我国个人信息跨境传输路径有哪些？

根据《个人信息保护法》第 38 条等有关法律法规，我国个人信息跨境传输目前已确立以下“三大路径”：

1.路径一：数据安全评估审查

国家互联网信息办公室（以下简称国家网信办）于 2022 年7 月7 日发布的《数据出境安全评估办法》（以下简称《安全评估办法》）第4 条明确了数据出境安全评估审查的强制触发条件： 1、数据处理者向境外提供重要数据； 2、关键信息基础设施运营者和处理 100 万人以上个人信息的数据处理者向境外提供个人信息； 3、自上年 1 月 1 日起累计向境外提供 10 万人个人信息或者1 万人敏感个人信息的数据处理者向境外提供个人信息； 4、国家网信部门规定的其他需要申报数据出境安全评估的情形。此外，在提交申报前，企业需要完成数据出境风险自评估，并提交拟订立的法律约束性文件。数据出境风险自评估报告对于顺利通过安全评估审查至关重要，可以理解为是企业向网信部门提交的“考卷”。因而企业在提交申报前需要按照要求开展数据合规治理工作，完成数据风险筛查及整改。

2.路径二：个人信息保护认证

个人信息保护认证是跨国企业或同一经济实体处理个人信息出境业务的重要手段，该机制的适用情形和底层逻辑与欧盟的约束性企业规则类似，认证获批后即可在法定/约定范围内进行个人信息跨境传输。 2022 年 11 月至 12 月我国先后发布了《个人信息保护认证实施规则》及其配套文件《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》，对开展跨境处理活动的个人信息保护认证机制作出完善。个人信息保护认证流程由五个主要环节组成，分别是认证申请、技术验证、现场审核、认证决定、获证后监督。

3.路径三：个人信息出境标准合同

《个人信息出境标准合同办法》（以下简称《标准合同办法》）和《个人信息出境标准合同备案指南（第一版）》（以下简称《备案指南》）对于能够采取标准合同实施个人信息跨境的主体范围进行了界定，包括：1、非关键信息基础设施运营者； 2、处理个人信息不满 100 万人的； 3、自上年 1 月 1 日起累计向境外提供个人信息不满 10 万人的；4、自上年 1 月 1 日起累计向境外提供敏感个人信息不满1 万人的。

根据目前规定，个人信息处理者必须同时满足上述四项条件，才能适用标准合同路径，任意一条不满足，则境内个人信息处理者应进行个人信息出境安全评估或个人信息保护认证。 纵观全球各法域的个人信息出境监管趋势，整体呈现出法规逐渐完善、路径逐渐清晰的特点。接下来我们将以中国个人信息出境过程中面临的重点问题为基础，分析个人信息标准合同的适用及落地方案。