律师必看：数据（个人信息）出境三种模式的比较研究(4)

第三，处理的个人信息数量达到或超过100万人规模的企业（一般以企业全体部门所处理的个人信息数量之和进行计算）；
第四，在对累计的个人信息（或者敏感个人信息）数量进行统计时，需要从上一年的1月1日开始进行统计，统计结果超过了相关的个人信息数量（累计10万人的个人信息或1万人的个人敏感信息）。

七、出前评估

三种模式均要求在开展跨境传输之前，必须进行个人信息保护影响评估，《认证规范》规定的较为简单，《评估办法》与《标准合同》规定的较为详细，也较为相似，主要评估要点包括“跨境传输的合法性、正当性、必要性”、“可能对个人权益带来的风险”、“境外接收方的义务”以及“拟采取安全保障措施”等。同时《标准合同》也注入了一些创新点，特别是第五款纳入“境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响”的考量，借鉴了欧盟跨境传输评估（Transfer Impact Assessment，TIA）的做法，即其核心要点为评估第三国法律的实施是否会损害标准合同条款等跨境传输工具的有效实施。

八、具体内容

《评估办法》采取“风险自评估与安全评估相结合”，即在“自评估”后由国家网信部门对跨境数据进行评估，《认证规范》和《标准合同》则在“自评估”后采取签署有法律约束力和执行力的文件作为保障。
比照《评估办法》第五条与第八条，《标准合同》第五条与第六条，《认证规范》4.1条与4.2条，可知自评估的要求与后续安全评估或签署合同有对应关系，可以从其中重复的部分看出自评估的重点同时均是安全评估或签署合同的重点。
此外，《评估办法》的安全评估会从更宏观的领域评估境内合法合规性以及境外国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响。相较于《评估办法》的规定，《认证规范》中提出了一些新的条款内容，例如，境外接收方承诺并遵守统一的个人信息跨境处理规则，并确保个人信息保护水平不低于中华人民共和国个人信息保护相关法律、行政法规规定的标准；接收方应承诺接受认证机构监督等几项。同时，《认证规范》在其“摘要”中明确指出，申请个人信息保护认证的个人信息处理者应当符合 GB/T35273《信息安全技术个人信息安全规范》的要求，为选择此种模式的企业设置了一个较高的合规基准。