2023年2月24日，国家互联网信息办公室公布《个人信息出境标准合同办法》（以下简称《办法》），自2023年6月1日起施行。

《办法》对通过订立标准合同的方式开展个人信息出境的活动作出具体制度安排，细化落实了《个人信息保护法》第三十八条第一款第三项的规定。《个人信息保护法》对我国个人信息出境管理作出顶层设计，规定了国际条约或协定、安全评估、个人信息保护认证、标准合同四种个人信息出境方式。继《数据出境安全评估办法》《关于实施个人信息保护认证的公告》对安全评估、个人信息保护认证进行规范后，《办法》成为我国个人信息出境管理制度的重要组成部分。对于规范个人信息跨境流动、完善数据跨境管理制度和促进数据领域国际合作具有重大意义。

当前，数字经济蓬勃发展，数据跨境日益频繁，各国个人信息跨境流动需求也快速增长。但由于不同国家和地区的个人信息保护水平存在差异，个人信息出境的风险日渐凸显。《个人信息保护法》提供了高水平的个人信息保护标准，标准合同的适用有利于保障境外接收方处理个人信息的活动达到我国《个人信息保护法》规定的个人信息保护标准，确保个人信息出境后个人信息主体权益依然受到保护。

2.1 评估法规适用范围和情形

《办法》通过划定个人信息出境标准合同的适用范围和情形，有效实现了标准合同和安全评估、个人信息保护认证的制度衔接，也为后续出台有关认证等其他个人信息出境方式的规则预留了制度接口。当个人信息处理者选择通过订立标准合同的方式向境外提供个人信息时，必须同时符合下列四种情形：

（一）非关键信息基础设施运营者；

（二）处理个人信息不满100万人的；

（三）自上年1月1日起累计向境外提供个人信息不满10万人的；

（四）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

实际上，《办法》给予个人信息处理者选择权，除必须申报安全评估的情形之外，个人信息处理者可以结合具体情况选择订立标准合同或者其他个人信息出境方式出境。

2.2 开展个人信息保护影响评估

个人信息处理者向境外提供个人信息前，应当开展个人信息保护影响评估，重点评估以下内容：

（一）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；

（二）出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；

（三）境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；

（四）个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；

（五）境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；

（六）其他可能影响个人信息出境安全的事项。

2.3 进行标准合同备案

《办法》规定个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案需提交的材料包括标准合同和个人信息保护影响评估报告。

一方面，任何组织和个人发现个人信息处理者违反《办法》规定向境外提供个人信息的，可以向省级以上网信部门举报。另一方面，当省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的，可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改，消除隐患。此外，还规定了违反《办法》规定的应当依据《个人信息保护法》等法律法规处理，构成犯罪的依法追究刑事责任。

另外，本办法施行前已经开展的个人信息出境活动，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改。

办法自2023年6月1日起执行，因此，具有个人信息出境需求的企业，亟待在实施之日前，完成合规建设。如何快速高效地完成安全评估和风险自评估工作，避免违规风险，成为数据处理者的一大关注焦点。

4.1 企业面临的挑战

（一）如何厘清个人信息资产，明确个人信息资产的属性、量级；

（二）如何清楚知道个人信息流转情况；

（三）如何持续动态监测个人信息，及时发现违规出境风险。

4.2 数据出境评估及监测解决方案

解决企业个人信息出境的面临的难题，确保企业数据合规，需要通过技术手段清楚知道“数据有什么，在哪里，怎么用，谁在使用？”作为整个数据合规而言，这是所有环节的第一步。红途科技的核心技术“全链路数据流转追踪技术”可以厘清数据资产以及数据流转全过程。

红途科技提供一整套数据出境评估及监测解决方案，具备以下特色：

（一）个人隐私数据、经营数据和重要数据等全类型数据识别和分类分级,覆盖全面，智能高效，快速完成自评估环节；

（二）清晰掌握数据流转全过程。哪些数据，哪些人，在什么时间，什么地点，如何使用。

（三）针对出境过程实时动态监测，出境内容自动统计，方便企业随时追踪出境风险、问题整改等，打造全流程闭环数据出境风险管控体系。