结合《个人信息出境标准合同》第三条第（七）款的内容，以及上一问中阐释的对《个人信息出境标准合同》与“法律文件”的关系的理解，境外接收方在进行数据跨境的再转移之前，应当保证（1）原则上不进行数据再转移，除非确有需要；（2）充分履行告知义务，包括告知个人信息主体再转移接收方的身份、联系方式、处理目的、处理方式、个人信息种类以及行使个人信息主体权利的方式和程序等；（3）除非法律另有规定，取得个人信息主体的单独同意；（4）接收方与再转移接收方达成书面协议并向个人信息主体提供协议副本。

另外，根据我们咨询网信办所得到的答复，再转移接收方无需按照《报告》对接收方的要求，描述并提供所在国家或者地区数据安全保护政策法规和网络安全环境的分析。当然，网信办在答复中并未禁止企业对再转移接收方所在国家或地区的数据安全保护政策法规和网络安全环境进行分析。我们认为，如果再转移接收方所在的国家或地区本身能够对所接收的境外数据提供强有力的保障（比如加入特定国际公约，承诺对成员国数据提供同等保护等），则建议企业增加相关描述。

Q5：如何理解《个人信息保护影响评估报告》（“PIA报告”）与《数据出境安全自评估报告》之间的关系？

答：按照《个人信息保护法》第五十五条的要求，个人信息跨境活动属于需要进行个人信息保护影响评估的个人信息处理活动。考虑到时间与效率的问题，根据《自评估报告》出具一份“个人信息跨境限定”的PIA报告具有一定的可操作性。但是我们并不推介企业采取这种方式履行个人信息保护影响评估义务。《报告》所要求的是对数据跨境活动进行评估，而《个人信息保护法》第五十五条还要求对个人信息跨境以外的敏感个人信息处理活动、自动化决策、委托处理、对外提供以及公开个人信息等进行个人信息保护影响评估。如果境内数据处理者根据《报告》内容出具PIA报告，而在跨境活动中还涉及对敏感个人信息的处理，则事实上所出具的PIA报告并不能全面覆盖《个人信息保护法》五十五条提出的合规要求。

Q6：如何理解数据出境的“合法性”？

答：《指南》明确要求数据处理者在制作《报告》的时候，需要说明数据出境以及境外接收处理数据的“合法性”。就个人信息而言，狭义的“合法性”主要是指上述处理行为取得了《个人信息保护法》第十三条下的合法性基础。而广义的“合法性”指的是包括处理个人信息合法性基础之外，个人信息处理者是否遵守了《网络安全法》《个人信息保护法》《数据安全法》等法律法规所要求的相关合规义务，包括但不限于：（1）是否就跨境传输及处理行为向个人信息主体进行了充分的告知；（2）是否按照法规要求完成了个人信息保护影响评估；（3）是否取得了网络安全等级保护备案；（4）是否按照《办法》的要求签订了具有约束力的法律文件。

根据我们的经验，在评估数据出境以及境外接收方处理数据的“合法性”时，数据处理行为的评估可以以“数据出境”以及“境外接收方处理数据”这两种场景为基准，有针对性的展开分析。但从合规的完整性来看，建议企业应考虑上述法律规定的所有关于“合法性”的要求，并开展相关评估工作。

Q7：如何理解数据出境的“正当性”？

答：《指南》明确要求数据处理者在制作《报告》的时候，需要说明数据出境以及境外接收方处理数据的“正当性”。就个人信息而言，结合《个人信息保护法》《信息安全技术个人信息安全影响评估指南》以及网信办的答复，我们理解个人信息出境的“正当性”主要着眼于目的正当性以及手段正当性。目的正当是指个人信息处理者旨在实现的目的应当是增进个人利益或者社会公共利益等正当目的，而非损害他人权益、破坏公共秩序等不正当目的；手段正当是指处理者处理个人信息所采用的方式方法应当符合社会公众的一般期待以及公序良俗的要求。企业在描述其自身的数据出境行为时，可以结合行业特征，以及相关商业活动是否符合一般商业道德，再从以上介绍的几个方面进行详述。

Q8：如何理解数据出境的“必要性”？

答：《指南》明确要求数据处理者在制作《报告》时说明数据出境以及境外接收处理数据的“必要性”。就个人信息而言，根据《个人信息保护法》，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：······（三）依照本法第四十条的规定通过国家网信部门组织的安全评估······。排除不允许出境的特殊数据类型（如人口健康信息），我们认为必要性是建立在为实现合法、正当的个人信息处理目的前提下，符合“最小必要”原则的数据出境活动。例如跨国企业以为了实现支付、核对员工薪酬为目的而跨境传输员工个人信息时，符合“最小必要”原则而跨境传输的个人信息字段应该包括员工的姓名、职级、考勤以及银行卡号等个人信息，但员工病史、性别等与发薪、核薪目的无关的个人信息字段则难以论证其具备跨境传输的必要性。当然，基于其他目的，例如集团购买商业保险或开展特定节日（妇女节）的福利慰问时，员工病史或性别等个人信息字段也可能具备跨境的必要性。同时，为使监管部门在进行数据出境安全评估时更清晰的看到具体处理活动与必要性的映射关系，企业还可以分系统，并从各类系统具体处理个人信息的目的出发，详述必要性。

Q9：若企业为境外接收方提供了可访问中国境内数据的通道，但事实上境外接收方从未访问境内数据，此种情形是否属于数据出境行为？

答：属于。根据《数据出境安全评估申报指南（第一版）》对“数据出境”概念的阐述，只要境内数据处理者为境外机构开设了查询、调取、下载、导出数据的端口即视为数据出境。根据我们咨询网信办所得到的答复，可访问境内数据而实际未访问的境外主体，仍然会被认定为《办法》意义下的“境外接收方”，且只有境内数据处理者完全关闭为境外机构开设的访问渠道，同时停止其他一切积极跨境传输行为时，才能被认定为不进行数据跨境。

Q10：若企业属于应申报数据出境安全评估的情况，却未进行评估申报，会有什么后果？

答：我们认为，未履行出境安全评估义务的，行政机关有权依据《个人信息保护法》《网络安全法》《数据安全法》中的相关规定对企业进行处罚。

具体而言，根据上述法规应开展数据出境安全评估而未开展数据出境安全评估的企业：

1. 根据《个人信息保护法》，将由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

2. 根据《网络安全法》，关键信息基础设施的运营者违反本法第三十七条规定，在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

3. 根据《数据安全法》，违反本法第三十一条规定，向境外提供重要数据的，由有关主管部门责令改正，给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；情节严重的，处一百万元以上一千万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

值得企业关注的是，如果说2022年是数据出境相关法规的“落地元年”，那么在2023年则将开启 “执法元年”。随着《网信部门行政执法程序规定》等法规的出台，网信办作为执法主体所依据的行政执法程序将更加明确。同时我们认为，作为数据出境的主要监管部门，网信办将在2023年加强对数据违法违规活动的行政执法力度，对未及时完成整改或申报的企业，按照上述法律规定进行处罚。

《办法》作为数据立法“三驾马车”实施后第一部落地的重磅法规，其重要性不言而喻。受到《办法》规制的有关企业，应当审慎的评估自身情况，积极的履行申报义务，避免受到处罚。根据我们的经验，跨国企业在进行数据出境自评估时，是一个较好的审视自身数据合规差距和问题的机会，能够借此与总部“宣贯”并拉齐中国法律保护的合规水位线。在有经验的专业人士协助下，能够以此契机建立符合法律规定和监管要求的数据合规体系和规范流程，此为“鱼与熊掌兼得”。

特别声明：

以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。