作者：数据合规业务组

2023年2月24日，国家互联网信息办公室（“网信办”）发布《个人信息出境标准合同办法》（“《办法》”）及个人信息出境标准合同（“标准合同”），自2023年6月1日起施行。《办法》全文共13条，旨在落实《个人信息保护法》第38条第3款规定的通过订立标准合同实现个人信息出境；对标准合同的适用范围、适用条件、主要内容等进行了明确。标准合同共包括9条及2个附录。本次发布的《办法》及标准合同相较此前于2022年6月30日发布的征求意见稿（“征求意见稿”）版本，对合同双方义务进行了一些细节调整、对单独同意等要点进行明确。我们将在下文简要总结《办法》以及标准合同相较于征求意见稿的修改要点，并为企业在数据出境实践提供可供落地的合规建议。

一、《办法》主要修改

（一） 标准合同的适用范围

1.   通过签署标准合同实现个人信息出境仅适用于不触发数据出境安全评估的情况

《办法》第4条规定了个人信息处理者通过签署标准合同实现个人信息出境应当具备的四项条件，包括：

（1）非关键信息基础设施运营者；

（2）处理个人信息不满100万人的；

（3）自上年1月1日起累计向境外提供个人信息不满10万人的；

（4）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

上述第2项、第3项、第4项条件所规定的数量标准与2022年出台的《数据出境安全评估办法》（“《评估办法》”）中规定的应申报数据出境安全评估的数量标准保持一致。换言之，《办法》再次明确只有不触发《个人信息保护法》、《网络安全法》、《数据安全法》和《评估办法》所规定的网信办数据出境安全评估申报，方可选择通过签署标准合同实现个人信息出境。

同时《办法》第4条新增“法律、行政法规或者国家网信部门另有规定的，从其规定”，并明确要求个人信息处理者不得采取数量拆分等手段，通过订立标准合同的方式将数据出境从而规避数据出境安全评估义务，因此符合评估办法中规定情形的仍需主动申报数据出境安全评估。

值得注意的是，国家网信办数据出境安全评估程序中需提报的“与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件”所必需包含的内容虽与标准合同的内容相似，但并未明确要求该等法律文件需与标准合同保持一致，因此个人信息处理者在申报网信办数据出境安全评估时可参考但并不一定完全按照标准合同与境外接收方签署协议。

（二） 标准合同条款的不可更改性以及前置性

1.   标准合同条款需严格遵守模板订立

《办法》第6条相较于征求意见稿，新增要求明确标准合同应当严格按照附件中的标准合同订立，因此合同双方不得对标准合同条款进行删改。但标准合同仍存在一定补充空间，签约双方可在标准合同的基础上于附录二中新增与现有条款不冲突的其他条款。由于合同双方不能对标准合同做出删改，因此在签署标准合同前，个人信息处理者以及境外数据接收方应严格判断是否能够遵守标准合同相关条款，并尽快就暂未达到相关要求的部分进行整改。

2.   标准合同生效后才可以开展个人信息出境活动

程序方面，《办法》第6条新增要求在标准合同生效后方可开展个人信息出境活动。因此，个人信息处理者如选择以签订标准合同作为数据出境方式，则需注意在标准合同生效后方可开展相关出境活动，否则可能因违反《办法》规定而面临相关处罚。

3.   备案并非标准合同生效的先决条件

《办法》第7条延续了之前的规定“个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。”因此备案并非标准合同生效的先决条件。

（三） 六个月的整改期限

1.        不符合《办法》规定的主体应于2023年12月1日前完成整改

根据《办法》第13条新增规定，在《办法》施行前已经开展的个人信息出境活动，不符合《办法》规定的，应当《办法》施行之日（即2023年6月1日）起6个月内（即2023年11月30日）完成整改。相较于征求意见稿，《办法》明确了整改宽限期期限，需要通过标准合同实现个人信息出境的个人信息处理者应尽快审查相关出境活动是否满足《办法》要求，并对应开展整改工作。

二、标准合同主要修改

本次发布的标准合同的条款数与征求意见稿保持一致，主要包括个人信息处理者义务、境外接收方义务、境外接收方所在国家或地区法律或政策对合同履行的影响、个人信息主体权利及双方如何响应和保障个人权利等、违约救济与责任、合同解除、管辖和适用法律及其他惯常条款等，双方还需要在附件中对个人信息出境的具体情况做出约定，如目的、处理方式、规模、种类、敏感程度、数量等。与此前的征求意见稿相比，本次正式发布的标准合同进一步加强了与《个人信息保护法》的衔接，并对于合同双方义务要求相对更为灵活化。

（一） 基本事实情况项调整

标准合同要求境内个人信息处理者和境外接收方对个人信息出境的基本事实情况在附录一中做出明确约定，相较于征求意见稿，附录一中新增要求对传输出境个人信息的“处理方式”进行说明。此外，附录一对于个人信息出境后的具体保存期限约定的颗粒度细化到需明确保存起始及终止的具体日期，这一点无疑对企业的数据出境梳理工作带来很大挑战。

（二） 个人信息处理者的义务调整

标准合同第2条仍围绕个人信息处理者应履行的义务展开，个人信息处理者仍是个人信息出境的主要责任方以及监管机关开展监管执法的首要对象，具体而言主要修订点包括：

1.   单独同意适用情形明确：本次发布的标准合同新增规定仅在基于个人同意向境外提供个人信息的情形下，才需取得个人信息的单独同意。由此可明确基于履行合同所必需、按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需（如集团人力资源管理）等其他合法性基础开展数据出境活动时，无需取得单独同意，为企业依据同意之外的其他法定条件实现个人信息出境预留出空间。

2.   由境内个人信息处理者答复监管询问：标准合同删除了征求意见稿中的在合同双方约定情况下可由境外接收方答复监管机构的询问，标准合同现有规定将答复监管询问的主体限定为仅包括境内个人信息处理者，增加了现实可操作性，亦加重了境内个人信息处理者的义务。

3.   向个人信息主体提供合同副本时的可处理方式：在合同条款涉及商业秘密或保密商务信息的情况下，征求意见稿中规定个人信息处理者可在向个人信息主体提供副本前对相关内容进行适当遮蔽，目前版本的标准合同则将处理方式进一步放宽为在不影响个人信息主体理解的前提下，可对合同副本相关内容进行适当处理。

（三） 境外接收方的义务调整

标准合同第3条通过将《个人信息保护法》等相关法律法规下的个人信息保护合规义务转化为境外接收方的合同义务，从而确保境外主体可以对出境个人信息提供《个人信息保护法》所要求的保护水平。相较于征求意见稿，标准合同对境外接收方的要求更为灵活化，并在征求意见稿基础上与《个人信息保护法》进行紧密衔接，具体包括：

1.   强调境外接收方作为受托者处理个人信息的义务：标准合同沿用《个人信息保护法》第21条第2款的规定，再次明确受个人信息处理者委托处理个人信息的，应按照与个人信息处理者的约定处理个人信息，不得超出约定处理目的、处理方式进行处理。

2.   处理方式影响最小化：新增要求需采取对个人权益影响最小的方式处理个人信息，与《个人信息保护法》第6条第1款保持一致。

3.   存储要求灵活化：针对删除个人信息从技术上难以实现的情形，标准合同相较于征求意见稿进行了明确，与《个人信息保护法》第47条第2款规定的处理方式保持一致，要求应停止除存储和采取必要的安全保护措施之外的处理。

4.   以书面说明替代审计报告：针对委托处理场景，境外接收方需删除或匿名化的情况下，标准合同不再沿用征求意见稿中需要向个人信息处理者提供相关删除或匿名化的审计报告的规定，而是修改为向个人信息处理者提供书面说明。此外，在合同解除场景下，境外接收方需提供审计报告的义务也调整为向个人信息处理者提供书面说明。

5.   境外监管机构数据调取或法律环境变化情况下的主动通知义务：境外接收方如接到所在国家或者地区的政府部门、司法机构关于提供合同项下的个人信息要求，或发现所在国家或者地区的个人信息保护政策和法规发生变化影响标准合同履行的，应根据标准合同规定应立即通知个人信息处理者。

（四） 合同解除情形的调整

标准合同第7条在征求意见稿的合同可解除情形基础上，新增规定因境外接收方所在国或地区原因导致无法履约，且个人信息处理者因该原因暂停向境外接收方提供个人信息的时间超过1个月时，个人信息处理者有权解除合同；与此同时境外接收方破产、解散或清算及因监管机构原因导致合同解除的条款被删除。

（五） 违约责任的调整

在征求意见稿规定的违约责任基础上，标准合同删除了原有对于合同双方责任的限定，合同双方之间的责任不再限于非违约方所遭受的损失。此外，针对个人信息处理者和境外接收方的责任划分机制上，相较于征求意见稿，标准合同删除了要求个人信息处理者就境外接收方因违反标准合同而对个人信息主体造成的任何物质和非物质损失先行向个人信息主体负责并事后再追偿的规定。因此，在境外接收方违约的情况下，个人信息主体有权向任一方或者双方请求承担责任，而不再倾向于由个人信息处理者先行承担赔偿责任。

三、使用标准合同需采取的“配套措施”

在通过签订标准合同的方式向境外提供个人信息时，个人信息处理者还需要采取一系列“配套动作”确保签署标准合同符合《办法》要求，并需要履行的一系列配套合规义务，具体如下：

（一） 合同签订前

1.   梳理既有个人信息处理实践，判断是否可以通过签订标准合同的方式向境外提供个人信息。个人信息处理者应当根据《办法》第4条的规定，从“是否为关键信息基础设施运营者”、“处理个人信息的数量”以及“自上年1月1日累计向境外提供个人信息和敏感个人信息的数量”等方面，判断个人信息处理者是否可以通过签订标准合同的方式向境外提供个人信息。

2.   梳理此次个人信息出境的具体事实情况。个人信息处理者应当明确此次个人信息出境所涉及的个人信息主体类别、个人信息出境目的、范围、方式、规模、个人信息种类、敏感个人信息种类（参考GB/T 35273《信息安全技术 个人信息安全规范》和相关标准）、境外接收方、传输方式、出境后保存期限、保存地点，境外接收方是否进行转委托或开展再传输活动以及其他相关事项，以便履行《办法》第5条规定的开展个人信息保护影响评估的义务并在签署合同时填写标准合同附录一所需的信息。

3.   签署标准合同前开展个人信息保护影响评估。个人信息处理者应在签署标准合同前，对照《办法》及标准合同第2条个人信息处理者的义务；并在开展个人信息出境活动前对照标准合同第3条境外接收方的义务逐一评估境外接收方的个人信息保护能力；通过编制接收方所在国家或地区问卷清单等方式了解境外接收方所在国家或地区的个人信息保护政策法规是否会给境外接收方履行标准合同规定义务带来障碍。在开展上述合规评估的基础上，个人信息处理者需开展个人信息保护影响评估，以降低个人信息出境的合规风险。

（二） 合同签订后

1.   合同生效之日起10个工作日内向省级网信部门履行备案手续。《办法》第7条规定，个人信息处理者应当在标准合同生效之日起10个工作日内，向所在地省级网信部门备案。值得注意的是，第6条第3款明确标准合同生效后方可开展个人信息出境活动，省级网信部门备案不会对合同生效产生影响，即标准合同生效并不以个人信息处理者履行完毕备案手续为前提。

2.   重大变更情形下，更新标准合同外应重新开展个人信息保护影响评估。《办法》第8条列举了个人信息处理者应当重新签订标准合同并备案的三种情形，相较于征求意见稿，《办法》将“应当重新签订标准合同”更改为“补充或者重新订立标准合同，并履行相应备案手续”，为个人信息主体提供了更灵活的修改方式；该条同时在上述三种情形下，新增要求个人信息处理者重新开展个人信息保护影响评估。

3.   对境外接收方个人信息处理活动进行必要的监督。根据标准合同，个人信息处理者需要对境外接收方违反合同侵害个人信息主体权利的行为承担连带责任。因此，个人信息处理者应积极行使标准合同赋予其对境外接收方的监督检查权利，对必要数据文件和文档进行查阅，或者对合同涵盖的处理活动进行合规审计。

4.   其他义务或措施：如积极响应个人信息主体权利请求，持续监督和评估境外接收方所在国家或地区的法律和政策环境，在收到境外接收方所在国家政府或地区政府部门或司法机构关于提供合同项下个人信息要求时，立即通知个人信息处理者等。

四、总结与展望

继《评估办法》以及信安标委对《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》的发布，《办法》及标准合同的出台补齐了《个人信息保护法》项下个人信息出境的最后一条主要路径。这意味着《个人信息保护法》项下个人信息出境三条主要途径均已落地。

相较于数据出境安全评估和个人信息跨境处理活动认证而言，标准合同路径倾向于事后监管，给予了境内外双方更大的自由度，其手续最为便捷，成本也最低，因此可以预期标准合同将成为未触发数据出境安全评估情况下实现个人信息出境的最主要途径。《办法》将于2023年6月1日生效，其规定的6个月整改期将于2023年11月30日截止，对于需要选择以标准合同路径开展数据出境业务的个人信息处理者而言，目前整改的时间较为有限。因此个人信息处理者应尽早开展数据出境场景梳理、个人信息保护影响评估、与数据出境相关方沟通标准合同条款以及采取必要的整改措施等相关工作。