2022年6月30日，国家互联网信息办公室发布《个人信息出境标准合同规定（征求意见稿）》（“标准合同规定”）。《个人信息保护法》第三十八条明确列举了三种向中国境外提供个人信息的路径，包括：（1）通过国家网信部门组织的安全评估；（2）通过专业机构进行的个人信息保护认证；（3）与境外接收方订立国家网信部门制定的标准合同。由于订立标准合同兼具成本优势和可操作性，因此出境标准合同也一直是企业关注的重点。作为跨境提供个人信息的选择路径之一，理解标准合同文本的适用及内容有重要意义。 

由于申报安全评估与签订标准合同属于跨境个人信息传输的两种不同路径，因此他们在适用范围上应有明显的区分和界限。标准合同规定所列的适用情形就排除了《数据出境安全评估办法（征求意见稿）》应申报安全评估的范围。具体如下：

其中，标准合同规定并没有要求向境外提供个人信息永久累计，而是划定一个不超过2年的时间限制，自上年1月1日起累计。这种制度设计也有利于避免将大部分公司都纳入需申报安全评估的范围，对中小型企业是一种利好。不过，该种定期累计的做法也可能会给企业带来需要定期评估是否满足“向境外提供未达到10万人个人信息”及“向境外提供未达到1万人敏感个人信息的”的工作要求。

1.跨境传输前的个人信息保护影响评估

《个人信息保护法》明确规定，向境外提供个人信息应当事前进行个人信息保护影响评估，标准合同规定呼应了《个人信息保护法》的规定，明确了跨境提供个人信息项下个人信息保护影响评估的评估要点内容。

此前《数据出境安全评估办法（征求意见稿）》也对向境外提供数据前的自评估事项进行规定，从以下对比表格可以看出标准合同规定整体上借鉴了自评估的事项，主要评估要点包括“跨境传输的合法性、正当性、必要性”、“可能对个人权益带来的风险”以及“拟采取安全保障措施”等。但是，标准合同规定也有自己的特点，特别是纳入“境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响”的考量，借鉴了欧盟跨境传输评估（Transfer Impact Assessment，TIA）的做法，即其核心要点为评估第三国法律的实施是否会损害标准合同条款（Standard Contractual Clauses，SCCs）等跨境传输工具的有效实施。

2.备案管理

监管机构将备案管理作为一种监管手段，已多次出现在网信相关工作的监管文件中，包括《网络数据安全管理条例（征求意见稿）》《互联网信息服务算法推荐管理规定》等。在标准合同规定中，个人信息处理者对所备案材料的真实性负责，并未要求对备案材料的实质性审查。除此之外，备案管理的所应关注的事项包括：

标准合同规定提供了中国版跨境传输个人信息的标准合同文本，在使用该标准合同文本时可以进一步关注下述事项：

1.与其他出境相关的合同的关系

中国版标准合同文本规定了跨境传输个人信息的法定责任义务，个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同，均不得与标准合同相冲突。而在实践中，其他法域的监管机构也通过相应的标准合同文本管理跨境个人信息传输（例如欧盟SCCs等），因此跨国企业将会面临着协调不同法域标准合同文本的问题。

2.关于适用委托处理的场景

中国《个人信息保护法》规定个人信息处理者和受托人的角色。个人信息处理者在个人信息处理活动中可以自主决定个人信息处理目的、处理方式，而受托人则是接受个人信息处理者委托而处理个人信息。中国版标准合同文本规定了个人信息处理者向境外接收方提供个人信息的模式，并不适用受托人向境外提供个人信息的场景。

不过，中国版标准合同在境外接收方义务中，规定了“受个人信息处理者委托处理个人信息”的义务，说明境外接收方可以是受托人的角色，接受委托处理个人信息。

3.单独同意

中国版标准合同在“个人信息处理者的义务”及境外接收方再转移的义务中，均规定了“单独同意”的要求，与《个人信息保护法》的要求保持一致。值得注意的是，中国版标准合同在“单独同意”的部分也提到了“相关法律法规规定无需取得个人单独同意的除外”，进一步表示单独同意应该是同意的子集，如有其他个人信息处理的合法基础，并不必须取得跨境提供个人信息的单独同意。

4.责任承担

中国版标准合同文本明确规定了“个人信息处理者”的义务、“境外接收方”的义务。在责任承担上，个人信息处理者和境外接收方对因违反标准合同而共同对个人信息主体造成的任何物质或非物质损害承担连带责任。

同时，为了充分保障个人信息主体可以获得赔偿，中国标准合同文本以境内的“个人信息处理者”为抓手，明确个人信息处理者应就境外接收方因违反标准合同而对个人信息主体造成的任何物质和非物质损失向个人信息主体负责，之后再向境外接收方追偿。

标准合同规定说明了中国版标准合同的适用范围、个人信息处理者的合规义务以及法律责任等的内容，进一步推进了通过签订标准合同的方式向境外提供个人信息的落地执行。由于标准合同规定尚未正式实施，我们建议相关企业可以持续关注后续的立法进程。

王律师毕业于清华大学法学院，执业超过18年。王律师提供合规法律服务的客户包括国内外多家著名科技公司，并为多个中央部委和地方政府的立法和监管工作提供支撑。王律师兼任中国网络安全产业联盟数据安全委员会副主任委员、隐私计算联盟法律专家、清华大学法学院课程讲师、国际商会（ICC）数据治理工作组专家等职务。在数据保护领域，王律师先后获得ALB、The Legal 500、China Law ＆ Practice、Legalband等多个法律评级机构颁发的奖项。王律师曾为多家世界500强的医药企业提供数据合规服务，包括搭建数据合规体系，修改与第三方的数据处理协议，针对企业的数字化业务模式提供数据合规解决方案等。

卢璟律师先后毕业于北京大学和美国哥伦比亚大学，并获得法学学士和法学硕士学位。加入世辉之前，卢律师是美国盛德国际律师事务所的资深律师，并作为其中国生命科学团队的核心成员工作多年。卢璟律师在生命科学领域有着丰富的法律服务经验，其为客户提供的服务包括：在各类交易或合作项目中（例如：产品许可交易、推广服务外包交易、广阔市场项目、零售渠道合作项目、患者援助项目、数字化平台管理项目等）为企业提供商业谈判、尽职调查、协议起草以及法律及合规风险分析等服务，协助企业搭建数据合规体系以及反腐败合规体系，评估合规治理有效性，在并购交易中开展合规尽职调查，代表企业开展针对员工的内部合规调查等。加入世辉之前，卢律师是美国盛德国际律师事务所（Sidley Austin LLP）的资深律师，并作为其中国生命科学团队的核心成员有超过10年的工作经验。