个人信息出境中的焦点问题有哪些？

接下来我将分析个人信息出境实践中的焦点问题。

1.境内个人信息处理者特定身份鉴别

境内个人信息处理者是否被认定为关键信息基础设施运营主体（CIIO）是首先需要关注的问题。根据《网络安全法》《关键信息基础设施安全保护条例》以及国家标准《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022）等的规定，境内个人信息处理者是否属于关键信息基础设施运营者，通常的判断思路如下：通常来说，关键信息基础设施运营（CII）所涉及的重点行业和领域包括：公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的行业和领域。 目前我国 CII 及 CIIO 的认定工作由各行业的主管部门负责，企业是否属于我国认定的 CIIO，主要取决于主管机构的判定和通知。换句话说，只要企业未被主管机构明确认定为关键基础信息运营者，则满足了适用个人信息出境标准合同的第一个条件。

2.盘点出境个人信息的数量

鉴于个人信息出境路径需要根据出境个人信息的体量进行区分，盘点出境个人信息的数量成为了企业数据合规出境的基础步骤。 目前很多企业的痛点在于部门众多，数据分散在各处，如再缺乏统一的管理，盘点个人信息的数量这一工作就无法顺利开展。因此，越来越多的企业选择通过专业的数据库审计系统来管理企业数据。作为数据安全治理的基础系统，数据库审计不仅能够实时记录、分析和汇报访问数据库的行为，便于企业形成数据统计报告，还能多角度分析企业数据活动，自动根据相关法律规定，对数据进行发现、分类、粒度策略控制等管理，从而帮助企业保证数据安全，促进企业遵守相关法律法规，降低合规风险。

3.个人信息怎么样才算“出境”

根据国家网信办发布的《备案指南》，以下情形属于个人信息出境行为：1、个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外；2、个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出； 3、国家网信办规定的其他个人信息出境行为。 由此可见，个人信息出境不仅涵盖个人信息的物理出境，亦涵盖了远程访问的概念。要厘清“出境”的个人信息，就需要先明晰个人信息的出境链路。实践中，数据流转监测系统（SMP）可满足企业这一需求。SMP 一般会利用数据元采集监测、敏感数据识别、数据流转跟踪等技术，实现对数据访问、数据调用、数据共享、数据使用等数据活动和数据流转等行为进行全程监控和跟踪溯源，智能化识别产生数据流转的行为和流向，并可视化呈现出各组织、节点间的数据流转链路。目前，成熟的 SMP 会充分考虑自身安全性、易操作、易维护等多方面要求，并能使技术实现与平台业务相分离，确保企业自身数据安全和业务效能最大化。

4.识别出境个人信息中的重要数据

全国信息安全标准化技术委员会于 2022 年 1 月 13 日发布的《信息安全技术重要数据识别指南（征求意见稿）》划分了重要数据的范围，规定重要数据是指“特定领域、特定群体、特定区域或达到一定精度和规模的数据，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全”。若向境外提供的个人信息中包括重要数据，按照《数据出境安全评估办法》的规定，企业必须通过所在地省级网信部门向国家网信部门申报数据出境安全评估，而不能选择其他数据出境路径。

5.如何处理敏感个人信息

根据《个人信息保护法》，敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。《信息安全技术个人信息安全规范》（GB/T35273—2020）作为推荐性国家标准，在附录 B 中列举了部分敏感个人信息类型，可以对企业合规实践起到指引的作用。

因我国监管部门目前倾向认定去标识化处理后的敏感个人信息不再计为敏感个人信息，如何处理跨境敏感个人信息成为企业选择数据出境路径的重点关注问题。目前，数据库脱敏技术可以通过特定算法规则对敏感信息进行变形和隐藏，将敏感数据转换为非敏感数据，从而为敏感数据的使用提供安全保证。更为重要的是，脱敏后的数据特征与原始数据可以保持一致，数据依然可以被用于业务过程，且无需改变支撑系统或数据存储设备，脱敏的同时不影响企业业务持续运行。

6.保证跨境个人信息安全传输

国家出台系列数据出境法律法规的最终目的在于保障出境个人信息的安全，因此需要应用可靠的安全技术，为跨境个人信息安全传输提供充足技术支撑。实务中，可以应用（API）审计系统可以帮助企业通过梳理庞杂的应用及接口，绘制接口画像和接口访问轨迹，监测敏感数据流动风险，识别接口调用的异常用户行为，为应用系统的业务数据合规使用和流转提供数据安全保障。