,境外接收方处理

数据的用途、方式等

a) 个人信息处理者和境外接

收方的基本信息,包括但不限

于名称、地址、联系人姓名、

联系方式等

(二)个人信息出境的目

的、范围、类型、敏感程度、

数量、方式、保存期限、存

储地点等

(二)数据在境外保存地点、

期限,以及达到保存期限、完

成约定目的或者法律文件终

止后出境数据的处理措施

b) 个人信息跨境处理的目

的、范围、类型、敏感程度、

数量、方式、保存期限、存储

地点等

(三)个人信息处理者和境

外接收方保护个人信息的

责任与义务,以及为防范个

人信息出境可能带来安全

风险所采取的技术和管理

措施等

(三)对于境外接收方将出境

数据再转移给其他组织、个人

的约束性要求

c) 个人信息处理者和境外接

收方保护个人信息的责任与

义务,以及为防范个人信息跨

境处理可能带来安全风险所

采取的技术和管理措施等

(四)境外接收方所在国家

或者地区的个人信息保护

政策法规对遵守本合同条

款的影响

(四)境外接收方在实际控制

权或者经营范围发生实质性

变化,或者所在国家、地区数

据安全保护政策法规和网络

安全环境发生变化以及发生

其他不可抗力情形导致难以

保障数据安全时,应当采取的

安全措施

d) 个人信息主体的权利,以

及保障个人信息主体权利的

途径和方式

26

第39页

立法篇 Part II 数据出境合规路径

(五)个人信息主体的权

利,以及保障个人信息主体

权利的途径和方式

(五)违反法律文件约定的数

据安全保护义务的补救措施、

违约责任和争议解决方式

e) 救济、合同解除、违约责任、

争议解决等

(六)救济、合同解除、违

约责任、争议解决等

(六)出境数据遭到篡改、破

坏、泄露、丢失、转移或者被

非法获取、非法利用等风险

时,妥善开展应急处置的要求

和保障个人维护其个人信息

权益的途径和方式

f) 境外接收方承诺并遵守同

一个人信息跨境处理规则,并

确保个人信息保护水平不低

于中华人民共和国个人信息

保护相关法律、行政法规规定

的标准

g) 境外接收方承诺接受认证

机构对个人信息跨境处理活

动的持续监督

h) 境外接收方承诺接受中华

人民共和国个人信息保护相

关法律、行政法规管辖

i) 明确在中华人民共和国境

内承担法律责任的组织,并承

诺履行个人信息保护义务

j) 个人信息处理者和境外接

收方均承诺对侵害个人信息

权益行为承担民事法律责任,

并明确约定双方应承担的民

事法律责任

k) 其他应遵守的法律、行政

法规规定的义务

(三)设置个人信息保护机构和负责人

《认证规范 V2.0》第 5.2 条要求增强相关主体的组织管理,包括设立个人信息保

护负责人和个人信息保护机构,并确定了选任条件及职责范围。

个人信息保护负责人 个人信息保护机构

1.设立要求 个人信息处理者和境外接收方均需

指定负责人

个人信息处理者和境外接收方均需设立

保护机构

27

第40页

立法篇 Part II 数据出境合规路径

2.设立方式

具备个人信息保护专业知识和相关

管理工作经历;由本组织的决策层

成员担任

未设定特别要求;仅提出履行个人信息

保护义务

3.职责范围

a) 明确个人信息保护工作的主要

目标、基本要求、工作任务、保护措

施;

b) 为本组织的个人信息保护工作

提供人力、财力、物力保障,确保所

需资源可用;

c) 指导、支持相关人员开展本组织

的个人信息保护工作,确保个人信

息保护工作达到预期目标;

d) 向本组织的主要负责人汇报个

人信息保护工作情况,推动个人信

息保护工作持续改进。

a) 依法制定并实施个人信息跨境处理活

动计划;

b) 组织开展个人信息保护影响评估;

c) 监督本组织按照约定的个人信息跨境

处理规则处理跨境个人信息,保护个人

信息权益;

d) 采取有效措施保证按照约定的处理

目的、范围、方式处理跨境个人信息,履

行个人信息保护义务,保障个人信息安

全;

e) 定期对本组织处理个人信息遵守中华

人民共和国法律、行政法规的情况进行

合规审计;

f) 接受和处理个人信息主体的请求和投

诉;

g) 接受认证机构对个人信息跨境处理

活动的持续监督,包括答复询问、配合检

查等。

(四)开展个人信息保护影响评估

《认证规范 V2.0》第 5.4 条规定,个人信息处理者应在个人信息跨境前开展个人

信息保护影响评估(PIA)工作,形成个人信息保护影响评估报告,并至少保存 3 年。

相较于《认证规范 V1.0》,《认证规范 V2.0》增加了部分评估事项,并落实了《个人信

息保护法》第五十六条对报告留存期限的规定。

个人信息处理者和境外接收方的责任义务

相较于《认证规范 V1.0》,《认证规范 V2.0》第 6.2 条更新了境内外传输双方的责

任义务条款,新增、细化了四项义务:

(a) 境外接收方通知义务。如果境外接收方所在国家或地区法律或政策发生变化,

28

第41页

立法篇 Part II 数据出境合规路径

导致境外接收方无法履行本认证所提出的要求,境外接收方在知道前述变化

后立即通知个人信息处理者及认证机构。

(b) 禁止二次传输的承诺。境外接收方承诺不将所接收的个人信息提供给第三方。

如确需提供的,满足中华人民共和国有关法律、行政法规要求,并采取必要

措施确保第三方个人信息跨境处理活动达到《个人信息保护法》规定的个人

信息保护标准。

(c) 保存记录。双方应客观记录开展的个人信息跨境处理活动,保存记录至少 3

年;按照相关法律法规要求向中华人民共和国履行个人信息保护职责的部门

提供相关记录文件。

(d) 个人信息安全事件通知、报告内容。包含以下内容:

1) 个人信息泄露、篡改、丢失的原因;

2) 泄露的个人信息种类和可能造成的危害;

3) 已采取的补救措施;

4) 个人可以采取的减轻危害的措施;

5) 负责处理个人信息泄露、篡改、丢失的负责人或负责团队的联系方式。

小结

《个人信息保护认证实施规则》和《认证规范 V2.0》提供了个人信息保护认证机

制的落地办法,在前版内容的基础上进行了部分更新、完善,搭建了一条较为便捷的

个人信息安全合规出境路径。不过,由于《认证规范 V2.0》适用范围、申请主体的有

限性,大部分一般性个人信息跨境传输活动并不能适用此机制。

29

第42页

立法篇 Part II 数据出境合规路径

个人信息出境标准合同

2022 年 6 月 30 日,国家网信办发布《个人信息出境标准合同规定(征求意见稿)》

(“标准合同规定(征求意见稿)”)及标准合同样本(“标准合同”),作为《个人信息

保护法》第三十八条(三)确定的以“订立标准合同”方式向境外提供个人信息的合

规路径的重要实操模板。相较于其他出境路径,企业间订立标准合同具有明显的成本

优势,一直是拟信息出境企业的关注重点。

采用“标准合同条款(Standard Contractual Clauses, SCCs)”亦是欧盟数据保护框

架下的重要出境工具,GDPR 第 46 条第 2 款认可其作为有效的出境路径之一。2021

年 6 月 7 日,欧盟 EDPB 就遵循 Schrems II 案判决结果,发布修改后的新版《根据

GDPR 向第三国转移个人数据的标准合同条款》(“SCC”),并将于 2022 年 12 月 27 日

结束过渡期,完全取代旧版 SCC 的效力。欧盟新版 SCC 按数据出口方/进口方主体身

份不同区分不同的出境场景,针对各场景制定了可供选择的的合同条款模块。

以下将围绕我国《标准合同》适用范围、流程要求、基本内容等内容展开介绍。

一、适用范围

《标准合同规定(征求意见稿)》第四条列举了可以通过签订标准合同的方式向境

外提供个人信息的主体范围,《数据出境安全评估办法》第四条则明确了必须通过数

据出境安全评估的场景,两者结合比较,即为《标准合同》的可适用范围。

《数据出境安全评估办法》第四条 《标准合同规定(征求意见稿)》第四条

数据处理者向境外提供数据,有下列情形之

一的,应当通过所在地省级网信部门向国家

网信部门申报数据出境安全评估:

个人信息处理者同时符合下列情形的,可以

通过签订标准合同的方式向境外提供个人信

息:

数据处理者向境外提供重要数据 非关键信息基础设施运营者

关键信息基础设施运营者和处理 100 万人以

上个人信息的数据处理者向境外提供个人

信息

处理个人信息不满 100 万人的

自上年 1 月 1 日起累计向境外提供 10 万人

个人信息或者 1 万人敏感个人信息的数据处

理者向境外提供个人信息

自上年 1 月 1 日起累计向境外提供未达到 10

万人个人信息的

30

第43页

立法篇 Part II 数据出境合规路径

国家网信部门规定的其他需要申报数据出

境安全评估的情形

自上年 1 月 1 日起累计向境外提供未达到 1

万人敏感个人信息的

“订立标准合同”出境路径下,对个人信息出境的监管更有赖于各方的自觉遵守

和事后监督,所以适用条件较为严苛。适用《标准合同》的范围需同时满足以下条件:

(a) 主体层面:个人数据处理者不是 CIIO;

(b) 数据性质层面:拟出境的个人信息中不包含重要数据;

(c) 数据数量层面:自上年 1 月 1 日起,累计向境外提供未达到 10 万人个人信

息,且未达到 1 万人敏感个人信息的。

二、流程要求

相较于安全评估,“订立标准合同”路径在操作上更为便捷,除常规的个人信息出

境行为合规动作之外,主要有三个重要节点:事前 PIA、签订合同、备案。

“订立标准合同”出境的主要流程要求

序号 流程节点 相关法规

1 取得个人信息主体的单独同意 《个人信息保护法》第二十三条、第三十

九条

2 事前开展个人信息保护影响评估(PIA) 《个人信息保护法》第五十五条、《标准

合同规定(征求意见稿)》第五条

3 签订标准合同 《标准合同规定(征求意见稿)》

4

标准合同生效之日起 10 个工作日内,向

所在地省级网信部门备案 《标准合同规定(征求意见稿)》第七条

5 记录出境情况并保存至少 3 年 《个人信息保护法》第五十五条、第五十

六条第二款

其中,事前开展个人信息保护影响评估及备案要求比较值得关注。

1. 事前开展个人信息保护影响评估

《标准合同规定(征求意见稿)》第五条规定个人信息处理者在个人信息出境前,

31

第44页

立法篇 Part II 数据出境合规路径

应开展个人信息保护影响评估(PIA),同时明确了标准合同路径下 PIA 的具体要求,

是对《个人信息保护法》第五十六条的具体细化。

“订立标准合同”出境路径的事前 PIA 工作要点

序号 《标准合同规定(征求意见稿)》第五条 《个人信息保护法》第五十六条

1

个人信息处理者和境外接收方处理个人

信息的目的、范围、方式等的合法性、正

当性、必要性

个人信息的处理目的、处理方式等是否

合法、正当、必要

2

出境个人信息的数量、范围、类型、敏感

程度,个人信息出境可能对个人信息权益

带来的风险

对个人权益的影响及安全风险

3

境外接收方承诺承担的责任义务,以及履

行责任义务的管理和技术措施、能力等能

否保障出境个人信息的安全

所采取的保护措施是否合法、有效并与

风险程度相适应

4

个人信息出境后泄露、损毁、篡改、滥用

等的风险,个人维护个人信息权益的渠道

是否通畅等

/

5

境外接收方所在国家或者地区的个人信

息保护政策法规对标准合同履行的影响 /

6 其他可能影响个人信息出境安全的事项 /

对比可见,《个人信息保护法》第五十六条仅提供了一般场景下的的 PIA 评估范

围,而“订立标准合同”路径下的 PIA 需要增加评估境外接收方的安全保障能力、接

收方所在地的个人信息保护政策等内容。除此之外,企业还可参考 GB/T 39335-2020

《信息安全技术 个人信息影响评估指南》中的评估建议。

2. 备案要求

结合欧盟 GDPR 第 46 条规定及新版 SCC 内容,欧盟个人数据以标准合同跨境传

输时,并不要求企业履行备案手续。而我国《标准合同规定(征求意见稿)》第七条要

求企业在标准合同生效之日起 10 个工作日内,向所在地省级网信部门备案《标准合

同》及《个人信息保护影响评估报告》,若出现出境场景变化,还需重新备案。

32

第45页

立法篇 Part II 数据出境合规路径

当出现以下情况之一的:(1)向境外提供个人信息的目的、范围、类型、敏感程

度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生

变化,或者延长个人信息境外保存期限的;(2)境外接收方所在国家或者地区的个人

信息保护政策法规发生变化等可能影响个人信息权益的;(3)可能影响个人信息权益

的其他情况。个人信息处理者应与境外接收方重新签订标准合同,并重新备案。

《标准合同规定(征求意见稿)》不仅规定了备案的内容,还在第十二条规定了处

理者未履行备案程序或提交虚假材料进行备案的法律责任:由省级以上网信部门依照

《个人信息保护法》的规定,责令限期改正;拒不改正或者损害个人信息权益的,责

令停止个人信息出境活动,依法予以处罚;构成犯罪的,依法追究刑事责任。未履行

备案义务与未履行标准合同约定义务、侵害/影响个人信息主体权益的,面临相同的法

律责任。

三、合同基本内容

1. 合同当事人的义务

欧盟 EDPB 公布的 SCC 按个人数据传输主体不同,提供了四种模式条款(控制

者之间、控制者向处理者、处理者之间、处理者向控制者),供当事人根据具体情况选

择签署。我国《标准合同》将传输主体分为境内处理者和境外接收方,并未细分,其

在第二条和第三条分别约定了个人信息处理者和境外接收方的义务,列示如下:

序号 个人信息处理者的义务概括

1 出境个人信息的范围:实现处理目的的最小必要为限

2 向个人信息主体履行充分告知+获取单独同意

3. 向境外接收方提供合同、中国法律规定和技术标准的副本

4 答复监管问询、提交合规证明材料、承担证明履行合同义务的责任

5 开展个人信息保护影响评估

6 合理审查境外接收方履行安全保障义务的技术和管理能力

33

第46页

立法篇 Part II 数据出境合规路径

序号 境外接收方的义务概括

1 出境个人信息的范围:实现处理目的的最小必要为限

2 处理个人信息限于合同附录一约定范围

3. 存储个人信息的期限为实现处理目的所必要的最短时间

4 向个人信息主体提供合同副本、履行本合同的证明材料,并配合审计

5 采取技术和管理方面的安全保障措施

6 发生个人信息安全事件的,采取补救措施并及时通知个人信息处理者或信息主体

7 原则上不得再将个人信息提供给境外第三方

8 转委托、自动化决策等场景应符合法规要求

9 记录并保存处理活动 3 年

10 接受监管问询、配合监管检查、服从监管措施

2. 个人信息主体权利救济

与 GDPR 项下新版 SCC 类似,《个人信息保护法》第四章也规定了个人信息的主

体权利范围,要求个人信息处理者在个人信息处理活动中充分保障主体权利的实现,

提供有效的救济途径。为落实前述法律要求,《标准合同》第五条明确“个人信息主体

依据相关法律法规,拥有知情权、决定权、限制或拒绝他人对其个人信息进行处理的

权利、查阅权、复制权、更正与补充的权利、删除权,以及要求对其个人信息处理规

则进行解释说明的权利。”并说明了主要权利的实现途径。

《标准合同规定(征求意见稿)》第十条规定了信息主体的投诉、举报等救济途

径,第十一条规定了省级以上网信部门责令终止个人信息出境活动的监管措施。《标

准合同》也约定了个人信息主体的救济路径,并约定个人信息处理者是向个人信息主

体赔偿损失的第一责任人,在承担赔偿责任后,可向境外接收方追偿。

34

第47页

立法篇 Part II 数据出境合规路径

数据出境安全评估

2022 年 7 月 7 日,国家互联网信息办公室公布《数据出境安全评估办法》(以下

简称“评估办法”),自 2022 年 9 月 1 日起施行。《评估办法》提出了数据出境安全评

估的操作规范,如安全评估程序、监督管理制度、以及数据出境风险自评估、出境双

方订立法律文件内容、法律责任以及合规整改要求等。8 月 31 日,《评估办法》正式

生效前夕,国家网信办编制并发布了《数据出境安全评估申报指南(第一版)》(以下

简称“申报指南”),对数据出境安全评估申报方式、申报流程、申报材料等具体要求

作出了说明。

一、历史沿革

近些年,滴滴事件、黑客攻击等安全事件频发,凸显全球数据安全所面临的严峻

挑战,彰显数据出境安全在数字经济所处的重要地位。2017 年,《网络安全法》第三

十七条首先确立了关键信息基础设施运营者向境外提供数据的安全评估制度,此后,

《数据安全法》《个人信息保护法》的出台,扩大了需要安全评估的范围,《网络数据

安全管理条例(征求意见稿)》《个人信息和重要数据出境安全评估办法》等法律法规

也强调了数据出境安全评估制度,但尚缺乏具体落地规定。2021 年 10 月 29 日,国家

网信办颁布了《数据出境安全评估办法(征求意见稿)》,明确了数据安全评估的重点

评估内容,及“风险自评估—安全评估—重新申报评估”的框架性流程,不过适用情

形和评估流程上仍需进一步细化。《评估办法》相较于“征求意见稿”,更新了部分细节

规定。

作为我国特有的数据出境合规路径,《评估办法》体现了国家网信办对该制度严格

的监管态度,提供了具体操作层面的法律依据。

二、适用范围

《评估办法》第二条、第四条,及《申报指南》第一条都对数据出境安全评估的

数据出境行为及适用范围做了规定。

35

第48页

立法篇 Part II 数据出境合规路径

数据出境行为

1)数据处理者将在境内运营中收集和产生的数据传输、存储至境外

或 2)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者

个人可以查询、调取、下载、导出

或 3)国家网信办规定的其他数据出境行为

应当进行安全

评估的场景

1)数据处理者向境外提供重要数据

2)关键信息基础设施运营者和处理 100 万人以上个人信息的数据处理

者向境外提供个人信息

3)自上年 1 月 1 日起累计向境外提供 10 万人个人信息或者 1 万人

敏感个人信息的数据处理者向境外提供个人信息

4)国家网信办规定的其他需要申报数据出境安全评估的情形

三、安全评估的主要流程及材料

《评估办法》及《申报指南》给出了评估流程及递交材料的具体规则,如下图所

示:

36

第49页

立法篇 Part II 数据出境合规路径

《申报指南》对《评估办法》所要求递交的文件材料进行了细化,明确了格式及

内容。个人信息处理者应提交如下申报材料的纸质版及电子文件。

37

第50页

立法篇 Part II 数据出境合规路径

安全评估申报材料一览表

序号 申报材料(纸质版+电子文件) 《申报指南》

1 统一社会信用代码证件(影印件加盖公章) 无模板

2 法定代表人身份证件(影印件加盖公章) 无模板

3 经办人身份证件(影印件加盖公章) 无模板

4 经办人授权委托书(原件) 附件 2

5.1

数据出境安全评估申报书

承诺书(原件)

附件 3

5.2 数据出境安全评估申报表(原件)

6

与境外接收方拟订立的数据出境相关合同或者其他具有法律效力

的文件(影印件加盖公章)

无模板

7 数据出境风险自评估报告(原件) 附件 4

8 其他相关证明材料(原件或影印件加盖公章) 无模板

四、与出境安全自评估对比

数据出境安全自评估是数据处理者申报安全评估的前置性条件,若未完成自评估

工作,将被省级网信部门要求补充该项自评估报告,否则无法进一步向国家网信办递

交评估申请。《申报指南》附件 4 给出了自评估报告的模版,主要包括 4 部分内容:

(1)自评估工作简述、(2)出境活动整体情况、(3)拟出境活动的风险评估情况、(4)

出境活动风险自评估结论。

根据《评估办法》第五条和第八条,自评估与安全评估的重点评估事项重合度较

高,可以一定程度上将自评估工作看作是申报安全评估前的模拟自查行动。同时,国

家网信办要求安全自评估工作应在申报安全评估前三个月内完成,这就要求了自评估

内容的时效性、以及工作进度的高效性。有鉴于此,《评估办法》允许第三方专业机构

主导、参与自评估,增强自评估结果的质量。

38

百万用户使用云展网进行在线书刊制作,只要您有文档,即可一键上传,自动生成链接和二维码(独立电子书),支持分享到微信和网站!
收藏
转发
下载
免费制作
其他案例
更多案例
免费制作
x
{{item.desc}}
下载
{{item.title}}
{{toast}}