新法速递 | 国版SCC正式发布，一文尽览修订要点（含全文新旧对比）

编者按

2023年2月24日，国家网信办公布《个人信息出境标准合同办法》（以下简称“国版SCC”），正式宣告个人信息跨境传输“四选一”的第三条路径开始落地。

此前，网信办于2022年就国版SCC草案公开征求意见，我们团队就征求意见稿进行了解读。此次，我们团队对修订要点进行了简析。后续我们将会进行深度解读，敬请期待。

一、《办法》主要修改内容  

本次正式稿较征求意见稿的主要修改内容如下：

01/

适用范围

1）新增“法律、行政法规或者国家网信部门另有规定的，从其规定”的开放式表述。

2）新增重要禁止性条款，即禁止个人信息处理者采取数量拆分等手段，规避个人信息出境安全评估。

02/

SCC标准合同管理

新增国家网信部门可以根据实际情况调整标准合同。

03/

个人信息保护影响评估（PIA）

新增重新进行PIA的要求：对于境外提供个人信息的相关内容变化、境外接收方处理个人信息发生变化或境外接收方所在国家或者地区的相关法律法规变化可能影响个人信息权益等情形，需重新进行PIA，并补充或者重新订立标准合同，并重新备案。

04/

法律责任 

1）修正了处罚措施，将原“终止个人信息出境活动”的表述修改为“对个人信息处理者进行约谈”以及“个人信息处理者应当按照要求整改，消除隐患”。此条修订对应了我们此前在“《个人信息出境标准合同规定（征求意见稿）》评析”中所提出的疑问。

2）删除个人信息处理者的违规情形，并将法律依据统一调整为《个人信息保护法》等法律法规。

05/

实施时间

1）国版SCC自2023年6月1日起开始施行。

2）新增6个月的整改期：对国版SCC施行前已经开展的个人信息出境活动，不符合规定的个人信息处理者，应当自国版SCC施行之日起6个月内完成整改。

二、标准合同的主要修改内容 

本次正式稿较征求意见稿的主要修改内容如下：

01/

术语定义

新增了“个人信息”和“敏感个人信息”的定义。

02/

个人信息处理者的义务

1）删除对于监管机构的询问双方同意由境外接收方作出答复的规则。

2）将对于涉及商业秘密等内容合同进行“遮蔽处理”的义务调整为“对本合同副本相关内容进行适当处理”。

03/

境外接收方的义务

1）新增跨境传输不满十四周岁未成年人的个人信息需取得其父母或其他监护人单独同意的要求。

2）新增境外接收方受委托处理个人信息的规定，要求不得超出与个人信息处理者约定的处理目的、处理方式等处理个人信息。

3）将对于涉及商业秘密等内容合同进行“遮蔽处理”的义务调整为“对本合同副本相关内容进行适当处理”。

4）新增采取对个人权益影响最小的方式处理个人信息。

5）删除对保存期限届满的个人信息进行“匿名”处理的权利。

6）删除对委托处理的个人信息进行“匿名化”的权利，并增加对于删除有难度的应采取停止除存储和采取必要的安全保护措施之外的处理义务。

7）新增当发生个人信息安全事件时，如境外接收方为受委托处理方的，则由个人信息处理者通知个人信息主体。

04/

境外接收方所在国家或者地区的影响

新增境外接收方接到所在国家或者地区的政府部门、司法机构关于提供本合同项下的个人信息要求的，境外接收方应当立即通知个人信息处理者。

05/

个人信息主体权利

针对个人信息主体就合同争议的法律适用和管辖调整为“个人信息主体选择适用中华人民共和国相关法律法规的，从其选择”以及“个人信息主体就本合同争议行使第三方受益人权利的，个人信息主体可以依据《中华人民共和国民事诉讼法》向有管辖权的人民法院提起诉讼”。

06/

权利救济

针对个人信息主体就合同争议的法律适用和管辖调整为“个人信息主体选择适用中华人民共和国相关法律法规的，从其选择”以及“个人信息主体就本合同争议行使第三方受益人权利的，个人信息主体可以依据《中华人民共和国民事诉讼法》向有管辖权的人民法院提起诉讼”。

07/

合同解除

1）新增因境外接收方所在国或地区原因导致无法履约的合同解除情形。

2）删除境外接收方破产、解散或清算的合同解除情形。

3）删除因监管机构原因导致的合同解除的情形。

4）删除合同解除后境外接收方对个人信息进行“匿名化”的权利，并增加对于删除有难度的应采取停止除存储和采取必要的安全保护措施之外的处理义务。

08/

违约责任

1）删除“双方之间的责任限于非违约方所遭受的损失”。

2）删除“个人信息处理者应就境外接收方因违反本合同而对个人信息主体造成的任何物质和非物质损失向个人信息主体负责，个人信息主体有权向其主张损害赔偿责任”。

09/

争议解决

1）删除个人信息主体适用《民事诉讼法》确定管辖的规定。

2）仲裁机构新增“上海国际仲裁中心”。

三、对比稿 

01/

《个人信息出境标准合同办法》对比稿

（点击可查看大图）

02/

《个人信息出境标准合同》对比稿

（点击可查看大图）

点击下方“阅读原文”，可获取《国版SCC》全文

本文首发自公众号：数据与电商研究室

如需转发，请注明信息来自数据与电商研究室，如有意见建议或合作，请邮件CPdatalaw@zhonglun.com.

往 期 精 彩

解读文章

• 监管动态 | 6个月整改期将满！北京发布数据出境安全评估申报进展

• 新法速递 | 首个地方政府公共数据授权运营实施方案开始征求意见

• 执法解读丨广东省开展2023年网络数据安全和应用合规检查
  

• 新法速递 | APP新标准规范跳转等不当交互行为

• 数据出境安全评估十问十答

• Overview Of MIIT's New Rules Regarding Data Security

• 北上广深数字经济立法的比较与启示

• 新法速递 | 中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见

• 新法速递 | 《个人信息跨境处理活动安全认证规范V2.0》（附三次版本比对）

• 新法导读  |  工信部《工业和信息化领域数据安全管理办法（试行）》

• 新法解读 | 《互联网信息服务深度合成管理规定》合规义务全景梳理（附表）

• 新法速递 |《广告绝对化用语执法指南（征求意见稿）》

• 新法速递 | 《中华人民共和国反不正当竞争法（修订草案征求意见稿）》十一大修订要点（含新旧对比）
  

• 《反垄断民事诉讼司法解释（公开征求意见稿）》关于数据和算法条款的比对解析

• 聚焦 | 个人信息保护认证规则发布，数据安全国家认证有多少？

• 解读与应对：北京地区2022年度汽车数据报送工作开启

• 新法速递 |《互联网跟帖评论服务管理规定》十一大修订要点（含新旧对比）

• 新旧对比 | 《个人信息跨境处理活动安全认证规范》
  

• 新法速递 | 欧盟《数字市场法》正式公布，平台数据反垄断近在咫尺

• 监管动态 | 工信部关于APP侵害用户权益的通报（2022年第6批）

• 新法速递 |《科罗拉多州隐私法》草案正式发布
  

• 简评与对比 |《中华人民共和国网络安全法》
  

• 新法速递 | 《互联网弹窗信息推送服务管理规定》
  

• 新法速递 | 国家网信办发布《数据出境安全评估申报指南（第一版）》
  

• 新法速递 | 《医疗卫生机构网络安全管理办法》
  

• 新法速递 |《公路水路关键信息基础设施安全保护管理办法（征求意见稿）》
  

• 简评与关注：国家网信办发布互联网信息服务算法备案清单

• 新法速递 |《盲盒经营活动规范指引（试行）》（征求意见稿）

• Core Issues When Processing Employees’ Personal Information（Q&A）

• 谋定后动、知止有得——三法齐出，企业如何有效选择数据跨境方案

• Landmark Rules on Certification for Cross-Border Data Processing

• 新法速评|《个人信息出境标准合同规定（征求意见稿）

• 跨国公司员工管理数据合规十问十答

• 网络安全审查的前世今生

• 简评与比对 | TC260发布《个人信息跨境处理活动安全认证规范》

• 新旧对比 | 全国人民代表大会常务委员会通过《中华人民共和国反垄断法》修订案

• 当数据合规遇见刑事追诉——首例数据合规不起诉案件所带来的分析和启示（上）

• 当数据合规遇见刑事追诉——首例数据合规不起诉案件所带来的分析和启示（下）

• 新法速览|《信息安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南》

• 新法速评|《移动互联网应用程序信息服务管理规定》（含合规要点）

• 新旧对比 | 国家市场监督管理总局发布《明码标价和禁止价格欺诈规定》

• “6.18”即将到来，网络交易经营者如何避开价格“雷区”？

• 对“北京通管局2022年网络和数据安全检查”的解读与合规应对

• 聚焦数据治理 | 中国、欧盟政策立法的最新动态及跟进分析

• 统一大市场下如何破除数据壁垒——以欧盟《数据治理法案》为视角

• 新国标|《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》

• 互联网315 | 资深律师提供了一份网络消费避坑指引，覆盖主要消费场景

• 强调公平，均衡权益——解读《关于审理网络消费纠纷案件适用法律若干问题的规定（一）》

• 算法推荐服务提供者须依法备案

• 合规清单 | 商业广告代言，平台企业如何应对？

• 数字经济时代科技企业上市数据合规指南——基于2021年度最新（申报）上市案例的分析

• 利剑出鞘——《互联网信息服务算法推荐管理规定》对比解读

• 上海VS深圳，数据立法有何不同？

• 简评与对比|《互联网广告管理办法（公开征求意见稿）》出台

• 监管快讯|上海出台网络营销活动算法应用指引，划出七大底线

• 天将降大任：从互联网平台合规角度解读《网络数据安全管理条例（征求意见稿）》

• 众里寻他，数据跨境规则即将落地——速评《数据出境安全评估办法（征求意见稿）》

案例分享

• 案例采撷丨某知名媒体因非法交易用户数据在美被诉，凸显“私人信息市场”的合规风险

• 指导案例 | 最高院发布4起涉个人信息保护的刑事案件

• 案例采撷 | 不正当竞争案例：遭遇恶意投诉如何维权

• 案例采撷 | 不正当竞争案例：仿冒微信界面案
  

• 案例采撷 | 不正当竞争案例：刷机行为与合法权益的冲突与规制
  

• 案例采撷 | 不正当竞争案例：拒绝交易的合法边界

• 案例采撷 | 不正当竞争案例：App名称构成混淆的判断

• 案例采撷 | 不正当竞争案例选辑：“寄生”商业模式的是与非

• 案例采撷 | 不正当竞争案例选辑：商业诋毁案

• 案例采撷 | 不正当竞争案例选辑（第一期）

• 重磅：Meta因未尽未成年人保护义务遭巨额处罚
  

• 以案释法：GDPR第65条争议解决机制

• 合法利益之辩，前顾客也可以被营销?

• 主播违法，直播服务机构与直播平台如何独善其身？

• CCPA下如何有效选择Opt-Out ——以Brooks 案为例

• 欧盟法院关于特殊数据类型的最新判例

• 平台促销须谨慎，主体责任应承担

• Cookies无小事，合规需谨慎

• 美国法院解释中国《个保法》，引起法律适用争议

• Twitter被罚1.5亿美元，出海企业值得关注

• 法国CNIL就软件供应商数据泄露事件开出高额罚单

• 数据抓取的典型案例：“微信” 诉 “极致了网”

★

长按二维码一键关注