企业实务中的数据出境场景辨析（下）

《个人信息保护法》和《数据出境安全评估办法》（后文简称“安全评估办法”）生效以来，涉及数据业务的企业需要满足相应合规要求，主要包括自查是否存在数据出境行为、出境数量是否触达安全评估的申报要求、为数据出境行为设立法定依据等问题。为此，我们整理了实务中遇到的几个典型场景，分为上、下两个篇幅，此为下篇，旨在提示企业如果存在类似行为模式，就可能构成个人信息的出境，进而可能需要适用出境安全评估办法向网信部门进行申报。

（以下示例仅供参考，具体项目请以向网信部门的咨询回复意见为准。）

B公司是一家在中国境外注册的SaaS服务提供商，其主营业务之一是为全球的跨境电商商户搭建独立电商网站。使用B公司建站服务的商户可以通过B公司为商户搭建的系统管理后台查看其终端客户的订单情况，并导出可能包含姓名、收货地址、电话号码等个人信息的终端客户订单信息。B公司将上述终端客户个人信息存储在其位于海外的服务器上。C公司是一家使用B公司上述SaaS服务在中国销售电动车及零件的中国公司，C公司认为就其终端客户个人信息存储在B公司海外的服务器上、从而构成数据出境的事实情况，应当由B公司承担为数据出境行为设定合法性依据（申报安全评估、签订标准合同或进行安全认证）的义务。

分析 ///

根据《个人信息保护法》，为个人信息出境行为设定合法性依据的责任主体是“个人信息处理者”。个保法将个人信息处理者定义为“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”。在上述场景中，C公司为实现销售自身产品的目的而自主决定了要使用B公司提供的涉及个人信息处理的建站服务，因此就B公司为C公司创建的电商网站的终端用户的个人信息处理而言，C公司而非B公司为个保法定义下的个人信息处理者，B公司仅为个保法第二十一条下定义的个人信息处理者的受托方。而向境外提供个人信息需要创设合法性依据的责任主体，个保法第三十八条规定的是“个人信息处理者”。因此，由于B公司使用海外服务器存储个人信息而导致的终端用户个人信息出境，应当由C公司负责设立个人信息出境的法定依据。但是，就B公司为向C公司提供服务而收集并处理的与C公司相关的个人信息，例如C公司的员工姓名、地址、邮箱和电话号码等，B公司自主决定了其为C公司提供相应建站服务的处理目的和处理方式，此时B公司成为个保法所规定的个人信息处理者，并应当为与C公司相关的个人信息的出境满足合规要求。

O公司是一家为零售业商家提供包括会员管理、一体化运营、智能物联等系统性数字零售解决方案的中国SaaS服务提供商。S公司在全球多个国家经营大型超市，并在中国及欧盟使用了O公司的数字零售解决方案。就S公司收集到的O公司在欧盟的终端用户（例如O公司经营的超市的会员）的个人信息，S公司在中国境内的员工会进行离线的清洗和加工，再提供给境外的O公司。S公司不确定上述个人信息处理行为是否构成中国法意义下的数据出境，并需要为出境行为创设合法性依据。

分析 ///

上述场景涉及企业在境内处理境外主体的个人信息并对外提供，是否要受到我国《个人信息保护法》相关规则的规制。从个保法适用范围的措辞来看，第三条第一款规定个保法适用于在中国境内处理自然人个人信息的活动，因此，S公司的上述处理行为要受到个保法的管辖。但是，此种将境外主体的个人信息加工后再向境外提供的行为是否属于数据出境，《信息安全技术数据出境安全评估指南（征求意见稿）》中曾规定，“非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后，不涉及境内运营中收集和产生的个人信息和重要数据的，不属于数据出境”——虽然此种情形并未在后来的安全评估办法及申报指南中加以明确，但仍有一定参考意义。此外，与场景四中的B公司类似，S公司也仅是个人信息处理活动的受托方，并非个保法第三十八条下规定的需要为个人信息出境行为创设合法性依据的责任主体。因此综上，虽然S公司的上述处理行为本身要受到个保法规制，但其行为本身可能不构成数据出境；即使构成数据出境，也并非S公司自身主体责任去设立数据出境行为的合法性依据。

判定企业自身存在向境外提供个人信息的行为，是数据出境合规的第一步。在这之后，企业还应统计各个出境场景下涉及的个人信息主体数量并进行汇总，判定自己是否属于出境超过十万人以上个人信息或者一万人以上敏感个人信息，从而触发出境安全评估申报机制。当然，若企业自身属于一百万人以上个人信息处理者，则无论出境多少个人信息，都必须通过出境安全评估为个人信息出境设定合法性依据；不过根据申报指南，此时企业也须统计出境个人信息涉及的自然人数量并在申报书中如实申报。若企业确定出境个人信息数量不会触发安全评估机制，则可积极准备与境外接收方签订数据出境标准合同或准备申请个人信息保护认证，待该标准合同规定或认证机制落地后，及时为自身出境行为设立合法性依据。