国际数据跨境规则系列 SeriesonInternationalDataCross-BorderRules 中国数据出境实务实操白皮书WhitePaperonChinesePracticeofOutboundDataTransfers 实务问答与实操演练 OperationalQ&As+PracticalExercises 二零二四年一月 January2024 前言 Preface 作为数据要素流动的主要国家之一,中国已经就数据跨境流动建立了完善的合规监管机制。三条数据出境的合规路径——安全评估、标准合同备案、个人信息保护认证,现均已正式落地实施,各省市陆续均有通过案例出台,行业遍布生物医药、汽车制造、跨境电商、企业征信等行业。 Asoneofthemaincountriesintheflowofdataelements,Chinahasalreadyestablishedacomprehensivecomplianceregulatorymechanismforcross-borderdataflows.Threepathsforoutbounddatatransfers—securityassessment,standardcontractfiling,andpersonalinformationprotectioncertification—haveallbeenformallyimplemented,withvariousprovincesandcitiesintroducingcasesacrossindustriessuchasbiopharmaceuticals,automotivemanufacturing,cross-bordere-commerce,andcorporatecreditreporting. 与此同时,中国也在积极制定推动相关“减负”政策,进一步为企业降低合规成本。如 2023年9月28日征求意见的《规范和促进数据跨境流动规定》,明确罗列了数据出境的豁 免情形;又如12月出台的《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》,针对内地与香港之间的个人信息流动的合规要求进行了简化。 Atthesametime,Chinaisalsoactivelyformulatingandpromotingrelevant“burdenreduction”policiestofurtherreducecompliancecostsforenterprises.Forexample,the"ProvisionsonRegulatingandPromotingCross-borderFlowofData(ExposureDraft)"issuedon28September2023,clearlylistedtheexemptionsfordataoutboundtranfers;Similarly,the“ImplementationGuidelinesontheStandardContractforCross-boundaryFlowofPersonalInformationWithintheGuangdong-HongKong-MacaoGreaterBayArea(Mainland,HongKong)”,issuedinDecember2023,simplifiesthecompliancerequirementsfortheflowofpersonalinformationbetweentheMainlandandHongKong. 选择哪种路径出境、谁来申请数据出境、如何实现合规出境,是绝大多数外资企业及跨国集团公司等主体的困惑所在。为此,我们从企业实际业务场景出发,针对企业关注的核心 问题梳理形成本白皮书(实务问答+实操演练),希望能够帮助企业明晰合规路径,实现数据的有序流动。 Choosingtherightpathforexport,determiningwhoappliesfordataexport,andfiguringouthowtoachievecompliantdataexportaremajorchallengesformostforeign-ownedenterprisesandmultinationalcorporations.Forthisreason,wewrotethiswhitepaper,startingfromtheactualbusinessscenariosofenterprises,andcombingthroughthecoreissuesofenterprises'concerntoformOperationalQ&AsandPracticalExercises.Wehopethiswillhelpenterprisestoclarifythecompliancepathofoutbounddatatransferandachievetheorderlyflowofdata. 面对数据出境路径的选择,我们分别以三条路径为轴,逐一拎出各通路上将面临的问题并予以分析,总结出30个实务问题+10个实操案例,采用一问一答的方式,辅以实操演练,通过剖析解读法规政策、挖掘数据出境常见场景,为拟出境企业选择出境路径提供指导思路,为强监管下的数据出境提供应对之道。 Inthefaceofthechoiceofoutbounddatatransferpaths,werespectivelytakethreepathsastheaxis,addressingtheissuesandconductinganalysesforeachpathonebyone.Wehavesummarized30operationalquestionsalongwith10realcases,presentedinaQ&Aformatsupplementedbypracticalexercises.Byanalyzingandinterpretingtheregulationsandpolicies,aswellasexploringcommonscenariosinoutbounddatatransfers,weprovideguidanceforenterprisesonchoiceoftherightpaths,andhelpthemtofindawayoutofthestrongregulation. 目录 Contents 一、中国数据出境路径透视9 I.PivotViewofChina’sOutboundDataTransferPaths9 (一)路径起源9 (I)OriginsofPaths9 (二)路径选择10 (II)PathSelection10 (三)路径豁免(或有)11 (III)PathExemptions(ifany)11 二、中国数据出境实务问答13 II、Q&AonChinesePracticesofOutboundDataTransfers13 (一)数据出境安全评估10问13 (I)10QuestionsonSecurityAssessmentforOutboundDataTransfers13 Q1:什么情形必须启动数据出境安全评估?13 Underwhatcircumstancesmustsecurityassessmentforoutbounddatatransfersbeconducted?13 Q2:数据出境行为具体包含哪些?14 Whatconstitutesanactofoutbounddatatransfer?14 实操演练1 PracticalExercise1 Q3:如何识别“重要数据”?16 Howtoidentify"importantdata"?16 Q4:如何识别“敏感个人信息”?18 Howtoidentify"sensitivepersonalinformation"?18 Q5:如何界定“关键信息基础设施运营者”?18 Whoisa"criticalinformationinfrastructureoperator"?18 Q6:如何界定100万、10万、1万的数量规模?19 Howtodefinethequantitativescaleof1million,100thousand,and10thousand? 19 Q7:同一数据处理者存在多个出境场景需要申报时应如何处理?20 Whatshouldbedonewhentherearemultipleoutboundscenariostobedeclaredbythesamedataprocessor?20 Q8:什么情况应当重新进行数据出境安全评估?21 Whenshouldasecurityassessmentforoutbounddatatransfersbere-conducted? 21 实操演练2 PracticalExercise2 Q9:企业是否必须事先开展自评估工作?若需要,需要提前多久开展?自评估工作应当评估哪些方面?23 Isitnecessaryforcompaniestocarryouttheself-assessmentexerciseinadvance?Ifso,howfarinadvance?Whatshouldbeassessedintheself-assessment?23 实操演练3 PracticalExercise3 Q10:数据出境安全评估申报流程需要花多长时间?26 Howlongdoesthesecurityassessmentfilingprocessofoutbounddatatransferstake?26 (二)个人信息出境标准合同备案15问28 (II)15QuestionsontheFilingoftheSCforOutboundTransferofPersonalInformation(“SCFiling”)28 Q11:签订标准合同进行数据出境活动的适用范围?28 WhatisthescopeofapplicationofaSC?28 Q12:标准合同签署的主体有哪些?29 WhoarepartiestoaSC?29 实操演练4 PracticalExercise4 Q13:规定提及“自主缔约”,这是否意味着企业可以跳过备案环节?30 Theprovisionrefersto"independentcontracting",doesthismeanthatcompaniescanskipthefilingprocess?30 Q14:能否针对多个数据出境场景使用同一套标准合同?32 CanthesamesetofSCbeusedformultipleoutbounddatatransfers?32 实操演练5 PracticalExercise5 Q15:关联方是否可以合并备案?34 Canrelatedpartiesconsolidatetheirfilings?34 实操演练6 PracticalExercise6 Q16:可以修改标准合同条款吗?37 CanthetermsofaSCbemodified?37 Q17:如果已签署GDPR下的标准合同,是否还需签署中国的标准合同?37 IfaSCundertheGDPRhasbeensigned,doIneedtosignaSCthatconformswiththeChineselaws?37 Q18:个人信息处理者是否可以提交非中文版标准合同?37 CanaPIPsubmitanon-ChineseversionofaSC?38 Q19:标准合同备案的有效期多久?38 HowlongisafilingofSCvalidfor?38 Q20:什么情况下需要重新备案?39 Underwhatcircumstances