哪些个人信息出境情形需要申报数据出境安全评估？

想了解更多相关内容，可以下载报告《数据跨境现状调查与分析报告：基础问题与十个痛点的解决》查看，以下内容都是根据该报告总结的，仅供参考。

首先，企业应当识别出境数据中是否含有个人信息—根据《个人信息保护法》，个人信息是指以电子或者其他 方式记录的与已识别或者可识别的自然人有关的各种信息。此外，《信息安全技术 个人信息安全规范》（GB/T 35273—2020）作为推荐性国家标准，其附录 A 列举了部分个人信息类型，附录 B 列举了部分敏感个人信息类型， 均可作为判断出境数据中是否含有个人信息的依据。

其次，企业应当结合法律要求判断自身是否属于以下情形： 第一，处理 100 万以上个人信息的数据处理者向境外提供个人信息。 《个人信息保护法》第四十条规定，处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中 华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估。《数据出境安全评估办法》与其上位法保持一致，并进一步就《个人信息保护法》第四十条所提及的“数量”进行了 明确

由此可见，对于处理 100 万以上个人信息的处理者，法律法规规制的对象是某一类个人信息处理者，而非某一 类处理行为。如处理 100 万以上个人信息的数据处理者确有需要向境外提供个人信息，则不论向境外提供的数据量 为多少，都应当事先通过国家网信部门组织的安全评估。

第二，累计向境外提供 10 万人个人信息的数据处理者或者 1 万人敏感个人信息的数据处理者。 去年 9 月起施行的《数据出境安全评估办法》明确了“10 万人个人信息或者 1 万人敏感个人信息”的起算时间， 即从上年 1 月 1 日起。这一点也在《标准合同办法》中得以体现。

《数据出境安全评估办法》对此情形中的两个数量门槛设置较低，企业（尤其是跨国公司）很容易达到该标准 进而被纳入需要申报数据出境安全评估的范围中，这体现了国家对于数据出境的管控日趋严格。我们建议企业尽快 开展自查，充分了解内部已经累计向境外提供的个人信息数据量及流转情况，判断是否达到了上述规定的标准或者 还有多少余量将可能需要申请出境安全评估。

需要注意的是，所述的“10 万”“1 万”，是指实际累计向境外传输个人信息所对应主体的人数，而非指人次。例如 某公司向境外传输员工个人信息，通常需要考虑加上未来新入职的员工人数，以及已经传输过的离职人员的数量， 如果从去年 1 月 1 日起累计向境外已传输超过 10 万名员工，或者从去年 1 月 1 日起向境外传输 1 万名员工的敏感个 人信息（如身份证号码），则该公司应当在去年 9 月 1 日《数据出境安全评估办法》生效后考虑申报数据出境安全 评估。 需要注意的是，网信部门在收到申报材料后开展的数据出境安全评估与企业在提交数据出境安全评估前实施和 开展的个人信息保护影响评估和数据出境风险自评估在性质上是不同的，不可混为一谈。