本期精选数据出境合规实务手册2023.pdf

包括：数据出境关键概念剖析；数据出海实践关键问题与海外SCCs 要点对比；个人信息出境标准合同规定等

免费获取，无需转发！

资料展示

领取方式

①识别下方二维码关注“日知资管”

②聊天框回复“S020”关键词免费领

✪ 用户权益

1、数据库永久使用，没有期限限制

2、可以直接获取往期全部数据库打包资料

附，目录

第一部分：数据出境关键概念剖析12
Q1如何判断公司业务行为与场景是否属于数据出境？12
Q2如何理解数据出境的“境”？13
Q3如何准确识别企业行为是否涉及“境内运营”？13
Q4延伸—外资企业高频问题之一：没有在中国境内注册，但是在境内开展业
务，或向境内提供产品或服务的，是否属于境内运营？13
Q5延伸—出海企业高频问题之二：出海企业运营的App仅向境外提供服务，不
涉及收集境内的数据，是否属于境内运营？14
Q6外资企业高频问题之三：境内主体向另一个位于境内的外资企业的办事处传
输数据，是否属于“数据出境”？14
Q7外资企业高频问题之四：数据没有传输也没有存储到中国境外的任何地方，
但外资企业在境外的主体可以访问、查看到这些数据，是否属于“数据出境”？14
Q8外资企业高频问题之五：跨国集团内部的数据传输行为，是否属于“数据出
境”？15
Q9如何识别哪些情况不构成数据出境？15
Q10如何判断业务场景是否涉及处理了“个人信息”？16
Q11如何判断业务场景是否涉及处理了“敏感个人信息”？16
Q12如何判断企业是否涉及处理了“重要数据”？16
Q13如何判断企业是否属于“关键信息基础设施运营者（CIIO）”？17
Q14何谓“个人信息保护影响评估”？18
Q15何谓“数据出境安全评估”？19
Q16何谓“数据出境风险自评估”？19
第二部分：《个人信息出境标准合同规定》20
高频问题与适用解读20
Q17如何准确理解何谓“标准合同条款”？20
Q18企业如何识别是否落入我国《规定》的适用范围？21
Q19什么类型的企业可能符合签署《标准合同》的情形？21
Q20通过“申报网信部门安全评估”路径而实现数据出境的企业，是否还需要签署
《标准合同》？22
Q21发起《标准合同》签署的个人信息处理者是否必须是中国境内的注册企业？22
Q22如果是境外主体直接收集了境内个人信息的情况下，是否需要签署《标准合
同》？22
Q23《标准合同》签订前已经签订的数据处理相关合同的效力如何？23
Q24企业何种情形下需要签订补充条款？23
Q25企业何种情形下需要重新签订《标准合同》？24
Q26延伸—如果出现需重新签订《标准合同》的情形，企业需要在多长时间内进行重
新签订以及备案？25
Q27如何理解境内个人信息处理者与境外接收方在《标准合同》中承担的责任与义
务？25
Q28如何理解《标准合同》中的第三方受益人？26
Q29如何理解“自主缔约与备案管理相结合”？27
Q30进行《标准合同》备案时需要注意哪些事项？27
Q31《标准合同》的备案是否是《标准合同》的生效要件？27
Q32“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”的起算
时间是什么？28
Q33《规定》第四条中的100万、10万、1万是指人数还是个人信息的条数？28
Q34个人信息的信息数量计算单位是什么？28
Q35个人信息保护影响评估是否是《规定》中的必备要求？29
Q36个人信息保护影响评估中的主要评估内容是什么？29
Q37延伸—《规定》中要求的个人信息保护影响评估的难点是什么？30
Q38如何理解“境外接收方处理个人信息的活动是否达到本法规定的个人信息保护标
准”？31
Q39如何在实务中确定境外接收方的政策法规变化是否影响了个人信息权益？31
Q40延伸—《标准合同》中，技术水平、技术措施、尽到最大努力、足够保护，这些
不够精准的表达如何理解？32
Q41未履行备案程序需要承担相应法律责任，但是若因备案标准不清晰，难以落实，
该如何处理？32
Q42在满足何种情况下，境外接收方可以再向境外第三方提供所接收的个人信息？
33
Q43境外接收方向境外第三方再次提供所接收的个人信息，是否需要再次签署《标准
合同》？34
Q44企业在何种情况下可以解除《标准合同》，以及需要注意的问题包括哪些？34
Q45《标准合同》的违约救济途径包括哪些？35
Q46企业是否需要向个人信息主体提供《标准合同》副本文件？在提供时有什么注意
事项？35
Q47数据出境场景中，除“单独同意”外，企业还需告知用户哪些内容？36
Q48企业违反《标准合同》规定的，对企业出境活动有什么影响？37
第三部分:《数据出境安全评估办法》高频问题与适用解读38
Q49本次《办法》相比先前的各个意见稿版本有何变化？与《网安法》、《个人信息
保护法》、《数安法》中关于跨境安全评估的规定有何异同？38
Q50企业如何判断自身业务是否需要进行出境安全评估的申报？39
Q51延伸—如何理解“数据处理者向境外提供重要数据”以及具体情况可能包括哪些？
41
Q52延伸—核心数据是否可以通过安全评估数据出境？41
Q53延伸—如何理解“CIIO和达量数据处理者向境外提供个人信息”以及具体情况可
能包括哪些？42
Q54《关键信息基础设施确定指南（试行）》提及的100万访问人次和《办法》的人
数一样吗？42
Q55《办法》中提及的100万“人”、10万“人”、1万“人”是否只计算具有中国国籍的
公民？例如，收集境外来境内的游客的个人信息是否应计算在内？42
Q56《办法》中关于100万数据出境的规定是否可以理解为就是《个人信息保护法》
第四十条规定的境内储存达量标准？43
Q57延伸—如何理解“累计向境外提供10万人个人信息或者1万人敏感个人信息的数
据处理者向境外提供个人信息”，其具体情况可能包括哪些？43
Q58延伸—如何理解“网信部门规定的其他需要申报数据出境安全评估的情形”以及具
体情况可能包括哪些？44
Q59小剧场—仔细研读《办法》后，为后续便利出境，A公司就累计起算规则日期的
问题前来和律所探讨，A公司认为，《办法》是今年9月1号开始施行，今年的1月
1号已经经过，是否可以理解为累计时间的起算点是从2022年1月1日、或2023年
1月1日才开始起算？44
Q60延伸—规定关于100万人数的标准并没有上一年1月1号的限制条件，是否
意味着只要历史到现在累计达到100万人，就得申报而不是采用滚动清零措施？44
Q61延伸—未达到《办法》要求进行安全评估的人数要求，但是处理个人信息的
条数规模较大是否需要进行安全评估？45
Q62延伸—现阶段未达到申报要求但未来有达到要求可能的企业是否需要申报？45
Q63企业是否可以通过安排不同主体去承接数据的方式规避《办法》要求的数据
出境安全评估？46
Q64企业在进行数据出境安全评估时将需要经历哪些具体流程？46
Q65企业应该如何进行自评估报告，完成自评估的过程中需要重点关注哪些内容？
48
Q66延伸—自评估报告和安全评估报告有什么区别？49
Q67《标准合同》的个人信息保护影响评估与《办法》规定的自评估有什么区别？
50
Q68企业是否需要分开做个人信息保护影响评估以及自评估？52
Q69企业进行自评估以及个人信息保护影响评估的材料是否有可以共用的部分？52
Q70《办法》中提及的数据出境的法律文件具体有哪些要求？52
Q71延伸—《办法》中的法律文件和《标准合同》有什么区别？53
Q72延伸—在企业起草法律文件中的安全保障义务条款时，是否可以参考《标准合
同》的内容？54
Q73安全评估结果的有效期持续多久？54
Q74有效期届满时企业何时需要进行重新评估？54
Q75企业在重新申报评估的过程中原评估结果有效期届满，数据出境活动效力为何？
54
Q76符合安全评估要求的企业需要现在就着手准备安全评估吗？55
Q77若企业不进行安全评估需要承担何种法律责任？55
Q78现阶段不符合《办法》规定的，《办法》实施后还需要追究责任吗？56
Q79如果申报材料不符合规定或者对安全评估结果有异议的，企业如何进行补救？
56
Q80通过安全评估后是否还有其他持续性的审查？56
Q81已经进行了网络安全审核评估的企业，还要做数据出境安全评估吗？56
Q82企业如何合规地进行数据出境活动？57
附：2021年《数据出境安全管理办法（征求意见稿）与2022年《数据出境安全评估
办法》对比58
第四部分：数据出海实践关键问题与海外SCCs要点对比64
Q83什么是SCCs？64
Q84SCCs的适用主体和我国《标准合同》有什么区别？65
Q85SCCs有哪几种类型？每种类型的适用情形如何？65
Q86如何判断企业跨境传输活动是否需要签署SCCs？65
Q87符合SCCs签署条件的企业必须要签署SCCs吗?66
Q88跨国集团内部的数据传输行为可以签署SCCs吗？66
Q89企业双方签订完SCCs后，若SCCs的条款与双方之前签订的合同相冲突，企业
需要重新签订合同吗？67
Q90若欧盟用户可以访问中国境内企业提供的网站，并且企业收集了欧盟用户的个人
信息，此种情况是否需要签署SCCs？67
Q91企业签署了SCCs，需要和中国一样到有关部门进行备案吗?67
Q92延伸—《标准合同》中的个人信息保护影响评估和欧盟SCCs的评估有何不同？
67
Q93如果中国企业和位于欧盟境内的企业互相传输数据，双方是否需要同时签署中国
标准合同以及签署欧盟SCCs？68
Q94我国《标准合同》如何应对欧盟SCCs体现的长臂管辖？69
Q95延伸—作为数据接收方且为数据控制者的中国企业如何应对欧盟相关机构的监
管？69
Q96延伸—作为数据接收方且为数据处理者的中国企业如何应对欧盟相关机构的监
管？69
Q98欧盟SCCs与我国《标准合同》适用的管辖规则一样吗？70
Q99在使用SCCs完成跨境数据传输时，企业是否要考虑对第三方受益主体的保护？
71
Q100在签署SCCs后，如果企业想让额外相关方加入其已签署的SCCs，可以怎么
做？71
Q101是否有可能在SCCs中添加其他条款，或将SCCs纳入更广泛的商业合同？71