2023中國(guó)個(gè)人信息出境標(biāo)準(zhǔn)合同白皮書

■中國(guó)個(gè)人信息出境標(biāo)準(zhǔn)合同白皮書聯(lián)合發(fā)布信息出境標(biāo)準(zhǔn)合同白皮書中國(guó)個(gè)人信息出境標(biāo)準(zhǔn)合同信息出境標(biāo)準(zhǔn)合同白皮書 1第一部分全球與中國(guó)個(gè)人信息跨境合規(guī)及監(jiān)管趨勢(shì) 2一、全球個(gè)人信息跨境合規(guī)及監(jiān)管趨勢(shì) 2 2 2 3 3 3 4二、中國(guó)個(gè)人信息跨境合規(guī)及監(jiān)管現(xiàn)狀 4路徑一：數(shù)據(jù)安全評(píng)估審查 4路徑二：個(gè)人信息保護(hù)認(rèn)證 5路徑三：個(gè)人信息出境標(biāo)準(zhǔn)合同 5第二部分中國(guó)個(gè)人信息出境焦點(diǎn)問題及標(biāo)準(zhǔn)合同應(yīng)對(duì)方案 7一、個(gè)人信息出境中的焦點(diǎn)問題 7（一）境內(nèi)個(gè)人信息處理者特定身份鑒別 7（二）盤點(diǎn)出境個(gè)人信息的數(shù)量 7（三）個(gè)人信息怎么樣才算“出境” 8（四）識(shí)別出境個(gè)人信息中的重要數(shù)據(jù) 9（五）如何處理敏感個(gè)人信息 9二、適用標(biāo)準(zhǔn)合同路徑進(jìn)行個(gè)人信息跨境傳輸?shù)闹黧w及場(chǎng)景 10（一）適用標(biāo)準(zhǔn)合同的個(gè)人信息處理主體 10（二）適用標(biāo)準(zhǔn)合同的個(gè)人信息跨境場(chǎng)景 11三、應(yīng)對(duì)方案——個(gè)人信息出境標(biāo)準(zhǔn)合同備案 11（一）事前：內(nèi)部合規(guī)、準(zhǔn)備出境 12（二）事中：執(zhí)行標(biāo)準(zhǔn)合同備案 14（三）事后：持續(xù)監(jiān)督、適時(shí)更新 15第三部分重點(diǎn)行業(yè)個(gè)人信息跨境傳輸要點(diǎn)解析 16一、金融 16（一）金融機(jī)構(gòu)和個(gè)人金融信息 16（二）個(gè)人金融信息跨境傳輸常見場(chǎng)景 16（三）個(gè)人金融信息跨境傳輸合規(guī)要點(diǎn) 17二、汽車 18（一）個(gè)人汽車信息出境概況 18（二）個(gè)人汽車信息跨境傳輸常見場(chǎng)景 19（三）個(gè)人汽車信息跨境傳輸合規(guī)建議 20三、醫(yī)療健康 20（一）個(gè)人醫(yī)療健康信息跨境傳輸法律規(guī)制 20（二）個(gè)人醫(yī)療健康信息跨境傳輸常見場(chǎng)景 21四、跨境電商 22（一）跨境電商相關(guān)個(gè)人信息出境場(chǎng)景及法律規(guī)制 22（二）跨境電商相關(guān)個(gè)人信息跨境傳輸合規(guī)要點(diǎn) 23五、航空 23（一）個(gè)人航空信息跨境傳輸法律規(guī)制 24（二）個(gè)人航空信息跨境傳輸常見場(chǎng)景 24 26 27盈科簡(jiǎn)介 27檢測(cè)中心簡(jiǎn)介 27閃捷簡(jiǎn)介 28信息出境標(biāo)準(zhǔn)合同白皮書基于對(duì)個(gè)人信息的保護(hù)和對(duì)國(guó)家安全的重視，越來越多的國(guó)家和地區(qū)開始加強(qiáng)對(duì)企業(yè)跨境個(gè)人信息流動(dòng)的監(jiān)管。個(gè)人信息合規(guī)跨境傳輸成為當(dāng)今企業(yè)跨國(guó)經(jīng)營(yíng)時(shí)必須面臨和解決的問題。徑：數(shù)據(jù)出境安全評(píng)估、個(gè)人信息保護(hù)認(rèn)證和個(gè)人信息出境標(biāo)準(zhǔn)合同?；凇秱€(gè)人信息出境標(biāo)準(zhǔn)合同辦法》于2023年6月1日起開始施行，并隨著2023年5月30日國(guó)家網(wǎng)信辦發(fā)布《個(gè)人信息出境標(biāo)準(zhǔn)合同備案指南（第一版）》，我國(guó)個(gè)人信息出境標(biāo)準(zhǔn)合同路徑已落地執(zhí)行。中國(guó)個(gè)人信息出境標(biāo)準(zhǔn)合同白皮書第一部分全球與中國(guó)個(gè)人信息跨境合規(guī)及監(jiān)管趨勢(shì)一、全球個(gè)人信息跨境合規(guī)及監(jiān)管趨勢(shì)各國(guó)爭(zhēng)奪的對(duì)象。世界主要經(jīng)濟(jì)體先后出臺(tái)了數(shù)個(gè)個(gè)人信息保護(hù)相關(guān)法案，整體來看，全球各法域?qū)€(gè)人信息的跨境流動(dòng)監(jiān)管趨嚴(yán)。歐盟于2016年通過《通用數(shù)據(jù)保護(hù)條例》（GDPR），明確規(guī)定了個(gè)人數(shù)據(jù)跨境轉(zhuǎn)移的條件。目前歐盟個(gè)人信息跨境傳輸路徑主要分為以下三種機(jī)制：一是充分性認(rèn)定。根據(jù)GDPR規(guī)定，只有當(dāng)?shù)谌龂?guó)對(duì)個(gè)人數(shù)據(jù)的保護(hù)水平達(dá)到歐盟的要求，歐盟成員國(guó)的個(gè)人數(shù)據(jù)才能進(jìn)行數(shù)據(jù)跨境流動(dòng)。認(rèn)定第三國(guó)是否提供“充分”數(shù)據(jù)保護(hù)，主要是根據(jù)第三國(guó)個(gè)人數(shù)執(zhí)行情況等因素判斷。但目前中國(guó)尚未通過該認(rèn)定；標(biāo)準(zhǔn)合同條款是從歐洲經(jīng)濟(jì)區(qū)向區(qū)域外第三國(guó)或組織跨境傳輸數(shù)據(jù)時(shí)使用的標(biāo)得充分的保護(hù)。約束性企業(yè)規(guī)則可以簡(jiǎn)單地理解為適用于跨國(guó)企業(yè)的“白名單”，即當(dāng)歐盟行政機(jī)關(guān)對(duì)整個(gè)企業(yè)內(nèi)部的數(shù)據(jù)跨境流通合規(guī)框架審查合格之后，企業(yè)內(nèi)部的個(gè)人數(shù)據(jù)跨境流通不再受限；三是克減情形?？藴p僅適用于只涉及少量數(shù)據(jù)主體在特定情形下偶爾進(jìn)行的數(shù)據(jù)跨境傳輸，數(shù)據(jù)輸出者不應(yīng)將此作為常規(guī)化數(shù)據(jù)跨境傳輸?shù)暮戏ㄒ罁?jù)。美國(guó)對(duì)個(gè)人數(shù)據(jù)跨境傳輸?shù)恼咭?guī)制整體持開放態(tài)度，先后與歐盟簽訂《安全港協(xié)議》和《隱私盾協(xié)議》，對(duì)大西洋兩岸跨境轉(zhuǎn)移個(gè)人數(shù)據(jù)的隱私保護(hù)進(jìn)行規(guī)范。但在特定的重要數(shù)據(jù)上，美國(guó)則采取了相應(yīng)限制措施。如制定被稱為“全球最貴數(shù)據(jù)保護(hù)法案”的《加州消費(fèi)者隱私法案》（CCPA）和對(duì)部分關(guān)鍵技術(shù)與特定中國(guó)個(gè)人信息出境標(biāo)準(zhǔn)合同白皮書領(lǐng)域的數(shù)據(jù)出口進(jìn)行限制的《出口管理?xiàng)l例》（EAR）。另外，美國(guó)在醫(yī)療健康領(lǐng)域的《健康保險(xiǎn)可攜性和責(zé)任法案》（HIPAA）和金融服務(wù)數(shù)據(jù)方面的《格雷姆－里奇－比利雷法案》（GLB）等行業(yè)特殊規(guī)定也需要重點(diǎn)關(guān)注?！秱€(gè)人數(shù)據(jù)保護(hù)法》（PDPA）是新加坡的主要個(gè)人信息保護(hù)立法，用來管理各機(jī)構(gòu)對(duì)個(gè)人數(shù)據(jù)的收集、使用和披露。PDPA適用于所有在新加坡收集、使用和披露個(gè)人數(shù)據(jù)的營(yíng)業(yè)機(jī)構(gòu)，無論其是否在新加坡物理存在。PDPA規(guī)定，企業(yè)必須遵守?cái)?shù)據(jù)轉(zhuǎn)移限制的義務(wù)。即除非企業(yè)能確保個(gè)人數(shù)據(jù)的接收者受到法律上可執(zhí)行的義務(wù)的約束，被轉(zhuǎn)移的個(gè)人數(shù)據(jù)獲得與PDPA規(guī)定的保護(hù)標(biāo)準(zhǔn)相當(dāng)?shù)谋Ｗo(hù)，否則個(gè)人數(shù)據(jù)不能被轉(zhuǎn)移到新加坡以外的國(guó)家或地區(qū)。這些“可依法執(zhí)行的義務(wù)”包括根據(jù)法律法規(guī)、合同或具有約束力的公司規(guī)則或任何其他具有法律約束力的文書規(guī)定的義務(wù)。韓國(guó)是世界上對(duì)數(shù)據(jù)安全相關(guān)規(guī)定最嚴(yán)格的法域之一。韓國(guó)個(gè)人信息保護(hù)委員會(huì)（PIPC）在對(duì)《個(gè)人信息保護(hù)法》（PIPA）的修正案中增加了向海外傳輸個(gè)人息保護(hù)標(biāo)準(zhǔn)指南》《關(guān)于個(gè)人信息影響評(píng)估的通知》《違反個(gè)人信息保護(hù)法的處罰標(biāo)準(zhǔn)》《個(gè)人信息技術(shù)和行政保護(hù)措施標(biāo)準(zhǔn)》等。日本與歐盟于2019年作出“充足性認(rèn)定”，互相認(rèn)定對(duì)方的保護(hù)水平及安全措施，允許個(gè)人數(shù)據(jù)在歐盟和日本之間自由流動(dòng)。但日本對(duì)于其本土個(gè)人數(shù)據(jù)跨境傳輸態(tài)度較為嚴(yán)格。2022年4月修訂后的《日本個(gè)人信息保護(hù)法》（APPI）在保留原有要求處理個(gè)人信息的經(jīng)營(yíng)者應(yīng)獲取數(shù)據(jù)主體的同意之外，新增了披露信息接收方所在國(guó)家及該國(guó)的個(gè)人信息保護(hù)體系、信息接收方采取的個(gè)人信息保護(hù)措施的要求；如采取必要措施確保該境外第三方持續(xù)實(shí)施了與APPI對(duì)個(gè)人信息的保護(hù)要求相當(dāng)?shù)谋Ｗo(hù)措施，并能夠在數(shù)據(jù)主體要求的情況下提供關(guān)于企業(yè)采取的必要措施的信息等要求。信息出境標(biāo)準(zhǔn)合同白皮書俄羅斯在新修訂的《聯(lián)邦個(gè)人數(shù)據(jù)法》第22條規(guī)定了“個(gè)人數(shù)據(jù)處理通報(bào)”義務(wù)，增加了個(gè)人數(shù)據(jù)跨境傳輸?shù)那爸猛▓?bào)，意味著運(yùn)營(yíng)商要履行兩份通報(bào)義務(wù)，即“個(gè)人數(shù)據(jù)處理通報(bào)”義務(wù)和“個(gè)人數(shù)據(jù)跨境流動(dòng)通報(bào)”義務(wù)，兩份通報(bào)要分開發(fā)送，這項(xiàng)要求已于2023年3月1日起生效。同時(shí)，俄羅斯《聯(lián)邦個(gè)人數(shù)據(jù)保護(hù)法》對(duì)于個(gè)人信息出境的監(jiān)管提出相對(duì)嚴(yán)格的要求，概括為相關(guān)機(jī)構(gòu)、國(guó)外政府或者國(guó)家必須擁有同等的數(shù)據(jù)保護(hù)水平才可以將個(gè)人信息傳輸出。二、中國(guó)個(gè)人信息跨境合規(guī)及監(jiān)管現(xiàn)狀根據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》或《個(gè)保法》）和《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T35273—2020）等制度規(guī)范，個(gè)人信息指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別身份證件號(hào)碼、住址、通信通訊聯(lián)系方式、健康生理信息等。自2017年6月1日《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（實(shí)施以來，我國(guó)立法機(jī)構(gòu)及有關(guān)政府主管部門逐步推動(dòng)建立同個(gè)人信息出境相關(guān)的法律、法規(guī)和監(jiān)管規(guī)則，至今已初步形成以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》三法為綱領(lǐng)，結(jié)合配套辦法、規(guī)定、標(biāo)準(zhǔn)和指南為補(bǔ)充的個(gè)人信息跨境傳輸合規(guī)框架。根據(jù)《個(gè)人信息保護(hù)法》第38條等有關(guān)法律法規(guī)，我國(guó)個(gè)人信息跨境傳輸目前路徑一：數(shù)據(jù)安全評(píng)估審查國(guó)家互聯(lián)網(wǎng)信息辦公室（以下簡(jiǎn)稱國(guó)家網(wǎng)信辦）于2022年7月7日發(fā)布的《數(shù)據(jù)出境安全評(píng)估辦法》（以下簡(jiǎn)稱《安全評(píng)估辦法》）第4條明確了數(shù)據(jù)出境安全評(píng)估審查的強(qiáng)制觸發(fā)條件：1、數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)；2、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理100萬人以上個(gè)人信息的數(shù)據(jù)處理者向境外信息出境標(biāo)準(zhǔn)合同白皮書的數(shù)據(jù)處理者向境外提供個(gè)人信息；4、國(guó)家網(wǎng)信部門規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。約束性文件。數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估報(bào)告對(duì)于順利通過安全評(píng)估審查至關(guān)重要，可以理解為是企業(yè)向網(wǎng)信部門提交的“考卷”。因而企業(yè)在提交申報(bào)前需要按照要求開展數(shù)據(jù)合規(guī)治理工作，完成數(shù)據(jù)風(fēng)險(xiǎn)篩查及整改。路徑二：個(gè)人信息保護(hù)認(rèn)證個(gè)人信息保護(hù)認(rèn)證是跨國(guó)企業(yè)或同一經(jīng)濟(jì)實(shí)體處理個(gè)人信息出境業(yè)務(wù)的重要手段，該機(jī)制的適用情形和底層邏輯與歐盟的約束性企業(yè)規(guī)則類似，認(rèn)證獲批后即可在法定/約定范圍內(nèi)進(jìn)行個(gè)人信息跨境傳輸。2022年11月至12月我國(guó)先后發(fā)布了《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》及其配套文件《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0》，對(duì)開展跨境處理活動(dòng)的個(gè)人信息保護(hù)認(rèn)證機(jī)制作出完善。個(gè)人信息保護(hù)認(rèn)證流程由五個(gè)主要環(huán)節(jié)組成，分別是認(rèn)證申請(qǐng)、技術(shù)驗(yàn)證、現(xiàn)場(chǎng)審核、認(rèn)證決定、獲證路徑三：個(gè)人信息出境標(biāo)準(zhǔn)合同《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》（以下簡(jiǎn)稱《標(biāo)準(zhǔn)合同辦法》）和《個(gè)人信息出境標(biāo)準(zhǔn)合同備案指南（第一版）》（以下簡(jiǎn)稱《備案指南》）對(duì)于能夠采取標(biāo)準(zhǔn)合同實(shí)施個(gè)人信息跨境的主體范圍進(jìn)行了界定，包括：1、非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者；4、自上年1月1日起累計(jì)向境外提供敏感個(gè)人信息不滿1萬人的。中國(guó)個(gè)人信息出境標(biāo)準(zhǔn)合同白皮書路徑，任意一條不滿足，則境內(nèi)個(gè)人信息處理者應(yīng)進(jìn)行個(gè)人信息出境安全評(píng)估或個(gè)人信息保護(hù)認(rèn)證?？v觀全球各法域的個(gè)人信息出境監(jiān)管趨勢(shì)，整體呈現(xiàn)出法規(guī)逐漸完善、路徑逐漸清晰的特點(diǎn)。接下來我們將以中國(guó)個(gè)人信息出境過程中面臨的重點(diǎn)問題為基礎(chǔ)，分析個(gè)人信息標(biāo)準(zhǔn)合同的適用及落地方案。中國(guó)個(gè)人信息出境標(biāo)準(zhǔn)合同白皮書第二部分中國(guó)個(gè)人信息出境焦點(diǎn)問題及標(biāo)準(zhǔn)合同應(yīng)對(duì)方案數(shù)據(jù)出境不僅影響個(gè)人信息權(quán)益，更關(guān)乎國(guó)家安全和社會(huì)公共利益。中國(guó)監(jiān)管機(jī)構(gòu)正在陸續(xù)出臺(tái)一系列法規(guī)對(duì)個(gè)人信息出境活動(dòng)進(jìn)行規(guī)制，相關(guān)企業(yè)正在面臨新一輪的數(shù)據(jù)合規(guī)挑戰(zhàn)。數(shù)據(jù)違規(guī)出境不僅會(huì)面臨監(jiān)管處罰風(fēng)險(xiǎn)，更會(huì)損害跨國(guó)公司的聲譽(yù)，甚至觸發(fā)刑事責(zé)任。接下來我們將分析個(gè)人信息出境實(shí)踐中的焦點(diǎn)問題，并分享個(gè)人信息出境標(biāo)準(zhǔn)合同如何落地實(shí)施。一、個(gè)人信息出境中的焦點(diǎn)問題（一）境內(nèi)個(gè)人信息處理者特定身份鑒別境內(nèi)個(gè)人信息處理者是否被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)主體（CIIO）是首先需要關(guān)注的問題。根據(jù)《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》以及國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》（GB/T39204-2022）思路如下：通常來說，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)（CII）所涉及的重點(diǎn)行業(yè)和領(lǐng)域包括：公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的行業(yè)和領(lǐng)域。目前我國(guó)CII及CIIO的認(rèn)定工作由各行業(yè)的主管部門負(fù)責(zé)，企業(yè)是否屬于我國(guó)認(rèn)定的CIIO，主要取決于主管機(jī)構(gòu)的判定和通知。換句話說，只要企業(yè)未被主管機(jī)構(gòu)明確認(rèn)定為關(guān)鍵基礎(chǔ)信息運(yùn)營(yíng)者，則滿足了適用個(gè)人信息出境標(biāo)準(zhǔn)合同的（二）盤點(diǎn)出境個(gè)人信息的數(shù)量鑒于個(gè)人信息出境路徑需要根據(jù)出境個(gè)人信息的體量進(jìn)行區(qū)分，盤點(diǎn)出境個(gè)人信息的數(shù)量成為了企業(yè)數(shù)據(jù)合規(guī)出境的基礎(chǔ)步驟。點(diǎn)個(gè)人信息的數(shù)量這一工作就無法順利開展。因此，越來越多的企業(yè)選擇通過專業(yè)的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)來管理企業(yè)數(shù)據(jù)。作為數(shù)據(jù)安全治理的基礎(chǔ)系統(tǒng)，數(shù)據(jù)庫(kù)審中國(guó)個(gè)人信息出境標(biāo)準(zhǔn)合同白皮書計(jì)不僅能夠?qū)崟r(shí)記錄、分析和匯報(bào)訪問數(shù)據(jù)庫(kù)的行為，便于企業(yè)形成數(shù)據(jù)統(tǒng)計(jì)報(bào)告，還能多角度分析企業(yè)數(shù)據(jù)活動(dòng)，自動(dòng)根據(jù)相關(guān)法律規(guī)定，對(duì)數(shù)據(jù)進(jìn)行發(fā)現(xiàn)、分類、粒度策略控制等管理，從而幫助律法規(guī)，降低合規(guī)風(fēng)險(xiǎn)。（三）個(gè)人信息怎么樣才算“出境”根據(jù)國(guó)家網(wǎng)信辦發(fā)布的《備案指南》，以下情形屬于個(gè)人信息出境行為：1、個(gè)人信息處理者將在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息傳輸、存儲(chǔ)至境外；2、個(gè)人信息處理者收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)，境外的機(jī)構(gòu)、組織或者個(gè)人可以查詢、調(diào)取、下載、導(dǎo)出；3、國(guó)家網(wǎng)信辦規(guī)定的其他個(gè)人信息出境行為。念。要厘清“出境”的個(gè)人信息，就需要先明晰個(gè)人信息的出境鏈路。實(shí)踐中，數(shù)據(jù)流轉(zhuǎn)監(jiān)測(cè)系統(tǒng)（SMP）可滿足企業(yè)這一需求。SMP一般會(huì)利用數(shù)據(jù)元采集監(jiān)測(cè)、敏感數(shù)據(jù)識(shí)別、數(shù)據(jù)流轉(zhuǎn)跟蹤等技術(shù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)訪問、數(shù)據(jù)調(diào)用、數(shù)據(jù)共享、數(shù)據(jù)使用等數(shù)據(jù)活動(dòng)和數(shù)據(jù)流轉(zhuǎn)等行為進(jìn)行全程監(jiān)控和跟蹤溯源，智能化識(shí)別產(chǎn)生數(shù)據(jù)流轉(zhuǎn)的行為和流向，并可視化呈現(xiàn)出各組織、節(jié)點(diǎn)間的數(shù)據(jù)流轉(zhuǎn)鏈路。目前，成熟的SMP會(huì)充分考慮自身安全性、易操作、易維護(hù)等中國(guó)個(gè)人信息出境標(biāo)準(zhǔn)合同白皮書并能使技術(shù)實(shí)現(xiàn)與平臺(tái)業(yè)務(wù)相分離，確保企業(yè)自身數(shù)據(jù)安全和業(yè)務(wù)效能最大化。（四）識(shí)別出境個(gè)人信息中的重要數(shù)據(jù)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)于2022年1月13日發(fā)布的《信息安全技術(shù)重?fù)p毀，可能直接危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全”。若向境外提供的個(gè)人信息中包括重要數(shù)據(jù)，按照《數(shù)據(jù)出境安全評(píng)估辦法》的規(guī)定，企業(yè)必須通過所在地省級(jí)網(wǎng)信部門向國(guó)家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估，而不能選擇其他數(shù)據(jù)出境路徑。（五）如何處理敏感個(gè)人信息自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿（GB/T35273—2020）作為推薦性國(guó)家標(biāo)準(zhǔn)，在附錄B中列舉了部分敏感個(gè)人信息類型，可以對(duì)企業(yè)合規(guī)實(shí)踐起到指引的作用。附錄B個(gè)人敏感信息舉例（圖片來源：《信息安全技術(shù)個(gè)人信息安全規(guī)范》）中國(guó)個(gè)人信息出境標(biāo)準(zhǔn)合同白皮書因我國(guó)監(jiān)管部門目前傾向認(rèn)定去標(biāo)識(shí)化處理后的敏感個(gè)人信息不再計(jì)為敏感個(gè)人信息，如何處理跨境敏感個(gè)人信息成為企業(yè)選擇數(shù)據(jù)出境路徑的重點(diǎn)關(guān)注問題。目前，數(shù)據(jù)庫(kù)脫敏技術(shù)可以通過特定算法規(guī)則對(duì)敏感信息進(jìn)行變形和隱藏，將敏感數(shù)據(jù)轉(zhuǎn)換為非敏感數(shù)據(jù)，從而為敏感數(shù)據(jù)的使用提供安全保證。更為重要的是，脫敏后的數(shù)據(jù)特征與原始數(shù)據(jù)可以保持一致，數(shù)據(jù)依然可以被用于業(yè)務(wù)過程，且無需改變支撐系統(tǒng)或數(shù)據(jù)存儲(chǔ)設(shè)備，脫敏的同時(shí)不影響企業(yè)業(yè)務(wù)持續(xù)運(yùn)行。（六）保證跨境個(gè)人信息安全傳輸國(guó)家出臺(tái)系列數(shù)據(jù)出境法律法規(guī)的最終目的在于保障出境個(gè)人信息的安全，因此可以應(yīng)用（API）審計(jì)系統(tǒng)可以幫助企業(yè)通過梳理龐雜的應(yīng)用及接口，繪制接口畫像和接口訪問軌跡，監(jiān)測(cè)敏感數(shù)據(jù)流動(dòng)風(fēng)險(xiǎn)，識(shí)別接口調(diào)用的異常用戶行為，為應(yīng)用系統(tǒng)的業(yè)務(wù)數(shù)據(jù)合規(guī)使用和流轉(zhuǎn)提供數(shù)據(jù)安全保障。二、適用標(biāo)準(zhǔn)合同路徑進(jìn)行個(gè)人信息跨境傳輸?shù)闹黧w及場(chǎng)景（一）適用標(biāo)準(zhǔn)合同的個(gè)人信息處理主體外國(guó)公司駐華代表處、全資子公司等外商投資企業(yè)、分支機(jī)構(gòu)以及中資出海企業(yè)等，一般境內(nèi)處理或跨境傳輸?shù)膫€(gè)人信息較少，通常僅涉及員工商/經(jīng)銷商個(gè)人信息等，最為適宜個(gè)人信息出境標(biāo)準(zhǔn)合同路徑。中國(guó)個(gè)人信息（二）適用標(biāo)準(zhǔn)合同的個(gè)人信息跨境場(chǎng)景1、企業(yè)基于母公司的全球信息管理的統(tǒng)一要求，通過辦公自動(dòng)化OA系統(tǒng)等向境外母公司提供員工個(gè)人信息等管理信息。2、企業(yè)向境外接收方提供完成訂單所需的用戶地址信息和身份信息等，也可能進(jìn)一步提供用戶的購(gòu)物記錄和瀏覽行為等額外數(shù)據(jù)。3、在向跨國(guó)供應(yīng)商采購(gòu)、國(guó)際貨運(yùn)及倉(cāng)儲(chǔ)等環(huán)節(jié)，企業(yè)會(huì)收集供應(yīng)商倉(cāng)庫(kù)對(duì)接人等相關(guān)個(gè)人信息，并傳輸至總部供應(yīng)商部門進(jìn)行使用。4、企業(yè)在通過網(wǎng)絡(luò)遠(yuǎn)程接入境外客戶的系統(tǒng)網(wǎng)絡(luò)進(jìn)行技術(shù)支持、故障處理等，會(huì)涉及對(duì)客戶個(gè)人信息的處理。5、企業(yè)在境外組織開展品牌宣傳、展會(huì)等活動(dòng)，匯總客戶名片等個(gè)人信息，進(jìn)而與境外母公司共享。6、企業(yè)在進(jìn)行全球市場(chǎng)調(diào)研、客戶關(guān)系維護(hù)等過程中，需要收集、傳輸、使用和維護(hù)客戶信息。7、企業(yè)在跨境開展業(yè)務(wù)合作、提供跨境產(chǎn)品過程中，將其運(yùn)營(yíng)過程中收集的個(gè)人信息提供給境外公司，或者在境外設(shè)置的服務(wù)器、數(shù)據(jù)中心等存儲(chǔ)相應(yīng)個(gè)人信8、因FCPA調(diào)查案件、反舞弊調(diào)查、境外訴訟和仲裁機(jī)構(gòu)需要，企業(yè)向境外政府部門及境外母公司、律所等提供涉及個(gè)人信息的調(diào)查信息、證據(jù)材料。三、應(yīng)對(duì)方案——個(gè)人信息出境標(biāo)準(zhǔn)合同備案保護(hù)認(rèn)證路徑還有待進(jìn)一步檢驗(yàn)，而標(biāo)準(zhǔn)合同具備高效便捷、認(rèn)可度高、便于跨國(guó)公司合規(guī)制度銜接、爭(zhēng)議解決方式開放靈活等優(yōu)勢(shì)。因此對(duì)于個(gè)人信息處理規(guī)模較小、出境需求頻次較低的企業(yè)而言，選用個(gè)人信息出境標(biāo)準(zhǔn)合同出境路徑更國(guó)家網(wǎng)信辦于2022年6月發(fā)布的《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》以及標(biāo)準(zhǔn)合同文本，此后2023年2月和5月，國(guó)家網(wǎng)信辦又陸續(xù)發(fā)布了《個(gè)人信息出境標(biāo)準(zhǔn)合同白皮書信息出境標(biāo)準(zhǔn)合同辦法》和《個(gè)人信息出境標(biāo)準(zhǔn)合同備案指南（第一版）》，共同為我國(guó)2023年6月1日正式實(shí)施的個(gè)人信息出境標(biāo)準(zhǔn)合同提供了法律依據(jù)和人信息出境標(biāo)準(zhǔn)合同備案工作：（一）事前：內(nèi)部合規(guī)、準(zhǔn)備出境1、企業(yè)內(nèi)部合規(guī)治理體系（1）建立數(shù)據(jù)跨境前評(píng)估機(jī)制。在個(gè)人信息跨境傳輸前完成數(shù)據(jù)跨境可行性評(píng)估、數(shù)據(jù)跨境字段最小化評(píng)估、數(shù)據(jù)跨境安全性評(píng)估等流程。（2）完善業(yè)務(wù)模式中的個(gè)人單獨(dú)同意采集程序，充分履行告知義務(wù)。（3）識(shí)別出境場(chǎng)景、進(jìn)行數(shù)據(jù)盤點(diǎn)。境內(nèi)個(gè)人信息處理者首先應(yīng)對(duì)其出境活動(dòng)是否適用標(biāo)準(zhǔn)合同。2、完成個(gè)人信息保護(hù)影響評(píng)估（PIA）人信息安全影響評(píng)估指南》等的要求，境內(nèi)個(gè)人信息處理者需成立PIA工作小信息的處理活動(dòng)從個(gè)人權(quán)益影響和安全保護(hù)措施進(jìn)行分析，并制作個(gè)人信息保護(hù)影響評(píng)估報(bào)告。作為個(gè)人信息出境標(biāo)準(zhǔn)合同備案手續(xù)中必備的關(guān)鍵一步，境內(nèi)個(gè)人信息處理者在進(jìn)行PIA時(shí)需要特別關(guān)注以下幾點(diǎn)：（1）數(shù)據(jù)映射分析：要求企業(yè)在針對(duì)個(gè)人信息處理過程進(jìn)行全面的調(diào)研后，形成清晰的數(shù)據(jù)清單及數(shù)據(jù)映射圖表。數(shù)據(jù)映射分析工具示例信息出境標(biāo)準(zhǔn)合同白皮書（圖片來源：《信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南》）（2）個(gè)人敏感數(shù)據(jù)識(shí)別：依據(jù)《信息安全技術(shù)個(gè)人信息安全規(guī)范》對(duì)個(gè)數(shù)據(jù)（包含個(gè)人財(cái)產(chǎn)信息、個(gè)人健康生理信息、個(gè)人生物識(shí)別信息、個(gè)人身份信息等）進(jìn)行識(shí)別并進(jìn)行敏感程度劃分；（3）個(gè)人信息處理活動(dòng)分析：根據(jù)個(gè)人信息的類型、敏感程度、收集場(chǎng)景、處息處理活動(dòng)的具體情形。（4）個(gè)人數(shù)據(jù)流轉(zhuǎn)圖繪制：基于個(gè)人信息處理活動(dòng)分析結(jié)果，繪制個(gè)人數(shù)據(jù)流轉(zhuǎn)圖，包括個(gè)人信息處理場(chǎng)景、涉及部門、流轉(zhuǎn)形式、涉及個(gè)人信息數(shù)據(jù)、涉及（5）風(fēng)險(xiǎn)源識(shí)別：風(fēng)險(xiǎn)源識(shí)別是為了分析個(gè)人信息處理活動(dòng)面臨哪些威脅源，是否缺乏足夠的安全措施導(dǎo)致存在脆弱性而引發(fā)安全事件。風(fēng)險(xiǎn)源識(shí)別歸納為網(wǎng)絡(luò)環(huán)境和技術(shù)措施、個(gè)人信息處理流程、參與人員與第三方、業(yè)務(wù)特點(diǎn)和規(guī)模及安全態(tài)勢(shì)四個(gè)方面。（6）個(gè)人權(quán)益影響分析：指分析特定的個(gè)人信息處理活動(dòng)是否會(huì)對(duì)個(gè)人信息主信息出境標(biāo)準(zhǔn)合同白皮書人信息敏感程度分析階段、個(gè)人信息處理活動(dòng)特點(diǎn)分析階段、個(gè)人信息處理活動(dòng)問題分析階段和個(gè)人權(quán)益影響程度分析階段。（7）關(guān)鍵技術(shù)能力，包括個(gè)人信息管理能力、數(shù)據(jù)源識(shí)別能力、個(gè)人敏感數(shù)據(jù)識(shí)別能力、個(gè)人信息生命周期監(jiān)測(cè)能力、個(gè)人信息脫敏/加密技術(shù)驗(yàn)證能力、API接口審計(jì)能力等。1、確定簽約主體自開展的個(gè)人信息出境活動(dòng)，建議每個(gè)實(shí)體單獨(dú)與境外接收方簽訂標(biāo)準(zhǔn)合同并進(jìn)方在境外再行委托處理或再傳輸?shù)那闆r。實(shí)踐中，可能存在有的境外接收方不愿意成為簽約主體的情況。在此情況下，則需要調(diào)整境外接收方的數(shù)據(jù)處理流程，將一對(duì)多的數(shù)據(jù)出境活動(dòng)調(diào)整為一對(duì)一再對(duì)多的數(shù)據(jù)出境活動(dòng)。2、核實(shí)是否存在沖突鑒于標(biāo)準(zhǔn)合同正文部分不得隨意修改，且雙方簽署的其他合作協(xié)議不得與標(biāo)準(zhǔn)合同相沖突，因此企業(yè)內(nèi)部在簽署標(biāo)準(zhǔn)合同之前應(yīng)特別注意協(xié)議間的沖突與兼容，例如：校驗(yàn)不同協(xié)議之間的兼容性，尤其是各方權(quán)利義務(wù)是否沖突、法律適用、監(jiān)管應(yīng)對(duì)責(zé)任等。3、申報(bào)及執(zhí)行要完成個(gè)人信息出境標(biāo)準(zhǔn)合同備案手續(xù)，企業(yè)應(yīng)向所在地省級(jí)網(wǎng)信部門提交標(biāo)準(zhǔn)合同、個(gè)人信息保護(hù)影響評(píng)估報(bào)告，以及一系列程序性文件。省級(jí)網(wǎng)信辦收到材因，網(wǎng)信辦要求補(bǔ)充、完善材料的，企業(yè)應(yīng)進(jìn)行補(bǔ)充、完善，并在10個(gè)工作日中國(guó)個(gè)人信息出境標(biāo)準(zhǔn)合同白皮書與必須每?jī)赡曛匦略u(píng)估一次的安全評(píng)估不同，標(biāo)準(zhǔn)合同的備案持續(xù)有效。但在以下情況下，企業(yè)需要補(bǔ)充或者重新訂立標(biāo)準(zhǔn)合同，并向網(wǎng)信辦重新備案：1、向境外提供個(gè)人信息的目的、范圍、種類、敏感程度、方式、保存地點(diǎn)或者境外接收方處理個(gè)人信息的用途、方式發(fā)生變化，或者延長(zhǎng)個(gè)人信息境外保存期2、境外接收方所在國(guó)家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)發(fā)生變化等可能影3、可能影響個(gè)人信息權(quán)益的其他情形。及是否需要重新簽訂標(biāo)準(zhǔn)合同并備案。中國(guó)個(gè)人信息出境標(biāo)準(zhǔn)合同白皮書第三部分重點(diǎn)行業(yè)個(gè)人信息跨境傳輸要點(diǎn)解析一、金融（一）金融機(jī)構(gòu)和個(gè)人金融信息隨著網(wǎng)絡(luò)技術(shù)在金融業(yè)廣泛應(yīng)用，個(gè)人金融信息的轉(zhuǎn)移與流動(dòng)實(shí)際上已構(gòu)成了現(xiàn)目前，我國(guó)金融機(jī)構(gòu)主要包括經(jīng)國(guó)家金融管理部門批準(zhǔn)從事商業(yè)銀行、金融租賃公司、信托公司、證券公司、期貨公司、保險(xiǎn)公司等，和從事金融活動(dòng)的金融企業(yè)或其他組織，如私募基金管理公司、小貸/網(wǎng)貸公司、互聯(lián)網(wǎng)支付機(jī)構(gòu)、各類交易場(chǎng)所、商業(yè)保理公司等。這些主體都屬于廣泛意義上的金融機(jī)構(gòu)，都可能涉及個(gè)人金融信息合規(guī)問題。2020年2月13日中國(guó)人民銀行發(fā)布的《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》給予個(gè)人金融信息明確的定義，即指金融業(yè)機(jī)構(gòu)通過提供金融產(chǎn)品和服務(wù)或其他渠道獲取、加工和保存的個(gè)人信息，包括不限于：2、個(gè)人財(cái)產(chǎn)信息（收入、動(dòng)產(chǎn)不動(dòng)產(chǎn)等）；3、個(gè)人賬戶信息（賬號(hào)、賬戶開立時(shí)間、開戶行等）；4、個(gè)人信用信息；6、衍生信息（反映特定個(gè)人金融信息主體某些情況的信息，如：消費(fèi)習(xí)慣、投7、在與個(gè)人建立業(yè)務(wù)關(guān)系過程中獲取、保存的其他個(gè)人金融信息。（二）個(gè)人金融信息跨境傳輸常見場(chǎng)景通常情況下，金融個(gè)人信息跨境傳輸有以下幾種情形：■中國(guó)個(gè)人信息出境標(biāo)準(zhǔn)合同白皮書1、外資公司在中國(guó)的分公司需要向總公司報(bào)告客戶金融信息；2、跨國(guó)金融集團(tuán)母國(guó)出于審計(jì)需求或稅務(wù)監(jiān)管、反洗錢等監(jiān)管需求，根據(jù)美國(guó)、歐盟、英國(guó)等司法、執(zhí)法部門的要求調(diào)取境外信息；3、跨境支付（如銀行卡跨境支付），若不提供客戶金融信息將無法進(jìn)行結(jié)算；4、協(xié)議規(guī)定的常規(guī)數(shù)據(jù)傳輸，如歐盟與美國(guó)之間隱私盾協(xié)議；5、境內(nèi)銀行的客戶在境外使用信用卡付款，發(fā)卡行需要將客戶的個(gè)人信息傳輸?shù)絿?guó)外以驗(yàn)證信用卡；6、國(guó)際金融集團(tuán)在內(nèi)部管理時(shí)也要進(jìn)行個(gè)人金融信息轉(zhuǎn)移，如跨國(guó)銀行母行為符合母國(guó)監(jiān)管的規(guī)定開展日常管理活動(dòng)，通常要求海外分支機(jī)構(gòu)定期報(bào)送相關(guān)業(yè)（圖片來源：深圳市地方金融監(jiān)督管理局）（三）個(gè)人金融信息跨境傳輸合規(guī)要點(diǎn)中國(guó)人民銀行2020年9月發(fā)布的《中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》金融消費(fèi)者或者其監(jiān)護(hù)人明示同意。中國(guó)個(gè)人信息出境標(biāo)準(zhǔn)合同白皮書如個(gè)人金融信息確需出境，根據(jù)中國(guó)人民銀行2020年2月發(fā)布的金融行業(yè)標(biāo)準(zhǔn)《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（JR/T0171-2020），我國(guó)個(gè)人金融信息出境需滿足“業(yè)務(wù)必須+客戶授權(quán)+境外關(guān)聯(lián)機(jī)構(gòu)+保密”四要件，即金融機(jī)構(gòu)（包括提供金融服務(wù)的其他金融類企業(yè)）在涉及個(gè)人金融信息跨境傳輸時(shí)可以參照完成以1、獲得個(gè)人金融信息主體明示同意；2、做好主體資質(zhì)合規(guī)與保密要求，金融機(jī)構(gòu)處理相關(guān)金融數(shù)據(jù)的前提是具備相3、可開展個(gè)人金融信息安全影響評(píng)估，檢驗(yàn)個(gè)人金融信息處理活動(dòng)的合法合規(guī)程度，以及評(píng)估境外機(jī)構(gòu)數(shù)據(jù)安全保護(hù)能力是否達(dá)到國(guó)家、行業(yè)有關(guān)部門與金融4、與境外機(jī)構(gòu)通過簽訂協(xié)議、現(xiàn)場(chǎng)核查等方式，明確并監(jiān)督境外機(jī)構(gòu)有效履行個(gè)人金融信息保密、數(shù)據(jù)刪除、案件協(xié)查等職責(zé)義務(wù)；5、采用數(shù)據(jù)加密、數(shù)據(jù)完整性校驗(yàn)等方式，保證數(shù)據(jù)存儲(chǔ)過程中的保密性、完6、對(duì)通信雙方（包括機(jī)構(gòu)、接口、設(shè)備、系統(tǒng)等）進(jìn)行身份驗(yàn)證，并通過數(shù)字簽名等方式保證數(shù)據(jù)傳輸抗抵賴性；7、利用通道加密、數(shù)據(jù)加密、專線通道等機(jī)制保護(hù)數(shù)據(jù)傳輸過程的安全性；8、建立個(gè)人信息出境記錄并至少保存5年。（一）個(gè)人汽車信息出境概況隨著我國(guó)車企在全球進(jìn)行業(yè)務(wù)布局，汽車數(shù)據(jù)處理者對(duì)掌握的個(gè)人信息跨境轉(zhuǎn)移括智能網(wǎng)聯(lián)汽車制造商、零部件和軟件供應(yīng)商、經(jīng)銷商、維修機(jī)構(gòu)以及出行服務(wù)企業(yè)等。上述主體只要在中國(guó)境內(nèi)開展汽車數(shù)據(jù)處理活動(dòng)，均可能成為汽車數(shù)據(jù)信息出境標(biāo)準(zhǔn)合同白皮書（圖片來源：搜狐網(wǎng)）括可以直接識(shí)別自然人身份的車主姓名、身份證號(hào)、生物識(shí)別信息，也包括可以與其他信息結(jié)合識(shí)別自然人身份的車牌號(hào)、車輛行蹤軌跡和車輛識(shí)別碼（VIN份信息、生物信息、軌跡及位置信息等信息屬于個(gè)人敏感信息。（二）個(gè)人汽車信息跨境傳輸常見場(chǎng)景外直接訪問。個(gè)人汽車信息跨境傳輸?shù)膱?chǎng)景主要包括：1、通過車載及手機(jī)APP收集用戶個(gè)人信息和敏感個(gè)人信息，而后向境外提供，2、通過車內(nèi)攝像頭收集的數(shù)據(jù)，如駕駛?cè)说囊粢曨l等數(shù)據(jù)，而后向境外提供，用于技術(shù)的研發(fā)、服務(wù)改進(jìn)；3、通過車外攝像頭收集的數(shù)據(jù)：例如收集包含人臉信息、車牌信息等的車外視4、跨境執(zhí)法調(diào)查等。信息出境標(biāo)準(zhǔn)合同白皮書（三）個(gè)人汽車信息跨境傳輸合規(guī)建議信息等的車外視頻、圖像數(shù)據(jù)以及涉及個(gè)人信息主體超過10萬人的個(gè)人信息為重要數(shù)據(jù)。上述重要數(shù)據(jù)原則上應(yīng)在境內(nèi)存儲(chǔ)，因業(yè)務(wù)需要確需向境外提供的，應(yīng)當(dāng)通過國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門組織的安全評(píng)估。在個(gè)人汽車數(shù)據(jù)跨境傳輸過程中，根據(jù)《車聯(lián)網(wǎng)信息服務(wù)用戶個(gè)人信息保護(hù)要求》（YD/t3746-2020）等的規(guī)定，境內(nèi)個(gè)人信息處理者應(yīng)參考執(zhí)行以下合規(guī)建議：1、實(shí)施嚴(yán)格的技術(shù)和管理措施，收集和轉(zhuǎn)移用戶個(gè)人信息時(shí)應(yīng)征得用戶同意；2、信息收集和轉(zhuǎn)移的傳輸過程應(yīng)采取必要的加密措施，保障數(shù)據(jù)的機(jī)密性和完3、確保車聯(lián)網(wǎng)用戶個(gè)人信息訪問控制安全，建立嚴(yán)格的用戶個(gè)人信息安全管理規(guī)范以及數(shù)據(jù)實(shí)時(shí)監(jiān)控機(jī)制；4、設(shè)置企業(yè)內(nèi)部的數(shù)據(jù)審批流程及制度，并對(duì)用戶個(gè)人信息的使用進(jìn)行實(shí)時(shí)監(jiān)隨著全球醫(yī)學(xué)交流日益頻繁，醫(yī)療健康數(shù)據(jù)所面臨的跨境需求也愈加迫切。近年來，我國(guó)“互聯(lián)網(wǎng)+醫(yī)療健康”與醫(yī)療機(jī)構(gòu)信息化逐漸鋪開，國(guó)內(nèi)醫(yī)療機(jī)構(gòu)因此掌握了大量醫(yī)療健康個(gè)人信息。另外，我國(guó)《個(gè)人信息保護(hù)法》將“醫(yī)療健康”息、不良反應(yīng)報(bào)告信息、臨床試驗(yàn)數(shù)據(jù)等，均會(huì)因其“醫(yī)療健康”屬性落入敏感個(gè)人信息的范疇。（一）個(gè)人醫(yī)療健康信息跨境傳輸法律規(guī)制在開展個(gè)人醫(yī)療健康信息出境工作時(shí)，境內(nèi)個(gè)人信息處理者既要關(guān)注行業(yè)規(guī)范的要求，也不能忽視網(wǎng)絡(luò)及數(shù)據(jù)安全監(jiān)管體系中的醫(yī)療數(shù)據(jù)屬性。個(gè)人醫(yī)療健康信息跨境傳輸主要有如下特殊規(guī)定：1、健康醫(yī)療大數(shù)據(jù)原則上應(yīng)當(dāng)存儲(chǔ)于境內(nèi)服務(wù)器，因業(yè)務(wù)需要確需向境外提供中國(guó)個(gè)人信息出境標(biāo)準(zhǔn)合同白皮書2、根據(jù)《人類遺傳資源管理?xiàng)l例》，人類遺傳資源信息是指利用人類遺傳資源材料產(chǎn)生的數(shù)據(jù)等信息資料。國(guó)家科技部于2023年5月26日發(fā)布的《人類遺傳資源管理?xiàng)l例實(shí)施細(xì)則》，向境外提供人類遺傳資源信息的，境內(nèi)信息所有者原則上應(yīng)當(dāng)向科技部事先報(bào)告并提交信息備份；如提供的人類遺傳資源信息可能影3、根據(jù)《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》（GB/T39725—2020）的有關(guān)規(guī)定，基于學(xué)術(shù)研討需要的健康醫(yī)療數(shù)據(jù)跨境傳輸需進(jìn)行必要的去標(biāo)識(shí)化處理，經(jīng)數(shù)據(jù)安全委員會(huì)討論審批同意，且數(shù)量在250條以內(nèi)的非涉密非重要數(shù)據(jù)可以（二）個(gè)人醫(yī)療健康信息跨境傳輸常見場(chǎng)景1、醫(yī)藥研發(fā)當(dāng)前醫(yī)藥研發(fā)領(lǐng)域的一個(gè)常見模式是國(guó)際多中心臨床試驗(yàn)（MRCT即在同一個(gè)方案下多地區(qū)進(jìn)行臨床試驗(yàn)，以便節(jié)約時(shí)間成本、避免臨床試驗(yàn)的重復(fù)。這當(dāng)中存在多地區(qū)之間共享試驗(yàn)結(jié)果，需要傳輸相關(guān)試驗(yàn)數(shù)據(jù)。2、國(guó)際合作研究涉及的臨床試驗(yàn)數(shù)據(jù)出境傳輸出境，或?qū)?shù)據(jù)向境外主體開放訪問權(quán)限，或其服務(wù)器和運(yùn)維部署在境外，都可能構(gòu)成臨床試驗(yàn)數(shù)據(jù)出境。3、跨境申報(bào)新藥臨床試驗(yàn)審批（IND）和新藥注冊(cè)申請(qǐng)（NDA）如果我國(guó)藥企向美國(guó)申請(qǐng)新藥上市，需要向美國(guó)食品與藥品管理局（FDA）提出新藥臨床試驗(yàn)審批申請(qǐng)（IND）和新藥注冊(cè)申請(qǐng)（NDA且申請(qǐng)者必須提供臨床研究的計(jì)劃書，這些文件中往往包含重要數(shù)據(jù)和個(gè)人敏感信息。4、基于科研目的向境外發(fā)布臨床試驗(yàn)結(jié)果中國(guó)個(gè)人信息出境標(biāo)準(zhǔn)合同白皮書開展臨床試驗(yàn)的研究機(jī)構(gòu)對(duì)于其研究發(fā)現(xiàn)可能會(huì)向境外機(jī)構(gòu)或刊物投稿發(fā)布研究成果，在投稿或?qū)徃宓冗^程中可能涉及相關(guān)臨床試驗(yàn)數(shù)據(jù)向境外機(jī)構(gòu)提供的情5、患者個(gè)人信息出境：如出境就診或跨境會(huì)診。6、商業(yè)保險(xiǎn)對(duì)接商業(yè)保險(xiǎn)機(jī)構(gòu)通常會(huì)與醫(yī)療機(jī)構(gòu)建立連接，對(duì)就診主體的治療狀況與診療費(fèi)用情況等信息進(jìn)行流通對(duì)接，從而實(shí)現(xiàn)系統(tǒng)自動(dòng)進(jìn)行商業(yè)保險(xiǎn)自動(dòng)結(jié)算與賠付。7、脫敏數(shù)據(jù)二次利用公共衛(wèi)生部門、科研機(jī)構(gòu)與企業(yè)可能基于政府決策、科學(xué)研究統(tǒng)計(jì)等目的對(duì)健康醫(yī)療數(shù)據(jù)進(jìn)行脫敏后開展分析、挖掘等處理活動(dòng)。（一）跨境電商相關(guān)個(gè)人信息出境場(chǎng)景及法律規(guī)制全球大型跨境電商平臺(tái)阿里巴巴、亞馬遜等通過互聯(lián)網(wǎng)跨境傳輸和處理信息，構(gòu)建了跨境電商經(jīng)營(yíng)者的世界用戶網(wǎng)絡(luò)，有助于降低交易成本、實(shí)現(xiàn)商業(yè)擴(kuò)張。可以說，跨境電商的發(fā)展必然伴生跨境數(shù)據(jù)的流動(dòng)。信息出境標(biāo)準(zhǔn)合同白皮書在跨境電商活動(dòng)全生命周期流程中，海關(guān)等政府部門、境內(nèi)外消費(fèi)者、跨境電商企業(yè)、平臺(tái)企業(yè)、境內(nèi)服務(wù)商等主體在線上及線下場(chǎng)景深度交織，形成諸多主體之間的數(shù)據(jù)交互關(guān)系。消費(fèi)者每一筆交易衍生的交易電子數(shù)據(jù)、支付、物流信息費(fèi)者的聯(lián)系方式、地址等給到境外，就沒法交付快遞發(fā)貨。（二）跨境電商相關(guān)個(gè)人信息跨境傳輸合規(guī)要點(diǎn)《個(gè)人信息保護(hù)法》第58條增設(shè)了平臺(tái)企業(yè)保護(hù)個(gè)人信息的“守門人義務(wù)”，要求提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者，應(yīng)當(dāng)履行下列義務(wù)：1、按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督；2、遵循公開、公平、公正的原則，制定平臺(tái)規(guī)則，明確平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù)；3、對(duì)嚴(yán)重違反法律、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者，4、定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督。5、在目前統(tǒng)一的個(gè)人信息跨境保護(hù)立法模式下，須從合理清晰地界定個(gè)人信息的范圍、完善跨境數(shù)據(jù)流動(dòng)規(guī)則、明確跨境電商經(jīng)營(yíng)者的法律責(zé)任等方面對(duì)個(gè)人信息出境的規(guī)則加以梳理。五、航空航空業(yè)作為擁有巨大信息體量產(chǎn)業(yè)，其涉及的個(gè)人信息保護(hù)問題不容小覷。航空領(lǐng)域涉及個(gè)人信息跨境傳輸場(chǎng)景最多的主體應(yīng)屬民航企業(yè)。民航旅客個(gè)人信息因具有真實(shí)性、國(guó)家安全屬性等特征，其跨境傳輸合規(guī)安全要求應(yīng)受到格外重視。信息出境標(biāo)準(zhǔn)合同白皮書（圖片來源：新浪財(cái)經(jīng)）（一）個(gè)人航空信息跨境傳輸法律規(guī)制目前涉及個(gè)人信息保護(hù)的立法多集中于私法保護(hù)，但關(guān)系到跨境轉(zhuǎn)移則需關(guān)注國(guó)航空企業(yè)涉及向境外提供個(gè)人信息時(shí)，除需要履行《個(gè)人信息保護(hù)法》第39條規(guī)定的“告知+取得單獨(dú)同意”義務(wù)，如涉及向邊檢、海關(guān)等執(zhí)法機(jī)構(gòu)提供個(gè)人信息，還需額外遵循《個(gè)人信息保護(hù)法》第41條規(guī)定的額外義務(wù)，即我國(guó)遵守者不得向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于我國(guó)境內(nèi)的個(gè)人信息。（二）個(gè)人航空信息跨境傳輸常見場(chǎng)景因航空運(yùn)輸天然具有的國(guó)際性，民航旅客個(gè)人信息的跨境傳輸在所難免。民航旅業(yè)、航空運(yùn)輸銷售保障企業(yè)、機(jī)場(chǎng)地面服務(wù)部門以及旅客等多渠道之間存在錯(cuò)綜復(fù)雜的信息流動(dòng)。因此在出境航線上，售出客票的民航企業(yè)通常需要將旅客票務(wù)承運(yùn)人；3、為境外地面服務(wù)提供支持的IT信息提供商；4、沿路的政府邊檢海1、機(jī)票銷售市場(chǎng)上的跨境電商模式，機(jī)票銷售平中被定義為“航空運(yùn)輸