某国内头部IT服务企业

该集团成立20余年，是一家面向全球客户提供IT服务外包和行业解决方案的数字技术服务企业。公司年营业额30亿元，员工万余人，集团下属子公司30余家，分布在华北、东北、华东、华南、西南等地区的中心城市，在日本东京、京都等地设有子公司。

一、背景情况

某国内头部IT服务企业

客户海外业务情况

本案例主要涉及该集团的对日IT服务外包业务。集团的日本客户覆盖医疗、金融、通信、流通等领域，每年有大量的跨国项目进行，业务往来涉及到集团总部与日本子公司之间、集团总部与日本客户之间、国内子公司与日本子公司之间、国内子公司与日本客户之间，围绕市场、销售、项目管理、公司事务等繁多的业务事项，涉及大量的跨国数据流动。

二、案例分享

案例简介

本案例为中央网信办于2023年5月30日发布《个人信息出境标准合同备案指南（第一版）》后，数安信成服务的首个备案案例。

本案例中，数安信成集合了公司的优势专家资源，包括：企业经营管理咨询专家、信息安全管理专家、IT技术专家、法务及翻译人员，成立项目组，结合既往《数据出境安全评估》咨询服务经验及《指南》要求，与企业方密切配合，在两个月内备案通过，该集团成为全国第二个、辽宁第一个《个人信息出境标准合同备案》企业。

本案例作为样本，在本地区网信部门的《个人信息出境标准合同备案》推动工作中，面向本地区企业进行了多次集中分享，起到了很好的宣传示范效应。

同时，以本案例的实施过程为基础，数安信成总结形成了《个人信息出境标准合同备案》合规自评估服务的标准化服务流程，以期帮助企业快速完成备案工作。

案例实施过程分享

本案例实施主要分为五个阶段工作，分别为：

1. 成立备案项目组

2. 标准合同备案

3. 标准合同签订、评估报告编制

4. 业务场景确定与安全整改

5. “个人信息出境”业务场景梳理

第一阶段，成立备案项目组

本阶段主要工作是成立联合项目组；制定项目计划；对企业方的主要参与人员进行个人信息出境有关法律法规、标准规范的培训，以便统一认识，有利于后续工作推进。

项目组织架构图

第二阶段，“个人信息出境”业务场景梳理

本阶段主要工作是组织个人信息出境有关的业务职能部门、境外接收方、信息安全管理部门、IT部门，对“个人信息出境”有关的业务工作、职能工作进行梳理。

包括：境外接收者梳理、业务场景梳理、出境目的梳理、出境数据（数据项/数据量）梳理、处理方式梳理、IT环境梳理、个人信息保护体系梳理。

第三阶段，业务场景确定与安全整改

本阶段主要工作：

确定业务场景。根据前期的业务场景梳理成果，明确备案的业务场景、境外接收者、出境目标、出境数据项及规模、处理方式等情况；确定公司信息安全及个人信息安全有关的体系建设信息；确定备案业务场景有关的公司、境外接收者的系统平台、存储、网络安全、数据存储等IT环境信息。
制定整改方案。对标业务场景当前的业务情况、信息安全情况、IT技术情况与国家法律法规、标准规范的差距，制定《整改方案》。
安全整改。依据《整改方案》进行安全整改；业务整改（需境外接收者配合）；敏感个人信息脱敏/非必要数据取消等；IT 安全加固（系统、网络、存储等）；个人信息安全保护相关体系完善等。
确认整改成果。对安全整改成果进行核查，确定其符合《整改方案》要求，符合国家法律法规、标准规范要求，达到备案条件

第四阶段，标准合同签订、评估报告编制

本阶段主要工作是配合企业完成标准合同的签订；《个人信息保护影响评估报告》编制；其他备案材料的准备等工作。

《评估报告》编写重点包括：个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；其他可能影响个人信息出境安全的事项。

第五阶段，标准合同备案