前言
2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》),自2023年6月1日起施行。《个人信息出境标准合同办法》明确了标准合同范本,对个人信息出境标准合同(以下简称“标准合同”)的适用范围、订立条件和备案要求等方面做出了具体说明,无疑为规范个人信息出境活动提供了具体指引。为了帮助企业从实践角度更高效地掌握文件要义,iLaw将从八大要点着手,对《办法》最为重点和最需要提请关注的内容进行解读,帮助有需要的企业快速了解新规。
一、订立标准合同应同时满足四种情形
《办法》第四条规定,个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合下列情形:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供个人信息不满10万人的;
(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
可以看出,订立标准合同的方式更适合规模较小、个人信息处理量较少的企业,业务量更大的企业可以通过数据出境安全评估申报的方式实现个人信息出境合规。
区别于去年6月30日发布的《个人信息出境标准合同规定(征求意见稿)》,《办法》中表明,即使同时满足以上四种情形,订立标准合同也并非企业的唯一选择,法律、行政法规或者国家网信部门另有规定的,从其规定。
《办法》还特别指出,个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。对于关键信息基础设施运营者或处理个人信息超过100万人的企业而言,数据出境安全评估仍是重要方式。
二、订立标准合同并非强制法律义务
《办法》第三条指出“自主缔约”,这意味着签署标准合同并非强制性法律义务。依据《中华人民共和国个人信息保护法》第三十八条第一款,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,还可以通过以下方式:
1、经专业机构进行个人信息保护认证;
2、通过国家网信部门组织的数据出境安全评估申报;
3、依据法律、行政法规或者国家网信部门规定的其他条件自由流动。
然而,如果企业未订立标准合同,同时也未满足其他合法的个人信息出境路径要求,将可能因违反《个人信息保护法》而承担法律责任。
三、订立标准合同的流程一览
《办法》规定,个人信息处理者通过与境外接收方订立标准合同的方式向中华人民共和国境外提供个人信息。
具体流程如图:

四、从内地到港澳台的个人信息传输行为属于“出境”
通常个人信息出境行为表现为:
1、境外存储:数据处理者将在境内运营中收集和产生的数据、个人信息传输、存储至境外;
2、境内访问:境外的机构、组织或者个人访问或者调用存储在境内的数据处理者收集和产生的个人信息。
《中华人民共和国出境入境管理法》第八十九条中明确了“出境”的定义,即“出境,是指由中国内地前往其他国家或者地区,由中国内地前往香港特别行政区、澳门特别行政区,由中国大陆前往台湾地区。”因此,当企业将中国大陆境内收集和产生的重要数据和个人信息传输至香港、澳门、台湾地区,也属于数据出境行为。
五、标准合同订立前的个人信息保护影响评估重点
个人信息出境合规的关键在于事前防范,《办法》中从目的、风险、义务、法律差异等角度明确了个人信息保护影响的评估重点,通过多个角度检查其合规合法的程度,以预防、减小对个人信息主体的安全风险:
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
(二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;
(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
(六)其他可能影响个人信息出境安全的事项。
总体而言,做好个人信息保护影响评估有利于在早期发现识别风险,从而规范企业日常经营,降低潜在的公众担忧,减小合规成本。
六、标准合同的范本适用与优先适用
《办法》指出,标准合同应当严格按照《办法》附件中提供的标准合同范本订立;个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。同时,标准合同范本中,指出“如本合同与双方订立的任何其他法律文件发生冲突,本合同的条款优先适用”。
此前的征求意见稿则是以列举的方式规定了标准合同的主要内容,相较之下,《办法》收窄了合同意思自治的范围,这意味着相关机构将以更严谨的方式监管个人信息出境。因此,企业应重点关注境外法规是否与个人信息出境标准合同条款存在相悖的内容,对于已与境外接收方签署的个人信息处理相关合同,应根据标准合同范本进行修改、补充。
七、标准合同的备案与重新备案
标准合同生效之日起10个工作日内应当向所在地省级网信部门备案。
如果标准合同有效期出现以下情形之一,应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行备案手续:
一是向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
二是境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
三是可能影响个人信息权益的其他情形。
与此同时,网信办完善了违反个人信息出境规定的法律责任制度,将违反个人信息出境行为的法律责任进行整合,从列举违法情形改为兜底式的“违反本办法规定的”,并对管理体制进行了调整,删除了“省级以上网信部门”进行处罚的规定,为省级以下网信部门赋予了个人信息出境合规的管理职责,更加适应个人信息出境合规的工作实际。
八、迫在眉睫的企业合规压力
《办法》出台,数据出境安全评估进入整改倒计时,监管趋严的背景下,企业面临的合规压力越来越大。对此,企业加强对相关法律法规的学习,积极依法治企,防范个人信息出境活动风险,避免发生个人信息安全事件。而在《办法》施行前已经开展但不符合《办法》的个人信息出境活动,应当自6月1日施行之日起6个月内完成整改,这意味着在年底之前,通过订立标准合同实现个人信息出境的企业应尽快完成备案。
结语
《办法》的出台一方面是为了适应数据出境增长的现状与个人信息保护的法律需求;另一方面,通过标准合同制度将法定义务嵌入于合同中,实现对境外数据安全监管,积极引导个人信息合规发展,做好个人信息保护的“守门人”。《办法》的一系列设计通过标准化合同实现集中有效监管,通过合同订立间接加强了对境外接收方的监管和控制。相信随着具有实操性的法律法规陆续出台,个人信息保护将落到实处。
2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》),自2023年6月1日起施行。《个人信息出境标准合同办法》明确了标准合同范本,对个人信息出境标准合同(以下简称“标准合同”)的适用范围、订立条件和备案要求等方面做出了具体说明,无疑为规范个人信息出境活动提供了具体指引。为了帮助企业从实践角度更高效地掌握文件要义,iLaw将从八大要点着手,对《办法》最为重点和最需要提请关注的内容进行解读,帮助有需要的企业快速了解新规。
一、订立标准合同应同时满足四种情形
《办法》第四条规定,个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合下列情形:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供个人信息不满10万人的;
(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
可以看出,订立标准合同的方式更适合规模较小、个人信息处理量较少的企业,业务量更大的企业可以通过数据出境安全评估申报的方式实现个人信息出境合规。
区别于去年6月30日发布的《个人信息出境标准合同规定(征求意见稿)》,《办法》中表明,即使同时满足以上四种情形,订立标准合同也并非企业的唯一选择,法律、行政法规或者国家网信部门另有规定的,从其规定。
《办法》还特别指出,个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。对于关键信息基础设施运营者或处理个人信息超过100万人的企业而言,数据出境安全评估仍是重要方式。
二、订立标准合同并非强制法律义务
《办法》第三条指出“自主缔约”,这意味着签署标准合同并非强制性法律义务。依据《中华人民共和国个人信息保护法》第三十八条第一款,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,还可以通过以下方式:
1、经专业机构进行个人信息保护认证;
2、通过国家网信部门组织的数据出境安全评估申报;
3、依据法律、行政法规或者国家网信部门规定的其他条件自由流动。
然而,如果企业未订立标准合同,同时也未满足其他合法的个人信息出境路径要求,将可能因违反《个人信息保护法》而承担法律责任。
三、订立标准合同的流程一览
《办法》规定,个人信息处理者通过与境外接收方订立标准合同的方式向中华人民共和国境外提供个人信息。
具体流程如图:

四、从内地到港澳台的个人信息传输行为属于“出境”
通常个人信息出境行为表现为:
1、境外存储:数据处理者将在境内运营中收集和产生的数据、个人信息传输、存储至境外;
2、境内访问:境外的机构、组织或者个人访问或者调用存储在境内的数据处理者收集和产生的个人信息。
《中华人民共和国出境入境管理法》第八十九条中明确了“出境”的定义,即“出境,是指由中国内地前往其他国家或者地区,由中国内地前往香港特别行政区、澳门特别行政区,由中国大陆前往台湾地区。”因此,当企业将中国大陆境内收集和产生的重要数据和个人信息传输至香港、澳门、台湾地区,也属于数据出境行为。
五、标准合同订立前的个人信息保护影响评估重点
个人信息出境合规的关键在于事前防范,《办法》中从目的、风险、义务、法律差异等角度明确了个人信息保护影响的评估重点,通过多个角度检查其合规合法的程度,以预防、减小对个人信息主体的安全风险:
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
(二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;
(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
(六)其他可能影响个人信息出境安全的事项。
总体而言,做好个人信息保护影响评估有利于在早期发现识别风险,从而规范企业日常经营,降低潜在的公众担忧,减小合规成本。
六、标准合同的范本适用与优先适用
《办法》指出,标准合同应当严格按照《办法》附件中提供的标准合同范本订立;个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。同时,标准合同范本中,指出“如本合同与双方订立的任何其他法律文件发生冲突,本合同的条款优先适用”。
此前的征求意见稿则是以列举的方式规定了标准合同的主要内容,相较之下,《办法》收窄了合同意思自治的范围,这意味着相关机构将以更严谨的方式监管个人信息出境。因此,企业应重点关注境外法规是否与个人信息出境标准合同条款存在相悖的内容,对于已与境外接收方签署的个人信息处理相关合同,应根据标准合同范本进行修改、补充。
七、标准合同的备案与重新备案
标准合同生效之日起10个工作日内应当向所在地省级网信部门备案。
如果标准合同有效期出现以下情形之一,应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行备案手续:
一是向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
二是境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
三是可能影响个人信息权益的其他情形。
与此同时,网信办完善了违反个人信息出境规定的法律责任制度,将违反个人信息出境行为的法律责任进行整合,从列举违法情形改为兜底式的“违反本办法规定的”,并对管理体制进行了调整,删除了“省级以上网信部门”进行处罚的规定,为省级以下网信部门赋予了个人信息出境合规的管理职责,更加适应个人信息出境合规的工作实际。
八、迫在眉睫的企业合规压力
《办法》出台,数据出境安全评估进入整改倒计时,监管趋严的背景下,企业面临的合规压力越来越大。对此,企业加强对相关法律法规的学习,积极依法治企,防范个人信息出境活动风险,避免发生个人信息安全事件。而在《办法》施行前已经开展但不符合《办法》的个人信息出境活动,应当自6月1日施行之日起6个月内完成整改,这意味着在年底之前,通过订立标准合同实现个人信息出境的企业应尽快完成备案。
结语
《办法》的出台一方面是为了适应数据出境增长的现状与个人信息保护的法律需求;另一方面,通过标准合同制度将法定义务嵌入于合同中,实现对境外数据安全监管,积极引导个人信息合规发展,做好个人信息保护的“守门人”。《办法》的一系列设计通过标准化合同实现集中有效监管,通过合同订立间接加强了对境外接收方的监管和控制。相信随着具有实操性的法律法规陆续出台,个人信息保护将落到实处。
