七个重要修改亮点！垦丁W&W独家解读《个人信息出境标准合同办法》

2023年2月24日，国家互联网信息办公室公布《个人信息出境标准合同办法》（以下简称《办法》），自2023年6月1日起施行。国家互联网信息办公室有关负责人表示，出台《办法》旨在落实《个人信息保护法》的规定，保护个人信息权益，规范个人信息出境活动。

近年来，随着数字经济的蓬勃发展，个人信息出境需求快速增长。为满足日益增长的个人信息出境需要，保护个人信息权益，《办法》规定了个人信息出境标准合同（以下简称标准合同）的适用范围、订立条件和备案要求，明确了标准合同范本，对通过订立标准合同的方式向境外提供个人信息的出境活动提供了具体指引，是对《个人信息保护法》第三十八条第一款第（三）项规定的细化与落实。

我国《个人信息保护法》对个人信息出境活动作出了一系列顶层设计，规定了“通过国家网信部门组织的安全评估”、“按照国家网信部门的规定经专业机构进行个人信息保护认证”、“按照国家网信部门制定的标准合同与境外接收方订立合同”等个人信息跨境合规路径。结合先前已经出台的《数据出境安全评估办法》、《关于实施个人信息保护认证的公告》等，本次的《个人信息出境标准合同办法》成为我国个人信息出境管理制度的重要部分，对规范个人信息出境活动、完善个人信息出境管理制度提供了中国方案与落地指引，具有重大意义。

请关注本公众号“出海互联网法律观察”，并点击“阅读原文”获取《个人信息出境标准合同办法》《个人信息出境标准合同》及答记者问全文。（提取码：6o6m）

本文将对《个人信息出境标准合同办法》的修改亮点进行扼要解读，供企业参考。后续垦丁W&W国际法律团队将推出《个人信息出境标准合同》亮点解读及对比稿。

亮点一：适用范围增加兜底条款

正式稿第四条增加“法律、行政法规或者国家网信部门另有规定的，从其规定”，对标准合同的适用情形增加了兜底条款。我们可以从两个方面进行理解：

1. 企业只有在同时满足第四条的四种情形的情况下，才能通过订立标准合同的方式向境外提供个人信息：（1）是非关键信息基础设施运营者；（2）是处理个人信息不满100万人的；（3）是自上年1月1日起累计向境外提供个人信息不满10万人的；（4）是自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

   
   

2. 即便企业同时满足了第四条的四种情形，也不一定可以通过订立标准合同的方式进行个人信息出境。我们尚不确定，后续可能出台的相关法律法规是会限制还是放松采用标准合同实现个人信息出境的条件。我们认为立法及执法机关可能会针对部分行业设置更加严格的限制条件。

   
   

亮点二：禁止拆分以规避安全评估

正式稿第四条增加“个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供”。

这也是我们之前在《数据出境实务合规100问》中提出过的关于“通过拆分主体与数量的方式”避开出境安全评估，本次《办法》明确规定了不得通过订立标准合同的方式规避出境安全评估。

亮点三：明确应按照《办法》附件订立标准合同

对比征求意见稿的第六条，正式稿删除了标准合同的主要内容，反而明确说明了“标准合同应当严格按照本办法附件订立。国家网信部门可以根据实际情况对附件进行调整”。

因此，对《办法》附件的标准合同范本的解读显得尤为重要，附件的标准合同的主要内容包括：合同相关定义、基本要素、个人信息处理者和境外接收方的合同义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利和相关救济，以及合同解除、违约责任、争议解决等事项，并设计了个人信息出境说明、双方约定的其他条款等两个附录。

亮点四：明确标准合同应按附件订立、备案不影响效力

对比于征求意见稿的第七条，正式稿在第七条中删除了“标准合同生效后个人信息处理者即可开展个人信息出境活动”，而是在第六条明确说明了“标准合同生效后个人信息处理者方可开展个人信息出境活动”。

同时，第七条规定“个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案”。因此，从这两条的对比来看，结合法律条文在文义上的理解，《办法》明确了标准合同应该严格按照《办法》附件订立，省级网信部门备案不会对合同生效产生影响。

亮点五：须补充或重新订立标准合同的情形及程序

正式稿第八条明确了在标准合同有效期内，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行备案手续的3种情形：

1. 向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；

2. 境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；

3. 可能影响个人信息权益的其他情形。

对此，我们可以从以下几个方面进行理解：

1. 对比于征求意见稿，正式稿在前半句删除了“保存期限”的同义表述，对此我们理解为，如果保存期限缩短了，是不用重新履行备案手续的，但一般实务中该等情况较少出现；但一旦延长了保存期限，即便其他因素都没有发生变化，仍然要按照此处的要求重新开展DPIA，通过补充标准合同或重新签订标准合同的方式进行，并需要重新履行备案手续；

   
   

2. 新增了“补充标准合同”这一变更方式，对比于之前只能“重新签订并备案”更显灵活，企业可以通过补充条款、补充附随协议的方式对新变化的内容进行修改。

3. 明确了补充或重新签订标准合同均应重新开展个人信息保护影响评估的要求，其重点评估内容与《数据出境安全评估办法》中“数据出境风险自评估”的重点评估事项基本一致。

   结合附件标准合同范本的第二条和第四条的内容来看，主要的区别体现在“个人信息保护影响评估”增加了“境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响”，因此，企业应结合个人信息出境的具体情况、境外政策法规、境外接收方的安全管理制度和技术手段保障能力等进行评估。

   
   

   
   

亮点六：调整法律责任表述

对比于征求意见稿，正式稿第十一条明确了“如出境活动存在较大风险或发生个人信息安全事件时，省级以上网信部门可以对企业进行约谈并要求其整改”。

正式稿第十二条不再对需要追究法律责任的行为进行具体说明：“（一）未履行备案程序或者提交虚假材料进行备案的；（二）未履行标准合同约定的责任义务，侵害个人信息权益造成损害的；（三）出现影响个人信息权益的其他情形”；而是明确规定了“违反本办法规定的，依据《中华人民共和国个人信息保护法》等法律法规处理；构成犯罪的，依法追究刑事责任。”

亮点七：延迟生效并预留整改期

正式稿第十三条规定了《办法》的生效日期为2023年6月1日，并为个人信息处理者预留了6个月的整改期。即，如果企业在本办法生效施行前，就已经开展了相关的个人信息出境活动，则建议需要按照本办法的要求与规定进行合规整改，看看是否有不符合本办法的情形，并在2023年12月1日前完成整改（应当自本办法施行之日起6个月内完成整改）。

《个人信息出境标准合同办法》征求意见稿与正式稿对照表全文

W&W国际法律团队

专注互联网出海法律实务：

互联网产品合规、出海合规

以及全球数据保护与个人信息保护合规。

已为多家知名互联网公司

及大中型外资企业提供专业法律服务。

覆盖以下行业领域：

智能终端制造、IOT、人工智能、

云计算与服务、社交网络平台、移动互联网、

电子商务及平台、短视频视听直播、网络游戏

以及个人信息保护、数据安全等行业领域。

我们已经为正在服务的客户

提供了多达100+期全球数据合规资讯周刊

若需获取本期独家、详细版本资讯周刊

欢迎联系王捷律师

尽享互联网出海法律干货

主编介绍

王 捷 

数据安全师，执业律师，垦丁W&W国际法律团队创始人，联合国世界丝绸之路委员会专家，中国国际贸易促进委员会深圳调解中心专家调解员，广东省法学会信息通讯法学研究会理，荷兰RuG国际经济法与商法硕士，专注于网络法领域的研究和实务，特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规，已为多家知名互联网公司及大中型外资企业提供专业法律服务，覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作，拥有12年的科技型公司实务经验与中外律所从业背景，深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求，快速响应并提供基础到战略的有效支持，并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

王捷律师关于《中国与海外多国/地区数据保护及企业合规要点对比》的论文，在全球最高分的六篇论文中，荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖，该文章同时被评为年度隐私政策制定者 “必读” 文章。与此同时，她还是出海互联网法律观察公众号主理人，输出了多篇专业互联网与数据合规文章，部分刊登于国际知名专业数据库。

联系方式：

编写团队

邱世贸

垦丁律师事务所W&W国际法律团队律师助理

林颖

垦丁律师事务所W&W国际法律团队实习生