个人信息处理者需自查是否适用《办法》，即是否同时符合下述四项条件：1.非关键信息基础设施运营者；2.处理个人信息不满100万人的；3.自上年1月1日起累计向境外提供个人信息不满10万人的；4.自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

就第一个条件关于关键信息基础设施的判断，主要根据保护工作部门的认定通知，其法律依据为《关键信息基础设施安全保护条例》。该条例第二条涉及的重要行业和领域的主管部门、监督管理部门（或称保护工作部门）制定认定规则并负责组织认定本行业、本领域的关键信息基础设施。关键信息基础设施主要涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。如个人信息处理者被认定为关键信息基础设施运营者，则个人信息出境处理活动不适用《办法》。

就第二个条件，从上下文看，该条款应理解为个人信息处理者已处理或拟处理的个人信息总量不应超过100万人。如发生变化，处理个人信息超过100万人的，如何处理？《办法》并没有规定，标准合同也没有约定此类情形的处理方法。但从合同文本附录一需明确数据规模以及《办法》禁止数量拆分等规定，笔者以为如个人信息处理者处理规模发生变化，其所处理的个人信息满100万人的，应当停止通过订立标准合同方式向境外提供个人信息。

就第三、四个条件，《办法》明确规定“个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。”笔者认为其中之意包含了禁止变相的数量拆分。如：个人信息处理者的关联方也拟向境外提供个人数据，需留存证据以证明数据独立控制以及决策独立，以免被作出不利认定。

另外，除了《办法》规定的四个条件外，还应当注意符合《个人信息保护法》第三章的规定，即还有以下不适用《办法》的情形：1.“境外接收方”不是国家机关；2.“境外接收方”不是境外司法机关；3.“境外接收方”不是我国根据对等原则采取的禁止、限制或者其他类似措施的国家或者地区的组织、个人。

一旦涉及到个人信息出境，个人信息处理者应当在事前对个人信息保护影响进行评估并出具评估报告，且报告及处理情况记录应当至少保存三年。

根据《个人信息保护法》及《办法》第八条的规定，评估所涉的个人信息应当进行动态管理，一旦发生变化，需要进行重新评估。《办法》详细规定了对个人信息保护影响评估的重点评估事项。除了规定的内容外，笔者认为个人信息处理者还应当评估是否存在“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”（可参考GB/T 35273《信息安全技术 个人信息安全规范》及相关标准）。如存在该类个人信息，则该个人信息则存在认定为敏感个人信息的可能，那么在出境个人信息数量上应进行调整，同时判断是否符合适用《办法》的条件，以避免监管处罚。

标准合同可见《办法》附件。从文本看，合同内容不能进行修改。而如有需要补充的，可在附录二中进行约定。笔者将另撰文对标准合同进行分析。

同时，笔者注意到标准合同文本中对 “个人信息处理者”定义为在个人信息处理活动中自主决定处理目的、处理方式的组织、个人，其范围小于《个人信息保护法》下“个人信息处理者”。对通过以订立标准合同方式向境外提供个人信息方式的组织、个人也应当明确其是否符合《办法》所附标准合同文本的个人信息处理者特征。

如以订立标准合同方式向境外提供个人信息，则应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。为避免生效日至备案日期间存在情势变更而引起争议，建议在标准合同中附录二中对此进行补充约定。

综合对个人信息出境的各项要求，笔者建议个人信息处理者进行动态管理和合规审查。例如：制作自查清单，进行动态监控管理，一旦发生变化导致不符合上述条件，则应当依法采取措施。一旦发生《办法》第八条规定的情形的，依法重新开展个人信息影响评估，补充或者重新订立标准合同，并履行相应备案手续。一旦发生不适用《办法》的情形，应依法变更个人信息出境的方式。

结语