中国版SCC条款正式稿十二修改点

文/王捷 邱世贸 林颖

在前文中，本团队扼要解读《个人信息出境标准合同办法》（以下简称《办法》）的条文亮点，并列示《办法》正式稿与征求意见稿的对比文稿。（详见七个重要修改亮点！垦丁W&W独家解读《个人信息出境标准合同办法》）

《办法》规定了个人信息出境标准合同（以下简称标准合同）的适用范围、订立条件和备案要求，明确了标准合同范本，对通过订立标准合同的方式向境外提供个人信息的出境活动提供了具体指引。此份标准合同是中国版SCC条款，对于数据跨境场景具有重要意义。

垦丁W&W国际法律团队针对《个人信息出境标准合同》正式稿中十二个修改亮点进行解读，提出实务建议，供企业参考。

请关注本公众号 “出海互联网法律观察” ，并点击 “阅读原文” 获取《个人信息出境标准合同办法》《个人信息出境标准合同》及答记者问全文。（提取码：6o6m）

亮点一：确定标准合同订立主体

正式稿第一条第一款第（一）项，将个人信息处理者的概念进行详细定义，该定义与《个人信息保护法》中对于“个人信息处理者”的定义一致。

根据正式稿的规定，个人信息出境标准合同的签约主体为个人信息处理者和境外接收方，这意味着存在两种可能：

一是境内个人信息处理者与境外个人信息处理者之间签订标准合同；

二是境内个人信息处理者与境外受境内个人信息处理者委托处理个人信息的受托人之间签订标准合同。这意味着境内受托处理个人信息的受托人不得再次转委托、将受托处理的个人信息传输至境外。

亮点二：区分告知和同意，明确告知事项

正式稿将征求意见稿中的第二条第（二）项拆分为正式稿中的第二条第（二）项和第（三）项。

第二条第（三）项，相比征求意见稿第二条第（二）项，更加明确了非基于个人同意向境外提供个人信息（如因履行合同所必需而出境），无需取得单独同意。正式稿第三条第（一）项相较于征求意见稿第三条第（一）项的修改也能印证这一点。

正式稿将“告知”和“同意”拆分至两项中，明确了告知事项的具体内容（分为一般告知事项和向境外提供敏感个人信息时的特殊告知事项）。

亮点三：更加重视处理目的

正式稿中的第二条第（五）项、第四条第（二）项第 1 目中，相对征求意见稿中的对应规定将“处理目的”提前，更符合“处理目的决定处理方式和处理种类”。

亮点四：仅可由境内个人信息处理者答复监管询问

正式稿第二条第（七）项，删除双方可约定境外接收方答复监管机构的情况，仅可由境内个人信息处理者答复监管机构询问。

我们建议，在标准合同之外，境内个人信息处理者可与境外接收方约定当境内监管机构询问时，境外接收方应当配合境内个人信息处理者、提供与监管机构询问的内容相关的文件、记录等内容的条款。

亮点五：设置告知合同时更灵活的保密措施

正式稿第三条第（三）项对于向个人信息主体提供标准合同副本前的保密措施的规定取消了“适当遮蔽”、“并提供有效摘要”的方式，正式稿中的”适当处理“为个人信息处理者提供了更灵活的保密方式。

亮点六：加强保存期限届满后及合同解除时的善后措施

对于保存期限届满后及合同解除时境外接收方如何处理数据，征求意见稿中第三条第（四）项和第七条第（五）项的规定为“删除或者匿名化处理”，正式稿第三条第（五）项、第七条第（四）项中删除了”匿名化处理”，仅保留了“删除”这一处理方式，并添加了“删除个人信息从技术上难以实现的，应当停止除存储和采取必要的安全保护措施之外的处理”的规定。

考虑到各国对于“匿名化处理”的不同定义以及“匿名化”需要动态判断的情况，我们认为取消“匿名化处理”、仅设置“删除”这一善后措施更加有利于保护个人信息主体。

亮点七：减轻境外接收方报告义务

另外，正式稿第三条第（五）项删除了境外接收方“提供审计报告”的义务，取而代之的是“提供书面说明”，减轻了境外接收方的报告义务。

亮点八：减轻个人信息主体行权成本

正式稿中删除了征求意见稿中第五条第（四）项的规定，取消了境外接收方响应个人信息主体数据权利时可以收取个人信息主体合理费用的规定。

这意味着境外接收方在响应个人信息主体请求时不得收取费用，但其仍然可以根据正式稿第五条第（四）项，在告知拒绝原因、向相关监管机构提出投诉和寻求司法救济途径之后拒绝个人信息主体的请求。

亮点九：境外接收方可委托外部联系人

正式稿第六条第（一）项删除了“在组织内部”。这意味着境外接收方可以选择委托外部人员，如中国律师，作为联系人。该联系人将被授权答复有关个人信息处理的询问或投诉，并及时处理个人信息主体的询问或投诉。

亮点十：设置适用法律选择权

正式稿第六条第（四）项对争议解决依据法律予以调整、提供个人信息主体一定的选择权，将“依据为中华人民共和国相关法律法规”改为“个人信息主体选择适用中华人民共和国相关法律法规的，从其选择”。

是否会有个人信息主体选择适用其他法域的法律法规、以及法院会如何审理个人信息主体选择适用其他法域法律法规的案件，仍有待我们观察。

亮点十一：精简合同解除情形

正式稿第七条增加因境外接收方所在国或地区原因导致无法履行合同的合同解除情形，并删除了因境外接收方破产、解散或清算导致合同解除的情形。

亮点十二：调整法律责任

正式稿第八条对法律责任的表述进行了大幅修改。

第一，正式稿第八条第（一）项将征求意见稿第八条第（一）项、第（二）项合同，限定损失赔偿责任的范围为“违反本合同而给对方造成的损失”。

第二，正式稿第八条第（二）项确定了法律责任的承担主体。对于民事法律责任，由违反标准合同而侵害个人信息主体享有的权利的一方承担责任。境内个人信息处理者如违反相关法律，单独承担行政或刑事责任。

第三，对于双方应承担连带责任的情形，正式稿删除了征求意见稿中第八条第（五）项中“双方同意”，确定了一方承担的责任超过其应当承担的责任份额时向另一方的法定追偿权。

第四，正式稿中未保留征求意见稿第八条第（六）项、第第（七）项的规定，这意味着在境外接收方侵害个人信息主体的权利时，个人信息主体只能要求境外接收方承担责任。这可能增加个人信息主体寻求司法救济的成本，同时也为境外接收方增加了应诉的可能性。

《个人信息出境标准合同》征求意见稿与正式稿对照表全文

关联阅读：

W&W国际法律团队

专注互联网出海法律实务：

互联网产品合规、出海合规

以及全球数据保护与个人信息保护合规。

已为多家知名互联网公司

及大中型外资企业提供专业法律服务。

覆盖以下行业领域：

智能终端制造、IOT、人工智能、

云计算与服务、社交网络平台、移动互联网、

电子商务及平台、短视频视听直播、网络游戏

以及个人信息保护、数据安全等行业领域。

我们已经为正在服务的客户

提供了多达100+期全球数据合规资讯周刊

若需获取本期独家、详细版本资讯周刊

欢迎联系王捷律师

尽享互联网出海法律干货

主编介绍

王 捷 

数据安全师，执业律师，垦丁W&W国际法律团队创始人，联合国世界丝绸之路委员会专家，中国国际贸易促进委员会深圳调解中心专家调解员，广东省法学会信息通讯法学研究会理，荷兰RuG国际经济法与商法硕士，专注于网络法领域的研究和实务，特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规，已为多家知名互联网公司及大中型外资企业提供专业法律服务，覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作，拥有12年的科技型公司实务经验与中外律所从业背景，深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求，快速响应并提供基础到战略的有效支持，并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

王捷律师关于《中国与海外多国/地区数据保护及企业合规要点对比》的论文，在全球最高分的六篇论文中，荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖，该文章同时被评为年度隐私政策制定者 “必读” 文章。与此同时，她还是出海互联网法律观察公众号主理人，输出了多篇专业互联网与数据合规文章，部分刊登于国际知名专业数据库。

联系方式：

编写团队

邱世贸

垦丁律师事务所W&W国际法律团队律师助理

林颖

垦丁律师事务所W&W国际法律团队实习生