数据出境5·个人信息出境标准合同备案合规要点

作者 侯杰团队 冉洁月

引言

随着数字经济蓬勃发展，数据跨境流通已成为趋势。数据跨境流通能促进经济活动高效、便捷、智能开展，在国际贸易、全球经济等领域发挥越来越重要的作用。与此同时，我国不断完善数据出境立法，监管力度持续加强。企业迫切需要建立数据跨境合规体系，以顺应形势发展需求。基于此，侯杰律师团队撰写系列文章，旨在帮助企业构建切实可行、指导性强的跨境数据合规方案，以符合经营需要和监管要求。

01

摘要

《个人信息出境标准合同办法》设定六个月的整改期限已于2023年11月30日结束，从事个人信息跨境传输的企业应当按照《个人信息出境标准合同办法》的规定完成相应的整改工作。本文将深入分析最新《规范和促进数据跨境流动规定（征求意见稿）》对标准合同适用范围的影响以及标准合同条款的独特性。同时，详细解析个人信息处理者、境外接收方和个人信息主体的三方权利义务关系。接着，介绍标准合同的签署和备案流程，确保合规操作。最后，简要探讨标准合同解除的特殊性，为企业在实践中的应用提供指导。通过全面解读和剖析，本文旨在为企业实施《个人信息出境标准合同办法》提供实用性和针对性的参考。

02

标准合同的适用范围和特点

（一）适用范围

（1）非关键信息基础设施运营者；

（2）处理个人信息不满100万人的；

（3）自上年1月1日起累计向境外提供个人信息不满10万人的；

（4）自上年1月1日起累计向境外提供敏感个人信息不满1万人的；法律、行政法规或者国家网信部门另有规定的，从其规定。

从以上规定可以看出，标准合同备案的适用范围主要与个人信息处理者开展个人信息出境的数量相关，并且法律、行政法规和国家网信部门可对该范围作出调整。

《数据出境安全评估办法》2022年9月1日施行，《关于实施个人信息保护认证的公告》2022年11月4日生效，《标准合同办法》2023年6月1日生效，我国数据跨境传输制定层面逐渐完善，但经过一年多的实践也出现了诸多问题。2023年9月28日国家互联网信息办公室发布的《规范和促进数据跨境流动规定（征求意见稿）》（以下简称“规定”），豁免了部分个人信息出境进行安全评估、订立个人信息出境标准合同、通过个人信息保护认证的义务。《规定》在标准合同适用的数量上有所调整，将标准合同备案的适用下限提高到预计一年内向境外提供1万以上的个人信息。但《规定》目前仍是征求意见稿，《标准合同办法》规定的整改期已于11月30日到期，很多企业都面临的问题是，如果根据《标准合同办法》的规定，应当进行标准合同备案，但根据《规定》可豁免标准合同备案要求。

笔者认为，根据目前实践的情况，以及《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》“探索便利化的数据跨境流动安全管理机制。落实网络安全法、数据安全法、个人信息保护法等要求，为符合条件的外商投资企业建立绿色通道，高效开展重要数据和个人信息出境安全评估，促进数据安全有序自由流动。支持北京、天津、上海、粤港澳大湾区等地在实施数据出境安全评估、个人信息保护认证、个人信息出境标准合同备案等制度过程中，试点探索形成可自由流动的一般数据清单，建设服务平台，提供数据跨境流动合规服务”的规定，优化外商投资环境、便利个人信息跨境流通是一个趋势。企业可以积极与当地网信部门沟通，了解最新监管动态。同时，企业也可以做好标准合同备案的前期准备工作，如个人信息保护影响评估等，如接到网信部门备案要求，可在较短时间内完成备案。

（二）特点

1、实现监管的强制合同条款

由国家互联网信息办公室制定的《个人信息出境标准合同》，不应当被理解为一个单独的合同，而是境内个人信息处理者和境外接收方关于个人信息跨境传输业务合同的部分条款。《标准合同办法》明确规定应当严格按照国家网信办制定的文本订立合同，个人信息处理者与境外接收方订立的其他合同条款不得与标准合同条款相冲突，不得冲突包括两个方面的内容，一方面是标准合同的补充条款不得与标准合同条款相冲突，另一方面是双方签订的其他法律文件不得与标准合同条款相冲突。因此，标准合同条款具有国家强制力，主要是对个人信息处理者和境外接收方施加义务，具有监管功能。

2、利益第三人

个人信息主体不是标准合同条款的主体，作为合同主体的个人信息处理者和境外接收方均没有动力主动保护个人信息主体的权利不受侵害，因此个人信息主体的权利极易受到侵害。一旦发生侵害，个人信息主体如希望需求司法救济存在举证困难等维权成本。因此国家监管需要提前介入，在双方签署的合同中约定利益个人信息主体的内容。

3、不免除个人信息处理者的其他法律责任

标准合同条款虽然不允许合同主体随意修改，但其最终也是由民事主体签署，是从民事合同层面约定各方的权利义务，违反合同约定的一方应当承担民事责任。因《个人信息保护法》等还规定了个人信息处理者如违反法律规定，需要承担行政或刑事责任等，签署标准合同不能减轻或免除个人信息处理者应承担法律法规规定的其他行政或刑事责任。

03

标准合同项下各方的权利义务

（一）个人信息处理者的义务

标准合同条款第二条约定了个人信息处理者的义务，包括对个人信息主体的义务和对监管机构的义务。个人信息处理者的义务大致可以分为以下几类：

（1）开展个人信息保护影响评估义务：主要是对出境的必要性、可能带来的风险、境外接收方承诺承担的义务等，个人信息保护影响评估报告需要至少保存三年。

（2）目的限制义务：向境外提供的个人信息仅限于实现处理目的所需的最小范围。

（3）告知与取得同意义务：需要向个人信息主体告知境外接收方的名称或者姓名、联系方式，取得个人信息主体的单独同意，向个人信息主体提供合同副本等。

（4）个人信息安全义务：努力确保境外接收方采取技术和管理措施等。

（5）对监管机构的义务：主要是允许合规审计和提供合规审计结果。

（二）境外接收方的义务

标准合同条款第三条约定了境外接收方的义务，境外接收方的部分义务与个人信息处理者的义务相对应，如个人信息安全义务；另外也有部分义务相同，如告知与同意义务，目的限制义务等。对境外接收方的特殊义务有：

（1）删除义务：保存期限必须是实现处理目的所必要的最短时间，保存期限届满应当删除，委托合同未生效、无效、撤销或者终止也应当返还或删除个人信息，无法删除的应当停止存储或其他安全措施。

（2）向境外第三方提供个人信息：境外接收方难免有要向境外第三方提供个人信息的需求，如需提供，也需要满足标准合同规定的向第三方提供的条件。

（3）记录处理活动：需要对个人信息处理活动客观记录并至少保存3年。

（4）对个人信息处理者的义务：允许个人信息处理者对必要数据文件和文档进行查阅、开展合规审计或为合规审计提供便利。

（5）对监管机构的义务：主要有答复监管机构询问、配合监管机构检查、服从监管机构采取措施或者作出决定、提供已采取必要行动的书面证明等。

（三）个人信息主体的权利

标准合同条款第五条明确约定“双方约定个人信息主体作为本合同第三方受益人享有以下权利”，个人信息主体虽不是合同主体，但却享有诸多权利，如前文已论述过的个人信息主体在个人信息跨境活动中处于弱势地位，此处不再赘述。个人信息处理者和境外接收方对个人信息主体的义务，也是个人信息主体享有的权利。除此之外个人信息主体还享有的权利包括，对其个人信息的处理享有知情权、决定权，有权限制或拒绝他人对其个人信息进行处理，有权要求查阅、复制、更正、补充、删除其个人信息，有权要求对其个人信息处理规则进行解释说明。个人信息主体在实现权利时，可以请求个人信息处理者采取适当的措施，也可以直接向境外接收方提出请求。

当个人信息主体的权利受到侵害时，个人信息主体可以向境外接收方询问或投诉，也可以向监管机构投诉，或向有管辖权的法院提起诉讼。同时个人信息主体所作的维权不会减损个人信息主体根据其他法律法规寻求救济的权利。

04

标准合同的签署和备案

（一）个人信息保护影响评估

《标准合同办法》第七条规定标准合同备案应当提交标准合同和个人信息保护影响评估报告（PIA）。根据《个人信息保护法》第五十六条的规定，个人信息保护影响评估应当包括以下三项内容：

（1）个人信息的处理目的、处理方式等是否合法、正当、必要；

（2）对个人权益的影响及安全风险；

（3）所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。

另外《信息安全技术个人信息安全影响评估指南》、《信息安全技术个人信息安全规范》等国家标准对个人信息保护影响评估都有细化规定。因个人信息保护影响评估十分重要且内容较多，笔者计划之后撰文专门讨论。

（二）协商签约

国家互联网信息办公室制定的标准合同条款，不允许签约主体修改和作出与之冲突的约定，但个人信息主体和境外接收方还是可以在附录二中约定其他条款。签约前个人信息主体需要与境外接收主体协商，向其解释标准合同条款内容，完善合同文本，并就其他条款协商一致。另外，标准合同生效即可开展个人信息出境，无需通过备案后才可以开展出境活动。

（三）备案

个人信息处理者在标准合同生效之日起10个工作日内，通过送达书面材料并附带电子版材料的方式，向所在地省级网信办备案。在标准合同有效期内出现：

（1）向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限；

（2）境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的。个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行相应备案手续。

05

标准合同的解除

（一）合同解除的情形

标准合同条款约定了个人信息处理者和境外接收方均有合同解除权。个人信息处理者在发生以下情形时享有解除权：

（1）境外接收方违反合同约定的义务，或者境外接收方所在国家或者地区的个人信息保护政策和法规发生变化导致境外接收方无法履行本合同的；

（2）个人信息处理者暂定向境外接收方提供个人信息的时间超过1个月；

（3）境外接收方遵守本合同将违反其所在国家或者地区的法律规定；

（4）根据境外接收方的主管法院或者监管机构作出的终局决定，境外接收方或者个人信息处理者违反了本合同约定的义务。

（5）境外接收方严重或者持续违反本合同约定的义务。

境外接收方在以上二至四种情况下也享有解除权。从双方享有解除权的情形来看，个人信息处理者享有解除权的主要情形为境外接收方因各种原因不能履行合同，境外接收方如因所在国家或地区的法律、司法机构、监管机构的规定、决定不能履行标准合同，也可以解除合同。

（二）合同解除的后果

标准合同解除不能免除个人信息处理者和境外接收方在个人信息处理过程中的个人信息保护义务。特别的，对于境外接收方，合同解除时应当及时返还或者删除其根据本合同所接收到的个人信息（包括所有备份），并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的，应当停止除存储和采取必要的安全保护措施之外的处理。

06

结语

标准合同条款既约束个人信息处理者，又约束境外接收方，同时利益个人信息主体，形式上是合同条款，兼具国家监管的功能，是个人信息跨境传输的重要路径之一。对于企业而言，目前标准合同备案也较具可行性，实践中已有较多案例。在备案前需要进行个人信息保护影响评估，与境外接收方协商一致，并注意不得约定与标准合同条款冲突的内容。合同有效期内《标准合同办法》规定的变化发生后，需重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行相应备案手续。