3月22日，为了配套最新发布的《促进和规范数据跨境流动规定》(“《数据跨境新规》”)，国家网信办发布更新版本的指南文件，通过《数据出境安全评估申报指南(第二版)》(“《安全评估指南(第二版)》”)和《个人信息出境标准合同备案指南(第二版)》(“《SCC备案指南(第二版)》”，与《安全评估指南(第二版)》合称为“《指南(第二版)》”)向涉及数据/个人信息出境活动的处理者提供符合《数据跨境新规》要求的数据出境安全评估申报(“安全评估申报”或“申报”)/个人信息出境标准合同备案(“SCC备案”或“备案”)指引。

以下就两份指南更新的核心内容以及对拟申报/备案的处理者带来的影响进行简要说明：

1. 应申报/备案情形

应申报/备案情形的更新是同步于《数据跨境新规》的，内容与《数据跨境新规》中提供的最新标准一致。

相关内容的变化可以参考我们另外发布的新规解读文章：《促进和规范数据跨境流动规定》生效后需要关注的八大问题。

2. 数据出境行为囊括了境外处理者的处理活动

数据出境行为新增了第(三)种，即“符合《个人信息保护法》第三条第二款情形，在境外处理境内自然人个人信息等其他数据处理活动。”《指南(第二版)》对于“数据出境行为”的定义与此前全国信安标委发布的《TC260-PG-20222A 个人信息跨境处理活动安全认证规范V2.0》中给出的定义基本一致。至此，三种数据出境合规路径下对于“数据出境行为”的定义达成统一。

在境外处理境内自然人个人信息的处理者明确成为了数据跨境传输监管主体之一。对于在境外处理境内自然人个人信息，不涉及其他境内主体(如境内受托方、境内处理者等)的情况，是否也属于需要履行相关申报/备案程序，《指南(第二版)》未提供明确的说明；但境外处理者涉及个人信息跨境传输活动的已明确属于监管范围。

针对这项定义的更新，境外数据处理者应谨慎对待，尽快展开涉及中国个人信息的处理情况盘点并分析是否符合需要申报/备案的情形，具体可以参考如下步骤进行：

(1) 处理中国境内自然人个人信息的原因是否涉及如下之一：1) 以向境内自然人提供产品或者服务为目的；2) 分析、评估境内自然人的行为；3) 中国法律、行政法规规定的其他情形。

(2) 相关数据流中是否涉及境内外交互或境外向第三国传输的情形，比如：1) 境外处理者委托境内受托方处理个人信息；2) 境内与境外处理者共同处理；3)境外处理者提供给第三国处理者或委托第三国受托方处理个人信息。(在境外处理境内自然人个人信息，不涉及其他境内主体(如境内受托方、境内处理者等)的处理者，建议进一步咨询或委托境内专业机构咨询网信办并进行适用性分析。)

(3) 具体符合申报/备案条件的场景下涉及的个人信息数量在各维度的统计数据是否达到申报/备案门槛。

根据《指南(第二版)》和国家网信办在《促进和规范数据跨境流动规定》答记者问中提供的信息，三种数据出境路径均开放了专门的线上平台，接收处理者的申请。但CIIO和其他不适合通过平台申报的数据处理者不可以通过线上进行安全评估申报，只能按原先的程序通过所在地省级网信办向国家网信办提交纸质材料。以下是我们整理的线上提交和线下提交分别适用的情况和具体要求：

1.  《安全评估指南(第二版)》明确了省级网信办在完成完备性查验时要向处理者告知查验结果；未通过查验的，还要告知未通过完备性查验的原因。从书面上明确这一要求，有助于保障查验和审核流程的透明、公正，也能够在网信部门与处理者之间搭建良好沟通的桥梁。

2.   《安全评估指南(第二版)》新增了一种可以延长评估时间的情形：除了“情况复杂的”外，新增“需要补充、更正材料的”情形下，国家网信办也可以适当延长评估时间，并告知处理者预计延长的时间。

1. 再次明确专用语言为中文

除了此前已经明确的出境相关合同或法律文件以中文为准且须提交中文版外，《指南(第二版)》中特别强调《数据出境安全评估申报表》《数据出境风险自评估报告》《个人信息保护影响评估报告(出境版)》须使用中文进行撰写。根据我们过往的项目经验，报告等申报材料中涉及英文词汇的，比如数据种类等，建议在英文旁提供中文翻译内容，可以一定程度上减少反馈、加快流程。

2. 明确申报书、自评估报告的字体、字号、段落设置、页面设置要求

为了避免接收格式不一、五花八门的申报文件，《指南(第二版)》除了提出中文语言要求外，还明确规定了中文、数字和字母的字体、字号以及段落设置、页面设置要求，具体可参考《指南(第二版)》(不同文件的格式要求略有不同，请注意分别比对)。

1.  同一处理者涉及多场景只须填写一份申报表

《安全评估指南(第二版)》中提供了更新的申报表，要求拟申报的处理者以场景为维度来描述数据出境情况，而不同场景的分开单独填报每个场景的拟出境情况、涉及的境外接收方等情况即可。这一更新项说明，同一处理者涉及多个场景存在跨境数据传输活动的，只需要填报一份申报表(参考线上平台提供的使用手册可以看出，线上流程也是提交一次即可)。

2. 接收方多、不确定、无法列举的，可以填写统计数据

针对境外接收方数量众多、范围不确定、无法逐一列举的，境外接收方情况可以只填写统计数据。具体关于数量众多的认定标准暂未明确，而统计数据如何填写，按何种标准来填写也并未在本次更新的指南中提供。

根据我们以往的项目经验，统计数据可以考虑从过去年度的接收方数量、分布国家或地区情况、接收方涉及行业/领域分布情况、接收方类型等维度出发进行统计。

1. 减少填空题，增加选择题

基于前一阶段审核工作的经验基础，网信办优化了申报表中部分字段，从开放式填空题改为了选择题，一定程度上提供了更为明确的填表要求，相信在今后的申报工作中能够节省大量审核工作量。

2. 新增必要填报内容，删去非必要填报项

(1)  关于“数据处理者情况”：

• 新增要求填写“单位类型”，可选择为内资、外资、中外合资、港澳台资或其他(另填)；

• 新增要求填写“是否为关键信息基础设施运营者” “处理个人信息规模”，便于在申报开始就对该项目是否适用于线上流程进行判断；

• 删去“营业有效期”“邮政编码”“注册资金”“主营业务”。

(2) 关于“境外接收方情况”：

删去“注册登记号码”“注册资金”“员工数量”“负责人证件类型”“负责人证件号码”等项目，对接收方负责人的联系方式也仅要求提供电话或邮箱中的一种；但我们提请处理者注意，在填写时仍需关注联系方式是否有效、可供有关部门联系。

3. 明确重要数据须经有关部门认定，并须提交认定主管部门名称。涉及重要数据的，我们建议将重要数据认定依据作为补充材料提交。

4. 确定出境个人信息数量要提供两种数据并说明关系

涉及出境自然人数量的，不仅要去重，还要提供当年已出境数量、未来三年出境数量这两类统计或预估数量，并说明两个数据之间的关系。处理者在统计和填写时要注意两个数据之间的计算关系以及统计口径是否合理。

《指南(第二版)》对《数据出境风险自评估报告(模板)》和《个人信息保护影响评估报告(出境版)(模板)》的结构都进行了优化和调整，两份报告模板都将“数据/个人信息出境涉及业务和信息系统情况”中的内容融合至“拟出境数据/个人信息情况”中，使得报告中对于拟出境情况的描述更富有逻辑性、整体性，避免报告中出现大量重复内容，提高报告描述拟出境事实情况的效率，提升报告的可读性。在整体结构调整的基础上，两份报告分别有一些优化的重点值得关注。

1.自评估报告结构的优化重点：列表呈现出境数据项并逐一说明必要性

更新后的自评估报告严格要求拟申报的处理者在描述拟出境数据情况时，通过列表的形式呈现数据项，并逐一确认出境必要性。在每个出境申报业务场景下，都需要列表提供数据项清单并逐一说明具体内容、出境必要性、提供示例。涉及出境必要性存在瑕疵的数据项，需要在申报前及时作出整改，不能和同一场景下的其他数据项混合在一起予以申报。

2. PIA报告(出境版)的优化重点：修正不符合《个人信息出境标准合同办法》评估要求的内容

更新的PIA报告(出境版)中删去了“个人信息处理者个人信息保护能力情况”章节，不再需要作为事实情况在报告中大篇幅进行说明。查看整份更新后的报告模板，不难看出这一更新项主要考虑的是，在《个人信息出境标准合同办法》第五条规定的评估依据和要求中没有提及相关内容。从过往项目经验出发，如果在PIA报告撰写过程中涉及相关事项需要充分说明出境个人信息安全的，我们建议可以考虑参照第一版指南的相关内容在“(三)个人信息处理者认为需要说明的其他情况”部分对个人信息处理者自身的个人信息保护能力情况进行补充说明。

除了以上所述本次《指南(第二版)》的重点更新内容外，还有其他关于报告、材料的更新要求，比如《安全评估指南(第二版)》更新的自评估报告中要求涉及个人信息出境的处理者要提供履行《个人信息保护法》第三十九条规定的情况说明及佐证材料，包括告知义务和取得个人的单独同意等(不适用同意合法性基础的除外)。此外，《个人信息出境标准合同(模板)》本次没有任何修改，仍维持原有版本。

从以上更新和调整的内容不难看出，《指南(第二版)》的发布是网信办前期审核经验的转化和体现，其中的各项优化内容体现了对于材料的精简、程序的电子化和便利化。