撰写法律备忘录

法律备忘录

收件人：管理层与合规委员会 发件人：法律合规部（数据与隐私事务） 日期：[填写日期] 主题：个人信息出境新规的影响评估与整改优先级

一、执行摘要

• 2024年3月22日施行的《促进和规范数据跨境流动规定》（下称“2024跨境流动规定”）在不削弱个人信息保护义务的前提下，对既有出境合规路径（国家网信办安全评估、标准合同、认证）设定若干豁免情形，并引入小额豁免阈值，显著优化了部分业务场景的合规负担。
• 然而，《个人信息保护法》（下称“PIPL”）关于事前个人信息保护影响评估（PIPIA）、充分告知、单独同意（如无法定例外）以及对境外接收方的持续监督义务并未被豁免，且对触发安全评估的数量门槛、CIIO与“重要数据”的监管要求保持不变。
• 建议以风险为导向的两轨整改策略：一方面迅速止损并补齐高风险出境场景（超量传输、敏感个人信息、未签署标准合同且无豁免、境外远程运维访问等）；另一方面，针对有望适用豁免或标准合同路径的场景，通过数据盘点、数量核算和场景分流，压缩需申报安全评估的范围，提升合规效率。
• 近、中、长期分别落实：短期（0–30天）完成数据流梳理、数量统计和豁免适用性判定；中期（30–90天）完善PIPIA、签署标准合同并备案或启动安全评估申报；长期（90天以上）完善合同体系、年度复核与再评估机制、跨境技术安全控制与供应商治理。

二、事实与业务背景（假设性概述）

• 我司存在多类个人信息出境活动，包括：境外SaaS与云服务使用、集团共享服务中心数据访问、跨境结算与客户服务、员工人力资源信息托管、第三国供应商远程维护访问等。
• 涉及个人信息类型包括基本身份信息、联系方式、交易与行为数据、终端标识、定位数据、员工档案，个别业务涉及敏感个人信息（如金融账户、行踪轨迹、生物识别、未成年人数据）。
• 出境方式既包括主动传输，也包括境外远程访问或调用，均属于“向境外提供个人信息”的监管口径。

三、适用法律与监管框架

• 中华人民共和国个人信息保护法（PIPL，2021年）
• 中华人民共和国数据安全法（DSL，2021年）
• 中华人民共和国网络安全法（CSL）
• 数据出境安全评估办法（国家互联网信息办公室，2022年，以下简称“安全评估办法”）
• 个人信息出境标准合同办法及其标准合同文本（国家互联网信息办公室，2023年，以下简称“标准合同办法”）
• 促进和规范数据跨境流动规定（国家互联网信息办公室，2024年，以下简称“2024跨境流动规定”）
• 个人信息跨境处理活动安全认证规范（网络安全标准化技术委员会TC260实践指南）
• 个人信息安全影响评估指南（GB/T 39335-2020）（推荐性国家标准）
• 行业配套规则（如汽车数据、金融、电信等领域数据出境特别规定，如适用）

四、新规要点与合规路径变化

1. 基础路径未变

• 合规路径仍为三选一：安全评估（由网信部门组织）、标准合同（签署并备案）、认证（通过专业机构认证）。
• 下列情形通常触发安全评估：CIIO或处理“重要数据”的出境；处理超过一定规模个人信息的处理者向境外提供个人信息；在一定统计期内累计向境外提供超过特定数量阈值的个人信息或敏感个人信息。安全评估有效期通常为2年，情形变化或到期前需重新申请。
• 符合规模门槛的非CIIO且未触发安全评估情形，可选择标准合同路径；标准合同生效后应在法定期限内向所在地省级网信部门备案，并提交PIPIA报告。

2. 2024跨境流动规定的主要优化

• 豁免若干常见、必要或低风险场景的程序性要求，典型包括： a. 为订立或履行与个人为一方当事人的合同所必需（如跨境购物、机票酒店预订、签证申请、国际汇款等）。 b. 为开展人力资源管理、依据依法制定的劳动规章制度和集体合同实施所必需。 c. 为保护自然人生命健康、财产安全等紧急情况所必需。 d. 小额豁免：在自然年累计跨境提供个人信息数量未达到规定小额阈值的，免于办理安全评估、标准合同备案或认证。
• 注：上述豁免系对“路径义务”的优化，并不当然免除PIPL项下的信息告知、安全保障、数据主体权利保障、跨境合同性安排与PIPIA等义务。企业仍应建立证据链证明适用性与必要性。

3. 仍需重点关注的合规要求

• 提供境外前的PIPIA：评估出境目的必要性、对个人权益的影响与风险、境外接收方能够保障个人权益的能力、跨境后数据安全风险与应对措施等。
• 告知与同意：向个人充分告知境外接收方的名称与联系方式、处理目的、处理方式、个人信息类型、个人行使权利方式及途径等；在不存在PIPL第十三条法定例外时，应取得“单独同意”。对未成年人及敏感个人信息，适用更高保护与单独同意要求。
• 合同控制与持续监督：无论是否豁免路径义务，均建议通过数据处理协议、标准合同或等效条款，对境外接收方设定用途限制、再转移限制、安全措施、泄露通报、配合权利请求与监管检查等义务，并建立审计与退出机制。
• 远程访问等同出境：境外人员对境内系统的查询、下载、可视化访问等，通常被视为“向境外提供个人信息”，应纳入同等合规审查。

五、影响评估与场景分流（框架）

• 数据盘点与映射：明确每一出境数据集的来源、类型（含是否敏感、是否涉及未成年人）、数量（以自然年累计口径核算）、目的、频率、方式（主动传输/远程访问）、境外接收方与所在法域、是否再转移。
• 法规适配测试：
  1. 是否为CIIO或涉及“重要数据”（如是，优先考虑安全评估；同时关注数据本地化义务）。
  2. 是否达到触发安全评估的数量门槛（个人信息或敏感个人信息累计规模）。
  3. 是否符合标准合同适用条件（规模限制、非CIIO、无重要数据）。
  4. 是否满足2024跨境流动规定的豁免情形与小额阈值。
  5. 是否存在行业特别规定要求更高门槛或额外审批。
• 合法性基础与同意策略：逐场景匹配PIPL第十三条合法性基础；无法适用法定例外的，取得单独同意并保留证据。
• 技术与组织安全：加密与密钥管理、访问控制与最小化授权、日志留存、跨境脱敏/去标识化、备份与灾备、漏洞管理、第三方风险管理。

六、整改优先级（风险导向） 优先级一（立即处置，0–30天）

• 已在进行且无合法路径支撑的出境活动，尤其是： a. 触发安全评估门槛但未申报通过； b. 涉及敏感个人信息、大规模用户、未成年人或行踪轨迹、生物识别、金融账户等高风险类别； c. 境外服务商或集团境外团队对核心系统的远程访问而未签署有效数据保护协议、未完成PIPIA或未落实访问控制。
• 立即措施：暂停或降载传输；实施临时技术限制（冻结导出接口、收敛字段、阈值限流）；启动紧急PIPIA；出具补充告知与补签契约文件；为无法中断的关键业务制定过渡性管控与时间表。

优先级二（加速整改，30–90天）

• 符合标准合同路径的场景：完成PIPIA，签署标准合同并在法定期限内向属地网信部门备案；修订对外采购条款与集团内部数据共享协议，确保与标准合同衔接。
• 有望适用2024年豁免的场景：固化“必要性”与“小额统计”的证据链，完善对个人的告知与（如需）单独同意文本，建立留痕和年度复核机制，防止累计超限。
• 行业特别规则覆盖的场景（如汽车数据、金融数据）：根据行业口径补充专门评估与报备。

优先级三（体系化建设，90天以上）

• 安全评估申报：对确需安全评估的场景准备申请材料（申请表、自评报告、合同条款、安全保护制度、应急预案等），关注有效期与变更触发的重新评估义务。
• 认证路径探索：对长期、稳定且可标准化的集团内转移或供应链场景，评估采用跨境认证的成本与收益。
• 治理与监控：建立年度PIPIA与数量阈值滚动核算机制；供应商分级管理与审计；数据主体请求跨境协同流程；应急演练与通报机制；培训与问责。

七、关键操作要点与合规清单

• 数量口径与阈值管理：建立自然年维度的出境人数累计台账，分别统计个人信息与敏感个人信息，动态识别是否跨越小额豁免、标准合同与安全评估的边界；对多个系统与业务线做统一去重核算。
• PIPIA要点（至少涵盖）：出境目的必要性评估；数据最小化与保留期限；对个人权利的影响与减轻措施；境外接收方的合规能力、数据安全能力与所在法域风险；再转移控制；跨境后数据泄露、篡改、滥用的风险与处置预案；采用的技术与组织措施及其有效性证明。
• 合同与再转移控制：对境外接收方约定目的限定、再转移审批、分包商管理、等效保护义务、泄露通报时限、配合监管检查、合同终止后的删除或返还；对于链路复杂的多方传输，要求穿透式义务与审计权。
• 远程访问合规：对境外访问账号实施临时令牌与细粒度授权；强制VPN与多因子认证；访问日志与水印；禁止批量导出与本地缓存；对高风险字段设置脱敏与遮盖。
• 告知与同意：在隐私政策与二级弹窗中单独列示境外接收方清单、目的与方式、类别与敏感性、退出与撤回机制；对未成年人获取监护人单独同意并校验。
• 证据与留痕：保存PIPIA报告、同意记录、合同与备案凭证、访问日志、年度核验记录，以备监管抽查。

八、时间表建议

• 0–2周：完成数据出境活动清单、数量测算与初步路径判定；对高风险出境采取紧急限控。
• 3–6周：出具场景化PIPIA；完善告知与同意文案；起草并谈判标准合同或等效数据保护条款。
• 6–12周：完成标准合同备案或提交安全评估申请；对豁免场景完成合规留痕与制度固化。
• 3–6个月：完成供应商审计、跨境技术加固、内部培训与年度复核机制落地。

九、结论

• 新规为“必要、适度、低风险”的个人信息跨境流动提供了更灵活的路径，但并未降低PIPL核心义务。企业应以“业务必要性+最小化+证据链”为主线，优先止损高风险场景，充分利用豁免与标准合同路径，审慎推进安全评估，构建可持续的跨境合规运营能力。

主要法律依据与参考

• 中华人民共和国个人信息保护法
• 中华人民共和国数据安全法
• 中华人民共和国网络安全法
• 数据出境安全评估办法（国家互联网信息办公室，2022年）
• 个人信息出境标准合同办法及标准合同（国家互联网信息办公室，2023年）
• 促进和规范数据跨境流动规定（国家互联网信息办公室，2024年）
• 个人信息跨境处理活动安全认证规范（TC260实践指南）
• 个人信息安全影响评估指南（GB/T 39335-2020）
• 行业配套规定（如适用）

注释与提示

• 重要数据的范围以国家和行业主管部门发布的目录与认定为准；如涉及，通常优先适用安全评估并从严管理本地存储。
• PIPL第40条关于非CIIO处理者的数据本地化阈值需由主管部门明确具体标准；在未明确前，应结合规模与风险审慎评估与沟通监管。
• 对时间窗与数量阈值的统计，应以最新有效规范的具体表述执行，并在内控制度中固定统计口径与校验流程。
• 本备忘录为通用框架意见，具体项目应进行场景化事实核查与法律适配，并在必要时与属地网信部门沟通。