问题提出

2023年9月末，网信办公布了《规范和促进数据跨境流动规定（征求意见稿）》（下称“征求意见稿”），在该征求意见稿中对于不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形做了列举，包括下述豁免情形：（1）为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的；（2）按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的；（3）紧急情况下为保护自然人的生命健康和财产安全等，必须向境外提供个人信息的；（4）预计一年内向境外提供不满1万人个人信息的。

那么，如果征求意见稿的前述内容正式实施后，是不是在个人信息出境的上述场景下，个人信息处理者就无需进行个人信息保护影响评估了？

律师解读

一、个人信息出境场景下，个人信息处理者应当事前进行个人信息保护影响评估，是《个人信息保护法》规定的法定合规义务。

根据《个人信息保护法》第五十五条的规定，有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：（1）处理敏感个人信息；（2）利用个人信息进行自动化决策；（3）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（4）向境外提供个人信息；（5）其他对个人权益有重大影响的个人信息处理活动。可见，在前述五种法定情形（包括个人信息出境的情形）下，事前对个人信息保护影响评估，是《个人信息保护法》规定的个人信息处理者的法定合规义务。而征求意见稿规定下豁免的情形是无需申报数据出境安全评估，并非免除了《个人信息保护法》规定的个人信息处理者对个人信息出境的安全评估义务。

二、个人信息保护影响评估对于个人信息处理者具有积极的意义。

个人信息保护影响评估，不仅是个人信息处理者的法定义务，而且个人信息保护影响评估具有积极的意义。个人信息处理者通过进行个人信息保护影响评估，可以识别、分析自身的个人信息处理活动是否合规，是否存在风险；如发现不合规或存在风险，则可以事先通过整改，采取相应的补救措施，从而提高个人信息处理活动的安全性和合规性，降低或消除相关风险。

三、个人信息保护影响评估主要内容以及保存期限。

根据《个人信息保护法》第五十六条的规定，个人信息保护影响评估应当包括下列内容：（1）个人信息的处理目的、处理方式等是否合法、正当、必要；（2）对个人权益的影响及安全风险；（3）所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估的内容可以参考《个人信息出境标准合同备案指南》中附件《个人信息保护影响评估报告（出境版）》的内容。同时根据《个人信息保护法》，个人信息保护影响评估报告和处理情况记录应当至少保存三年，也就意味着，企业应当持续推进个人信息保护影响评估工作。

建议：由于目前征求意见稿尚未正式出台，因此，企业可密切关注相关进展；同时，对于征求意见稿下免于进行个人信息出境评估和备案的企业，在个人信息出境前，仍有必要通过采取事前进行个人信息保护影响评估、与境外数据接收方签订相关个人信息出境协议措施来确保个人信息出境的合规性。