引    言

在金融机构国际业务高质量发展的背景下，个人信息跨境传输已成为跨境信贷、跨境支付等业务开展的必要环节。本文结合《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）《数据出境安全评估办法》《促进和规范数据跨境流动规定》《银行保险机构数据安全管理办法》以及将于2025年6月30日起施行的《中国人民银行业务领域数据安全管理办法》等法律规范，从法律框架和实务操作两个维度展开分析，为金融机构构建合规、高效的数据跨境传输体系提供指引。

一、个人信息出境界定

《个人信息保护法》对个人信息出境未作明确定义，第38条以“因业务等需要确需向境外提供”作概括性表述。2024年国家互联网信息办公室（以下简称“国家网信办”）发布的《个人信息出境标准合同备案指南（第二版）》第1条则对该行为作出明确界定，涵盖三类典型场景：

一是主动传输场景，个人信息处理者将在境内运营中收集和产生的个人信息直接传输至境外。

二是被动访问场景，个人信息存储于境内，但境外机构、组织或个人可查询、调取、下载或导出相关信息。

三是境外处理场景，符合《个人信息保护法》第3条第2款规定的境外处理活动，包括以向境内自然人提供产品或服务为目的，在境外分析、评估境内自然人行为的活动或法律、行政法规规定的其他情形。

二、个人信息出境路径

金融机构向境外提供个人信息需遵循《个人信息保护法》第38条确立的三种合法途径。一是通过国家网信部门组织的安全评估，二是按照国家网信部门的规定经专业机构进行个人信息保护认证，三是按照国家网信部门制定的标准合同与境外接收方订立合同。除法律规范另有规定外，金融机构可以根据自身业务实际就三种途径择一适用。

（一）路径1：数据出境安全评估

1.只能采用安全评估的场景
根据2022年国家网信办发布的《数据出境安全评估办法》第4条，以下场景中只能采用安全评估的个人信息出境方式：一是数据处理者向境外提供重要数据，二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者，三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者，四是其他国家网信部门规定的情形。

2.数据出境风险自评估报告和个人信息保护影响评估报告的双重要求
根据《数据出境安全评估办法》第5条，数据处理者在申报数据出境安全评估前，需开展数据出境风险自评估并形成报告。

《个人信息保护法》第55条明确，出现处理敏感个人信息、利用个人信息实施自动化决策、向境外提供个人信息或委托处理个人信息等情形之一，应事前进行个人信息保护影响评估。《个人信息出境标准合同办法》第7条亦规定，个人信息保护影响评估报告是向网信部门申请备案的必备文件。
由此可见，当数据处理者通过数据出境安全评估途径向境外提供个人信息时，需同时准备上述两类报告。国家网信办已分别针对数据出境风险自评估报告、作为个人信息出境标准合同备案附件的个人信息保护影响评估报告公布模板，二者核心差异在于前者综合国家安全及公共利益、个人信息权益保护，而后者注重个人信息权益保护、无需评估对国家安全及公共利益的影响，但需额外说明是否向第三方提供个人信息、如何确保个人信息出境标准合同条款落地等内容。实务中为提升效率，理解两类报告差异的前提下，可结合实际情况在个人信息保护影响评估报告基础上修改补充以满足数据出境安全评估申报需求。

（二）路径2：个人信息保护认证

1.个人信息保护认证的基本规范
2022年国家市场监督管理总局与国家网信办联合发布《关于实施个人信息保护认证的公告》，正式推出个人信息保护认证制度，旨在通过第三方评估机制推动个人信息处理者提升保护能力。公告附件《个人信息保护认证实施规则》为跨境信息处理活动提供了明确的操作指引。根据该附件，申请个人信息保护认证的主体需满足《信息安全技术 个人信息安全规范》《个人信息跨境处理活动安全认证规范》等最新版本标准的要求。

2.个人信息保护认证的基本流程
认证流程遵循“申请-审查-验证-审核-决定”的标准化路径：首先由委托人提交认证申请及相关资料—认证机构受理后制定个性化认证方案—委托技术验证机构对数据安全技术措施进行测试—认证机构开展现场审核并出具审核报告—认证机构作出认证决定并颁发认证证书（审核通过）或要求限期整改或终止认证（审核不通过）。

3.个人信息保护认证的有效期限
认证证书有效期为3年，有效期内委托人需接受认证机构的获证后监督，确保自身持续符合认证要求。认证证书到期有延续需求的，需在有效期届满前6个月内提出认证委托，认证机构采用获证后监督方式决定是否换发新证书。

从实务操作看，个人信息保护认证本质是通过第三方机构对个人信息处理者个人信息保护体系进行背书。由于认证涉及技术验证、现场审核等复杂流程，其实施难度、成本及认证难度显著高，更适用于数据体量大、跨境传输频次高的大型机构。

（三）路径3：个人信息出境标准合同

1.标准合同的基本规范
为规范与境外接收方订立标准合同以跨境传输个人信息的实务操作，2023年国家网信办发布《个人信息出境标准合同办法》，并于同年发布配套《个人信息出境标准合同备案指南（第一版）》、2024年更新《个人信息出境标准合同备案指南（第二版）》。国家网信部门有权根据监管需要调整模板内容，故个人信息处理者需持续关注更新动态。

2.标准合同的条款订立与补充
根据《个人信息出境标准合同办法》第7条，个人信息处理者需在标准合同生效后10个工作日内，向当地省级网信部门提交生效合同及个人信息保护影响评估报告进行备案。符合备案要求的，省级网信办将发放备案编号。如合同有效期内补充订立条款，需提交补充材料；如重新订立合同，则需重新履行备案程序，因此建议对于标准合同的非实质性调整通过签订补充协议而非新协议的方式进行。

此外，建议标准合同中关注并订立以下条款：一是监管配合条款，即个人信息的境外接收方应配合个人信息处理者接受监管机构监督管理，履行答复询问、配合检查、服从监管措施、提供行动证明等义务，“监管机构”一般指央行、我国网信部门及金融管理部门；二是基于境外接收方负有不得超出约定目的和方式处理个人信息的义务，建议个人信息处理者在标准合同附录“个人信息出境说明”中，结合业务模式详细列明所有可能的出境场景（人力资源管理、业务维持或改进、供应商背景调查等）。

个人信息出境标准合同途径为个人信息处理者提供了兼具灵活性与合规性的跨境数据传输方案，但需注意严格遵循标准合同模板要求与备案程序，确保全流程可追溯、可核查。

三、个人信息出境豁免情形

2024年国家网信办发布《促进和规范数据跨境流动规定》明确个人信息出境豁免以上三种申报路径的场景，为个人信息处理者简化合规流程提供操作空间。

一是不包含个人信息或重要数据的出境豁免（第三条）。国际贸易、跨境运输、跨国生产制造、市场营销及学术合作等活动中产生或收集的数据，若不包含个人信息或重要数据，可免于相关出境程序。

二是“数据过境”场景下的出境豁免（第四条）。在境外收集和产生的个人信息，传输至境内处理后再向境外提供，且处理过程中未引入境内个人信息或重要数据的，可免于相关出境程序。

三是特殊业务场景豁免（第五条）。属于为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的；按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的；关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的，可免于相关出境程序。

四是自由贸易试验区负面清单豁免（第六条）。自贸区在国家数据分类分级保护制度框架下，可自行制定需纳入安全评估、标准合同或认证管理的数据清单；区内数据处理者向境外提供清单外数据时，可免于相关出境程序。

需注意的是，上述豁免情形中涉及的个人信息均不包含重要数据。且豁免并非“无责”，需完整留存数据出境的必要性证明材料，如合作协议、业务流程、客户授权文件、数据用途说明、技术脱敏报告等有效证明，避免事后监管质疑。

四、关键信息基础设施运营者认定及数据出境

（一）关键信息基础设施运营者的认定规则

2021年国务院颁布《关键信息基础设施安全保护条例》（以下简称《条例》），其中第2条明确关键信息基础设施涉及的“重要行业和领域”涵盖金融行业。《条例》第10条和第11条确立了关键信息基础设施的识别采用“行业列举+授权认定”模式，即由重要行业和领域主管部门依据报国务院备案的认定规则，组织认定本领域关键信息基础设施，并将关键信息基础设施运营者（CIIO）的认定结果通知相关机构。尽管金融行业被明确列入《条例》适用范围，但考虑到我国金融机构数量众多且资产规模、客户数量差异显著，并非所有金融机构被“一刀切”认定为CIIO。

金融行业作为《关键信息基础设施安全保护条例》明确列举的重要领域，部分机构可能已被行业主管部门认定为CIIO。尽管具体认定由行业主管部门组织实施，但该认定可能存在滞后性，未收到认定通知的机构仍需自行判断是否符合CIIO标准。

（二）关键信息基础设施运营者的数据出境

为防范CIIO数据泄露对国家安全、社会公共利益和个人隐私造成的重大风险，我国法律对CIIO数据出境实施严格管理。《个人信息保护法》第40条规定，CIIO需将境内收集和产生的个人信息存储于境内，确需向境外提供的必须通过国家网信部门组织的安全评估。

值得注意的是，《促进和规范数据跨境流动规定》第7条明确CIIO数据出境申报数据出境安全评估的同时，明确前述第三条、第四条、第五条、第六条的豁免规定同样适用于CIIO，符合前述情形的可免于数据出境安全评估。

未被相关行业主管部门明确认定为CIIO的，仍需关注客户或合作方的CIIO身份，与CIIO进行业务活动时需要特别遵守CIIO跨境数据交互的合规义务，避免因合作方合规要求而引发连带风险。

五、结语

《银行保险机构数据安全管理办法》第36条规定银行保险机构向境外提供重要数据和个人信息的，按照国家有关政策进行安全评估。《中国人民银行业务领域数据安全管理办法》第24条规定数据处理者因业务等需要向境外提供数据的，需严格遵守国家网信部门规定。上述金融管理部门的规定进一步确认了网信部门相关规定对金融机构的约束力，但央行与金融监管总局在数据跨境领域的管理职责仍存在交叉。

随着全球数据治理规则加速迭代，金融机构个人信息跨境传输的合规环境将持续变化。国内层面，金融监管部门有望进一步完善金融数据跨境流动制度，明确金融领域的重要数据目录及免于出境合规义务的业务场景，统一监管合规口径。国际层面，RCEP、CPTPP、DEPA等数据跨境流动规则将对金融机构全球化布局产生直接影响。建议金融机构建立从法律规范跟踪到数据出境流程适配的响应机制，构建动态数据出境合规体系，在合规底线与业务创新之间寻求动态平衡，为“走出去”战略提供可持续的保障。