中国数据出境实务实操白皮书：实务问答与实操演练

国际数据跨境规则系列 SeriesonInternationalDataCross-BorderRules 中国数据出境实务实操白皮书WhitePaperonChinesePracticeofOutboundDataTransfers 实务问答与实操演练 OperationalQ&As+PracticalExercises 二零二四年一月 January2024 前言 Preface 作为数据要素流动的主要国家之一，中国已经就数据跨境流动建立了完善的合规监管机制。三条数据出境的合规路径——安全评估、标准合同备案、个人信息保护认证，现均已正式落地实施，各省市陆续均有通过案例出台，行业遍布生物医药、汽车制造、跨境电商、企业征信等行业。 Asoneofthemaincountriesintheflowofdataelements,Chinahasalreadyestablishedacomprehensivecomplianceregulatorymechanismforcross-borderdataflows.Threepathsforoutbounddatatransfers—securityassessment,standardcontractfiling,andpersonalinformationprotectioncertification—haveallbeenformallyimplemented,withvariousprovincesandcitiesintroducingcasesacrossindustriessuchasbiopharmaceuticals,automotivemanufacturing,cross-bordere-commerce,andcorporatecreditreporting. 与此同时，中国也在积极制定推动相关“减负”政策，进一步为企业降低合规成本。如 2023年9月28日征求意见的《规范和促进数据跨境流动规定》，明确罗列了数据出境的豁 免情形；又如12月出台的《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》，针对内地与香港之间的个人信息流动的合规要求进行了简化。 Atthesametime,Chinaisalsoactivelyformulatingandpromotingrelevant“burdenreduction”policiestofurtherreducecompliancecostsforenterprises.Forexample,the"ProvisionsonRegulatingandPromotingCross-borderFlowofData(ExposureDraft)"issuedon28September2023,clearlylistedtheexemptionsfordataoutboundtranfers;Similarly,the“ImplementationGuidelinesontheStandardContractforCross-boundaryFlowofPersonalInformationWithintheGuangdong-HongKong-MacaoGreaterBayArea(Mainland,HongKong)”,issuedinDecember2023,simplifiesthecompliancerequirementsfortheflowofpersonalinformationbetweentheMainlandandHongKong. 选择哪种路径出境、谁来申请数据出境、如何实现合规出境，是绝大多数外资企业及跨国集团公司等主体的困惑所在。为此，我们从企业实际业务场景出发，针对企业关注的核心 问题梳理形成本白皮书（实务问答+实操演练），希望能够帮助企业明晰合规路径，实现数据的有序流动。 Choosingtherightpathforexport,determiningwhoappliesfordataexport,andfiguringouthowtoachievecompliantdataexportaremajorchallengesformostforeign-ownedenterprisesandmultinationalcorporations.Forthisreason,wewrotethiswhitepaper,startingfromtheactualbusinessscenariosofenterprises,andcombingthroughthecoreissuesofenterprises'concerntoformOperationalQ&AsandPracticalExercises.Wehopethiswillhelpenterprisestoclarifythecompliancepathofoutbounddatatransferandachievetheorderlyflowofdata. 面对数据出境路径的选择，我们分别以三条路径为轴，逐一拎出各通路上将面临的问题并予以分析，总结出30个实务问题+10个实操案例，采用一问一答的方式，辅以实操演练，通过剖析解读法规政策、挖掘数据出境常见场景，为拟出境企业选择出境路径提供指导思路，为强监管下的数据出境提供应对之道。 Inthefaceofthechoiceofoutbounddatatransferpaths,werespectivelytakethreepathsastheaxis,addressingtheissuesandconductinganalysesforeachpathonebyone.Wehavesummarized30operationalquestionsalongwith10realcases,presentedinaQ&Aformatsupplementedbypracticalexercises.Byanalyzingandinterpretingtheregulationsandpolicies,aswellasexploringcommonscenariosinoutbounddatatransfers,weprovideguidanceforenterprisesonchoiceoftherightpaths,andhelpthemtofindawayoutofthestrongregulation. 目录 Contents 一、中国数据出境路径透视9 I.PivotViewofChina’sOutboundDataTransferPaths9 (一)路径起源9 (I)OriginsofPaths9 (二)路径选择10 (II)PathSelection10 (三)路径豁免（或有）11 (III)PathExemptions(ifany)11 二、中国数据出境实务问答13 II、Q&AonChinesePracticesofOutboundDataTransfers13 (一)数据出境安全评估10问13 (I)10QuestionsonSecurityAssessmentforOutboundDataTransfers13 Q1:什么情形必须启动数据出境安全评估？13 Underwhatcircumstancesmustsecurityassessmentforoutbounddatatransfersbeconducted?13 Q2:数据出境行为具体包含哪些？14 Whatconstitutesanactofoutbounddatatransfer?14 实操演练1 PracticalExercise1 Q3:如何识别“重要数据”？16 Howtoidentify"importantdata"?16 Q4:如何识别“敏感个人信息”？18 Howtoidentify"sensitivepersonalinformation"?18 Q5:如何界定“关键信息基础设施运营者”？18 Whoisa"criticalinformationinfrastructureoperator"?18 Q6:如何界定100万、10万、1万的数量规模？19 Howtodefinethequantitativescaleof1million,100thousand,and10thousand? 19 Q7:同一数据处理者存在多个出境场景需要申报时应如何处理？20 Whatshouldbedonewhentherearemultipleoutboundscenariostobedeclaredbythesamedataprocessor?20 Q8:什么情况应当重新进行数据出境安全评估？21 Whenshouldasecurityassessmentforoutbounddatatransfersbere-conducted? 21 实操演练2 PracticalExercise2 Q9:企业是否必须事先开展自评估工作？若需要，需要提前多久开展？自评估工作应当评估哪些方面？23 Isitnecessaryforcompaniestocarryouttheself-assessmentexerciseinadvance?Ifso,howfarinadvance?Whatshouldbeassessedintheself-assessment?23 实操演练3 PracticalExercise3 Q10:数据出境安全评估申报流程需要花多长时间？26 Howlongdoesthesecurityassessmentfilingprocessofoutbounddatatransferstake?26 (二)个人信息出境标准合同备案15问28 (II)15QuestionsontheFilingoftheSCforOutboundTransferofPersonalInformation(“SCFiling”)28 Q11:签订标准合同进行数据出境活动的适用范围？28 WhatisthescopeofapplicationofaSC?28 Q12:标准合同签署的主体有哪些？29 WhoarepartiestoaSC?29 实操演练4 PracticalExercise4 Q13:规定提及“自主缔约”，这是否意味着企业可以跳过备案环节？30 Theprovisionrefersto"independentcontracting",doesthismeanthatcompaniescanskipthefilingprocess?30 Q14:能否针对多个数据出境场景使用同一套标准合同？32 CanthesamesetofSCbeusedformultipleoutbounddatatransfers?32 实操演练5 PracticalExercise5 Q15:关联方是否可以合并备案？34 Canrelatedpartiesconsolidatetheirfilings?34 实操演练6 PracticalExercise6 Q16:可以修改标准合同条款吗？37 CanthetermsofaSCbemodified?37 Q17:如果已签署GDPR下的标准合同,是否还需签署中国的标准合同？37 IfaSCundertheGDPRhasbeensigned,doIneedtosignaSCthatconformswiththeChineselaws?37 Q18:个人信息处理者是否可以提交非中文版标准合同？37 CanaPIPsubmitanon-ChineseversionofaSC?38 Q19:标准合同备案的有效期多久？38 HowlongisafilingofSCvalidfor?38 Q20:什么情况下需要重新备案？39 Underwhatcircumstances