为了保护个人信息权益，规范个人信息出境活动，依据《中华人民共和国个人信息保护法》等法律法规，国家互联网信息办公室制定了《个人信息出境标准合同办法》（以下简称“《办法》”），《办法》自2023年6月1日起施行。为指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同，国家互联网信息办公室于2023年5月30日发布了《个人信息出境标准合同备案指南（第一版）》（以下简称“《备案指南（第一版）》”）。

《个人信息保护法》第38条规定了个人信息合规出境的三种基本方式：通过国家网信部门组织的安全评估、进行个人信息保护认证以及签订标准合同。《办法》及其附件《个人信息出境标准合同》（以下简称“《标准合同》”）明确了通过签订标准合同实现个人信息出境的要求，规定了签订标准合同实现个人信息出境的流程以及标准合同的条款内容。以签订标准合同的方式出境，用合同义务的方式明确个人信息处理者和境外接收方之间的权利义务来实现数据出境，能够节约监管资源，具有现实可操作性，有利于同时保障个人信息跨境传输的便捷性和安全性。

本文将结合国家互联网信息办公室于2024年3月22日发布的《促进和规范数据跨境流动规定》（以下简称“《规定》”）及《个人信息出境标准合同备案指南（第二版）》（以下简称“《备案指南（第二版）》”），对《办法》及其附件《标准合同》的具体条文进行分析，对比境内外相关规定，简析其中的要点。

一、             适用范围

《办法》的适用范围是个人信息处理者依照《个人信息保护法》第38条第1款第（3）项，向境外提供个人信息，即《办法》针对的数据类型是个人信息，这点与欧盟、东盟等境外标准化合同的适用对象类似。但是我国的标准合同则仅有一个版本，未因数据提供方和数据接收方的角色不同而发布不同版本的标准合同，这一点与欧盟的立法技巧不同，欧盟在GDPR项下针对数据提供方和数据接收方不同的数据处理关系发布了不同版本的标准合同。关于《办法》的适用范围，我们理解，除了上述基础内容外，尚有如下两个问题需要澄清：

(一)            关于“个人信息出境行为”

《备案指南（第一版）》定义了“个人信息出境行为”：1.个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外；2.个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；3.国家网信办规定的其他个人信息出境行为。

《备案指南（第二版）》对《备案指南（第一版）》做出了两处重要修改。首先，《备案指南（第二版）》删除了上述第1条中的“存储”，但我们理解此处的修改并非是将个人信息存储至境外排除在“个人信息出境行为”之外，因为只要将个人信息传输至境外即构成个人信息出境，是否在境外存储并不重要，无论在境外是否存储，只要将个人信息传输至境外即构成“个人信息出境行为”，因此没有必要再单独强调个人信息在境外存储也属于“个人信息出境行为”。上述修改再未改变文义的前提下使表述更为简洁，属于立法技巧层面的调整。其次，《备案指南（第二版）》将第3项修改为“符合《个人信息保护法》第三条第二款情形，在境外处理境内自然人个人信息等其他个人信息处理活动”，此项修改解决了实务中一直存在争议的问题，即在保护性管辖（指《个人信息保护法》第3条第2款规定的情形）的情况下，是否需要按照《个人信息保护法》第38条第1款的规定履行相关义务的问题。

(二)            关于标准合同的适用条件

《办法》第4条规定，同时符合如下条件的，方可通过签订标准合同向境外提供个人信息，即：非关键信息基础设施运营者；处理个人信息不满100万人的；自上年1月1日起累计向境外提供不满10万人个人信息的；自上年1月1日起累计向境外提供不满1万人敏感个人信息的。

《规定》及《备案指南（第二版）》将以标准合同备案方式实现个人信息出境的适用条件调整如下：关键信息基础设施运营者以外的数据处理者，自当年1月1日起，累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）的；关键信息基础设施运营者以外的数据处理者，自当年1月1日起，累计向境外提供不满1万人敏感个人信息的。属于《规定》第三条、第四条、第五条、第六条规定情形的，从其规定。

从上述内容可以清晰看出，《规定》及《备案指南（第二版）》所进行的最核心的调整包括如下三个部分：第一，设置豁免条件。《规定》第三条、第四条、第五条、第六条规定情形（即豁免的具体内容），详见《【法评】数据出境系列文章之三——<促进和规范数据跨境流动规定>要点解读与合规建议》。第二，提升数量标准。将普通个人信息的起算标准提高到10万人（10万人以下豁免），上限提高到100万人。第三，起算日期调整。将计算个人信息规模的起算日期由“上年1月1日”修改为“当年1月1日”，实质上将统计出境个人信息总量的时间从原来的2年缩短为1年。

二、             出境流程

下图是我们总结的适用标准合同备案程序的个人信息出境的详细流程图，供各位参考。

在上述流程中，最核心的部分是进行个人信息保护影响评估和起草制作标准合同，以下简要介绍个人信息保护影响评估和标准合同的相关内容、备案的具体流程以及需要重新备案的具体情形：

(一)            进行个人信息保护影响评估

个人信息保护影响评估体现的是《个人信息保护法》第55条的要求。根据《个人信息保护法》第55条，向境外提供个人信息应当进行个人信息保护影响评估，并应将评估报告和处理记录保存至少三年。但是《个人信息保护法》的规定较为原则，具体进行评估的方法、评估的过程、评估的要求等均应按照《办法》和《备案指南》（现阶段具体指《备案指南（第二版）》附件5）的要求进行，评估报告应严格按照模板撰写，报告所述评估工作应在申报前3个月内完成。

根据《办法》第5条，个人信息处理者向境外提供个人信息前，应当开展个人信息保护影响评估，重点评估以下内容：个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；其他可能影响个人信息出境安全的事项。

个人信息处理者备案个人信息出境标准合同时需提供个人信息保护影响评估报告，并对所提交的评估报告真实性负责。与《备案指南（第一版）》相比，《备案指南（第二版）》提供的个人信息保护影响评估报告（模板）内容更为简洁，删除了个人信息处理者个人信息保护能力情况、境外接收方所在国家或地区个人信息保护政策法规情况、境外接收方处理个人信息的全流程过程描述等内容，在一定程度上降低了企业的评估成本，但我们也注意到《备案指南（第二版）》仍保留了个人信息出境链路相关情况以及计划出境后存储的系统平台、数据中心等内容，基于我们实务经验，该等内容境外接收方通常不太愿意提供，因此我们建议相关企业提前做好沟通和评估准备工作。

(二)            签订标准合同

我国标准合同的内容主要包括基本信息和术语定义、个人信息处理者的义务、境外接收方的义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利和救济、合同解除、违约责任、争议解决以及附录。各部分内容具体如下：

1.       基本信息和术语定义

标准合同的首部为个人信息处理者和境外接收方的基本信息，包括名称、地址、联系方式、联系人等。

标准合同第1条为术语定义，对合同中的“个人信息处理者”、“敏感个人信息”等术语的含义进行引用说明，明确术语定义与我国法律法规规定的含义一致，以避免可能出现的纠纷。

2.       个人信息处理者的义务

标准合同的第2条对个人信息处理者的义务做出了规定，主要有对个人信息主体的告知、单独同意等义务、对监管机关的答复、提供材料等义务以及对境外接收者的协助、监督义务等。具体如下：

①       遵循最小必要原则：按照相关法律法规规定处理个人信息，向境外提供的个人信息仅限于实现处理目的所需的最小范围。

②       告知、同意义务：个人信息处理者应当向个人信息主体告知境外接收方的名称或姓名、联系方式等基本信息、附录一“个人信息出境说明”中处理目的、处理方式、个人信息的种类、保存期限以及行使个人信息主体权利的方式、程序等事项并取得个人单独同意（如基于个人同意处理个人信息）。上述告知同意包含涉及敏感个人信息时的增强告知和所需的额外同意（例如涉及未成年人时监护人的单独同意）。

③       第三方受益人默认同意：标准合同规定如果个人信息主体被告知其与境外接收方通过合同被约定为第三方受益人，如果在三十天内未明确拒绝，则默认同意，并获得合同的第三方受益人权利。

④       向个人信息主体提供合同副本的义务

⑤       向监管机构提供材料的义务：个人信息处理者应当按照相关法律法规的要求，向监管机构提供第3条第11款所述的信息，包括所有合规审计结果。

⑥       答复询问的义务：个人信息处理者须答复监管机构关于境外接收方的个人信息处理活动的询问。

⑦       进行个人信息影响评估的义务：如前所述，个人信息处理者向境外提供个人信息前应当进行个人信息影响评估，并保存个人信息保护影响评估报告至少3年。

⑧       确保境外接收方履约的义务：标准合同要求个人信息处理者尽合理地努力确保境外接收方采取技术和管理措施来履行合同义务，并在合同第2条第5款写明采取的措施。

⑨       向境外接收方提供相关法律规定和技术标准副本的义务

3.       境外接收方的义务

标准合同第3条对境外接收方的义务做出了规定，用合同义务的方式对境外接收方存储、处理个人信息等行为做出约束并规定其采取保护以及补救措施、接受监管等义务，从而确保境外接收方对出境个人信息保护的力度可以达到我国《个人信息保护法》所要求的水平。具体而言：

①       按照约定范围处理个人信息的义务：境外接收方应当按照标准合同附录一所列的约定处理个人信息。

②       受个人信息处理者委托处理个人信息须履行的义务：按照与个人信息处理者的约定处理个人信息。转委托第三方处理的，应当事先征得个人信息处理者同意，要求该第三方不得超出合同附录一处理个人信息，并对该第三方的个人信息处理活动进行监督。

③       向个人信息主体提供合同副本的义务

④       遵循最小必要原则：采取对个人权益影响最小的方式处理个人信息。

⑤       遵循最短存储原则：存储个人信息应当为实现目的所必要的最短时间，保存期限届满的，应当删除个人信息（包括所有备份）。

⑥       采取技术和管理措施保障个人信息安全的义务：采取技术和管理措施并定期进行检查，确保个人信息安全。确保授权处理个人信息的人员履行保密义务，并建立最小授权的访问控制权限。

⑦       采取补救措施的义务：处理的个人信息发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问时，境外接收方应当及时采取适当措施减轻对个人信息主体的不利影响，立即将相关情况通知给个人信息处理者，按照法律法规要求通知个人信息主体，并记录留存所有与发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问有关的情况（包括采取的所有补救措施）。

⑧       向境外第三方提供个人信息须履行的义务：

同时符合下列条件，方可向境外的第三方提供个人信息：

l  确有业务需要；

l  已告知个人信息主体第三方的名称或姓名、联系方式、处理方式、处理目的、个人信息种类、保存期限以及行使个人信息主体权利的方式和程序等事宜并取得个人单独同意（如基于个人同意处理个人信息）；

l  与第三方达成书面协议、确保第三方个人信息保护水平不低于我国相关法律法规规定的个人信息保护标准且对可能造成的损害承担连带责任；

l  向个人信息处理者提供与第三方达成书面协议的副本。

⑨       向个人信息处理者提供必要信息的义务：承诺向个人信息处理者提供已遵守合同义务所需的必要信息，允许个人信息处理者对必要数据文件和文档进行查阅，或者对合同涵盖的处理活动进行合规审计，并为个人信息处理者开展合规审计提供便利。

⑩       记录个人信息处理活动的义务：对个人信息处理活动进行记录，并保存至少3年，并按照相关法律法规要求直接或者通过个人信息处理者向监管机构提供相关记录文件。

⑪       配合监管机构工作的义务：同意配合我国监管机构的询问、检查等监督管理。

⑫       自动化决策相关义务：将《个人信息保护法》第24条的要求重申，不得利用自动化决策实行不合理的差别对待，同时提供不针对个人特征的选项或者提供便捷的拒绝方式。

4.       境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响

标准合同第4条“境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响”是对欧盟SCC相关条款的借鉴。欧盟SCC的相关条款是Schrems Ⅱ案后进行的新安排，欧盟SCC要求数据出境方与数据接收方均保证其没有理由相信，适用于数据接收方的目的地所在国处理个人数据相关的法规和管理会妨碍数据接收方履行欧盟SCC项下义务。为此，双方应当承诺就目的地法律和管理的相关情况以及保障措施已经予以了充分的考虑。我国的标准合同中的规定也与欧盟SCC类似，双方应当对接收方所在国家和地区的个人信息保护相关法律状况进行评估。

5.       个人信息主体的权利和救济

①       权利内容：标准合同规定个人信息主体拥有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理，有权要求查阅、复制、更正、补充、删除其个人信息，有权要求对个人信息处理规则进行解释说明。

②       行使权利的对象：个人信息主体可以向个人信息处理者或境外接收方行使其权利，个人信息处理者无法实现的应当通知境外接收方协助实现。

③       权利行使的拒绝：境外接收方拒绝个人信息主体的请求，应当告知其拒绝的原因以及个人信息主体投诉、救济的途径。

④       救济途径：标准合同规定境外接收方应当设立一个联系人，答复个人信息处理的询问或投诉，且以简单易懂的方式告知个人信息主体联系人信息。如争议未能友好解决，个人信息主体有权向监管机关投诉或者向标准合同第6条第5款中所规定的中国法院起诉。

6.       合同的解除、违约责任以及争议解决

①       标准合同规定，境外接收方违反合同义务或者境外接收方所在国家或者地区的个人信息保护政策和法规发生变化（包括境外接收方所在国家或者地区更改法律，或者采取强制性措施）导致境外接收方无法履行本合同的，个人信息处理者可以暂停向境外接收方提供个人信息。发生上述暂停提供个人信息超过一个月、境外接收方遵守合同将违反所在国法律规定、监管机构做出决定使得合同无法执行的情况下，双方均有权解除合同。

②       在境外接收方严重或持续违反合同义务的情况下，个人信息处理者有权解除合同。

③       需要注意，标准合同的解除不免除个人信息处理者及境外接收方在个人信息处理过程中的个人信息保护的义务。

④       合同解除时，境外接收方应当及时返还或者删除其根据标准合同所接收到的个人信息（包括所有备份），并向个人信息处理者提供书面说明。

⑤       违约方应当就非违约方所遭受的损失承担赔偿责任。

⑥       双方应当对个人信息主体的损害赔偿承担连带责任，承担责任后一方有权向另一方追偿超过其应当承担份额。

⑦       标准合同规定双方可以就争议解决方式进行选择，仲裁或诉讼。

⑧       标准合同规定适用中国法律并限制境外司法管辖权。

7.       附录

标准合同附录分为附录一（个人信息出境说明）以及附录二（双方约定的其他条款（如需要））。

附录一需要对个人信息出境的基本情况进行说明，包括处理目的、处理方式、出境个人信息的规模、出境个人信息种类、出境敏感个人信息种类、境外接收方只向以下中华人民共和国境外第三方提供个人信息（如适用）、传输方式、出境后保存期限、出境后保存地点及其他事项（视情况填写）。基于我们协助客户进行个人信息出境标准合同备案的实务经验，标准合同的附录一是监管机构查验的重点。建议企业在提交备案前，对附录一的内容与个人信息保护影响评估报告的相关内容进行核对，以避免两份文件内容不一致而影响备案进程。

附录二为双方约定的其他条款。在不与合同正文内容相冲突的前提下，双方如有其他约定可在附录二中详述，如可在此约定合同的有效期。

(三)            标准合同备案

1.       备案方式

《办法》第7条规定个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。标准合同备案制度是我国首创的监管制度，备案可以方便行政机关的事后监督和检查，有利于加强监管机构的监管。

备案个人信息出境标准合同可以登录数据出境申报系统在线提交材料，系统网址为https://sjcj.cac.gov.cn。已通过线下方式提交标准合同备案材料的，不需要通过数据出境申报系统进行重新提交。

2.       备案材料

个人信息处理者备案标准合同，应当提交如下材料：

3.       备案流程

省级网信办收到备案材料后在15个工作日内完成材料查验，并向符合备案要求的个人信息处理者发放备案编号。需要补充完善材料的，个人信息处理者应当在10个工作日内提交补充完善材料；逾期未补充完善材料的，可以终止本次备案程序。

(四)            合同内容变更时的重新签订和重新备案

在标准合同有效期内出现下列情形之一的，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行相应备案手续：

（一）向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；

（二）境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；

（三）可能影响个人信息权益的其他情形。

三、             合规建议

《个人信息保护法》第38条中规定了个人信息出境的3种基本方式。其中，标准合同以合同义务的方式确保个人信息的数据安全，较好地平衡了数据安全出境和数据便捷出境的要求。

对于未达到数据出境安全评估申报条件且未免予订立个人信息出境标准合同或通过个人信息保护认证的个人信息出境活动，个人信息处理者可以结合自身情况，选择订立个人信息出境标准合同。虽然通过签订标准合同的方式出境无需进行安全评估、现场审核，更加便捷，但仍有较多要求和限制，我们提请相关企业留意如下要点、做足准备，从而确保数据顺利出境。

l  梳理自身状况和出境个人信息计划，判断是否符合个人信息出境标准合同的适用范围，符合要求则再考虑采用标准合同的方式合规出境。

l  再次梳理出境个人信息的类型、出境目的、处理方式等，检查自身现有合规措施，准备对出境必要性等内容进行论证。

l  与境外接收方进行沟通，确定个人信息在境外的存储地点、存储时间、处理方式，境外接收方是否转委托或传输给第三人等信息。

l  检查境外方相关的个人信息保护的技术和管理措施，是否符合我国法律规定的保护能力，如果不符合则继续进行沟通告知其进行改进。

l  对境外接收方所在国的个人信息保护相关法律法规进行调查，研究其对于履行标准合同可能造成的影响。

l  对个人信息可能在双方面临的各种风险进行分析，开展个人信息保护影响评估并形成评估报告并保存三年。

l  按照规定签订标准合同并在生效后10个工作日内及时向省级网信部门备案。

l  及时更新隐私政策并履行告知同意的义务，获得个人信息主体的单独同意。

l  留存各种书面文件、日志、记录和证据（对境外方个人信息保护能力的评估过程的记录、研究所在国法律的记录等）以应对监督机关的检查以及在可能面临的诉讼中承担举证责任。