在适用的优先级别上，数据出境安全评估、个人信息出境标准合同以及个人信息保护认证3种路径非并列关系，作为强制性义务，数据处理者应首先判断自身是否适用数据出境安全评估路径。属于：（1）关键信息基础设施运营者向境外提供个人信息或者重要数据；（2）关键信息基础设施运营者以外的数据处理者向境外提供重要数据，或者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息情形之一的，应当申报数据出境安全评估。不属于上述情形的，可以选择通过个人信息出境标准合同或是个人信息保护认证进行出境。

　　另外，数据处理者基于以下情形向境外提供我国境内个人信息，可免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。一是为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息；二是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；三是紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息；四是为履行法定职责或者法定义务，确需向境外提供个人信息；五是关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）。另外，自贸区内数据处理者，适用“负面清单制度”开展数据出境活动。

　　数据出境路径的具体适用情况见下表：