跨境數據合規｜《個人信息出境標準合同備案指南（第一版）》六大要點解析_風聞

走出去智庫觀察

在《個人信息出境標準合同辦法》6月1日正式施行兩天前，國家網信辦發佈《個人信息出境標準合同備案指南（第一版）》（《備案指南》），對個人信息出境標準合同備案方式、備案流程、備案材料等具體要求作出了説明。

走出去智庫(CGGT)特約法律專家、中倫律師事務所合夥人李瑞與中倫律師事務所顧問賈申認為，《備案指南》的出台標誌着個人信息標準合同機制落地要求的進一步深入，數據出境合規地圖不斷完善，建議企業抓緊時間落實和完成個人信息出境標準合同相關工作。

個人信息出境有哪些合規要求和落地方案？今天，走出去智庫(CGGT)刊發中倫律師事務所李瑞、賈申、徐晨、馬悦的文章，供關注跨境數據合規管理的讀者參閲。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、在個人信息出境標準合同機制下，企業為開展數據跨境傳輸活動所需展開的個人信息保護影響評估（Personal Information Security Impact Assessment，PIA）、標準合同簽署與標準合同備案的時間線得到明確。

2、如果省級網信辦會對備案材料進行實質性審查，基於對數據跨境傳輸活動的安全性的判斷而給出不予備案的結果，且這一結果會產生阻斷企業開展相關個人信息跨境傳輸活動的效果，那麼標準合同備案流程實質上發揮着類似“審批”的作用。

3、《備案指南》對於PIA工作提出了較高的要求。一方面，PIA報告中需涵蓋的內容多且細緻，涉及境外接收方信息的收集與編寫、信息系統的排查與説明等，對於企業的材料組織能力提出了不小的挑戰。另一方面，細緻的內容要求意味着PIA工作不能夠流於形式，而應進行深入的合規性與技術性分析。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

2023年6月1日，國家互聯網信息辦公室（以下簡稱“網信辦”）發佈的《個人信息出境標準合同辦法》（以下簡稱“《標準合同辦法》”）正式施行。為指導和幫助個人信息處理者開展《標準合同辦法》規定的個人信息出境標準合同備案，網信辦於兩日前正式發佈《個人信息出境標準合同備案指南（第一版）》[1]（以下簡稱“《備案指南》”），對個人信息出境標準合同（“標準合同”）備案的時限、流程、提交材料、結果等事項提供了指引，並提供了主要備案材料的模板。

《標準合同辦法》的生效實施以及《備案指南》的發佈，對於存在個人信息出境情形且根據法規和企業實際情況，可通過個人信息出境標準合同機制來滿足合規要求的企業來説，進一步明確了合規要求和落地方案，建議企業照此抓緊時間落實和完成個人信息出境標準合同相關工作。為幫助企業理解和落實相關工作要求，本文梳理了《備案指南》六大要點，供企業參考。

要點一：明確個人信息保護影響、評估標準合同簽署及標準合同備案三步工作的時間要求

《備案指南》明確了“個人信息處理者應當在標準合同生效之日起10個工作日內，通過送達書面材料並附帶材料電子版的方式，向所在地省級網信辦備案。”與此同時，《備案指南》後附《承諾書（模板）》中進一步明確，“個人信息保護影響評估工作為備案之日前3個月內完成，且至備案之日未發生重大變化。”

由此，在個人信息出境標準合同機制下，企業為開展數據跨境傳輸活動所需展開的個人信息保護影響評估（Personal Information Security Impact Assessment，PIA）、標準合同簽署與標準合同備案的時間線得到明確。結合企業為開展該機制需開展的盤點及整改工作，全套工作的時間線應大致如下，具體請參見下圖1：

（1）首先，企業需通過盤點，明確自身存在個人信息出境場景，且可以通過個人信息出境標準合同機制滿足出境要求；

（2）其次，企業應首先完成關於個人信息出境的PIA。在評估過程中如發現存在合規問題導致無法通過PIA，需開展整改工作，直至PIA得到通過；

（3）再次，在通過PIA後的約10周（即2個半月）內，企業需完成標準合同的簽署；

（4）最後，在標準合同生效之日起10個工作日內，企業需將備案材料準備完畢，向所在地省級網信部門申報標準合同備案。

圖1 “三步走”時間流程圖

以上時間表無疑適用於《標準合同辦法》正式施行後企業新開展的個人信息出境行為。那麼，對於《標準合同辦法》正式施行前就已經開展的個人信息出境行為來説，是否同樣需要遵循上述時間要求？結合《標準合同辦法》第13條的規定，即“本辦法施行前已經開展的個人信息出境活動，不符合本辦法規定的，應當自本辦法施行之日起6個月內完成整改。”我們傾向於認為，在以“整改”或稱“後補”的方式完成個人信息出境標準合同備案的情況下，如企業已經在6月1日之前實施了出境行為、甚至簽署了標準合同，則其備案時間應當有一定靈活性，無需嚴格受制於上述時間要求，但需在2023年12月1日前（即《標準合同辦法》生效施行之日起6個月內）完成全套合規工作，包括申報標準合同備案。儘管如此，我們認為，《備案指南》中提出的實質性要求仍然適用——即企業此前開展的個人信息跨境傳輸活動與備案時相比未發生重大變化，否則應按照《標準合同辦法》及《備案指南》的要求重新開展個人信息保護影響評估，補充或者重新訂立標準合同，並履行相應備案手續。

要點二：細化和明確標準合同備案需提交的材料

《備案指南》明確了標準合同備案應當提交的材料，包括以下文件：

（1）統一社會信用代碼證件影印件；

（2）法定代表人身份證件影印件；

（3）經辦人身份證件影印件；

（4）經辦人授權委託書；

（5）承諾書；

（6）標準合同；

（7）《個人信息保護影響評估報告》。

《備案指南》附件1中對提交材料的形式，包括提交影印件還是原件，是否需要加蓋公章等均作出了明確細緻規定，並就前述第（4）-（7）項材料提供了相應的模板，應依據模板進行準備。

要點三：明確省級網信辦辦理標準合同備案工作的時限

《備案指南》明確，省級網信辦收到材料後，應當在15個工作日內完成材料查驗，並通知個人信息處理者備案結果。如未通過備案且需要補充完善材料的，企業應當於10個工作日內再次提交材料；補充或者重新備案的材料查驗時間為15個工作日。具體請參見下圖2。

因此，如企業無需提交補充完善材料即可完成備案的，在提交材料後的15個工作日內即可獲知備案結果；如企業需要提交補充完善材料，甚至多次被要求提交補充完善材料的，標準合同備案時限自首次提交材料之日可能會耗費幾十個工作日才能完成，上不封頂。

圖2 個人信息出境標準合同備案流程圖

要點四：明確標準合同備案可能會存在不通過的結果

根據《備案指南》，備案結果分為通過和不通過兩種結果。通過備案的，省級網信辦向個人信息處理者發放備案編號；不通過備案的，個人信息處理者將收到備案未成功通知及原因，要求補充完善材料的，個人信息處理者應當補充完善材料並於10個工作日內再次提交。

上述規定引發了一些疑問。比如，儘管《備案指南》中明確備案可能不予通過，但並未進一步説明標準合同備案是否通過的標準。省級網信辦在對企業提交材料是否可通過備案進行裁量時，是基於對備案提交材料的形式完備性審查，還是基於對個人信息出境的保護評估內容的實質性審查？又如，如果標準合同備案未能通過，是否意味着企業不能開展相關個人信息出境活動？從法理上來説，備案程序並不會影響標準合同的有效性。

如果省級網信辦會對備案材料進行實質性審查，基於對數據跨境傳輸活動的安全性的判斷而給出不予備案的結果，且這一結果會產生阻斷企業開展相關個人信息跨境傳輸活動的效果，那麼標準合同備案流程實質上發揮着類似“審批”的作用。這一點將如何把握，可能需要監管部門進一步明確，也需要相關各方在標準備案實踐開展過程中找尋答案。

要點五：明確企業需通過單位內部人士經辦備案工作，也引出關聯公司可否合併辦理備案的問題

根據《備案指南》附件2提供的《經辦人授權委託書（模板）》，個人信息出境標準合同備案經辦人應為個人信息處理者單位內部工作人員。這一規定與我們目前在協助企業辦理數據出境安全評估工作中積累的實踐經驗相同，即網信部門更傾向於與企業內部人員直接聯繫，推進相關數據出境合規工作。

這一機制引出了另一個問題——考慮到實踐中經常存在同一數據跨境傳輸活動涉及集團內多家關聯公司的情況，這類出境活動的標準合同備案應當如何辦理，能否合併辦理？

例如，A集團分別在北京、上海、江蘇等地有多家分子公司，多家分子公司使用同一套信息系統，且個人信息跨境傳輸場景完全一致，僅存在“為了人力資源管理的目的，通過同一信息系統向同一境外接收方（即境外母公司）提供員工個人信息”的出境場景。在這種情況下，這幾家子公司如何推進個人信息出境標準合同合規機制，存在下述問題：（1）多家子公司是否需分別辦理標準合同備案，還是可由其中一家公司辦理合並備案？（2）如果需要分別備案，但由於出境場景完全一致，多家子公司是否依賴於同一份合併簽署的標準合同以及統一出具的PIA報告辦理備案？

上述問題的答案有待於在實踐中探索。我們傾向於認為，由於多家子公司坐落於不同省市，需要分別辦理標準合同備案；同時，由於出境場景完全一致，如果多家子公司合併簽署了同一份標準合同、合併開展PIA並出具了一份PIA報告，不同子公司可依據同一份標準合同和同一份PIA報告辦理備案。這一觀點有賴於實踐驗證。與此同時，在這一情形下，如多家子公司提交相同的材料在不同省級網信辦進行備案，是否可能會出現由於不同省級網信辦的辦理尺度不同而出現不同的備案結果，也有待在實踐中觀察和驗證。

要點六：發佈並明確《個人信息保護影響評估報告》模板

開展PIA、切實整改所發現的問題並妥善留存《個人信息保護影響評估報告》（“PIA報告”）是個人信息出境標準合同合規機制項下的重要工作之一。此前，業界對於如何開展深入、有效的PIA仍存有一些疑問，《備案指南》附件5提供了PIA報告模板，對於個人信息出境場景下的PIA工作具有重要的指導意義。

此次發佈的PIA報告模板規範、明確了評估報告所需整體結構，要求報告包括以下主要板塊：

（1）評估工作簡述；

（2）出境活動整體情況；

·個人信息處理者基本情況；

·個人信息出境涉及業務和信息系統情況；

·擬出境個人信息情況；

·個人信息處理者個人信息保護能力情況；

·境外接收方情況；

·個人信息處理者認為需要説明的其他情況。

（3）擬出境活動的影響評估情況；

（4）出境活動影響評估結論。

從上述報告內容的要求來看，《備案指南》對於PIA工作提出了較高的要求。一方面，PIA報告中需涵蓋的內容多且細緻，涉及境外接收方信息的收集與編寫、信息系統的排查與説明等，對於企業的材料組織能力提出了不小的挑戰。另一方面，細緻的內容要求意味着PIA工作不能夠流於形式，而應進行深入的合規性與技術性分析；如發現任何問題，應在個人信息出境前切實開展整改。依據我們的項目經驗，我們建議公司充分拉通法律合規人員、信息安全技術人員、個人信息出境場景涉及的業務人員協同工作，並在必要時聘請外部律師開展PIA，以確保PIA能夠切實響應《標準合同辦法》中所提出的評估要點（個人信息處理活動的合法性、正當性、必要性，對於個人信息主體權益的影響等）。

結語

《備案指南》的出台標誌着個人信息標準合同機制落地要求的進一步深入，數據出境合規地圖不斷完善。如我們在前文中所介紹的，個人信息出境標準合同機制下需開展的工作較多，而且部分工作對於成果的深度與完善性有較高的要求。鑑於備案還存在不通過的可能性，我們提示相關企業充分重視，並綜合考慮各項工作的時間要求，做好充分的準備；同時考慮聘請外部專家，以確保PIA、合同簽署等工作能夠在要求時限內高效合規完成，以免對日常經營、業務發展等造成不利影響。

[注]

[1] 國家互聯網信息辦公室發佈的《個人信息出境標準合同備案指南（第一版）》請見：http://www.cac.gov.cn/2023-05/30/c_1687090906222927.htm

來源：中倫視界

免責聲明

本文僅代表原作者觀點，不代表走出去智庫立場。