2023年数据出境合规年鉴.docx

目录451、法律规定81.1 网络安全法、数据安全法81.2 数据出境安全评估办法91.3 网络安全标准实践指南一个人信息跨境处理活动安全认证规范9L4个人信息出境标准合同办法102、指南规则112.1 数据出境的路径112.2 数据出境安全评估申报指南（第一版）（摘引）122.3 重点省（直辖市）基于标准合同签署和备案的指南（概要）172.4 个人信息保护认证实施规则（摘引）182.5 个人信息出境标准合同备案指南（第一版）（摘引）203、出境现状263.1 已经通过评估情况263.2 已经通过备案的情况344、合规要求与示范364.1 指南文件的一般性规范整理364.2 如何确定适用评估或备案364.3 如何认定数据出境行为（活动）374.4 如何识别数据处理者（境内）374.5 如何确定境外数据接收方384.6 如何理解数据出境方式的公网和专线394.7 出境链路描述示范（含云）404.8 确定数据安全负责人的注意事项（境内和境外）414.9 出境合同与业务主合同关系及其他注意事项414.10 附加考虑：不同行业的重要数据识别与安全进展424.11 附加考虑：应当由哪方描述境外数据安全法律政策环境432023公安企联”大中华区版权M，65、数据安全保障能力4451"攵455.2 x1P彳465.3 使用475.4 加工485.5 传输485.6 提供495.7 共享505.8 册IJ除516、有效的资质认证526.1 网络安全等级保护526.2 ISO27001526.3 ISO270175353536.4 BCR6.5 PIP-CB1、法律规定中国数据出境的法律依据主要由网络安全法数据安全法个人信息保护法等基本法律，数据出境安全评估办法个人信息出境标准合同办法（含配套标准合同）、网络安全标准实践指南一个人信息跨境处理活动安全认证规范等多位阶的法规、规范性法律文件构成。1.1 网络安全法、数据安全法2021年9月1日起施行的数据安全法代表了中国数字安全领域法律政策的新努力，特别是数据分类分级保护制度、重要数据目录管理等都将成为监管和执法的新方向，也成为数字行业密切关注的新焦点。围绕数据安全法，目前中国正在构造相应的配套制度体系，包括政务数据安全与开放、数据安全审查、数字交易中介规则等，促进数字经济的安全、规范发展。对于数据出境评估制度，数据安全法第三十一条明确：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用中华人民共和国网络安全法的规定1；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定”。这一对“重要数据”的规定，与个人信息保护法第三十八条对“个人信息”规定的：“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；U）按照国家网信部门的规定经专业机构进行个人信息保护认证；（）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（三）法律、行政法规或者国家网信部门规定的其他条件”共同构成了数据出境监管的基本法律来源。1网络安全法第三十七条规定：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。*2023盟大中国版权所仃81.2 数据出境安全评估办法2022年5月，作为上述基本法律重要配套制度的数据出境安全评估办法（以下简称“办法”）通过，自2022年9月1日起施行。该办法旨在落实网络安全法数据安全法和个人信息保护法的出境监管要求，规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动。按照办法，数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息，在触发相应条件时需要进行法定安全评估。数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自由流动，特别是（1）对重要数据明确“数据处理者向境外提供重要数据，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估，”形成监管闭环；（2）规定两种量级的个人信息出境适用安全评估做出规定，设定了对个人信息适用（最严格的）评估监管时的“上限”标尺。1.3 网络安全标准实践指南一个人信息跨境处理活动安全认证规范2022年6月，全国信息安全标准化技术委员会发布网络安全标准实践指南一个人信息跨境处理活动安全认证规范（12月发布2.0版），规定了个人信息的两种出境场景：（1）跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动；Q）个人信息保护法第三条第二款2适用的个人信息处理活动，正式回应了个人信息保护法规定的“按照国家网信部门的规定经专业机构进行个人信息保护认证”的出境条件。该规范和更早发布的GB/T35273信息安全技术个人信息安全规范，20222个人信息保护法第三条第二款规定：在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：（一）以向境内自然人提供产品或者服务为目的：U）分析、评估境内自然人的行为；（）法律、行政法规规定的其他情形。V2.0规范对此略有调整，但整体上适用范围等同。年11月标准（工作文件）层面的个人信息保护认证实施规则信息安全技术个人信息跨境传输认证要求（至本报告发布日，为征求意见稿）等，共同完成了个人信息出境安全认证路径的监管规范要求。1.4 个人信息出境标准合同办法2023年6月个人信息出境标准合同办法正式发布，规定了个人信息出境监管的量化“下限”：个人信息处理者通过订立标准合同的方式向境外提供个人信息的，应当同时符合下列情形：（一）非关键信息基础设施运营者；U）处理个人信息不满100万人的；）自上年1月1日起累计向境外提供个人信息不满10万人的；（B）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。与之配套的标准合同和备案制度也被广泛认为是中国版个人信息出境标准合同（SCC）。至此可以认为，数据出境安全评估办法个人信息跨境处理活动安全认证规范和个人信息出境标准合同在具有可操作性的规范性法律文件层面一并完成了中国数据出境监管规则体系的构建。2023年9月，为对上下限之外的情形做出进一步澄清，国家网信办发布了规范和促进数据跨境流动规定（征求意见稿），明确了无需适用三种出境路径（不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证，但一般不免除需征得个人主体同意的前提条件）的情况：（1）国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境，不包含个人信息或者重要数据；（2）不是在境内收集产生的个人信息向境外提供；G）为订立、履行个人作为一方当事人的合同所必需，如跨境购物3、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的；（4）按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息；（5）紧急情况下为保护自然人的生命健康和财产安全等；（6）预计一年内向境外提供不满1万人个人信息。尽管有解读认为是对上述规定意味着出境监管的放3例如目前对软硬件在线激活方式中，头部企业已经大量调整了用户条款和隐私政策：用户点击同意，即完成数据出境，而无需再履行标准合同、认证或评估程序，并不再履行本地化存储等义务。2023A安个联加大；化又版权初仃10松，但本质上，并未超出个人信息保护法第十三条规定的范围，因此本报告更倾向于认为属于法律规定的澄清而非重大调整。2、指南规则1.1 数据出境的路径如上所述，中国数据出境规则实际上构筑了三种不同的路径（汇总如表一所示），且均以有相对完备的规范性法律文件进行界定和约束。实务中，为了指导企业识别自身具体数据情形，规范出境合规动作，提高监管效能，国家网信办进一步通过各个层面制定了更为详细的指引文件。数据出境路径申报数据出境安全评估通过个人信息保护认证订立个人信息出境标准合同适用情形数据处理者向境外提供数个人信息处理者开展个据，有下列情形之一的，人信息跨境处理活动，应当通过所在地省级网信包括以下主体：部门向国家网信部门申报（）跨国公司或者同数据出境安全评估：一经济、事业实体下属（一）数据处理者向境外子公司或关联公司；提供重要数据；（二）个人信息保护（二）关键信息基础设施法第三条第二款规定运营者和处理100万人以的境外个人信息处理者上个人信息的数据处理者（即在中国境外处理中向境外提供个人信息；华人民共和国境内自然人个人信息以分析、评（三）自上年1月1日起*估境内自然人的行为的累计向境外提供10万人个个人信息处理者通过订立标准合同的方式向境外提供个人信息的，应当同时符合下列情形：（一）非关键信息基础设施运营者；（二）处理个人信息不满100万人的；（三）自上年1月1日起累计向境外提供个人信息不满10万人的；（四）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。法律、行政法规或者国家网信部门人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。活动）另有规定的，从其规定。个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。数据类型个人信息/重要数据个人信息个人信息有效期2年3年依合同约定法律依据数据出境安全评估办法数据出境安全评估申报指南个人信息保护认证实施规则个人信息跨境处理活动安全认证规范V2.O个人信息出境标准合同备案指南（第一版）（表一）本报告对主要的指引文件内容做部分摘录分析，详细原文可见报告末尾援引链接或进一步在网络上检索。1.2 数据出境安全评估申报指南（第一版）嫡引）2022年9月，国家网信办（包括主要的省级网信办）陆续出台了配合数据出境安全评估办法的指南文件二、数据出境安全评估申报指南（第一版）（“指南”）。指南文件对评估路径的适用范围、申报方式、流程、申报文件体系、解答咨询联系方式等进行了完整规范，成为企业可参照的模板、手册式指导。大部分触发评估条件的企业均有参考或按照指南进行申报准备。一、适用范围数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信办向国家网信办申报数据出境安全评估：数据处理者向境外提供重要数据；仁)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；妈)国家网信办规定的其他需要申报数据出境安全评估的情形。以下情形属于数据出境行为：(一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外；仁)数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；()国家网信办规定的其他数据出境行为。二、申报方式及流程数据处理者申报数据出境安全评估，应当通过所在地省级网信办申报数据出境安全评估。申报方式为送达书面申报材料并附带材料电子版。省级网信办收到申报材料后，在5个工作日内完成申报材料的完备性查验。通过完备性查验的，省级网信办将申报材料上报国家网信办；未通过完备性查验的，数据处理者将收到申报退回通知。国家网信办自收到省级网信办上报申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者。数据处理者如被告知补充或者更正申报材料，应当及时按照要求补充或者更正材料。无正当理由不补充或者更正申报材料的，安全评估将会终止。情况复杂的，数据处理者将被告知评估预计延长的时间。评估完成后，数据处理者将收到评估结果通知书。对评估结果无异议的，数据处理者须按照数据出境安全管理相关法律法规和评估结果通知书的有关要求，规范相关数据出境活动；对评估结果有异议的，数据处理者可以在收到评估结果通知书15个工作日内向国家网信办申请复评，复评结果为最终结论。三、申报材料数据处理者申报数据出境安全评估，应当提交如下材料：1、统一社会信用代码证件影印件2、法定代表人身份证件影印件3、经办人身份证件影印件4、经办人授权委托书5、数据出境安全评估申报书6、与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件7、数据出境风险自评估报告8、其他相关证明材料数据处者对所提交材料的真实性负责，提交虚假材料的，按照评估不通过处理，并依法追究相应法律责任。指南通过附件形式提供了更为细粒度的数据出境安全评估申报材料要求、经办人授权委托书（模板）、数据出境安全评估申报书（模板）、数据出境风险自评估报告（模板），具有重大参考价值。特别需要关注的是，对数据出境安全评估申报书（申报表）如何填写，指南提供了一份较为详细的填表说明（见下），解答了申报中的一些常见困惑，仍无法解惑，或需要进一步寻找样例参考的，可参阅本报告第四章：常见问题参考填写方式申报书Ol项中的单位名称、性质、注册地、有效期、注册资金等怎么填写？数据处理者应当对照统一社会信用代码证件中的机构名称、机构性质/类型、有效期等栏目填写。单位注册地应具体到城市，如北京市、河北省石家庄市等。单位办公所在地应具体到门牌号，如北京市海淀区X路X号。表中注册资金均需明确币种和金额。申报书02、03、04项证件类型怎么填写？可根据实际情况选择填写居民身份证、护照、台湾居民来往大陆通行证、港澳居民来往内地通行证等。中报书05项中数据出境业务描述怎么填写？据实填写此次申报的数据出境业务，应与法律文件中涉及业务名称一致。申报书06项中数据出境的目的怎么填写？如开展业务合作、技术研窕、经营管理等，需具体阐述。申报书07项数据出境的方式怎么填写？说明数据出境的方式，如公共互联网传输、专线传输等。申报书08项数据出境链路怎么填写？说明数据出境的链路，如链路提供商、链路数量与带宽、境内外落地数据中心名称及机房物理位置、IP地址等。申报书09项拟出境数据情况怎么填写？关于个人信息的敏感程度，可参照国家标准信息安全技术个人信息安全规范。涉及行业/领域填写出境数据涉及的行业领域范围，如工业、电信、金融、交通、自然资源、卫生健康、能源、教育、科技、国防科工等。申报书13项相关条款在法律文件中的页码怎么填写？数据处理者填写对应法律文件条款所在的页码，并对相关条款作高亮、线框等显著标识。申报书14项遵守中国法律、行政法规、部门规章情况怎么填写？数据处理者简述近2年在业务经营活动中受到行政处罚和有关主管监管部门调查及整改情况，重点说明数据和网络安全方面相关情况。指南提供了数据出境风险自评估报告的模板文件（略）。在申报材料的撰写中，最为重要的内容主要体现在第三部分，如何对拟出境活动的风险评估情况进行论述，模板文件提供了六个方面的结构参考（但企业需要根据实际情况分别进行针对性的讨论）：就下列事项逐项说明风险评估情况，重点说明评估发现的问题和风险隐患，以及相应采取的整改措施及整改效果。（一）数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性（其中对必要性的论证成为难点，对必要性论证不足，可能导致评估结果为不通过，或部分（字段）不通过）；（二）出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；（三）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全（包括境内一方作为数据处理者的双方技术、管理制度、措施的进一步参考，见本报告第五章）；（四）数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；（五）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等，是否充分约定了数据安全保护责任义务（对个人信息类型的数据而言，中国版SCC可作为基础参考，但不应作为重要数据类型数据的合同参考）；（六）其他可能影响数据出境安全的事项。有关国家网信办发布指南后，各省级网信部门发布的类似指南文件，可参见公开检索信息（个别细节上不同省市存在细微差异，本报告认为适用国家网信办的指南文件能够满足初步要求，省级指南仅供查漏补缺）。1.3 重点省（直辖市）基于标准合同签署和备案的指南（概要）个人信息出境标准合同办法自2023年6月1日起正式施行，明确个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案，为指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同，各省市陆续发布本省市个人信息出境标准合同备案指引或通知，并开通个人信息出境标准合同备案咨询电话。序号地区名称内容2023年6月2指引适用于所在地为北京的个人信息处理者，备案主体须为法人实日，北京市网信体且应与境内合同签署方一致：分公司不具备独立法人地位，不可代替办发布北京市1北京个人信息出境总部或子公司备案。指引明确，个人信息处理者应当在标准合同生效之日起10个工作日内通过电子版与纸质版方式向市网信办备案，应标准合同备案自行或委托第三方开展个人信息保护影响评估并根据情况进行整改。指引2023年6月7通知明确，所在地为上海的个人信息处理者，应按照个人信息出上海网信办境标准合同备案指南（第版）备案材料要求进行材料准备：材料主公布关于个人要包括统社会信用代码证件、法定代表人身份证件、经办人身份证件、2上海信息出境标准经办人授权委托书、承诺书、个人信息出境标准合同、个人信息保护影合同备案的通响评估报告。个人信息处理者应当在标准合同生效之日起10个工作日知内，通过送达书面材料并附带材料电子版的方式，向上海市网信办备案。2023年6月6指引明确了适用范围、备案方式和备案流程等内容，明确所在地为日，浙江省个浙江省的个人信息处理者通过订立标准合同的方式向境外提供个人信3浙江人信息出境标息并符合规定情形的，应当向浙江省互联网信息办公室备案标准合同：准合同备案指个人信息处理者应当在标准合同生效之日起10个工作日内，通过送达引书面材料并附带材料电子版的方式，向省网信办备案。4重庆2023年6月20日，网信办开通：个人信息出境标准合同备案咨询通道及备案指引明确所在地为重庆市的个人信息处理者通过订立标准合同的方式向境外提供个人信息并符合规定情形的，应当向重庆市互联网信息办公室备案标准合同；个人信息处理者应当在标准合同生效之日起10个工作日内，通过送达书面材料并附带材料电子版的方式，向市网信办备案。通知明确，所在地为广东的个人信息处理者，应按照个人信息出2023年7月ID境标准合同备案指南（第一版）备案材料要求进行材料准备；材料主日广东省互联要包括统一社会信用代码证件、法定代表人身份证件、经办人身份证件、网信息办公室经办人授权委托书、承诺书、个人信息出境标准合同、个人信息保护影5广东关于个人信响评估报告。个人信息处理者先将备案材料电子版（正式扫描件PDF版息出境标准合和WORD版，光盘）提交所在地级以上市互联网信息办公室，经材料完同备案的通知整性检查后，由所在地级以上市互联网信息办公室送广东省互联网信息办公室。此外，为了指导和帮助数据处理者规范有序申报数据出境安全评估、备案个人信息出境标准合同，中央网信办公布各地省级网信部门接收申报材料、备窠材料的办公地址和联系电话。1.4 个人信息保护认证实施规则（摘引）2022年11月的个人信息保护认证实施规则实际上包括了个人信息保护认证的一般规则和跨境处理活动的特殊规则两种情况，对第二种情况，主要适用标准在GB/T35273信息安全技术个人信息安全规范基础上附加了TC260-PG-20222A个人信息跨境处理活动安全认证规范。整体上，规则的重点关注包括（为方便结构理解，保留了原文序号）：（一）认证模式个人信息保护认证的认证模式为：技术验证+现场审核+获证后监督（二）认证实施程序特别包括了以下程序：4. 2技术验证技术验证机构应当按照认证方案实施技术验证，并向认证机构和认证委托人出具技术验证报告。5. 3现场审核认证机构实施现场审核，并向认证委托人出具现场审核报告。6. 5获证后监督6.1.1 监督的频次认证机构应当在认证有效期内，对获得认证的个人信息处理者进行持续监督，并合理确定监督频次。6.1.2 监督的内容认证机构应当采取适当的方式实施获证后监督，确保获得认证的个人信息处理者持续符合认证要求。6.1.3 获证后监督结果的评价认证机构对获证后监督结论和其他相关资料信息进行综合评价，评价通过的，可继续保持认证证书；不通过的，认证机构应当根据相应情形做出暂停直至撤销认证证书的处理。（三）认证证书5.1.1认证证书的保持认证证书有效期为3年。在有效期内，通过认证机构的获证后监督，保持认证证书的有.壬公联阳上中华国.19效性。5.1.3认证证书的注销、暂停和撤销当获得认证的个人信息处理者不再符合认证要求时，认证机构应当及时对认证证书予以暂停直至撤销。认证委托人在认证证书有效期内可申请认证证书暂停、注销。上述规定构成了具有法律约束力的认证规则体系。2.5个人信息出境标准合同备案指南（第一版）前引）个人信息出境标准合同办法自2023年6月1日起施行。为指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同（“标准合同”），国家网信办制定了标准合同备案指南。一、适用范围个人信息处理者通过订立标准合同的方式向境外提供个人信息的，应当同时符合下列情形：非关键信息基础设施运营者；（Z）处理个人信息不满100万人的；（E）自上年1月1日起累计向境外提供个人信息不满10万人的；）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。法律、行政法规或者国家网信部门另有规定的，从其规定。个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。以下情形属于个人信息出境行为：（一）个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外；U）个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；()国家网信办规定的其他个人信息出境行为。二、备案方式个人信息处理者应当在标准合同生效之日起10个工作日内，通过送达书面材料并附带材料电子版的方式，向所在地省级网信办备案。三、备案流程标准合同备案流程包括材料提交、材料查验及反馈备案结果、补充或者重新备案等环节。(一)材料提交(指南并制备了相关文件模板、范本)个人信息处理者备案标准合同，应当提交如下材料：1、统一社会信用代码证件影印件2、法定代表人身份证件影印件3、经办人身份证件影印件4、经办人授权委托书5、承诺书6、标准合同7、个人信息保护影响评估报告(一)材料查验及反馈备案结果省级网信办收到材料后，在15个工作日内完成材料查验，并通知个人信息处理者备案结果。备案结果分为通过、不通过。通过备案的，省级网信办向个人信息处理者发放备案编号；，2021人个联用版权力j21不通过备案的，个人信息处理者将收到备案未成功通知及原因，要求补充完善材料的，个人信息处理者应当补充完善材料并于10个工作日内再次提交。（三）补充或者重新备案在标准合同有效期内出现下列情形之一的，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行相应备案手续：1、向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；2、境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；3、可能影响个人信息权益的其他情形。个人信息处理者在标准合同有效期内补充订立标准合同的，应当向所在地省级网信办提交补充材料；重新订立标准合同的，应当重新备案。补充或者重新备案的材料查验时间为15个工作日。个人信息处理者对所提交材料的真实性负责，提交虚假材料的，按照备案不通过处理，并依法追究相应法律责任。就其中核心要素的个人信息出境标准合同，我们认为对其把握应考虑几个方面，（1）标准合同不适用修订，因为修订可能会导致部分内容变化无法符合备案出境路径的监管要求，部分修订或导致其适用法律效力降低或无效；（2）在发生与例如欧盟GDPR的SCC标准合同适用优先性冲突时，应基于“数据源”原则确定合同的优先次序，进而确定适用法律和管辖法院。（3）合同附录一的个人信息出境说明属于实质性内容，应按照企业业务（主合同）的具体数据流程、过程进行表述，在参考标准合同作为评估路径的数据合同时，应注意附录一内容与申报表内容的一致性等等。就另一重要备案文件个人信息保护影响评估报告，指南也提供了规范范本如下：一、评估工作简述评估工作开展情况，包括起止时间、组织情况、实施过程、实施方式等内容。如有第三方机构参与评估，需说明第三方机构的基本情况及参与评估的情况，并在相关内容页上加盖第三方机构公章。二、出境活动整体情况详细说明个人信息处理者基本情况、个人信息出境涉及的业务和信息系统、出境个人信息情况、个人信息处理者个人信息保护能力情况、境外接收方情况、是否向第三方提供个人信息以及如何确保标准合同条款落实等。包括不限于：(一)个人信息处理者基本情况1 .组织或者个人基本信息；2 .股权结构和实际控制人信息；3 .组织架构信息；4 .个人信息保护机构信息；5 .整体业务与个人信息情况；6 .境内外投资情况。(一)个人信息出境涉及业务和信息系统情况1 .个人信息出境涉及业务的基本情况；2 .个人信息出境涉及业务的个人信息收集使用情况；3 .个人信息出境涉及业务的信息系统情况;4 .个人信息出境涉及的数据中心（包含云服务）情况；5 .个人信息出境链路相关情况。（三）拟出境个人信息情况1 .说明个人信息处理者和境外接收方处理个人信息的目的、范围、方式，及其合法性、正当性、必要性；2 .说明出境个人信息的规模、范围、种类、敏感程度，处理敏感个人信息和利用个人信息进行自动化决策情况；3 .拟出境个人信息在境内存储的系统平台、数据中心等情况，计划出境后存储的系统平台、数据中心等；4 .个人信息出境后向境外其他接收方提供的情况。（四）个人信息处理者个人信息保护能力情况1 .个人信息安全管理能力，包括管理组织体系和制度建设情况，全流程管理、应急处置、个人信息权益保护等制度及落实情况；2 .个人信息安全技术能力，包括个人信息收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等；3 .个人信息保护措施有效性证明，例如开展的个人信息保护认证、个人信息保护合规审计、网络安全等级保护测评等情况；4 .遵守个人信息保护相关法律法规的情况。（五）境外接收方情况1 .境外接收方基本情况;2 .境外接收方处理个人信息的用途、方式等；3 .境外接收方的个人信息保护能力；4 .境外接收方所在国家或地区个人信息保护政策法规情况；5 .境外接收方处理个人信息的全流程过程描述。（六）个人信息处理者认为需要说明的其他情况三、拟出境活动的影响评估情况就下列事项逐项说明影响评估情况，重点说明评估发现的问题和风险隐患，以及相应采取的整改措施及整改效果。（一）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；（一）出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；（三）境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；（四）个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；（五）境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;（六）其他可能影响个人信息出境安全的事项。四'出境活动影响评估结论综合上述影响评估情况和相应整改情况，对个人信息出境活动作出客观的影响评估结论,充分说明得出评估结论的理由和论据。在实务中具体准备个人信息保护影响评估报告时，通常还应参考另一重要的标准类文件GB/T39335-2020信息安全技术个人信息安全影响评估指南，并对其中欠缺的出境影响评估部分进行增强和补充。3、出境现状本章汇总了截至2023年11月，公开信息检索到的通过评估、备案方式履行了出境规则合规义务的企业情况，并在此基础上对其中的一些共性特点进行分析和展示。3.1 已经通过评估情况编号申报组织名称所属行业领域业务场景境外接收方所在地申报受理地域公布时间1首都医科大学附属北京友谊医院医疗健康与荷兰阿姆斯特丹大学医学中心合作研究项目荷兰北京网信办北京2023年1月18日2中国国际航空股份有限公司航空运输民航旅客数据出境、外航涉及数据出境等场景（未披露，猜测项）未披露北京网信办北京2023年1月18日3马自达（中国）企业管理有限汽车产品运营情况、销售对象、客户服务等场景（未披露，未披露上海网信办上海2023年5月5日22T安全联盟大甲军区版权所宥公司猜测项）4丝芙兰（上海）化妆品销售有限公司快消未披露法国（未披露，猜测项）上海网信办上海2023年5月5日5焦点科技股份有限公司跨境电商中国制造外贸电商平台业务德国、美国（未披露，猜测）江苏网信办南京2023年5月9日6杭州海康威视数字技术股份有限公司物联网、智能家居未披露未披露浙江网信办杭州2023年5月24日7杭州萤石网络股份有限公司物联网、智能家居未披露未披露浙江网信办杭州2023年5月24日8北京现代汽车有限公司汽车全业务场景，包括生产采购、索赔管理、全球质量反馈等300多个数据项准予出境新加坡（未披露，猜测项）北京网信办北京2023年5月25日9捷普电子（威海）有限公司软件和信息技术服务业未披露美国（未披露，猜测）山东网信办威海2023年6月9日IO支付宝（杭州）信息技术有限公司软件和信息技术服务业跨境小程序未披露浙江网信办杭州2023年6月19日11绿点科技（深圳）有限公司软件和信息技术服务业未披露美国（未披露，猜测）广东网信办深圳2023年6月20日12安利（中国）日用品有限公司快消部分产品和服务涉及跨境业务（未披露，猜测）美国、日本等（未披露，猜测）广东网信办广州2023年6月20日13捷普电子（广州）有限公司软件和信息技术服务业未披露美国（未披露，猜测）广东网信办广州2023年6月20日14现代中国汽车SOTA升级服务等（未披露，猜测）韩国（未披露，猜测）北京网信办北京2023年6月15丰田中国汽车管理产品、提供售后服务及支持、改进产品、研发新产品和新战略、数据分析研窕等（未披露，猜测）日本（未披露，猜测）北京网信办北京2023年6月16日产中国汽车未披露未披露北京网信办北京2023年6月17连通（杭州）技术服务有限公司跨境支付跨境清算等场景美国（未披露，猜测）浙江网信办杭州2023年8月18国泰君安证券股份有限公司金融业某涉及数据出境事项的系统未披露上海网信办上海2023年8月19去哪儿网（具体申报主体未披露）酒店航旅旅游场景下包括机票、酒店、度假、门票等业务形态在内的用户相关未披露北京网信办北京2023年8月个人数据出境20绿点科技（苏州）有限公司软件和信息技术服务业员工管理、供应商管理美国（未披露，猜测）江苏网信办苏州2023年8月21捷普绿点精密电子（无锡）有限公司软件和信息技术服务业员工管理、供应商管理美国（未披露，猜测）江苏网信办无锡2023年8月22绿点科技（无锡）有限公司软件和信息技术服务业员工管理、供应商管理美国（未披露，猜测）江苏网信办无锡2023年8月23菜鸟电商物流