律师必看：数据（个人信息）出境三种模式的比较研究(3)

六、适用情形

《认证规范》第一条、第二条明确了个人信息保护认证所适用的两种情形及相应的申请主体。
其一，为跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动。值得注意的是，虽然《认证规范》规定“可以由境内一方申请认证，并承担相应法律责任”，但根据《网络数据安全管理条例（征求意见稿）》第三十五条的规定，“数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证”系数据出境的路径之一，此情形下境外一方是否需要申请认证，还需等待《网络数据安全管理条例》的出台。
其二，为《个保法》第三条第二款适用的个人信息处理活动，也即在境外以向境内自然人提供产品或者服务为目的，或为分析、评估境内自然人的行为而进行的处理活动。

《评估办法》与《标准合同》规定的适用情形可以说互为补充，以下四种向中国境外提供个人信息的情形不能通过签署标准合同方式，必须采用数据出境安全评估方式：
第一，数据处理者向境外提供重要数据，其中，根据《网络数据安全管理条例（征求意见稿）》第七十三条的规定，“重要数据”是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据；
第二，关键信息基础设施运营者（CIIO），其中，根据《关键信息基础设施安全保护条例》第二条的规定，关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等；