【从零读懂】数据出境合规100问 | Part 2下篇：《个人信息出境标准合同规定（征求意见稿）》高频问题与适用解读

Original 王捷资深出海法律顾问出海互联网法律观察

2024-08-25

必读收藏

数据出境合规100问

《数据出境安全评估办法》与

《个人信息出境标准合同规定（征求意见稿）》

剖析与解读

导言

随着《个人信息出境标准合同规定（征求意见稿）》（以下简称《规定》）、《数据出境安全评估办法》（以下简称《办法》）的相继公布，由《个人信息保护法》第三十八条确定的数据出境选用路径的实践脉络已经越发清晰，可以判断，数据出境合规是企业数据出海必须面对的课题。我们一直专注于网络法实务，特别是数据合规实务工作，在日常为各大企业提供合规服务的过程中，亦遇到各类新型的值得探讨的问题。为了方便实务，让数据出境需求者能够尽快的熟悉，理解我国关于数据出境的各项法律要求与规定，我们计划以《规定》及《办法》作为基础，对我国数据出境有关的法律问题进行一个全方位的解读，一方面对数据出境相关的法律法规进行分析，另一方面也就日常工作中遇到的高频出境问题进行总结。我们热切地期待与各位同行朋友深入探讨各种新型问题，有任何数据合规实务需求与问题探讨，请随时联系王捷律师团队，联系方式见文末。

本系列文章将分为以下四部分

第一部分：初阶--数据出境关键概念剖析

第二部分：进阶--《个人信息出境标准合同规定》高频问题与适用解读

第三部分：进阶--《数据出境安全评估办法》高频问题与适用解读

第四部分：高阶—数据出海实践关键问题与海外SCC要点对比

在认识清楚数据出境相关的基本概念后，后续的内容将开始对数据出境的两部重要法规进行分析，本篇是第二部分进阶篇，主要就《个人信息出境标准合同规定（征求意见稿）》的高频问题与适用进行解读。

文 / 王捷律师团队

第二部分下篇：

《个人信息出境标准合同规定》高频问题与适用解读

本部分下篇将回答以下问题：

Q33.《规定》第四条中的100万、10万、1万是指人数还是个人信息的条数？

Q34.个人信息的信息数量计算单位是什么？

Q35.个人信息保护影响评估是否是《规定》中的必备要求？

Q36.个人信息保护影响评估中的主要评估内容是什么？

Q37.延伸-《规定》中要求的个人信息保护影响评估的难点是什么？

Q38.如何理解“境外接收方处理个人信息的活动是否达到本法规定的个人信息保护标准”？

Q39.如何在实务中确定境外接收方的政策法规变化是否影响了个人信息权益？

Q40.延伸-《标准合同》模板中，技术水平、技术措施、进到最大努力、足够保护，这些不够精准的表达如何理解？

Q41.未履行备案程序需要承担相应法律责任，但是若因备案标准不清晰，难以落实，该如何处理？

Q42.在满足何种情况下，境外接收方可以再向境外第三方提供所接收的个人信息？

Q43.境外接收方向境外第三方再次提供所接收的个人信息，是否需要再次签署《标准合同》？

Q44.企业在何种情况下可以解除《标准合同》，以及需要注意的问题包括哪些？

Q45.《标准合同》的违约救济途径包括哪些？

Q46.企业是否需要向个人信息主体提供《标准合同》副本文件？在提供时有什么注意事项？

Q47.数据出境场景中，除“单独同意”外，企业还需告知用户哪些内容？

Q48.企业违反《标准合同》规定的，对企业出境活动有什么影响？

本次《规定》的发布一共包括两个部分。

第一部分为个人信息出境的标准合同法律规定，阐明了《规定》附件中的合同模板（以下简称《标准合同》或中国版SCC）的适用范围，适用要求，责任承担等基本问题。

第二部分为国家网信办制定的《标准合同》，共包括9项合同条款，涉及个人信息处理者与境外接收方的权利义务以及第三方受益主体的权利及救济内容。《标准合同》中包含两份附录，供出境双方填写个人信息出境说明以及补充条款。

本文将会总结《规定》中在业内以及企业实务方面常见的关注点以及困惑的内容并进行整理及解答。

Q33.《规定》第四条中的100万、10万、1万是指人数还是个人信息的条数？

本条中的3个数字均指的是人数，不是条数。举个极端的例子，从目前的规定来说，如果某企业的国内用户人数超过了100万，即便向境外接收方提供了一条个人信息，也需要按照《办法》的规定申报网信办安全评估。

Q34.个人信息的信息数量计算单位是什么？

《规定》中提及过“出境个人信息的数量”，并且出境个人信息的数量的变更将会触发重新签署《标准合同》的可能，因此，如何判断个人信息的“数量”非常重要，这一点也是笔者存疑并一直思考的地方。

实务中，一旦开启数据跨境传输的业务，境外接收方就会不断接收到来自境内的个人信息，如何在标准合同中确定出境个人信息的“数量”成为一个有待解决的问题。该“数量”是以条数、量级、范围计算不甚明确，以及企业在填写个人信息数量时是否可以填写具体的范围，而不是具体数字，仍然有待监管机关进一步明确。

Q35.个人信息保护影响评估是否是《规定》中的必备要求？

这个问题的结论是肯定的，符合条件的企业如果想要选用签署标准合同的方式完成数据出境就必须要进行个人信息保护影响评估，我国依据《标准合同》开展出境活动采用的是自主缔约和备案管理相结合的方法，签订标准合同的个人信息处理者必需要进行备案，个人信息保护影响评估报告就是备案材料之一。

Q36.个人信息保护影响评估中的主要评估内容是什么？

评估内容主要围绕可能产生个人信息安全风险的各事项进行展开，《标准合同》在其第五条有列明重点评估的内容：

结合王捷律师团队已为不同企业做过的个人信息保护影响评估，以及上述内容判断，评估主要从处理者及接收者双方的个体情况、合同内容、个人信息的数据状况、可能发生的安全事件情况以及目的国的法律环境五个维度进行评估，后续企业在进行评估活动时，可以依据上述五项维度分类，设计类型化的评估环节以及完成有针对性的材料准备。

Q37.延伸—《规定》中要求的个人信息保护影响评估的难点是什么？

个人信息保护影响评估要求企业对境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响进行评估，此为评估的难点。

在《出境安全评估办法》中，该项评估是由网信部门进行的。境外政策的变化，是否会影响合同履行，影响的程度如何，实务中由企业判断存在一定难度。企业可能需要境外律师协助评估才能满足相应的评估要求。此外，为了方便企业评估活动，可以在与数据接收方签订的合同中，约定数据接收方有义务协助提供当地的法律政策文本、协助企业进行评估以及在政策变动时及时告知等。

总之，基于此评估要求，企业需要密切关注数据接收方所在国/地区的法律动态。

Q38.如何理解“境外接收方处理个人信息的活动是否达到本法规定的个人信息保护标准”？

该问题的本质是要如何判断一个境外接收方整体上满足《标准合同》的要求，规定中对境外接收方的考虑主要包括三个方面：

第一是境外接收方的情况，包括技术、管理制度、应急处理能力等，需要确认境外接收方在技术以及制度上具有保护个人信息安全的能力；

第二是境外接收方与个人信息处理者的合同内容，确认双方与个人信息相关的责任要求符合规定标准；

第三是境外接收方所在的地区环境，主要考虑其所在的国家及地区的政策是否会影响个人信息权益。

王捷律师团队曾于2020年出具《全球数据合规观察报告》，里面有就不同国家与地区的数据保护法律环境情况进行介绍，以帮助企业客户更全面地了解目标国家与地区的数据保护动态。

Q39.如何在实务中确定境外接受方的政策法规变化是否影响了个人信息权益？

这是实务中企业完成个人信息影响保护评估的难点，受限于跨地域、跨法域会产生信息差的客观原因，企业在进行个人信息保护影响评估时要毫无疏漏地分析境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响颇为困难，实务中要求企业需要更有意识的使用全球法律视角来判断问题，有数据出境业务的企业要对出境国家及地区的法律规定、政策变化保持敏感度。

王捷律师团队曾于2021年出具的《中国与海外多国/地区数据保护及企业合规要点对比报告》，里面有就部分主流出海国家与地区的数据保护法律要点进行分析与比对，以帮助企业客户更全面地掌握出境目标国家及地区的合规要点。

Q40.延伸—《标准合同》模板中，技术水平、技术措施、尽到最大努力、足够保护，这些不够精准的表达如何理解？

这不仅是实务中企业常有的困惑，同时也是业界颇为关注的问题，对于该问题可以分两个层面进行回答。首先我们可以理解法律中的这些概念表述所希望追求的法律效果，达成的法律目的是什么，这样我们在完成评估的过程中许多内容就可以基于想要追求的效果作为行动标准进行判断，其次，我们可以进一步分析标准细化的规定与方法。

从《标准合同》的内容上判断，数据安全以及保护个人信息权益是重要的规范目标

这在《标准合同》的多项规定中都可以体现，比如《标准合同》第八条第（六）项规定尽管在境外处理者违反规定侵害个人权益的情形下，个人信息处理者也可能需要先向个人信息主体承担责任。因此，在判断自己的出境活动评估是否已经是尽到“最大努力”、并“足够保护”个人信息主体时，企业应保持一个严格的态度，并在评估的过程中增加“个人信息主体权益”的判断视角。

我国数据出境法律不断完善的过程实际也是出境标准细化的过程，《标准合同》中的许多技术指标，我国各部门机关是有提供细化规范参考的

如《信息安全技术—个人信息安全影响评估指南》提供的更细节的流程、事项指引，同时，实践中企业对自评估各事项的经验总结以及有关部门对各评估事项完成度的反馈也是细化这些概述表达的方法。

Q41.未履行备案程序需要承担相应法律责任，但是若因备案标准不清晰，难以落实，该如何处理？

回应该问题需先判断《标准合同》确认的备案适用标准，再进一步分析备案标准是否存在需要考虑适用范围不清晰的部分。

首先，问题中提及的备案制度作为《规定》中的要求，当然是在企业开展数据出境活动中适用，数据出境的判断标准我们在第一部分的基础概念解答中已经有详细的解答，标准相对清晰。

其次，判断数据出境中企业在何种条件下可以适用《规定》并进行备案，《规定》内容中有详细要求，前文也有进行列举。

从现阶段规定的适用标准来看，还是比较明确的，基于规定，企业适用不清晰的情况应该很少出现，但仍值得进一步分析:

第一，何为非关键信息基础设施运营者，这个标准我们第一部分也完成了详细解读；

第二，若企业现阶段尚符合备案标准，但可能日后有不符合的风险如何处理，由于此时不符合备案条件的情形尚未发生，我们认为该阶段企业仍然可以选用《标准合同》的路径，但是一般该情况可以在个人信息影响保护评估中体现，如确有超过条件风险的，企业宜提前做好准备，例如考虑落入安全评估范围时的数据出境规则。

Q42.在满足何种情况下，境外接收方可以再向境外第三方提供所接收的个人信息？

境外接收方原则上不应再向境外第三方提供所接收的个人信息，除非业务确有需要，并且满足特定的要求。具体而言，《标准合同》要求境外接收方将向个人信息提供给位于境外的第三方时需要同时满足以下要求：

明确有特定的业务需要而提供个人信息

告知个人信息主体境外第三方的具体信息（境外第三方身份、联系方式、处理目的、方式、个人信息种类及个人行使权利的方式和程序），并获取个人信息主体单独同意（但法律法规另有规定的除外）

涉及敏感个人信息的，则需要向个人信息主体告知传输敏感个人信息的必要性及对个人的影响。若难以告知或难以取得单独同意，则境外接收方应及时告知个人信息处理者并请求其协助告知个人信息主体或协助取得个人的单独同意

与境外第三方达成书面合同，确保境外第三方的保护水平不低于我国数据保护法律的标准

承担因再提供而可能导致的个人信息主体损害的连带责任

向个人信息处理者提供以上规定的合同副本

因此，企业在海外业务开展过程中，应首先判断是否确实有进行境外二次流转的必要，若确有必要的，不仅应获得个人信息主体的单独同意（但法律法规另有规定的除外），还应签订合同，以保障第三方对个人信息的保护水平不低于我国相关法律法规规定的个人信息保护标准，并承担因再提供而可能导致对个人信息主体造成损害的连带责任，此外，还应主动向中国境内的数据处理者提供以上合同的副本。

Q43.境外接收方向境外第三方再次提供所接收的个人信息，是否需要再次签署《标准合同》？

如果在部分业务场景中境外接收方确需将所接收的个人信息提供给境外第三方，在满足Q42中所列明的条件的同时，建议境内个人信息处理者在与境外数据接收方所签订的《标准合同》中以排他性列举的方式明确境内个人信息处理者所认可的境外第三方（即分处理者或次处理者）。

未经境内个人信息处理者同意，不得再向境外第三方提供个人信息，并要求境外数据接收方对第三方的过错承担连带责任。

综上所述，若存在境外接收方向境外第三方再次提供所接收的个人信息的情况，境内个人信息处理者可以直接在与境外接收方所签的《标准合同》中约定关于境外第三方的相关条款，比如在《标准合同》附录一的第（六）项中阐明境外接收方可能再向哪些第三方主体提供个人信息，避免重复签订《标准合同》或补充协议以及进行多次备案。

Q44.企业在何种情况下可以解除《标准合同》，以及需要注意的问题包括哪些？

当企业与境外接收方在履行《标准合同》的过程中，根据《标准合同》第七条的规定，企业可以在出现以下情况的时候与境外接收方解除合同：

（1）境外接收方严重或持续违反标准合同规定的义务；

（2）境外接收方遭遇了破产、解散或清算等情况。

如果出现以下情况，则企业和境外接收方任何一方都可以解除合同：

因境外接收方违反合同规定的义务，且企业暂停向境外接收方传输个人信息的时间超过一个月

境外接收方继续遵守标准合同将会违反其所在国家的法律规定

根据境外接收方的主管法院或监管机构作出的不能上诉的终局性决定，境外接收方或企业违反了标准合同的规定

在监管机构按照相关法律法规作出个人信息出境相关的决定导致标准合同无法执行的情况下

需要注意的是，标准合同的解除，并不能免除境外接收方在个人信息处理过程中的个人信息保护义务，境外接收方应当返还、销毀或匿名化处理接收的个人信息；并提供对应的审计报告。

Q45.《标准合同》的违约救济途径包括哪些？

发生违反《标准合同》的情形时，个人信息处理者、境外接收方、个人信息主体及有关部门都有可采取的救济措施：

个人信息处理者、境外接收方

对于数据出境相关的双方而言，任意一方出现违反合同义务情形的，另一方可以要求其承担违约责任，《标准合同》提供的合同模版中规定违约责任及于非违约方遭受的损失，在法定情形下或协商一致的情况下，双方亦可解除合同。

个人信息主体

对于个人信息主体，也即第三方受益人而言，合同任意一方侵害第三方受益人权益的，个人信息主体都有权获得赔偿。此外，《规定》还明确了任何组织和个人发现个人信息处理者违反《规定》的，都可以向省级以上网信部门投诉、举报。

监管部门

省级以上网信部门除通过接收备案进行监督外，也会对《标准合同》双方的实际处理过程进行主动监管。

Q46.企业是否需要向个人信息主体提供《标准合同》副本文件？在提供时有什么注意事项？

目前未见有规定强制要求企业需要主动向个人信息主体提供《标准合同》的副本文件，但考虑到这是企业的配合义务之一，因此仍然建议企业在签署《标准合同》后及时完成副本文件的准备，因为《标准合同》明确个人信息主体具有要求个人信息处理者提供其所签订的《标准合同》副本的权利，企业必须配合。在提供副本的过程中，企业可以着重考虑保密以及方便个人理解阅读的问题。

例如：

(1) 及时将《标准合同》进行适当处理，包括遮蔽机密信息（如有），避免商业秘密泄露；

(2) 提供便于个人信息主体理解合同的摘要内容；

(3) 在可行的情况下，提供《标准合同》副本公示入口或其他查看方式。

Q47.数据出境场景中，除“单独同意”外，企业还需告知用户哪些内容？

由于涉及数据的跨境传输，企业在进行数据出境时需符合《个人信息保护法》第三十九条规定的“单独同意”要求。此外，《标准合同》要求个人信息处理者与境外接收方依据《标准合同》附录一“个人信息出境说明” 所列约定开展与个人信息出境有关的活动，企业还需完成并向个人信息主体告知“个人信息出境说明”的相关情况，包括：

（1）传输的个人信息属于特定类别的个人信息主体，列出该特定类别的个人信息主体；

（2）传输的目的；

（3）传输个人信息的数量；

（4）出境个人信息类别；

（5）出境敏感个人信息类别；

（6）境外接收方传输的个人信息只向特定的接收方提供，列出该特定的接收方；

（7）传输的方式；

（8）出境后的存储时间；

（9）出境后的存储地点；

（10）其他事项。

Q48.企业违反《标准合同》规定的，对企业出境活动有什么影响？

风险承担是企业在开展数据出境活动之前必须要清楚考虑的问题，根据《标准合同》的内容来看，除承担违约责任或面临行政处罚外，省级以上网信部门有权要求个人信息处理者立即终止个人信息出境活动，由此可能会给企业产生较大损失，是企业在风险承担中需要考虑的事项。

本系列文章作者：

王捷肖锦豪夏律黄思妍刘玫君

【声明】

本文内容系作者对法律及实务的理解，仅代表作者个人观点，不构成法律意见，作者以及本公众号均不对内容的分析正确性以及内容获得者由此采取的任何行为承担法律责任。

本文内容系作者原创，引用、转载均请联系作者并注明出处，禁止抄袭，谢谢！

欢迎联系主编投稿。

主编介绍

王捷

执业律师，垦丁W&W国际法律团队创始人，联合国世界丝绸之路委员会专家，中国国际贸易促进委员会深圳调解中心专家调解员，广东省法学会信息通讯法学研究会理事，荷兰RuG国际经济法与商法硕士，专注于网络法领域的研究和实务，特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规，已为多家知名互联网公司及大中型外资企业提供专业法律服务，覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作，拥有10年的科技型公司实务经验与中外律所从业背景，深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求，快速响应并提供基础到战略的有效支持，并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

王捷律师关于《中国与海外多国/地区数据保护及企业合规要点对比》的论文，在全球最高分的六篇论文中，荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖，该文章同时被评为年度隐私政策制定者 “必读” 文章。与此同时，她还是出海互联网法律观察公众号主理人，输出了多篇专业互联网与数据合规文章，部分刊登于国际知名专业数据库。

联系方式：

全球数据合规实务群

为您提供独家出海资讯、最新信息动态

与同行们一起交流时事热点、分享经典案例

尽享互联网出海法律干货

快添加主理人微信（jie-72）加入我们吧！

（入群请详细备注姓名、单位、研究领域）

【入群条件：请提出一个关于数据出境的实务问题】

近期更新：

【从零读懂】数据出境合规100问 | Part 2上篇：《个人信息出境标准合同规定（征求意见稿）》高频问题与适用解读

【从零读懂】数据出境合规100问 | Part 1：数据出境关键概念剖析

夏至重磅 | 《个人信息保护与数据合规法律汇编V2.0》更新至2022年6月（附下载）