Q6：如何定义出境数据的“境外接收方”？

即使数据未转移存储至本国以外的地方，但被境外的机构、组织、个人访问查看或调用的（公开信息、网页访问除外），属于数据出境；同理，国内企业聘用的境外服务供应商通过境外服务器收集产生于中国境内的个人信息，也是属于数据出境。

“境外接收方”一般仅指向第一手境外接收方，数据再传输活动涉及的第三方境外接收方所在国家或地区的相关情况一般不需要评估。涉及多个境外第一手数据接收方时，需在自评估报告中结合业务场景，根据数据出境规模、涉及国家或地区的风险程度等因素，分别评估各接收方所具备的数据安全保障能力。

从跨国企业和其供应商的关系看，一般跨国企业和其聘用的供应商多为委托处理关系，还大多属于跨国公司总部直接委托境外供应商、签署数据处理协议的情况（约定跨国企业及各分支机构均为数据处理者，供应商为受托方）。当从中国境内收集或者在境内产生的数据被传输给境外供应商后，如果境外母公司可以自行查阅、浏览存储于境外服务供应商于境外服务器的中国子公司的数据，并且境外母公司供应商服务合同的相对方可以根据自己的目的进行处理（即以个人信息处理者的身份对中国境内生成的个人信息进行处理），则中国子公司实质是将个人信息出境传输至其境外母公司（即使出境的数据存储于境外服务供应商于第三国的服务器），境外母公司属于数据处理者角色的境外接收方。