中外合作办学模式下广东高校学生个人信息数据出境实务要点与合规管理思路丨威科先行

作者丨 王偕林、张伯驹

机构丨华商律师事务所

* 本文为威科先行独家内容，未经授权请勿转载

1. 获得个人信息主体的书面或明示同意：《实施指引》明确规定了按照实施指引通过订立标准合同跨境提供个人信息的，个人信息处理者跨境提供个人信息前，应当按照个人信息处理者属地法律法规要求告知个人信息主体或者取得个人信息主体的同意。以深圳为例，根据《深圳经济特区数据条例》要求，数据处理者应当在处理个人数据前，征得个人信息主体的同意，并在其同意范围内处理个人数据，并且在涉及处理敏感个人数据时，应在处理前获得个人信息主体的明示同意。[1]

结合前述规定及笔者实操经验，如高校在跨境提供学生个人信息前，应当按照个人信息保护法的要求告知学生并取得其同意。[2]而往往学生个人信息可能会涉及其敏感个人信息（如生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息），因此在获得学生同意的形式上，建议可以采用单独的个人信息使用授权同意书交由学生签字确认，或者在校园OA系统进行账号登录注册的环节，以明确的单独弹窗+强制阅读时间+点击确认并同意授权的方式进行明示并获得学生同意确认，且对于该等同意书的内容需要结合学校自身教学管理和数据处理等具体需求进行针对性设置，而不能简单照搬套用模板，避免出现无法匹配学校实际需求等情况。

2.签订标准合同：个人信息处理者处理个人信息应当具有合法性基础，符合属地相关法律法规规定。就广东高校而言，应当与境外接收方订立标准合同，并确保合同生效后方可开展学生个人信息出境活动。[3]

在该标准合同签署过程中，根据《个人信息出境标准合同备案指南》的要求，对于实操中的要点提示如下：

（1）该标准合同可以与之前个人信息处理者与境外接收方已经签署过的合同或其他文件同时使用，即如果高校已经与境外信息接收方就个人信息出境等事宜签署过相应协议或者达成了某些决策（如通过校方管理层联席会议等形成了决策）或形成了相应制度（如制定的关于学生个人信息使用的制度等）的，则应考虑在该标准合同制作过程中如需要体现之前双方已达成共识的，在不违反《个人信息出境标准合同办法》的情况下，可以通过附件的方式作为标准合同的组成部分。

（2）需要明确适用的为中华人民共和国法律法规。这一点是基于本次个人信息传输的个人信息处理者即高校，其本身是位于中国内地，其行为系向境外接收方进行个人信息的传输，因此需要适用中华人民共和国法律法规，此处不应包含香港特别行政区、澳门特别行政区、台湾地区的法律法规。

（3）需要开展个人信息保护影响评估。这是高校作为个人信息传输者的义务，需要评估个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性等重点内容，且注意高校应自该评估作出之日保存至少三年。[4]

（4）需要与境外接收方配合，要求其履行相应法定义务。作为标准合同的相对方，境外接收方（如中外合作办学的外方学校）也需要履行相应的法定义务，包括根据个人信息主体的要求向个人信息主体提供本合同的副本、以为实现处理目的所必要的最短时间作为个人信息的保存期限且期满应当删除个人信息（包括所有备份）、再向第三方提供个人信息是还应符合标准合同中规定的相应前置要求。[5]

（5）建议选择仲裁机构作为标准合同的争议解决机构。鉴于我国法院作出的民事判决在境外执行存在一定程序上的难度，因此建议按照《承认及执行外国仲裁裁决公约》的规定选择我国依法设立的仲裁机构，并尽可能选择知名的仲裁机构，一方面可以更好地获得境外接收方的同意和认可，另一方面也可以充分发挥该仲裁机构在此类案件中的丰富审理经验，高效准确公平公正地解决双方之间可能产生的纠纷，同时在仲裁中是支持申请人为本次仲裁所支出的律师费由对方承担的，因此也减少了相应的维权成本。

3.标准合同备案：标准合同生效后，高校应在规定时间内向广东省互联网信息办公室备案，并提交必要的材料，如大湾区标准合同、承诺书等。[6]

（1）电子版预审：个人信息处理者及接收方先将备案材料电子版（正式扫描件PDF版和WORD版，光盘）提交所在地级以上市互联网信息办公室，经材料完整性检查后，由所在地级以上市互联网信息办公室送广东省互联网信息办公室预审。

（2）纸质版查验：电子版材料预审通过后，个人信息处理者及接收方送达纸质版材料（装订完整）并附带电子版材料（光盘）至广东省互联网信息办公室（邮政EMS寄递地址：广东省广州市0035信箱），电子版材料应当提供与纸质版材料一致的PDF扫描件和WORD版。广东省互联网信息办公室收到材料后，将按备案流程进行处理。

4.持续合规与监督：广东省互联网信息办公室在收到纸质版材料后的10个工作日内完成材料查验，并通知个人信息处理者备案结果。备案完成后，高校应持续遵守法律法规，采取必要措施保障数据出境安全，并在发生或可能发生数据安全事件时及时报告。

数据性质的界定

根据《数据出境安全评估办法》第四条的规定，数据处理者在以下情形需要向国家网信部门申报数据出境安全评估：

• 向境外提供重要数据；

• 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

• 自上一年起累计向境外提供10万人个人信息或1万人敏感个人信息的数据处理者向境外提供个人信息；

• 国家网信部门规定的其他需要申报的情形。

（1）重要数据：根据《数据出境安全评估办法》，“重要数据”指的是一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

对此，在实践中，高校可重点关注所处地区、行业和部门出具的重要数据的目录，这类数据可能需要更严格的出境管理。

（2）关键信息基础设施运营者：根据《关键信息基础设施安全保护条例》第2条规定，关键信息基础设施（“CII”），是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。其第9条和第10条规定，CII的保护工作部门应结合本行业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案；此外，保护工作部门还应根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。因此，高校应积极关注由保护工作部门发布的关于CII认定的通知。

（3）个人信息和敏感个人信息：《个人信息保护法》第4条和第28条分别对个人信息和敏感个人信息进行了定义。

高校在实践中，可参考推荐性国家标准《信息安全技术 个人信息安全规范》中列举的常见的个人信息和敏感个人信息进行判断。

同时，对于“科研数据”，需要评估学术合作中产生的科学数据，是否包含重要数据，是落入豁免情形直接出境，还是落入重要数据中，走数据出境安全评估路径。科学数据根据目前的信息暂时无法判断是否为重要数据，需要现场交流+监管部门沟通评估后确定。第二个项目可能是直接出境，无需履行任何程序，无需律师协助；也可能是需要履行数据出境安全评估程序，建议咨询专业服务机构意见。

根据《数据出境安全评估申报指南（第二版）》，以下情形属于数据出境行为：

（1）数据处理者将在境内运营中收集和产生的数据传输至境外；

（2）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；

（3）符合《个人信息保护法》第三条第二款情形，在境外处理境内自然人个人信息等其他数据处理活动。

这里需要注意到有关出境行为的调整，第二版数据出境行为第（一）条中删除了第一版中规定的境内数据“存储”至境外，但这不代表不限制“存储”行为，而是将其并入了“传输”行为中，因为境内数据“存储”到境外，从目前实践来看，必然会产生“传输”行为。所以，境内高校将学生个人信息数据存储在境外供应商的云服务器上，也属于数据出境行为。

除上述三种情形外，全国信息安全标准化技术委员会于2017年8月发布的《信息安全技术 数据出境安全评估指南（征求意见稿）》第3.7条还规定，以下情形属于数据出境：

（1）向本国境内，但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据；

（2）数据未转移存储至本国以外的地方，但被境外的机构、组织、个人访问查看的（公开信息、网页访问除外）；

（3）网络运营者集团内部数据由境内转移至境外，涉及其在境内运营中收集和产生的个人信息和重要数据的。

（1）履行个人信息保护影响评估义务

按照《实施指引》的规定，高校应当对拟向接收方提供个人信息的活动开展个人信息保护影响评估，重点评估个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性；对个人信息主体权益的影响及安全风险；接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。[7]

（2）在规定区域内提供个人信息

高校应按照《实施指引》，通过订立标准合同跨境提供学生个人信息，不得向粤港澳大湾区以外的组织、个人提供。[8]

（3）积极与网信部门取得沟通

数据出境合规与监管对于高校和监管部门来说，均属于新课题。因此，在自评估的环节，无论是在出境路径的适用上、还是在具体申报/备案材料的填写上，均应当积极与网信部门沟通，在表达自身诉求与理解的基础上，听取网信部门的建议。

（4）应对变化

高校跨境提供个人信息的目的、范围、种类、方式，或者接收方处理个人信息的用途、方式发生变化，延长保存期限，以及发生影响或者可能影响个人信息权益其他情况的，应当重新开展个人信息保护影响评估，补充或者重新订立大湾区标准合同，并履行相应备案手续。[9]

同时需要注意的是，上述步骤和风控提示要点均适用于广东高校作为个人信息处理者向境外传输数据的情况，如广东高校作为接收方，则还需要参照境外相关法律法规规定。