《個人信息出境標準合同辦法》出台落地相關實務要點十問十答_風聞

走出去智庫觀察

2月24日，國家互聯網信息辦公室公佈《個人信息出境標準合同辦法》及《個人信息出境標準合同》，細化落實了《個人信息保護法》中個人信息出境路徑的具體規定，與《數據出境安全評估辦法》、《關於實施個人信息保護認證的公告》共同組成我國數據出境安全管理制度的三大機制。

走出去智庫(CGGT)特約法律專家、中倫律師事務所合夥人李瑞認為，數據跨境傳輸監管三大機制的落地，響應了《關於構建數據基礎制度更好發揮數據要素作用的意見》中以促進數據合規高效流通使用、賦能實體經濟為主線的指導思想。建議企業及時部署開展相關合規工作，通過合規創造價值。****

數據出境如何用好《標準合同》？今天，走出去智庫(CGGT)刊發中倫律師事務所李瑞律師團隊的文章，供關注跨境數據合規管理的讀者參閲。****

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

****1、****企業僅可在不觸發數據出境安全評估要求的情況下，選擇採取訂立標準合同的方式滿足個人信息出境合規要求。對此，《標準合同辦法》第四條特別提出，個人信息處理者不得采取數量拆分等手段，將依法應當通過數據出境安全評估的個人信息通過訂立標準合同的方式向境外提供。

2、就具體個人信息出境活動，數據出境方與境外接收方確有其他安排，雙方可補充約定，但約定內容不得與《標準合同》的內容相沖突。即便雙方約定了與《標準合同》內容相沖突的事項，《標準合同》將優先於雙方所簽署的其他任何法律文件而適用。

****3、****如果網信部門發現相關個人信息出境活動可能存在較大風險，或者發生個人信息安全事件的，可能會約談境內數據出境方並要求其進行整改。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

引言

2023 年 2 月 24 日，國家網信辦正式發佈《個人信息出境標準合同辦法》（下稱“《標準合同辦法》”）及《個人信息出境標準合同》（下稱“《標準合同》”），其中明確《標準 合同》將於 2023 年 6 月 1 日開始生效施行。至此，中國數據跨境傳輸監管機制“三件套”——（1）數據出境安全評估、（2）個人信息出境標準合同及（3）個人信息保護認證的具體實施辦法均正式出台，中國數據跨境傳輸監管體系及實務將迎來全新的篇章。本文將聚焦企業在解讀和落實《標準合同辦法》及《標準合同》的過程中可能遇到或產生的常見問題，結合我們的實務經驗予以解答，以期以短平快的方式為企業開展數據跨境傳輸合規工作提供實務指引。

問題一：企業如何確定自身存在個人信息出境活動？如果存在個人信息出境活動，企業如何********確定自身應當適用數據傳輸監管機制“三件套”（數據出境安全評估、個人信息出境標準合********同及個人信息保護認證）中的哪一套（或多套）機制來滿足合規要求？****

答：企業做好數據出境合規管理的第一步，是明確自身是否存在數據出境活動。中國法律對於“數據出境”的定義非常廣泛，我們此前發佈的《企業數據出境合規系列解讀（一）：盤點常見數據出境風險場景》一文，歸納了常見的企業數據出境場景，可幫助企業識別是否存 在數據出境場景。

在存在數據出境活動的情況下，企業應首先根據出境數據的類型來確定適用的監管要求。我們此前發佈的《企業數據出境合規系列解讀（二）：哪些數據受到出境監管？》一文，梳理歸納了受到出境監管（包括限制和禁止）的主要數據類型，可幫助企業總體把握數據出境合 規要求。對於個人信息出境活動而言，監管機制可歸納為“1+2”體系，即：

• “1”：個人信息出境活動符合以下標準的，應當通過國家網信部門組織的數據出境安全評估：（1）關鍵信息基礎設施運營者和處理 100 萬人以上個人信息的數據處理者向境外提供個人信息；或（2）自上年 1 月 1 日起累計向境外提供 10 萬人的個人信息或者 1 萬人的敏感個人信息的數據處理者向境外提供個人信息。

• “2”：其他情況下的個人信息出境，可在“通過個人信息保護認證”或“訂立標準合同”兩種方式中任選其一，以滿足數據出境合規要求。

由此可見，企業僅可在不觸發數據出境安全評估要求的情況下，選擇採取訂立標準合同的方式滿足個人信息出境合規要求。對此，《標準合同辦法》第四條特別提出，個人信息處理者不得采取數量拆分等手段，將依法應當通過數據出境安全評估的個人信息通過訂立標準合同的方式向境外提供。

問題二：如果企業擬訂立標準合同來滿足數據出境合規要求，訂立的合同條款是否必須與****《標準合同》的內容完全一致？如果數據傳輸雙方確有其他約定，怎麼辦？****

答：《標準合同辦法》第六條明確要求，企業實務中訂立的個人信息出境標準合同必須嚴格按照國家網信部門發佈的《標準合同》的內容訂立。這一點與歐盟的做法是一致的。

如就具體個人信息出境活動，數據出境方與境外接收方確有其他安排，雙方可補充約定，但約定內容不得與《標準合同》的內容相沖突。即便雙方約定了與《標準合同》內容相沖突的事項，根據《標準合同》第九條第（一》項的規定，《標準合同》將優先於雙方所簽署的其他任何法律文件而適用。

問題三：如果企業擬訂立標準合同來滿足數據出境合規要求，對於數據出境方而言，除了訂********立《標準合同》外，還需要做什麼？

答：除簽訂合法有效的《標準合同》外，企業還需要依據《個人信息保護法》的要求開展事前的個人信息保護影響評估（下稱“PIA”），形成個人信息保護影響評估報告，並在《標準合同》生效之日起的 10 個工作日內將所簽訂的標準合同和個人信息影響評估報告提交給所在地省級網信部門備案。

此外，企業要滿足《個人信息保護法》的要求以及《標準合同》中規定的義務，還需提前部署開展多項內外部舉措，具體詳見下文第六問答覆。

問題四：如果企業擬訂立標準合同來滿足數據出境合規要求，那麼對於《標準合同辦法》施********行前已經開展的落入規制範圍內的個人信息出境活動，應該怎麼處理？

答：對於在《標準合同辦法》施行前已經開展的個人信息出境活動，企業應採取措施確保其合規性。根據過往經驗，“已經開展的個人信息出境活動”，應指的是仍在開展、尚未結束的活動。如果相關個人信息出境活動落入可通過訂立標準合同的方式滿足合規要求的範圍內，企業可採取補籤標準合同並完成備案的方式來滿足合規要求；或者，如前文介紹，由於訂立標準合同和通過個人信息保護認證兩種合規機制是二選一的關係，企業也可採取通過個人信息保護認證的方式完成合規整改。

無論採取哪種方式，《標準合同辦法》對整改提出了時間要求，為《標準合同辦法》施行之日起的 6 個月，即最終整改期限截至 2023 年 12 月 1 日。考慮到完成標準合同的簽署和備案需要一定時間，我們建議企業儘早梳理自身情況，及時開展相關工作，避免產生延時風險。

問題五：如果在企業簽署標準合同並完成備案後，合同約定的個人信息出境活動發生了變********化，企業需要做什麼？

答：如果在合同有效期內，相關個人信息出境活動發生變化，比如數據出境種類增多，境外數據接收方的數據中心轉移等，企業需重新履行前文提到的 3 項主要合規義務，即：

（1） 補充或者重新訂立標準合同；

（2） 重新開展 PIA 並形成新的個人信息保護影響評估報告； 

（3） 重新履行向當地省級網信部門備案的手續。

問題六：企業在訂立《標準合同》後，各自需要承擔哪些合同義務？

答：我們曾在《數據出境合規解讀系列文章（三）：數據跨境傳輸協議應明確哪些權利義務》 一文中對《標準合同》徵求意見稿中規定的各方權利義務進行歸納。相比徵求意見稿的內容， 本次正式發佈的《標準合同》對於雙方義務並未進行框架性調整，主要是對義務內容進行了 細化和優化。為方便企業參考，我們進一步梳理更新了數據出境雙方在《標準合同》正式稿項下的各自權利和義務，企業可通過【閲讀全文】【掃碼】下載。

總體而言，境內傳輸方的義務主要包括以下幾項：嚴格執行告知同意要求，明釋第三方受益人權利；確保個人信息的處理符合最小必要原則，並提前做好個人信息處境安全評估；採取技術與合規管理措施，適當開展出境後監督管理；妥善處理個人信息泄露事件（如有），配合監管機構調查問詢等。

境外接收方的義務主要包括以下幾項：嚴守約定處理數據，最小限度存儲數據，採取有效技術和管理措施保護數據安全，保護和配合個人信息主體行使權利；準確記錄數據處理活動，積極配合數據處理者的監督，共同響應監管機構問詢等。此外，雙方還需盡合理注意義務，考察境外接收方所在國家或者地區的個人信息保護政策和法規是否會影響境外接收方履行本合同約定的義務。

可以看出，境內傳輸方的多項義務必須要做在訂立標準合同之前。因此，從現在開始到整改窗口關閉之前，境內傳輸方需要切實採取措施，梳理自身存在的個人信息出境活動，明確需採取的合規機制；對於擬採取訂立標準合同的，需提前完成告知同意、個人信息影響評估等相關義務。

問題七：個人信息主體是否是標準合同的一方？《標準合同》簽署後，個人信息主體是否可********基於該合同，向合同一方或雙方提起法律訴訟，追究合同雙方的法律責任？

答：個人信息主體不是標準合同的一方。但是，《標準合同》明確，境內傳輸方需告知個人信息主體訂立標準合同一事；除非個人信息主體明確拒絕，否則其可依據標準合同享有第三方受益人的權利，其中包括作為第三方受益人向合同一方或多方提起訴訟以維權的權利。

《標準合同》進一步明確，作為第三方受益人，個人信息主體可以選擇適用中國法律向有管轄權的中國人民法院提起訴訟；如果其做此選擇，合同雙方有義務接受並遵守。但另一方面，《標準合同》並未限定個人信息主體提起的訴訟必須適用中國法律向有管轄權的中國人民法院提起；因此，實踐中，個人信息主體也有權依據其他法域法律法規向境外有管轄權的法院尋求救濟。

問題八：個人信息主體是否可要求獲得企業簽署的標準合同的副本，即便合同中包含企業的********商業秘密或保密商務信息？

答：《標準合同》對個人信息主體權利保護及企業合理商業利益保護進行了平衡。一方面，相關個人信息主體可要求獲得企業簽署的標準合同的副本，如其提出，企業有義務提供；另一方面，如果所訂立的標準合同中包含商業秘密或者保密商務信息，企業可對合同進行適當處理（如打碼等）後再提供副本，但需確保不影響個人信息主體理解該合同。

問題九：如果在企業履行標準合同期間，合同約定的個人信息出境活動存在較大風險或者發生了信息安全事件，會有怎樣的後果？如果確實給個人信息主體造成了損失，合同雙方如何承擔責任？

答：如果網信部門發現相關個人信息出境活動可能存在較大風險，或者發生個人信息安全事件的，可能會約談境內數據出境方並要求其進行整改。我們建議公司應夯實前期的合規基礎工作，避免後續產生被約談、整改等情況。

《標準合同》進一步約定，如果確實發生了給個人信息主體造成了損失的情況，個人信息主體有權向合同任何一方索償，要求其承擔責任，換句話説，數據出境方及境外數據接收方就給個人信息主體造成的損失承擔連帶責任。但另一方面，如果合同一方承擔的責任超過其應當承擔的份額，其有權向另一方追償。

問題十：標準合同解除時，境外數據接收方是否需要返還或刪除其在相關數據出境活動中獲********取的個人信息？

答：根據《標準合同》，合同解除時，境外數據接收方必須刪除或返還合同項下所接收到的所有個人信息及其備份，並向境內一方提供書面説明。但是，如果技術上無法實現刪除，那麼境外數據接收方也可不予刪除，但應當停止除存儲和採取必要的安全保護措施之外的任何處理。

完善的數據跨境傳輸監管機制是促進數據跨境有序流通，創造更大商業價值的基石。三大機制的落地，正是響應了《關於構建數據基礎制度更好發揮數據要素作用的意見》中以促進數據合規高效流通使用、賦能實體經濟為主線的指導思想。我們建議企業及時部署開展相關合規工作，通過合規創造價值。由於合規整改所留時間窗口有限，我們建議公司儘快梳理自身個人信息出境的事實情況與合規需求，選定適用的跨境傳輸機制，投入相應的資源，確保相關合規要求在時限窗口內及時落地。

誠然，數據跨境傳輸監管要求較為複雜，對公司的合規建設工作提出了較高的要求。在數據跨境傳輸解讀的系列文章中，我們也將繼續保持觀察並結合一線項目經驗，為公司提供及時、有益的實務建議。

來源：中倫視界

免責聲明：本文僅代表作者觀點，不代表走出去智庫立場。