一、关于“数据出境”

二、关于“数据出境安全评估申报”

三、关于“标准合同”

四、关于“个人信息保护认证”

数据出境包括物理出境和非物理出境两类情形，物理出境是指境内收集和产生的数据传输、存储至境外，显然，消费者通过线上自行将个人信息上传到位于某品牌方境外总部的服务器中属于数据出境。

境外的机构、组织或个人查询、调取、下载或导出境内存储的数据属于数据出境，因而付费数据库的运营主体应对访问者进行身份识别，设置不同的访问权限，确保境外的机构、组织或个人可访问的内容不涉及禁止出境的数据或需要前置审批/核准出境的数据。

首先应判断数据是否属于企业在境内运营过程中收集和产生的数据，如属于，则企业将该等数据传输给境外总部的行为属于数据出境。尽管该等数据存储在境外服务器，但其处于境内企业的控制中，境内企业是该等数据的处理者，数据传输至境外总部后，意味着境内企业共享了该等数据，境外总部成为境外接收方，同时也成为数据处理者。

境内企业将数据存储在境外供应商的云上，数据事实上从境内流向境外，构成数据出境。

虽然理论上香港和澳门属于中国境内，但由于港澳与大陆属于不同的法域，因而中国大陆向香港和澳门传输数据也属于数据出境。

理论上公开的数据一般不涉及个人隐私、商业秘密或国家秘密，但公开的数据中却可能涉及个人信息或重要数据。根据《个保法》第二十七条，个人信息处理者应在合理范围内处理公开的个人信息，对个人权益有重大影响的，应当取得个人同意。因而如处理者将境内网站上公开的个人信息传输出境，该出境行为应不符合个人信息被公开时的意图，不属于“合理范围”的处理，且属于“对个人权益有重大影响”的情形，故应取得个人的同意后方可出境。

重要数据是指可能会对国家安全、公共利益或个人、组织的合法权益造成严重危害的数据类型，公开的数据经过大规模的数据汇总、有目的的分析整理，有可能形成重要数据（能够反映国家经济运行数据、重要行业和领域业务数据、统计数据等）。因而，境内网站上公开的数据并非可以无限制出境。

外国企业的办事处是指在境内登记的从事隶属于外国企业的非经营性业务的非法人机构，持有工商部门签发的《外国企业常驻代表机构登记证》，尽管该等办事处非独立核算，业务上也附属于外国企业，但仍属于在境内注册登记的组织，因而，境内主体向另一个位于境内的外国企业的办事处传输数据并不必然导致数据出境，除非该办事处将数据再行传输至外国企业或将数据存储在外国企业运维的系统上，则属于数据出境。

属于数据出境，应注意数据出境主要遵从数据提供方所在国家的相关法律规定。

并非只有本地化的数据才能出境。如问题12，境外数据处理者直接收集境内自然人的个人信息构成数据出境，而该等数据并未实现本地化，可知，本地化和出境没有必然的联系。尽管如此，提请注意的是，对于关键基础设施运营者出境的个人信息和重要数据、以及处理100万人上个人信息的处理者以及基于行业特殊要求规定的重要数据需要先进行本地化存储并通过出境安全评估和/或其他国家相关部门的事先审批后才可出境。

参考国家标准委2017年8月30日发布的《信息安全技术 数据出境安全评估指南（征求意见稿）》的相关规定，以下两种情形可能不被视作是“数据出境”：1）非在境内运营中收集和产生的个人信息和重要数据经由本国出境，未经任何变动或加工处理的；2）非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境，不涉及境内运营中收集和产生的个人信息和重要数据的。

国家网信部门强调实际数据流，即事实上有数据从境内流向境外，而不仅仅是法律上的转移。境内的不具有中国国籍的人仍旧在境内，个人信息或其他数据并未流向境外，因而不属于数据出境。此外，境内不具有中国国籍的人也属于《个保法》保护的主体之一。

《评估办法》的第二条规定了该《评估办法》的适用主体与范围，即“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，适用本办法”，但是对于何谓“境内运营”并没有作出明确定义，而在该《评估办法》的上位法中也未有明确规定。尽管如此，国家标准委于2017年8月30日发布的《信息安全技术 数据出境安全评估指南（征求意见稿）》在第3.2条对本问题作出了回应，可供参考。该条规定了：“未在中华人民共和国境内注册的网络运营者，但在中华人民共和国境内开展业务，或向中华人民共和境内提供产品或服务的，属于境内运营。判断网络运营者是否在中华人民共和国境内开展业务，或向中华人民共和境内提供产品或服务的参考因素包括但不限于：使用中文；以人民币作为结算货币；向中国境内配送物流等”。

同问题12，国家标准委于2017年8月30日发布的《信息安全技术 数据出境安全评估指南（征求意见稿）》在第3.2条对本问题作出了回应，可供参考。该条规定了: “中华人民共和国境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务，且不涉及境内公民个人信息和重要数据的，不视为境内运营”。

境外个人信息处理者直接收集境内自然人的个人信息构成个人信息出境，达到申报条件的，要进行数据出境安全评估申报；同时，鉴于境外个人信息处理者需要根据《个保法》第五十三条在境内设立专门机构或者指定代表，应根据该专门机构或者指定代表所在地确定申报机关。提请注意，部分地方监管部门要求发起申报的代表处具备独立法人资格。

数据出境风险自评估是针对企业的数据出境情形进行整体评估，数据出境涉及业务的信息系统情况属于企业自评估的内容之一。这里需要注意，有些企业数据系统有上百个，相对繁杂，如对所有系统的数据流动都进行盘查或评估，事实上难以实现，我们建议，企业可从可能影响国家安全、公共利益、个人或组织合法权益角度确定主要的信息系统先进行数据出境安全风险评估。

境外公司有访问权限，意味着其随时可以查询、调取、下载或导出，尽管境外公司实际上不会访问或调取，但并不能保证其永久不会访问或调取，一旦境外公司访问或调取，那么未经评估/申报的数据出境行为就属于违法行为。且，根据国家网信办发布的《申报指南》第一条，“数据处理者收集和产生的数据存储在境内，境外的机构、组织和个人可以查询、调取、下载或导出”属于数据出境行为，此处“可以”的字面含义是境外主体具有访问权限，并不要求该访问实际已经发生。因而，为了防止不必要的法律风险，建议企业关闭访问权限或将该场景进行申报。

根据《申报指南》中所附的《数据出境风险自评估报告（模板）》，境外接收方的安全保障能力包括数据安全管理能力和数据安全技术能力，对于安全管理能力，企业可通过境外接收方的组织体系，制度建设、流程管理、应急机制等方面对境外接收方作出评估；对于安全技术能力，企业可通过境外接收方提供的技术认证、安全认证等对境外接收方作出评估。不少境外接收方依赖外部供应商为其提供安全保障措施，那么企业可要求境外接收方提供外部供应商的安全保障能力证明，如ISO信息安全管理体系认证等。对于境外接收方的安全保障能力需要法务、安全、技术等部门的共同配合加以评估，也可借助专业的第三方机构进行评估。此外，境外接收方的安全保障能力也要结合其所处国家/地区的政治法律环境进行综合判断。

根据我们的经验，不建议企业直接将尽调清单发给境外接收方填写，而应事先将中国的合规要求定及我方希望境外接收方配合的事项详细传达给对方，尽可能让境外接收方理解我方尽调目的，并给与积极的配合。此外，我们不建议企业设置开放式的尽调问题，而应尽可能给出选择题，避免境外接收方不知如何回复、答非所问而导致反馈时间较长。

不建议企业自行调整申报书模版，审核部门会按照既定格式审核企业提供的材料，且审核部门工作量大，如企业调整了格式内容，可能导致审核部门遗漏，进而要求企业解释或另行提供，延误审核时间，我们建议企业可在申报表后另外补充说明。此外，对于问题4、问题12等特殊数据出境场景，我们认为企业可对自评估报告模板内容进行调整，但应事先征询省级网信部门和国家网信部门的意见。

技术供应商虽然为企业提供具体的系统开发运维等服务，但是技术供应商并不是法律意义上的个人信息处理者或数据处理者。根据《个保法》第七十三条，个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。显而易见，技术供应商是接受企业的委托从事系统开发运维等工作，对于数据的处理并非基于其自身的目的，而是基于企业的处理目的，因而企业是数据处理者，其决定了基于何种目的对外提供数据以及提供数据的种类和频率，故企业应以自身名义申报数据出境安全评估，而不能委托技术供应商代为申报，技术供应商作为企业在数据出境场景中的重要服务者，可以协助企业进行申报，为企业提供必要的助力。

如该品牌下的多个公司使用统一信息系统，且数据出境场景是基于该信息系统下的统一业务场景，则我们建议该品牌可以用其中一个起主要作用的公司作为代表申报数据出境安全评估（建议与当地网信办沟通确认）；如该品牌下的公司有其独立的信息系统或数据出境场景与其他公司无关，则不同的公司应单独申报而不能合并申报。

境外供应商是境外总部的受托方，执行境外总部的指令或履行合同约定的义务，与问题20类似，境外总部是可以自主决定数据处理活动的数据处理者，境外供应商并不是，因而，境外接收方应为境外总部。

可参考《网络安全法》（"《网安法》”）第六十六条中对违法在境外存储网络数据，或者向境外提供网络数据的行为处罚规定，《数安法》第四十六条中针对向境外提供重要数据行为的处罚规定，以及《个保法》第六十六、六十七条中对违反规定处理个人信息，或者处理个人信息未履行《个保法》规定的个人信息保护义务的行为处罚规定。

请注意《评估办法》第四条，处理100万人以上个人信息的数据处理者向境外提供个人信息的，即触发数据出境安全评估申报，而数据出境量或种类在所不问。

从《评估办法》和《申报指南》中均未得出需要行业主管部门事先审批的步骤或流程或是在取得行业主管部门批准后即可豁免数据出境安全评估申报。我们认为，国家网信部门受理申报后，将会同国务院相关部门、省级网信部门和专门机构等进行安全评估，在这个过程中，行业主管部门即参与了数据出境安全评估工作，因而，一般来说，企业无需事先取得行业主管部门的批准再行申报，但是企业可以就重要数据的范围等法律尚未明晰的申报问题与行业主管部门进行事先的沟通。

但就特殊行业或领域而言，如医药行业，根据《人类遗传资源管理条例》第二十七条利用我国人类遗传资源开展国际合作科学研究，或者因其他特殊情况确需将我国人类遗传资源材料运送、邮寄、携带出境的，应当取得国务院科学技术行政部门出具的人类遗传资源材料出境证明。

从《数据出境风险自评估报告（模版）》中可以看到，企业需要对“境外接收方所在国家或地区数据安全保护政策法规和网络安全环境情况、一旦环境发生变化后企业所能采取的安全措施以及数据出境后遭到泄露、非法获取或利用的风险”等进行说明，因而，境外接收方所在国家的保护水平、政治背景等并未完全由监管部门来评估，企业也应进行必要的自评估。由于企业评估能力有限，监管部门并不会完全依赖企业所提供的信息，而是会站在国家层面重点评估“境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对处境数据安全的影响”（《评估办法》第八条）。

根据《标准合同》，对于境外接收方所在国家/地区的数据安全保护政策法规的评估，包括：1）该国家或地区现行的个人信息保护法律法规及普遍适用的标准情况；2）该国家或地区加入的区域或全球性的个人信息保护方面的组织，以及所作出具有约束力的国际承诺；3）该国家或地区落实个人信息保护的机制，如是否具备个人信息保护的监督执法机构和相关司法机构等。同时也要考虑4）该国或地区与我国个人信息保护相关法律法规、标准情况的差异；5）该国或地区实施个人信息保护的机制，如是否具备个人信息保护的监督执法机构和相关司法机构，以及执法机构和司法机构调取数据的权力是否受法律约束、是否可以做到了公开透明；以及6）境外接收方是否收到过其所在国家/地区公共机关要求其提供个人信息请求以及境外接收方应对的情况等问题。

据我们了解，已然有个别企业因为事实情况描述不清楚被网信部门退回申报材料，以我们的经验，自评估报告内容应清晰易懂，达到让一个非行业人士看懂的程度；对于审核部门重点评估的内容（《评估办法》第八条）能够提供完整准确的事实依据，为安全评估提供基本的事实支撑。如企业想通过简要粗略的描述规避一些问题，这些问题大概率会被审核部门质疑或要求补充说明。

首先，企业应进行主体身份识别和数据出境场景识别，是否属于关键信息基础设施运营者（CIIO）或处理100万以上个人信息的数据处理者向境外提供个人信息，如是，触发申报；其次，企业判断是否向境外提供重要数据，如是，触发申报；再次，企业判断向境外提供的个人信息量是否从上年1月1日累计超过10万人个人信息或1万人敏感个人信息，如是，触发申报。在这个过程中，企业应首先对其处理的数据进行盘点和统计，识别重要数据，统计处理的个人信息总量和出境量，包括多个渠道/系统（线上线下）的统计，如邮件，出差携带等。

《网安法》首次提出“重要数据”的概念，但未作正式定义。《数安法》在《网安法》的基础上对“重要数据”作出了原则性规定，强调要对数据进行分类分级保护，并应加强对重要数据的保护；此外，各地区、各部门应确定本地区、本部门以及相关行业、领域的重要数据具体目录。目前，仅有个别行业或领域出台重要数据具体目录，而对于其他行业或领域来说，目前尚无生效的行业或领域规定作为判断“重要数据”的明确法定依据。《信息安全技术 重要数据识别规则（征求意见稿）》对重要数据的定义及范围、识别原则及识别流程等进行了明确的规定，可供企业判断是否具有“重要数据”的参考依据。

此外，《评估办法》规定，数据处理者向境外提供重要数据的，应申报数据出境安全评估。为便于涉数据出境企业判断是否具有“重要数据”，江苏省与海南省网信部门先后发布了省级的《数据出境安全评估申报工作指引（第一版）》，其中明确了“重要数据”的定义以及提供了当数据处理者所处行业未制定重要数据目录时可参考的判断标准，前述定义与标准亦可作为企业判断是否具有“重要数据”的参考依据。

根据《评估办法》第四条，核心数据并不在数据出境申报的适用范围内；核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据，国家实行比重要数据更加严格的管理制度，因而，我们理解应该有专门针对核心数据出境的规定，原则上不能通过申报数据出境安全评估的方式出境；但是目前，到底什么是核心数据并没有明确的范围界定（刚发布的《工业和信息化领域数据安全管理办法（试行）》对本领域的“核心数据”提供了判断标准，尚没有具体目录），如企业将核心数据当做重要数据申报出境评估，只要取得“通过”的评估结果即可出境。

根据《个保法》第三条，个保法规制的范围为在中华人民共和国境内处理自然人个人信息的活动，此处“自然人”并未强调是中国公民，因而在中国境内工作的外国人也属于个保法保护的主体。推及而论，《评估办法》中提及的“人”应包含在中国境内工作的外国人。

如企业统计100万人个人信息，应按照余额统计法，统计申报前的某一时点是否达到100万人个人信息的处理量，余额统计法并不包含历史上曾经处理过，但是已经被删除或者匿名化处理后的个人信息；这里应注意，个别企业的统计量在100万左右徘徊，即，不同时点的统计量有所不同，这种情况下我们建议企业进行申报。

如企业统计10万、1万个人信息，应采用累计统计法，即从上年度1月1日至统计时点是否达到了10万，1万的申报门槛，如企业暂时未达到，但是预期在两年统计期结束前会达到，我们建议企业也要进行申报。此外，企业应注意其向所有境外接收方提供的个人信息应合并计算，而非针对单个境外接收方单独计算。

我们提请注意，企业将数据出境申报材料提交当地网信部门后，一般要经过较长才能取得评估结果，因而，企业虽现阶段暂未达到申报要求，但是预期可见的未来会达到申报要求，那么我们建议企业应预留出申报审批的必要时间，防止出现企业已然达到申报要求但未进行申报而导致终止数据出境活动。我们建议企业建立出境数据数量预警机制，以便在出境数据数量接近安全评估阈值时及时申报。

我们提请注意，监管的标准为“穿透监管、实质认定”，一切用虚假形式逃避法定义务的行为都是不可取的，但是也不排除在某些特定场景下，确实可以通过安排不同主体的方式来避免出境申报，如企业可将独立的业务条线进行区隔，分置在不同的主体下，那么不同业务条线所对应的用户数量就可以单独统计。

根据《评估办法》第六条，企业申报数据出境安全评估时，应提交数据处理者与境外接收者拟订立的法律文件，法律文件应包含“数据出境的目的、方式、范围，境外接收方处理数据的用途、方式，以及数据在境外的保存地点、期限”等内容，具体可参考该《评估办法》第九条。我们认为，《标准合同》只是法律文件的其中一种形式，也可能存在境外接收方通过提供单方承诺、官方声明文件等方式履行数据安全保护责任和义务。

企业将申报文件提交省级网信部门后，省级网信部门会对申报材料进行完备性查验，如申报材料不齐全，会通知企业补充材料，除此之外，在国家网信部门受理申报后，如发现企业提交的申报材料不符合要求的，国家网信部门也会要求企业补充或更正。企业如在申报受理后发现申报材料不符合规定的，也可主动联系网信部门进行补正。

首先，安全评估的有效期为自评估结果出具之日起2年，到期后，企业应重新申报评估，其次，当数据出境的目的、方式、种类等发生变化后，企业也要重新申报评估。此外，企业通过安全评估后，国家网信部门仍旧会对企业进行动态监督，一旦发现企业在实际数据出境活动中不再符合数据出境安全管理要求的，会通知企业终止数据出境活动。

根据《个保法》第五十五条的规定，有四种情形，企业在开展个人信息处理活动之前需事先进行个人信息保护影响评估，其中包括了企业向境外提供个人信息。因而，即使企业未达到数据出境安全评估申报门槛，只要向境外提供了个人信息，即应开展个人信息保护影响评估，评估内容可参考《个保法》第五十六条。

企业对评估结果有异议的，可在收到评估结果15个工作日内向国家网信部门申请复评，复评结果为最终结论；此外，如评估结果为未通过，企业应对未通过的事项进行整改，整改完成后仍可重新申报评估。

根据《国际民商事司法协助常见问题解答》第8、9条，如中国境内当事人出于自愿直接向外国司法机关或司法人员提交位于境内的证据材料，应符合《民事诉讼法》《数据安全法》《个人信息保护法》的相关规定；数据信息确需向境外提供的，应当通过国家网信部门组织的安全评估、认证后方可向境外提交。

涉及到国际司法协助的，非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据或个人信息。在《海牙取证公约》以及目前缔结的38项中外双边司法协助条约规定框架下，由人民法院调取的证据材料等数据信息经最高人民法院审核后，由司法部转交外国请求方。

这里要做区分，是基于履行合同所必需收集个人信息后再基于其他处理目的跨境传输，还是跨境传输是履行合同所必需的一部分。如属于前一种，需要取得个人信息主体的同意，如果是后一种则不需要。判断的关键在于跨境传输是否是履行合同所必需的环节。提请注意的是，企业应当在个人信息出境前，在个人信息保护影响评估环节事先充分论证对该等个人信息出境是否构成“为履行合同所必需”，如无法得充分、必要性结论，还是应事先取得个人信息主体的单独同意后才能进行个人信息出境。

个人信息保护影响评估所评估与数据出境风险自评估所评估对象的类型及范围、触发评估的场景以及评估的事项可能存在交叉重合的部分，即当涉及达量的个人信息出境时，两个评估将会被同时触发。但是，个人信息保护影响评估与数据风险自评估的评估重点各有侧重，个人信息保护影响评估主要关注对个人信息权益的影响以及安全保护措施力度等维度，而数据出境风险自评估则除了着力于数据出境对个人权益影响进行评价外，还重视对国家安全、公共利益以及组织合法权益所带来的风险，并将个人信息权益维护的渠道是否通畅、与境外接收方签订的法律文件中有无充分的数据保护条款约定等方面纳入到评估事项中。考虑到时间效率与成本控制，在此种情形下，企业可选择进行合并评估，并确保在评估时将两类型评估的法定评估事项均纳入到评估流程与报告中。如企业已完成了个人信息保护影响评估，则在实施数据出境风险自评估时可以共用前期的尽调材料等。

国内现有法律、法规等规定仅要求触发网信部门数据出境安全评估申报条件的企业在进行申报时，需提交与境外接收方拟订立的法律文件作为申报材料之一，但并未对该等法律文件的内容与格式要求作进一步的明确、细化规定，相应地即无法律强制要求签署《标准合同》。但值得注意的是，鉴于企业所提交的申报材料中的法律文件基本都是以合同的形式呈现，实操中网信部门会按照《标准合同》的要求审核企业所提交的法律文件，因而我们建议，通过“申报网信部门安全评估”路径而实现数据出境的企业，所提交的法律文件应尽量达到《标准合同》的要求。

《个保法》并没有明确规定在此种情形下，境外个人信息处理者需要签署《标准合同》。根据《标准合同规定（征）》第二条的规定，《标准合同》的适用主体为“依据《个保法》第三十八条第一款第（三）项，与境外接收方订立合同向中华人民共和国境外提供个人信息的个人信息处理者”，在《标准合同》第一条定义部分规定了“境外接收方”的定义，其指的是位于中华人民共和国境外并自个人信息处理者处接收个人信息的组织或个人。结合前述《标准合同规定（征）》的两条规定，我们认为并不能直接推导出在题述情况下需要签署《标准合同》，仍有待后续立法和监管的释明。

无论企业是触发数据出境安全评估申报条件，还是企业选择个人信息保护认证或是《标准合同》路径进行数据出境，均须签订法律文件。在前两种出境路径项下，企业可自主选择此等法律文件的形式。在当《标准合同》与企业先前签署的数据传输协议均适用中国大陆地区法律的前提下，按照中国大陆地区法律的通常理解，在先后两份协议有冲突的情况下，应以后一份协议约定为准（除非前一份协议有作出特别的相反约定，排除后一份协议条款的适用）。此外，《标准合同规定（征）》亦规定，“个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同，不得与标准合同相冲突。”

《数据传输协议》是境内数据处理者与境外接收方之间就某一特定数据出境事项签署的协议，不仅体现了数据出境的目的、方式、数据种类等内容，也约定了境外接收方应履行的责任和义务，由于协议内容有所不同，一般无法与多个境外接收方同时签署一份《数据传输协议》。同理，境内数据处理者也应就特定数据出境事项对每一个境外接收方进行单独的数据出境风险评估，但不同境外接收方的风险评估内容可以体现在一份数据出境风险自评估报告当中。

“自主缔约与备案管理相结合”规定在《标准合同规定（征）》的第三条中体现。我们理解，“自主缔约”是指，对适用《标准合同规定（征）》的主体，在进行个人信息出境时，应与境外接收方自行订立《标准合同》；若双方订立有其他与个人信息出境活动相关的合同，则不得与《标准合同》内容相冲突。而“备案管理”则是国家对于《标准合同》的备案要求，根据《标准合同规定（征）》第七条的规定，个人信息处理者在《标准合同》生效后10个工作日内，应向所在地省级网信部门进行备案。因而，选择签署《标准合同》路径的企业应进行备案。

从《标准合同》的内容来看，《标准合同》的第三方受益人即是指在涉数据跨境的个人信息处理活动中，个人信息处理者和境外接收方签订具有法律约束力文件中被个人信息处理者处理个人信息的个人信息主体，个人信息主体依据相关法律法规，拥有知情权、决定权、限制或拒绝他人对其个人信息进行处理的权利、查阅权、复制权、更正与补充的权利、删除权，以及要求对其个人信息处理规则进行解释说明的权利等。如果个人信息主体未在三十天内明确拒绝该等身份，则可以依据《标准合同》的约定享有第三方受益人的权利。

《标准合同》的第二条第八款规定了应个人信息主体之要求，个人信息处理者应向个人信息主体提供《标准合同》的副本。考虑到企业可能会在《标准合同》的附件中列明商务条款或知识产权条款等与个人信息主体权益本身并无关联性或影响的内容，这些条款内容可能属于商业秘密或机密信息，因此，建议企业在向个人信息主体提供副本文件之前，将这些涉及商业秘密或机密信息的内容进行适当遮蔽再行提供。此外，企业也需要考虑采取何种方式向个人信息主体提供该等副本文件，并尽量保证副本文件访问、浏览、阅读的便捷性。

根据《标准合同》第三条第七款，境外接收方将个人信息提供给境外第三方时应满足:1）确有必要；2）已向个人信息主体履行告知义务并取得单独同意；3)与第三方达成书面协议且第三方的保护水平不低于我国规定的保护标准；4）向个人信息处理者提供与第三方签署的协议副本。因而我们建议，企业在与境外接收方签署协议时，可要求境外接收方向第三方再转移数据时事先征得企业的同意，且在个人信息再转移前向个人信息主体履行告知同意义务。

根据《个人信息保护认证实施规则》第一条，个人信息保护认证的适用范围是对个人信息处理者开展个人信息收集、存储、适用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证，以及第二条认证依据中“对于开展跨境处理活动的个人信息处理者，还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求”。这表明，《个人信息保护认证实施规则》项下的“个人信息保护认证”的适用范围包含并大于《个保法》第三十八条第一款第（二）项所指的个人信息出境前需要进行的个人信息保护认证（即本题所指的“个人信息跨境处理活动安全认证”，下同），个人信息跨境处理活动安全认证是个人信息保护认证的内容之一。

从《认证规范V2.0》的规定来看，“个人信息跨境处理活动安全认证”路径较适合以下两类主体的数据跨境活动：1)跨国公司或同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动；2)《个保法》第三条第（二）款规定的境外个人信息处理者处理中国境内自然人个人信息的活动。

在个人信息保护认证制度出台前，我国数据安全认证领域已有App个人信息保护认证与数据安全管理认证两种认证制度。如问题53回答所言，个人信息保护认证针对的是个人信息处理全生命周期的保护认证框架，认证依据为《信息安全技术 个人信息安全规范》和《个人信息跨境处理活动安全认证规范》；而数据安全管理认证是对数据处理全生命周期的管理体系认证，认证依据为《信息安全技术 网络数据处理安全要求》。两种认证制度在认证的对象类型存在差异，企业也应根据自身的认证目的、企业主要从事的业务去选择适合的认证制度。