《律師辦理數據出境法律業務操作指引（2024）》2024年10月27日（2024）第一條【指引目的】為明確數據出境法律業務的操作規范，提高律師辦理數據出境法律業務的服務質量和水平，降低委托人在向境外提供數據過程中的法律風險，北京市律師協會特編制本指引。第二條【適用范圍】本指引適用于北京市執業律師（以下簡稱律師）辦理數據出境法律業務，包括但不限于申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證和其他與數據出境相關的活動。（一）“數據”是指任何以電子或者其他方式對信息的記錄。（二）“重要數據”是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等（三）“個人信息”是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。（四）“敏感個人信息”是指一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。第四條【法律依據】本指引編寫者全面梳理了現行有效的數據出境相第一條【數據出境行為】以下行為屬于數據出境行為：（一）數據處理者將在境內運營中收集和產生的數據傳輸至境外；（二）數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出；（三）符合《個人信息保護法》第三條第二款情形，在境外處理境內自然人個人信息等其他數據處理活動。第二條【向境外提供重要數據的合規路徑】數據處理者向境外提供重要數據的，應當申報數據出境安全評估。數據處理者應當按照相關規定識別、申報重要數據。未被相關部門、地區告知或者公開發布為重要數據的，數據處理者不需要將其作為重要數據申報數據出境安全評估。第三條【向境外提供個人信息的合規路徑】屬于關鍵信息基礎設施運營者的數據處理者向境外提供個人信息的，應當申報數據出境安全評估。不屬于關鍵信息基礎設施運營者的數據處理者自當年1月1日起累計向境外提供100萬人以上個人信息（不含敏感個人信息）或者1萬人以上敏感個人信息的，應當申報數據出境安全評估。不屬于關鍵信息基礎設施運營者的數據處理者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息（不含敏感個人信息）或者不滿1萬人敏感個人信息的，應當選擇訂立個人信息出境標準合同或者通過個人信息保護認證。第四條【數據出境合規路徑的豁免情形】數據處理者符合以下情形之一的，免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人（一）國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷等活動中收集和產生的數據向境外提供，不包含個人信息或者重要數據的；（二）在境外收集和產生的個人信息傳輸至境內處理后向境外提供，處理過程中沒有引入境內個人信息或者重要數據的；跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等，確需向境外提供個人信息的；（四）按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息的；（五）緊急情況下為保護自然人的生命健康和財產安全，確需向境外-4-（六）關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息（不含敏感個人信息）的。自由貿易試驗區內數據處理者向境外提供需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數據清單（以下簡稱“負面清單”）外的數據，可以免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。截至本指引發布之日，已有北京和天津自由貿易區制定負面清單。需要注意的是，使用負面清單出境數據雖然免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證，但不意味著無需履行任何合規手續。以北京自由貿易區為例，數據處理者向境外提供負面清單以外的數據的，需要提交負面清單使用申請并備案。第一條【業務流程】律師可以按照以下流程開展數據出境法律業務：（一）協助數據處理者識別數據出境行為，梳理數據出境場景；（二）明確開展數據處理活動的法律主體，并判斷該主體是否屬于關鍵信息基礎設施運營者；（三）根據數據處理者統計的出境數據類型和規模，判斷出境數據是否包括重要數據或個人信息；（四）根據數據出境的場景、數據處理者的身份、出境數據的類型和規模等因素，為數據處理者提供數據出境合規路徑的選擇建議；（五）協助數據處理者開展數據安全風險自評估或個人信息保護影響評估，并針對評估中發現的法律風險提出整改建議；（六）擬定或審查合同等相關法律文件；（七）協助數據處理者申報數據出境安全評估、備案個人信息出境標準合同或開展個人信息保護認證。第二條【重點評估事項】律師在開展數據安全風險自評估或個人信息保護影響評估時，應重點評估以下事項：（二）出境數據的規模、范圍、種類、敏感程度，數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險；（三）境外接收方承諾承擔的責任義務，以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全；（四）數據出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險，個人信息權益維護的渠道是否通暢等；（五）與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件是否充分約定了數據安全保護責任義務（適用于數據安全風險自評估），或境外接收方所在國家或者地區的個人信息保護政策和法規對標準合同履行的影響（適用于個人信息保護影響評估）；（六）其他可能影響數據出境安全的事項。第三條【數據出境“三性”審查要點】律師在審查數據出境的合法性、正當性、必要性時，應重點審查以下事項：向境外提供個人信息的，是否取得個人單獨同意或存在其他合法性基礎；向境外提供數據的，該等數據是否為法律、行政法規禁止出境的數據；向境外提供數據的目的和行為是否違背公序良俗；向境外提供的數據是否是開展業務所必需的，或者是履行法律、行政法規規定的義務所必需的。第四條【出境數據類型審查要點】律師在審查出境數據類型時，可以參考《個人信息保護法》第四條和第二十八條的規定，以及GB/T35273-2020《信息安全技術個人信息安全規范》的要求，判斷出境數據是否包括個人信息、敏感個人信息。第五條【出境數據規模審查要點】律師在審查出境數據規模時，應重點審查數據處理者是否采取數量拆分等手段，將依法應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供。第六條【法律文件審查要點】律師在審查合同或者其他具有法律效力的文件時，應重點審查以下法律條款：（二）數據在境外保存地點、期限，以及達到保存期限、完成約定目的或者法律文件終止后出境數據的處理措施；（三）對于境外接收方將出境數據再轉移給其他組織、個人的約束性（四）境外接收方在實際控制權或者經營范圍發生實質性變化，或者所在國家、地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形導致難以保障數據安全時，應當采取的安全措施；（五）違反法律文件約定的數據安全保護義務的補救措施、違約責任（六）出境數據遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險時，妥善開展應急處置的要求和保障個人維護其個人信息權第七條【材料真實性、合法性、有效性審查】律師應對數據處理者提供的材料的真實性、合法性、有效性進行審查，包括但不限于：（一）審查管理文件是否經過正當的起草或批準程序并生效實施；（二）審查協議文件是否獲得協議各方的有效同意并實際生效和執行；（三）審查紙質或者電子記錄的工作檔案是否能夠反映真實情況；（四）審查網絡安全等級保護、個人信息保護認證、數據安全管理認證等證明是否在有效期內；（五）審查相關檢測機構是否具有資質，是否在出具的檢測報告上加蓋公章并對內容真實性做出負責任承諾。施運營者或者其他不適合通過數據出境申報系統申報數據出境安全評估的，采用線下方式通過所在地省級網信辦向國家網信辦申報數據出境安全評估。第二條【申報材料】申報數據出境安全評估，應當提交統一社會信用代碼證件影印件、法定代表人身份證件影印件、經辦人身份證件影印件、經辦人授權委托書、數據出境安全評估申報書、與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件、數據出境風險自評估報告、其他第三條【評估結果】對評估結果無異議的，數據處理者須按照數據出境安全管理相關法律法規和評估結果通知書的有關要求，規范相關數據出境活動；對評估結果有異議的，數據處理者可在收到評估結果通知書15個工作日內向國家網信辦申請復評，復評結果為最終結論。通過數據出境安全評估的結果有效期為3年，自評估結果出具之日起第四條【重新申報】在有效期內出現以下情形之一的，數據處理者應（一）向境外提供數據的目的、方式、范圍、種類和境外接收方處理數據的用途、方式發生變化影響出境數據安全的，或者延長個人信息和重要-9-（二）境外接收方所在國家或者地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形、數據處理者或者境外接收方實際控制權發生變化、數據處理者與境外接收方法律文件變更等影響出境數據（三）出現影響出境數據安全的其他情形。有效期屆滿，需要繼續開展數據出境活動的，數據處理者應當在有效期屆滿60個工作日前提出延長評估結果有效期申請。經國家網信辦批準，可以延長評估結果有效期3年。第一條【備案方式】個人信息處理者應當在標準合同生效之日起10個工作日內，通過數據出境申報系統備案，系統網址為https://cn。第二條【備案材料】備案個人信息出境標準合同，應當提交統一社會信用代碼證件影印件、法定代表人身份證件影印件、經辦人身份證件影印件、經辦人授權委托書、承諾書、標準合同、個人信息保護影響評估報告。第三條【備案結果】備案結果分為通過、不通過。通過備案的，省網信辦向個人信息處理者發放備案編號；未通過備案的，個人信息處理者將收到備案未成功通知及原因；要求補充完善材料的，個人信息處理者應當補充完善材料并于10個工作日內再次提交。-10-第四條【重新備案】在標準合同有效期內出現下列情形之一的，個人信息處理者應當重新開展個人信息保護影響評估，補充或者重新訂立標準合同，并履行相應備案手續：（一）向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發生變化，或者延長個人信息境外保存期限的；（二）境外接收方所在國家或者地區的個人信息保護政策和法規發生變化等可能影響個人信息權益的；（三）可能影響個人信息權益的其他情形。個人信息處理者在標準合同有效期內補充訂立標準合同的，應當提交補充材料；重新訂立標準合同的，應當重新備案。補充或者重新備案的材料查驗時間為15個工作日。第一條【申請主體】申請認證的企業應取得合法的法人資格，正常經營且具有良好的信譽、商譽。第二條【認證依據】對于開展跨境處理活動的企業，應當符合GB/T35273《信息安全技術個人信息安全規范》和TC260-PG-20222A《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范（V2.0-202212）》第三條【認證機構】目前有權開展個人信息保護認證的機構為中國網-11-絡安全審查技術與認證中心。第四條【認證結果】認證機構根據認證委托資料、技術驗證報告、現場審核報告和其他相關資料信息進行綜合評價，作出認證決定。對符合認證要求的，頒發認證證書；對暫不符合認證要求的，可要求認證委托人限期整改，整改后仍不符合的，以書面形式通知認證委托人終止認證。如發現認證委托人、個人信息處理者存在欺騙、隱瞞信息、故意違反認證要求等嚴重影響認證實施的行為時，認證不予通過。認證證書有效期為3年。在有效期內，通過認證機構的獲證后監督，保持認證證書的有效性。第五條【認證證書的變更和續期】認證證書有效期內，若獲得認證的企業名稱、注冊地址，或認證要求、認證范圍等發生變化時，認證委托人應當向認證機構提出變更委托。認證機構根據變更的內容，對變更委托資料進行評價，確定是否可以批準變更。如需進行技術驗證和/或現場審核，還應當在批準變更前進行技術驗證和/或現場審核。證書到期需延續使用的，認證委托人應當在有效期屆滿前6個月內提出認證委托。認證機構應當采用獲證后監督的方式，對符合認證要求的委托第一條【指引效力】本指引旨在向律師提供辦理數據出境法律業務方面的一般實務操作指引，而非強制性規定或服務標準，亦不作為律師出具法-12-律意見或報告的法律依據，僅供律師在實踐中參考。第二條【發布日期】本指引發布于2024年10月27日。附件數據出境相關法律、規章、管理清單、標準匯編年版）》12.《中國（上海）自由貿易試驗區臨港新片區智能網聯汽車領域數據跨境場景化一般數據清單（試行）》13.《中國（上海）自由貿易試驗區臨港新片區生物醫藥領域數據跨境-13-場景化一般數據清單（試行）》14.《中國（上海）自由貿易試驗區臨港新片區公募基金領域數