個人信息處理者需自查是否適用《辦法》,即是否同時符合下述四項條件:1.非關鍵信息基礎設施運營者;2.處理個人信息不滿100萬人的;3.自上年1月1日起累計向境外提供個人信息不滿10萬人的���;4.自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的。
就第一個條件關于關鍵信息基礎設施的判斷,主要根據保護工作部門的認定通知����,其法律依據為《關鍵信息基礎設施安全保護條例》�����。該條例第二條涉及的重要行業和領域的主管部門、監督管理部門(或稱保護工作部門)制定認定規則并負責組織認定本行業、本領域的關鍵信息基礎設施。關鍵信息基礎設施主要涉及公共通信和信息服務、能源�、交通���、水利��、金融、公共服務、電子政務、國防科技工業等重要行業和領域的���,以及其他一旦遭到破壞�、喪失功能或者數據泄露�,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。如個人信息處理者被認定為關鍵信息基礎設施運營者,則個人信息出境處理活動不適用《辦法》��。
就第二個條件�����,從上下文看,該條款應理解為個人信息處理者已處理或擬處理的個人信息總量不應超過100萬人�����。如發生變化�����,處理個人信息超過100萬人的��,如何處理?《辦法》并沒有規定,標準合同也沒有約定此類情形的處理方法��。但從合同文本附錄一需明確數據規模以及《辦法》禁止數量拆分等規定�,筆者以為如個人信息處理者處理規模發生變化,其所處理的個人信息滿100萬人的,應當停止通過訂立標準合同方式向境外提供個人信息�����。
就第三�����、四個條件���,《辦法》明確規定“個人信息處理者不得采取數量拆分等手段����,將依法應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供�。”筆者認為其中之意包含了禁止變相的數量拆分。如:個人信息處理者的關聯方也擬向境外提供個人數據�,需留存證據以證明數據獨立控制以及決策獨立��,以免被作出不利認定。
另外,除了《辦法》規定的四個條件外����,還應當注意符合《個人信息保護法》第三章的規定,即還有以下不適用《辦法》的情形:1.“境外接收方”不是國家機關�;2.“境外接收方”不是境外司法機關���;3.“境外接收方”不是我國根據對等原則采取的禁止�、限制或者其他類似措施的國家或者地區的組織�、個人。
