2017年6月1日《網絡安全法》（以下簡稱《網安法》）的頒布后, 數據出境合規成為了被廣泛關注的問題，然而該法中對于個人信息出境評估的要求僅針對關鍵信息基礎設施的運營者(“CIIO”)¹，并未對非CIIO向境外提供個人信息提出監管要求。

此后, 國家互聯網信息辦公室于2021年依次發布的《數據出境安全評估辦法（征求意見稿）》以及《網絡數據安全管理條例(征求意見稿)》²中, 進一步擴大了數據出境需要進行安全評估的范圍, 將出境數據中包含重要數據或者處理個人信息達到一百萬人的個人信息處理者納入了安全評估的范圍，盡管當時這兩個文件還是征求意見稿，但足見監管部門對于數據出境的監管范圍在逐步擴大。

2021年施行的《數據安全法》對于CIIO在境內存收集和產生的重要數據的出境安全管理提出監管要求，由于該法在立法層面更多的是維護國家主權、安全和發展的利益，因此更側重對涉及國家安全、社會穩定的重要數據提出監管要求。

《個人信息保護法》（以下簡稱《個保法》）于2021年8月正式出臺。其中第38條規定，個人信息處理者因業務需要, 向境外提供個人信息的需要具備以下條件之一：

而在《個保法》第55條, 進一步將個人信息出境規定為必須事前進行個人信息保護影響評估的情形之一。

盡管《個保法》明確提出了個人信息出境的三條路徑，即安全評估、保護認證和標準合同，但在《個保法》出臺的時候, 國家網信部門尚未發布正式的安全評估辦法，如何進行個人信息保護認證以及標準合同模板也都沒有明確。而《信息安全技術 個人信息安全規范》中對于個人信息跨境傳輸，也僅僅規定了“在中華人民共和國境內運營中收集和產生的個人信息向境外提供的，個人信息控制者應遵循國家相關規定和相關標準的要求”。在這個階段，盡管監管部門對個人信息出境的合規義務已經建立了法律層面的依據，但企業的實務操作還存在很多不明確的地方。

此后，在《個保法》的基礎上，三條個人信息出境路徑具體的合規要求逐漸明確：2022年6月24日, 全國信息安全標準技術委員會（以下簡稱“信標委”）發布了《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規范》（以下簡稱《認證規范1.0》），為企業采取認證途徑進行個人信息出境的提供了相關認證合規要求的依據。在發布《認證規范1.0》正式稿不到五個月時間，信安標委又將1.0版本升級到了2.0版本，2022年11月8日，再次發布《網絡安全標準實踐指南 個人信息跨境處理活動安全認證規范（征求意見稿）》（以下簡稱《認證規范2.0（征求意見稿）》）。

在標準合同方面，6月30日, 網信辦發布《個人信息出境標準合同規定（征求意見稿）》（以下簡稱《標準合同規定》），并通過附件公布了個人信息處理者和境外數據接收方簽訂的標準合同模板。

2022年7月7日，網信辦進一步發布了《數據出境安全評估辦法》（《評估辦法》），明確了數據處理者向境外提供數據時適用國家網信部門評估的情形、內容、流程等，其中明確規定了CIIO以及處理100萬以上個人信息處理者向境外提供個人信息，以及自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息的，應當申報數據出境安全評估。

從個人信息出境監管規制的歷程來看，自《網安法》出臺以來，立法機構及有關監管部門也在逐步在建立和個人信息出境相關的法律、法規和監管規則及標準。至今，以《網安法》、《數安法》和《個保法》“三駕馬車”為基礎的個人信息出境監管體系已經形成，企業應當結合自身的業務情況、數據傳輸情況，按照相關規定履行個人信息出境的合規要求。

從現有法律框架看，我國個人信息有三條出境途徑：

其中，安全評估強制適用于CIIO和處理個人信息達到規定數量的公司的個人信息出境活動；標準合同及認證都僅適用于未達安全評估標準的個人信息出境活動。

對于個人信息處理者而言，無論采取那種路徑出境，以下三個工作都是必須進行的：

我們理解，個人信息保護影響評估主要以《個保法》為依據，衡量數據處理活動是否會對個人信息主體的權益造成影響，而企業申請安全評估方式出境的數據不僅僅包括個人信息，也包括重要數據；此外，企業是否開展個人保護影響評估應當是自評估的范圍，用以說明數據處理者數據安全保障能力情況。

對于企業而言，在開展個人信息出境活動時，應當參考以下合規流程：

個人信息保護影響評估在一定條件下應重新進行，此外數據出境安全評估結果的有效期也只有2年，并且發生一定情形時還應當重新申報等等，企業應持續關注這些合規義務，注意識別是否發生相應應重新評估或申報的條件，也應持續監督境外接收方的個人信息處理活動，以及監管部門是否提出個人信息出境的補充合規要求。

如個人信息處理者需要通過國家網信部門的安全評估進行出境的，應當在申報數據出境安全評估前，應當開展數據出境風險自評估，自評估重點評估內容如下：

通過對比評估范圍，網信部門所組織的安全評估相比自評估而言，安全評估還會對“境外接收方所在國家或者地區的數據安全保護政策法規和網絡安全環境對出境數據安全的影響”，我們理解，網信部門還將從宏觀角度考慮境外接收方的國家的法律政策環境以及該國的網絡安全環境對數據安全、國家安全的影響。盡管這一評估要點并沒有在《認證規范》第5條中明確，但《數據出境安全評估申報指南》自評估報告模板中，對于境外接收方情況的描述要求中第4點就是“境外接收方所在國家或地區數據安全保護政策法規和網絡安全環境情況”。因此，我們認為在企業進行自評估的時候還是應當將境外接收方宏觀的法律及網絡安全環境納入評估范圍中。

2022年6月5日國家市場監督管理總局、國家互聯網信息辦公室頒布《數據安全管理認證規則》，主要是依據GB/T 41479《信息安全技術 網絡數據處理安全要求》及相關標準規范對數據安全管理體系進行認證，而本次發布的《個人信息保護認證實施規則》的認證依據有兩個，包括GB/T 35273《信息安全技術個人信息安全規范》以及TC260-PG-20222A《個人信息跨境處理活動安全認證規范》，前者是國家標準，而后者是由全國信息安全標準化技術委員會組織制定和發布。

事實上，在實踐中很多企業為履行《個保法》的合規義務，在個人信息保護合規體系具體的搭建過程中，參考最多的也是GB/T 35273《信息安全技術個人信息安全規范》，因此發布的認證規則，相當于建立了通用的個人信息保護認證制度。而由于《個保法》中對于個人信息出境另外提出了認證途徑，我們理解，個人信息出境的認證活動是通用個人信息保護認證制度的補充，也為企業個人信息出境認證活動的開展提供了明確的規則依據。

具體到個人信息跨境認證要求來看，結合《認證規范1.0》和《認證規范2.0（征求意見稿）》來看，認證的適用范圍的表述有所變化：在1.0版中，第1條適用情形有兩種，一種是跨國公司或同一經濟、事業實體內部的個人信息跨境處理活動，比如跨國公司內部的員工個人信息跨境傳輸，而第二種是境外主體向境內自然人提供服務的情形；而在2.0版本中，適用情形放寬到適用于個人信息處理者開展個人信息跨境處理活動，并沒有具體約束僅限上述兩種情況。但在第二條的認證主體中，第一款規定具有法人資格的主體均可以；第二款和第三款則是針對之前適用范圍的兩類對象，進一步明確了申請認證的主體，這種特別提示足見其特殊性。

2022年6月30日，網信辦發布《個人信息出境標準合同規定（征求意見稿）》及個人信息出境標準合同。

盡管采取標準合同進行出境無須向網信部門申請安全評估，但個人信息處理者的合規義務并不會因此而降低，仍然需要履行《標準合同》中明確規定的義務，比如履行告知同意的義務、確保境外接收方采取相應的技術和管理措施履行合規義務、開展個人信息保護影響評估等。根據《標準合同規定征求意見稿》第7條，個人信息處理者應當在標準合同生效之日起10個工作日內，向所在地省級網信部門提交標準合同和個人信息保護影響評估報告，以進行備案。除備案以外，監管部門仍然會持續關注境外個人信息處理活動的情況，個人信息處理者也應及時答復來自監管機構關于境外接收方的個人信息處理活動的詢問。