泰和泰研析丨落实与细化：《个人信息出境标准合同办法》正式发布

2023年2月24日，国家互联网信息办公室发布了《个人信息出境标准合同办法》（以下简称“《办法》”）及其附件个人信息出境标准合同（以下简称“标准合同”），并将自今年6月起实施。这是国家互联网信息办公室继2022年9月发布《数据出境安全评估办法》之后针对数据出境出台的又一重要规定。其主要监管指向个人信息数据，未来将与数据出境安全评估、个人信息保护认证一道成为企业针对个人信息数据出境活动的重要合规依据与选择路径。

相较于其他数据出境路径，个人信息出境标准合同通常被认为具有监管成本较低、企业操作更为便捷等优势，对于存在个人信息数据出境活动的企业具有较高的参考和适用价值。结合新颁布的《办法》及标准合同范本，以下内容为企业个人信息数据出境合规工作中需要关注的重点。

一.

标准合同的突出特点

1. 严格格式合同

相较于之前发布的《办法》及标准合同征求意见稿，此次正式颁布的版本对企业拟定标准合同在意思自治上更进一步限缩，境内个人信息处理者及境外接收方须严格按照国家网信部门提供的条款签订与履行，有权变更标准合同的主体为国家网信部门。该《办法》附件标准合同内容完整且详尽，涉及基本信息、个人信息处理者及境外接收方义务、个人信息主体权利、接受地法律法规与合同履行的关系、救济措施及违约责任等多个方面。此外，《办法》明确规定规定企业在补充约定时不得与标准合同条款相冲突，合同双方其他的“法律文件”也不得与合同条款相冲突。

2. 标准合同备案制

根据《办法》规定，个人信息处理者自标准合同生效之日起10个工作日内须向所在地省级网信部门备案。相较于数据出境安全评估，适用标准合同在准备时间上更为充裕，行政程序上更为简化，对于符合适用标准合同业务场景的企业而言，此种路径无疑具有更便捷灵活的特点，是为一项优势。

3. 保障个人信息主体的权利与救济

《个人信息出境标准合同》体现三方权利义务关系，即：境内个人信息处理者、境外接收方以及个人信息主体。境内个人信息处理者与境外接收方作为合同相对方签订并履行合同，势必对个人信息主体的权利产生直接影响。然而标准合同将个人信息主体纳入，作为受益人考虑，赋予个人信息主体直接起诉个人信息处理者与境外接收方的权利，并通过连带责任条款，为个人信息主体提起诉讼和救济提供了便利。

二.

企业选择适用标准合同的情形

根据《办法》第四条规定，个人信息处理者仅在同时符合下列情形下可以通过订立标准合同的方式向境外提供个人信息：

（1）非关键信息基础设施运营者；

（2）处理个人信息不满100万人的；

（3）自上年1月1日起累计向境外提供个人信息不满10万人的；

（4）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

对比《数据出境安全评估办法》的适用情形，我们发现国家互联网信息办公室依据二者在数据处理者特定身份和处理个人信息数量级别两个方面对两种出境机制的适用情形作出了明确的划分。这为企业根据自身身份以及数据出境活动具体情况判断确定需要适用的路径给出了明确参照，有利于企业进行路径选择。

我们可以看出，通常标准合同适用于规模较小、对国家与公共利益影响较低的数据处理者及关键信息基础设施运营者之外的普通数据处理主体。对于落入《数据出境安全评估办法》适用范围的个人信息处理者，则应依法向网信部门申报数据出境安全评估，而不得采取数量拆分等手段将依法应当通过出境安全评估的个人信息选择通过订立标准合同的方式向境外提供。

无疑在实际个人信息出境活动中，此种类型的场景也是广泛存在的，如跨国公司内部的企业员工个人信息管理与传输，中国企业向境外购买或提供服务中触发的将个人信息传输至境外的情形，均可能属于标准合同的适用场景。

三.

企业订立标准合同的流程

若根据《办法》规定，企业数据出境活动符合适用标准合同的范围，则该企业作为个人信息处理者订立标准合同的一般流程为：

第一步：开展个人信息保护影响评估；

第二步：依照标准合同范本订立合同；

第三步：向所在地省级网信部门备案标准合同；备案材料包括：标准合同、个人信息保护影响评估报告；

第四步：网信部分向企业反馈需补充、重新订立标准合同的情形或完成备案。

四.

个人信息保护影响评估报告

个人信息保护影响评估，旨在要求企业事先预见并预防、降低其数据出境活动对个人信息主体带来的安全风险，因此企业需要从自身个人信息数据出境目的、风险及义务设置等角度对其个人信息数据出境活动开展预评估并建立应对的合规机制，《办法》在以下方面要求企业重点分析和论述：

（1）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性

（2）出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；

（3）境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；

（4）个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；

（5）境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；

（6）其他可能影响个人信息出境安全的事项。

五.

标准合同范本适用方式

企业应当严格按照《办法》附件中提供的标准合同范本订立其个人信息数据出境标准合同，《办法》规定个人信息处理者可以与境外接收方约定其他条款，但不得与标准合同相冲突。

同时，如合同范本与双方订立的任何其他法律文件发生冲突，该合同的条款优先适用，因此企业需关注相关境外法律法规以及此前已与境外信息接收方订立的合同是否存在冲突，并进行相应的修改和增减。

如企业在标准合同履行期间出现《办法》第八条明确规定的情势变化的情形，需重新开展个人信息保护影响评估，补充或重新订立标准合同并向网信部门重新提交备案手续。

六.

重要时间点

自标准合同生效之日起10个工作日内企业应当向所在地省级网信部门备案。

对于在《办法》施行前已经开展但不符合《办法》规定的个人信息出境活动，企业应当自6月1日《办法》施行之日起6个月内完成整改。

新颁布的《个人信息出境标准合同办法》可谓国家网信部门针对企业数据出境活动的又一重要监管制度和举措，尤其可见国家网信部门对个人信息数据的保护力度显著加强，标准合同范本的正式使用也填补了各单位和企业在个人信息数据出境业务中实际可适用国家标准文件的空白。

在之后这段整改期内，存在个人信息出境业务的企业仍需把握时间，梳理自身业务场景及数据流，制定相应的合规制度、完成风险评估和整改工作，并在网信部门规定期限内完成备案，以保证企业相关业务继续顺利开展，及防范个人信息出境风险、避免信息安全事件的发生。我们也将从专业角度结合既往业务经验，协助企业依据自身实际建立数据出境合规制度并进行数据出境活动各路径的搭建、申报与备案。

冯超律师团队由十余名律师和专利代理人组成，可用中、英、日、法、马来语等向客户提供知识产权、数据保护、外商投资、民商事争议解决等领域的法律服务。

冯超  律师

合伙人

业务领域：知识产权、数据保护、反垄断、争议解决

薛莲 律师

业务领域：知识产权

陆益凡 

律师助理

业务领域：知识产权、数据保护