个人信息的跨境流动是全球数据保护实践中的常见情境，个人信息跨境流动的相关配套规则何时出台亦是《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）生效以来各企业关注的热点。2022年06月30日，国家互联网信息办公室于发布了《个人信息出境标准合同规定（征求意见稿）》（以下简称“《标准合同规定（征求意见稿）》”），并公开征求意见，回应了实务届的迫切需求。

作为《个人信息保护法》出台后各方最翘首以盼的配套规范之一，《标准合同规定（征求意见稿）》共13条，对个人信息出境标准合同的适用范围、适用条件、程序、主要内容等进行了明确。相信随着后续标准合同正式稿的落地，其也将成为企业落实《个人信息保护法》下个人信息跨境流动相关义务的重要工具。以下将简要介绍《标准合同规定（征求意见稿）》的主要内容及标准合同的内容，试为企业熟悉和适用标准合同作相应参考。

一、标准合同的适用情形

（一）《标准合同规定（征求意见稿）》规定的适用条件

《个人信息保护法》第38条规定，“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件……”。实践中，考虑到安全评估和个人信息保护认证的程序可能更为复杂，标准合同成为了很多企业理想的“个人信息出境方案”，《标准合同规定（征求意见稿）》的出台，亦是对这种关切的回应。

《标准合同规定（征求意见稿）》第4条进一步明确了标准合同的适用条件，即境内个人信息处理者需要满足：（一）非关键信息基础设施运营者；（二）处理个人信息不满100万人；（三）自上年1月1日起累计向境外提供未达到10万人个人信息；（四）自上年1月1日起累计向境外提供未达到1万人敏感个人信息。

该条款承袭了《个人信息保护法》第40条的规定及《数据出境安全评估办法（征求意见稿）》之精神，将需要进行数据出境安全评估的情形排除在适用标准合同出境的条件之外。

就《个人信息保护法》第40条所提及的数量标准，《标准合同规定（征求意见稿）》在数量要求上同《数据出境安全评估办法（征求意见稿）》保持了一致，在计算方式上以延续了按照“个人信息主体”数进行计算的标准。在此基础上，《标准合同规定（征求意见稿）》对计算时所涉及的时间跨度进一步进行了明确，将计算累计向境外提供个人信息/敏感个人信息的时间跨度明确为自上年1月1日起。这种累计的方式或更有利于个人信息跨境传输规模较小的企业规划个人信息跨境传输的相关合规安排。

不过，对于用户数量较多的大中型企业而言，100万人的门槛并不高。换而言之，《标准合同规定（征求意见稿）》基本排除了大中型企业选择标准合同作为个人信息出境方案的可能。对于大型企业而言，若确要选择签署标准合同作为个人信息出境方案，或可能需要考虑进行业务拆分，由新的实体来独立运营涉及个人信息出境的相关业务。

（二）个人信息跨境委托处理亦适用个人信息跨境提供的规则

标准合同第三条第（四）款、第（六）款及第（八）款约定了跨境委托处理场景下个人信息提供方与境外接收方之间的权利义务关系，实质上还确认了个人信息跨境委托处理亦适用个人信息跨境提供的相关规则，对于符合《标准合同规定（征求意见稿）》第4条的个人信息跨境提供，个人信息处理者和境外接收方可以通过签署标准合同来履行《个人信息保护法》第38条项下的合规义务。

在《个人信息保护法》出台后，就《个人信息保护法》第38条中“提供”同《个人信息保护法》第23条中的“提供”范围是否相同，实践中存在不少争议。有观点认为，《个人信息保护法》第38条所称的“提供”是一种特定的个人信息处理行为，从文义解释的角度出发应限定于《个人信息保护法》第23条规定的“向其他个人信息处理者提供其处理的个人信息”的情形[1]。基于该等文义解释，跨境的个人信息委托处理被排除在《个人信息保护法》第38条的相关规则之外，不受其约束。但若结合立法目的考量，这可能同规范个人信息跨境流动，确保个人权益在个人信息跨境流动中于不同法域受到同等水平保护的立法目的不相协调。从保护个人权益的角度出发，《个人信息保护法》第38条下的“境外接收方”应不仅局限于个人信息处理者，这也与标准合同的相关条文互相印证。由此延伸，除个人信息跨境委托处理之外，境外的远程访问个人信息等“非处理”情形都可能被纳入到《个人信息保护法》第38条的“提供”项下，其具体边界或还有待监管意见或执法口径进一步明确。

（三）境外个人信息处理者处理境内个人信息或不适用《标准合同规定（征求意见稿）》

全国信息安全标准化技术委员会秘书处于2022年6月发布的《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》（以下简称“《认证规范》”）将个保法第三条第二款规定的在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动纳入了《认证规范》的适用范围。这一适用范围似乎指明，境外主体作为个人信息处理者直接收集境内自然人个人信息需适用《个人信息保护法》第三章关于个人信息跨境提供的相关规则。

《标准合同规定（征求意见稿）》所规定的适用情形并未包括境外主体作为个人信息处理者直接收集境内自然人个人信息的情形，但不宜就此认为该等情形不属于《个人信息保护法》第三章下的“个人信息跨境提供”。由于该场景下并无“境外接收方”的概念，即使需适用《个人信息保护法》第三章的相关规则，境外个人信息处理者也并没有可以协商签订标准合同的相对方。此时，境外个人信息处理者或只能参照《认证规范》，选择通过其在境内设置的专门机构或指定代表申请个人信息保护认证的方式履行其合规义务。

二、同标准合同适用有关的程序

（一）个人信息保护影响评估

向境外提供个人信息属于《个人信息保护法》第55条规定的需事先开展个人信息保护影响评估的场景，《标准合同规定（征求意见稿）》第5条亦在《个人信息保护法》第56条的基础上进一步细化了签署标准合同前开展个人信息保护影响评估应当重点评估的事项。

《标准合同规定（征求意见稿）》列举的重点评估内容中包含境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响，这对个人信息处理者提出了较高的合规要求。一方面其需要在全球数据合规工作的框架下，对各法域的数据合规法律有一定的了解和研究，另一方面亦需要其能够基于各法域的个人信息保护政策法规判断对标准合同履行的影响。结合欧盟GDPR下的相关合规经验，要实现这一目标，个人信息处理者很多时候或需要协调境内境外律师共同开展相关评估工作。

同时，实践中需评估的个人信息处理场景可能不仅涉及向境外提供个人信息，还涉及处理敏感个人信息、委托处理个人信息或利用个人信息进行自动化决策。在这种相对复杂的个人信息出境场景中，企业可能需要在评估过程中适当调整相应的风险等级。

（二）标准合同的备案及备案后的持续监督

《标准合同规定（征求意见稿）》第7条规定了标准合同的备案要求，备案机关为个人信息处理者所在地省级网信部门，备案时间为标准合同生效之日起10个工作日内，备案材料包括标准合同文本及个人信息保护影响评估报告。

《标准合同规定（征求意见稿）》项下的备案程序履行与否并不影响标准合同的效力，同时，标准合同生效后个人信息处理者即可开展个人信息出境活动，而无论备案是否已经完成。但这不意味着完成标准合同即高枕无忧，《标准合同规定（征求意见稿）》第11条规定，省级以上网信部门发现通过签订标准合同的个人信息出境活动在实际处理过程中不再符合个人信息出境安全管理要求的，应当书面通知个人信息处理者终止个人信息出境活动。这意味着在标准合同履行过程中省级网信部门随时可能基于主动审查或投诉、举报后对备案的标准合同等材料进行审查，并在审查后终止相应的个人信息出境活动。

三、标准合同的内容

（一）个人信息处理者的义务

结合文本，标准合同下个人信息处理者的义务试整理如下：

整体来看，标准合同下个人信息处理者除了负担自身既有的处理者义务外，亦需要扮演监管机构监管境外接收方的“抓手”的角色。在对境外接收方的监管无法有效实现时，个人信息处理者可能仍需要直接承担责任，如在双方均同意由境外接收方对个人信息处理活动的询问作出答复时，若境外接收方在要求答复的期限内未答复，个人信息处理者仍需要根据其合理掌握的信息在合理期限内作出答复。同时，个人信息处理者亦需要承担响应个人信息主体部分权利要求的义务，如提供标准合同副本。

需要注意的是，标准合同要求“个人信息处理者向个人信息主体告知其与境外接收方通过本合同约定个人信息主体为第三方受益人，如果个人信息主体未在三十天内明确拒绝，则可以依据该合同享有第三方受益人的权利。”但若个人信息主体明确拒绝后，是否即不得出境，或是可以寻求其他个人信息出境方案，或有待后续正式稿进一步明确。

（二）境外接收方的义务

结合文本，标准合同下境外接收方的义务试整理如下：

整体来看，标准合同试图通过设立一系列针对境外接收方的合同义务实现对境外接收方的管控，以确保境外接收方向个人信息主体提供不低于《个人信息保护法》所设立的个人信息保护标准所提供的保护水平。

（三）个人信息主体的权利

参照欧盟SCC，标准合同亦将个人信息主体确立为标准合同下的第三方受益人，明确双方均承认个人信息主体在标准合同下作为第三方受益人的一系列权利，并对其行使权利的方式和程序进行了规范，具体如下：

此外，标准合同亦要求境外接收方在组织内部确定一个联系人，及时处理个人信息主体的任何询问或投诉。境外接收方应将联系人信息以简单易懂的方式向个人信息主体告知。需要进一步探讨的或是，主流观点认为，《个人信息保护法》第44条规定的知情权、决定权、限制或拒绝他人对其个人信息进行处理的权利系概括性权利，而非《个人信息保护法》第45-49条规定的查阅、复制等具体的权利，将知情权、决定权与查阅、复制等权利一并于第五条第（一）款进行列举，可能并不合适。

四、其他

除规定个人信息处理者与境外接收方的义务及个人信息主体作为第三方受益人所享有的权利外，标准合同的内容主要还包括以下几个方面：

（一）个人信息出境情况的说明

标准合同附录一列明了需写入标准合同的个人信息出境行为的具体处理情况，个人信息处理者与境外接收方可以据此划定标准合同涉及的个人信息处理行为范围。

需要注意的是，实践中已有观点认为《信息安全技术 个人信息安全规范》（GB/T 35273-2020，以下简称“《个人信息安全规范》”）附录B中划定的个人敏感信息范围大于《个人信息保护法》第28条定义的敏感个人信息。但标准合同附录一仍要求参考《个人信息安全规范》和相关标准划定敏感个人信息的类别，具体如何划分，《个人信息安全规范》下的敏感个人信息范围是否会进一步限缩，或还有待进一步观察。

（二）出境地法律对遵守标准合同条款的影响

评估出境地的个人信息保护立法情况，确保当地法律不会影响境外接收方履行约定义务是域外标准合同制度运行中的重要一环。《标准合同规定（征求意见稿）》第5条明确了个人信息出境前的个人信息保护影响评估的评估内容应包含境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响，标准合同则在基础上进一步细化了评估中需要具体考虑的要素，并要求个人信息处理者与境外接收方保证经过合理努力仍不知晓存在阻止境外接收方履行标准合同项下义务的个人信息保护政策和法规。

有待进一步探讨的是，出境地公权力机构是否有权获取个人信息以及其获取个人信息的行为是否受到法律法规的限制已经成为域外标准合同相关实践中评估的重点内容。《标准合同规定（征求意见稿）》和标准合同文本并未过多涉及这部分内容，从维护国家数据主权、保护公民个人信息权利的角度出发，是否需要于标准合同中增加相关内容，或需要更广泛的论证和讨论。

（三）合同解除

标准合同第七条规定了双方享有解除权的情形，具体如下：

此外，双方亦可基于协商一致解除合同。

同时，标准合同第七条第（五）款规定，合同解除时，境外接收方应及时返还、销毁或匿名化处理其根据本合同所接收到的个人信息，并提供已经销毁或者匿名化处理的审计报告。此处规定的处置措施未包含删除，亦说明标准合同解除后对个人信息的处置要求可能较一般场景下更高。

（四）违约责任的承担

标准合同第八条第（六）款规定，个人信息处理者应就境外接收方因违反本合同而对个人信息主体造成的任何物质和非物质损失向个人信息主体负责，个人信息主体有权向其主张损害赔偿责任。这意味着境外接收方违约的情况下，个人信息处理者可能需要先向个人信息主体承担赔偿责任，再向境外接收方追偿。该等责任制度的设计或有利于促使个人信息处理者更为审慎地履行标准合同下对境外接收方的监督义务。

（五）法律适用与争议解决

就法律适用而言，标准合同明确无论是合同本身还是个人信息主体作为第三方受益人就标准合同项下权利针对境外接收方提起的争议均适用中华人民共和国法律解决。就争议解决而言，标准合同就个人信息处理者与境外接收方的争议就提供了仲裁和诉讼两种争议解决方式供双方选择，且仲裁机构可以为任何《纽约公约》成员的仲裁机构，这既为双方留下了选择仲裁地和仲裁机构的空间，也有利于相关仲裁裁决的执行。

结语

《标准合同规定（征求意见稿）》的出台，意味着我国个人信息跨境流动监管体系的完善又迈出了全新的一步。尽管尚在征求意见稿阶段，距离落地还有些时日，但考虑到个人信息出境活动的高频、高发，仍建议企业在充分梳理涉及个人信息出境的场景的基础上，着手对企业自身的个人信息出境合规方案进行必要的规划。

同时，标准合同签署前即需要完成个人信息保护影响评估工作，且涉及对出境地个人信息保护政策法规的评估，这些工作并非短时间内即可完成，若待正式稿出台后再做规划时间上未必充裕。企业在密切关注规定正式稿落地和实施的过程中，或有必要提前进行必要的布局和筹划。

注释（上下滑动阅览）

[1]《个人信息保护法》第23条规定，“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。”

第38条规定，“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件……”

来源： 金融科技新视界

编辑：梵高先生