根据《个人信息保护法》第三十八条的规定，在满足其他前提的情况下，个人信息要做到合规出境，有安全评估、个人信息保护认证、订立标准合同三条路径。对于第一条安全评估的路径，根据《数据出境安全评估办法（征求意见稿）》第四条的规定，主要适用于关键信息基础设施的运营者收集和产生的个人信息、处理个人信息达到一百万人的个人信息处理者向境外提供个人信息、累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息这三种情形。

        然而，对于一般企业而言并没有涉及个人信息安全评估的情形，那么个人信息出境就需依赖于个人信息保护认证、订立标准合同这两条路径实现。就在上周，全国信息安全标准化技术委员会出台了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》；紧接着，国家互联网信息办公室又出台了《个人信息出境标准合同规定（征求意见稿）》。这两部规范性文件的出台，一定程度上展示了个人信息保护认证、订立标准合同这两条路径的大致方向。

（一）明确适用场景

        《标准合同规定》第四条规定，个人信息处理者同时符合下列情形的，可以通过签订标准合同的方式向境外提供个人信息：1.非关键信息基础设施运营者；2.处理个人信息不满100万人的；3.自上年1月1日起累计向境外提供未达到10万人个人信息的；4.自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。

        《标准合同规定》列明的适用场景可以说就是《数据出境安全评估办法（征求意见稿）》第四条5的补集，对于无需进行安全评估的个人信息出境场景，理论上均可以通过标准合同方式出境。

        相较于安全评估，签订标准合同是成本较小、便捷程度较高的合规出境方式，适用场景面最广，可以预见在未来将被广泛适用。

（二）细化个人信息出境保护影响评估要求

        对于《个人信息保护法》第三十六条规定的出境安全评估具体该如何开展，之前一直处于待定的状态。《标准合同规定》的第五条终于给了初步的答案，安全评估应当包括以下内容：

        1.个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；

        2.出境个人信息的数量、范围、类型、敏感程度，个人信息出境可能对个人信息权益带来的风险；

        3.境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全；

        4.个人信息出境后泄露、损毁、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅等；

        5.境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响。

        特别需要注意的是，影响评估不是可选项而是必选项。根据《标准合同规定》第七条规定：个人信息处理者应当在标准合同生效之日起10个工作日内，向所在地省级网信部门备案。备案时应当提交标准合同和个人信息保护影响评估报告。标准合同生效后个人信息处理者即可开展个人信息出境活动。由此，企业在准备个人信息出境之时，除了标准合同以外，还应当准备合格的个人信息保护影响评估报告。《标准合同规定》虽然在附件中给出了标准合同的文本，但并没有影响评估报告的文本范例。企业起草标准合同以及个人信息保护影响评估报告时，还需及时寻求专业人员的意见。

（三）出境后的合同更新与维护

        凭借标准合同和影响评估报告完成个人信息出境后，个人信息处理者的义务并未完成。根据《标准合同规定》第八条规定，如果存在向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；或者境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的，个人信息处理者应当重新签订标准合同并备案。如上规定对于个人信息处理者的要求较高，从严格意义上说，需要时刻关注个人信息接收方的情况甚至当地的法律法规。

点击下方二维码获取《个人信息出境标准合同》（征求意见稿）的文本

（一）如何理解安全认证？

        安全认证是另一条个人信息合规出境的路径。在认证机构对个人信息出境事项进行安全认证后，除非认证事项发生变化，企业在一定时间内可以凭借认证结果进行个人信息跨境处理，具有反复适用性，无须逐次进行影响评估及标准合同备案。

        不过，《安全认证规范》尚未指定认证机构以及认证有效期限，这两个关键点还有待后续细化规则的落地。

（二）安全认证的自愿性

        《安全认证规范》明确了个人信息跨境处理活动认证属于国家推荐的自愿性认证，鼓励符合条件的个人信息处理者和境外接收方在跨境处理个人信息时自愿申请个人信息跨境处理活动认证，充分发挥认证在加强个人信息保护、提高个人信息跨境处理效率方面的作用。

        这说明安全认证有别于安全评估和订立标准合同两种方式的强制性，是以个人信息处理者自愿为前提，属于较为注重效率的一种方式。

（三）适用情形

        如前述分析，安全认证以自愿为原则并不具备强制性，因此安全认证所适用的场景也相应较为有限。根据《安全认证规范》，安全认证仅适用于两种情形：其一，跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动；其二，境外主体分析、评估境内自然人的行为（个人信息保护法第三条第二款）。

对于第一种情形较为容易理解，该情形下的个人信息的流动一定程度具有内部性，个人信息处理者和境外接收方容易就认证所需要的协议、组织架构、统一数据处理规则达成一致。但是，第二种情形可能需要进一步解释，此时不存在《个人信息保护法》第三章所规定的个人信息的跨境提供，也不存在境内的个人信息处理者，有理由认为《安全认证规范》对于个人信息的跨境处理进行了一定的扩大解释。

（四）责任主体

        《安全认证规范》对于责任主体同样按照两种情形进行了分别设置：对于跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可以由境内一方申请认证，并承担法律责任；而境外主体分析、评估境内自然人的场景下可以由其在境内设置的专门机构或指定代表申请认证并承担法律责任。

（五）签订协议及制定跨境处理规则的要求

        类似于个人信息出境标准合同，在安全认证过程中，需要个人信息处理者与境外接收方之间签订协议，确保个人信息主体权益得到充分保障。就《安全认证规范》要求的协议内容而言，与个人信息出境标准合同差异并不大。由于安全认证依托于认证机构的监督，《安全认证规范》要求协议内容中需要明确境外接收方承诺接受认证机构监督的要求。

        另外，协议还要求个人信息处理者与境外接收方之间需要制订跨境处理个人信息的规则。按笔者的理解，该规则相较于协议可能更为细化，属于协议配套的细化文件，将成为处理者和接收方共同遵守的基本规则。

（六）组织管理要求

        除了安全认证方面的特殊规定外，《安全认证规范》参照《个人信息保护法》，设置了指定个人信息保护人、设置个人信息保护机构、进行个人信息保护影响评估等组织管理方面的要求。对于准备进行安全认证的企业而言，还需要关注到这些基础方面的建设。

        签订标准合同以及安全认证，这两条个人信息合规出境的路径逐渐清晰，不过《标准合同规定》目前还是征求意见稿，而《安全认证规范》从效力位阶上而言，连推荐性国标都算不上，进行安全认证还需符合GB/T 35273《信息安全技术个人信息安全规范》的要求，相关规范性文件还存在进一步更新的必要和可能。就本文涉及的两个规范性文件而言，企业可以根据自身个人信息出境所涉及的场景，合理选择出境路径。无论是签订标准合同还是进行安全认证，除了可以满足监管的形式要求之外，也是企业对个人信息保护进行全面审查的良好契机。