千呼万唤始出来,自《个人信息保护法》第三十八条首次将签署标准合同明确作为向境外提供个人信息的条件之一、以及《个人信息出境标准合同规定(征求意见稿)》于2022年6月向社会公开征求意见后,《个人信息出境标准合同办法》及附件《个人信息出境标准合同》终于于2023年2月22日落地,将自2023年6月1日起正式施行。
威科先行特邀观韬中茂律师事务所上海办公室合伙人吴丹君律师,独家撰写了《个人信息出境标准合同办法》使用指南,汇集深度解读及高频问答,为您提供有益参考。
Part 1 深度解读
一、《个人信息出境标准合同》的适用范围
通过签署《个人信息出境标准合同》(下称“《标准合同》”)开展个人信息出境活动的方式适用于用户数量和个人信息出境体量较小的非关键信息基础设施运营者。《个人信息出境标准合同办法》(下称“《标准合同办法》”)的规制对象为某一类个人信息处理者而非某项具体个人信息处理行为,其第四条的要求和《数据出境安全评估办法》(下称“《评估办法》”)中应申报数据出境安全评估的标准相对应,皆考虑了个人信息处理者的处理个人信息所涉及的个人信息主体数量和自上年1月1日起累计向境外提供个人信息所涉及的个人信息主体数量两个要素,以个人信息主体数量而非个人信息规模来划分适用范围:
《标准合同办法》 | 《评估办法》 |
个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形: (一)非关键信息基础设施运营者; (二)处理个人信息不满100万人的; (三)自上年1月1日起累计向境外提供个人信息不满10万人的; (四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。 法律、行政法规或者国家网信部门另有规定的,从其规定。 | 数据处理者向境外提供数据, 有下列情形之一 的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估: (一)数据处理者向境外提供重要数据; (二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息; (三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息; (四)国家网信部门规定的其他需要申报数据出境安全评估的情形。 |
如满足条件的个人信息处理者在通过签署《标准合同》向境外提供个人信息后,所处理的个人信息超过100万人,或向境外提供个人信息所涉个人信息主体数量在累计计算期间内超过10万人或1万人(敏感个人信息),由于此时个人信息处理者达到了应申报数据出境安全评估的标准,其需根据《评估办法》通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
此外,《标准合同办法》特别强调,个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。这一要求意味着对个人信息出境活动的审查将采取“实质审查”路径,个人信息处理者难以通过形式隔离规避风险。我们在提供法律服务过程中,也遇到过客户咨询是否可以通过协议或分拆个人信息处理法律实体等方式将自身定义为“受托者”或减少其所处理的个人信息规模,从而规避数据出境安全评估申报义务。在《标准合同办法》发布后,这个问题的答案得到进一步明确。判断企业是否应申报数据出境安全评估,关键在于企业对个人信息的处理目的和处理方式的实际决定能力以及企业的独立性。即使企业通过协议安排等方式,使其在纸面上未满足数据出境安全评估申报标准,但若其在实践中仍能对100万人以上的个人信息的处理目的和处理方式产生实质性影响,或者在其主导下的个人信息出境活动所涉个人信息主体数量在累计计算期间内超过10万人或1万人(敏感个人信息),其仍不能排除需申报数据出境安全评估的可能性。
二、个人信息保护影响评估要求
《个人信息保护法》要求个人信息处理者在向境外提供个人信息前,进行个人信息保护影响评估,并对处理情况进行记录。因此,无论是《标准合同办法》,还是《评估办法》或《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》(V2.0-202212),都对个人信息保护影响评估提出要求,并针对性地细化了评估重点。以《标准合同办法》和《评估办法》为例:
《标准合同办法》 | 《评估办法》 |
| 第五条个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估,重点评估以下内容: (一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性; (二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对 个人信息权益 带来的风险; (三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全; (四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等; (五)境外接收方所在国家或者地区的个人信息保护政策和法规 对标准合同履行的影响; (六)其他可能影响个人信息出境安全的事项。 | 第五条数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项: (一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性; (二)出境数据的规模、范围、种类、敏感程度,数据出境可能对 国家安全、公共利益、个人或者组织合法权益 带来的风险; (三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全; (四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等; (五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件) 是否充分约定 了数据安全保护责任义务; (六)其他可能影响数据出境安全的事项。 |
《网络数据安全管理条例(征求意见稿)》规定,处理100万人以上个人信息的个人信息处理者,还应遵守该条例第四章对重要数据的处理者作出的规定。可见,我国立法倾向于将处理100万人以上的个人信息处理者视同为重要数据处理者。因此,适用于该类个人信息处理者以及CIIO的《评估办法》相较于《标准合同办法》,除关注个人信息出境可能对个人信息权益带来的风险外,还需重点评估数据出境可能对国家安全、公共利益、组织合法权益带来的风险。另外,由于《标准合同办法》已提供了统一适用的标准合同文本,相较《评估办法》要求重点评估与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务,《标准合同办法》更关注境外接收方所在国家或者地区的个人信息保护政策法规,及境外接收方的安全保障能力对标准合同履行的影响,需重点评估标准合同是否能够得到完全履行。此外,结合《个人信息保护法》的要求,个人信息处理者通过签署标准合同向境外提供个人信息的,除应事前进行个人信息保护影响评估外,还应对处理情况进行记录,并保存个人信息保护影响评估报告和处理情况记录至少三年。
三、备案和重新备案要求
《标准合同办法》要求个人信息处理者应在标准合同生效之日起10个工作日内向所在地省级网信部门备案。个人信息处理者向网信部门备案所签订的标准合同及个人信息保护影响评估报告为网信部门提供了监管抓手,省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。
当在标准合同有效期内出现如下可能影响个人信息权益的情形时,个人信息处理者应重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:
(一)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
(二)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
(三)可能影响个人信息权益的其他情形。
四、《标准合同》签订和履行要点
签订合同是开展个人信息出境活动的基本要求,如《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(V2.0-202212)(下称“《认证规范》”)要求签订具有法律约束力和可执行的文件,确保个人信息主体权益得到充分的保障;《评估办法》要求签订数据出境相关合同或其他具有法律效力的文件以充分约定数据安全保护责任。对比《标准合同办法》《认证规范》及《评估办法》,可以发现三者对于数据出境合同或其他具有法律效力的文件的内容要求存在很多重合之处,即使个人信息处理者无法直接适用签订《标准合同》的方式开展个人信息出境活动,其仍可参考《标准合同》的内容拟定相关数据出境合同或法律文件。
(一)《标准合同》的优先适用
《标准合同办法》明确要求,个人信息处理者应严格按照其附件《标准合同》订立,不得擅自修改《标准合同》的内容。其可在《标准合同》的部分开放性条款及附录或其他法律文件中与境外接收方约定其他条款,但不得与《标准合同》相冲突。我们建议,无论是在《标准合同》附录中约定其他权利义务,还是另行签署其他合同,均需明确约定当与国家网信办拟定的《标准合同》条款不一致时,优先适用国家网信办拟定的《标准合同》条款。
(二)个人信息处理者的主要义务
《标准合同》要求个人信息处理者在个人信息出境活动中主要履行如下保护义务:
保护义务 | 义务内容 | 《标准合同》第二条对应款项 |
| 遵守必要原则 | 向境外提供的个人信息仅限于实现处理目的所需的最小范围 | (一) |
| 具备个人信息出境的合法性基础 | 1.基于个人同意向境外提供个人信息的,应当取得个人信息主体的单独同意; 2. 基于个人同意向境外提供个人信息且涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意; 3. 基于个人同意向境外提供个人信息且法律、行政法规规定应当取得书面同意的,应当取得书面同意。 | (二) (三) |
| 保护个人信息主体权利 | 1.向个人信息主体告知个人信息出境具体情况; 2.向个人信息主体告知其与境外接收方通过《标准合同》约定个人信息主体为第三方受益人,如个人信息主体未在30日内明确拒绝,则可以依据《标准合同》享有第三方受益人的权利; 3.根据个人信息主体要求向其提供合同副本。 | (二) (四) (九) |
| 监督和配合境外接收者履行义务 | 1.尽合理努力确保境外接收方采取合同约定的技术和管理措施; 2.经境外接收方要求,向境外接收方提供相关法律规定和技术标准的副本。 | (五) (六) |
| 配合监管 | 1.答复来自监管机构关于境外接收方的个人信息处理活动的询问; 2.根据法律法规要求向监管机构提供境外接收方已遵守《标准合同》义务所需的必要信息,包括所有合规审计结果。 | (七) (十一) |
| 开展个人信息保护影响评估 | 根据《标准合同办法》等相关法律法规对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估。 | (八) |
承担举证责任 | 承担证明合同义务已履行的举证责任。 | (十) |
其中,较之2022年6月的征求意见稿,《标准合同》进一步区分了个人信息处理者根据不同合法性基础处理的个人信息类型。如在第二条第二项,《标准合同》明确提出基于个人同意向境外提供个人信息的,应取得个人信息主体的单独同意。换言之,《标准合同》豁免了向境外提供非基于个人信息同意所处理的个人信息的单独同意要求。
(三)境外接收方的主要义务
《标准合同》要求境外接收方在个人信息出境活动中主要履行如下保护义务:
保护义务 | 义务内容 | 《标准合同》第三条对应款项 |
| 根据合同约定处理个人信息 | 按照附录一“个人信息出境说明”所列约定处理个人信息,除非取得个人信息主体或其监护人的单独同意(如基于个人同意处理个人信息的)。 | (一) (二) |
保护个人信息主体权利 | 根据个人信息主体要求向个人信息主体提供《标准合同》副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对《标准合同》副本相关内容进行适当处理。 | (三) |
遵守必要原则 | 1.采取对个人权益影响最小的方式处理个人信息; 2.个人信息的保存期限为实现处理目的所必要的最短时间。 | (四) (五) |
| 保障个人信息处理安全 | 1.采取合同约定的技术和管理措施,并定期检查; 2.确保授权处理个人信息的人员履行保密义务,并建立最小授权的访问控制权限; 3.及时采取应对数据生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问等安全事件的补救措施,并履行通知义务。 | (六) (七) |
限制向其他境外第三方提供个人信息 | 不将个人信息提供给位于中华人民共和国境外的第三方,除非同时符合以下条件: 1.确有业务需要; 2.履行法律要求和合同约定的各项告知及获取同意义务; 3.与第三方达成书面协议并承担连带责任; 4.根据个人信息主体要求向其提供前述协议副本。 | (八) |
限制转委托 | 受个人信息处理者委托处理个人信息,转委托第三方处理时,应当满足如下条件: 1.事先征得个人信息处理者同意; 2.要求转委托的第三方不超出《标准合同》附录一“个人信息出境说明”中约定的处理目的、处理方式等处理个人信息; 3.对该第三方的个人信息处理活动进行监督。 | (九) |
依法开展自动化决策 | 1.不对个人信息主体在交易价格等交易条件上实行不合理的差别待遇; 2.同时提供不针对其个人特征的选项,或者提供便捷的拒绝方式。 | (十) |
提供所有必要信息 | 1.向个人信息处理者提供已遵守《标准合同》义务所需的必要信息; 2.允许个人信息处理者对必要数据文件和文档进行查阅,或者对《标准合同》涵盖的处理活动进行合规审计,并为个人信息处理者开展合规审计提供便利。 | (十一) |
记录个人信息处理活动 | 对开展的个人信息处理活动进行客观记录,保存记录至少3年。 | (十二) |
配合监管 | 1.按相关法律法规要求直接或通过个人信息处理者向监管机构提供个人信息处理活动相关记录文件; 2.同意在监督《标准合同》实施的相关程序中接受监管机构的监督管理,包括但不限于: (1)答复监管机构询问; (2)配合监管机构检查; (3)服从监管机构采取的措施或者作出的决定; (4)提供已采取必要行动的书面证明等。 | (十二) (十三) |
确定联系人 | 1.确定一个联系人,授权其答复有关个人信息处理的询问或者投诉; 2.将联系人信息告知个人信息处理者; 3.以简洁易懂的方式,通过单独通知或者在其网站公告,告知个人信息主体该联系人信息。 | 《标准合同》第三条第一项 |
基于境内外的法律环境和各方的地理位置等因素限制,个人信息处理者监督境外接收方的个人信息处理行为和了解境外接收方所在国家或地区的个人信息保护政策和法规存在一定难度。此时,境外接收方全面、及时、完整地提供所有必要信息就显得尤为重要。《标准合同》也明确要求境外接收方承诺向个人信息处理者提供所有必要的信息,包括:
相关经验 | 1.境外接收方此前类似的个人信息跨境传输和处理相关经验; 2.境外接收方是否曾发生个人信息安全相关事件及是否进行了及时有效地处置; 3.境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息的请求及境外接收方应对的情况。 |
个人信息保护政策和法规 | 1.该国家或地区现行的个人信息保护法律法规及普遍适用的标准; 2.该国家或地区加入的区域或全球性的个人信息保护方面的组织,以及所作出的具有约束力的国际承诺; 3.该国家或地区落实个人信息保护的机制,如是否具备个人信息保护的监督执法机构和相关司法机构等。 |
安全管理制度和技术手段保障能力 | 1.境外接收方的安全管理制度; 2.境外接收方具备的技术手段保障能力。 |
个人信息保护政策和法规的变化 | 因境外接收方所在国家或者地区的个人信息保护政策和法规发生变化(包括境外接收方所在国家或者地区更改法律,或者采取强制性措施) 导致境外接收方无法履行《标准合同》的, 境外接收方应当在知道该变化后 立即 通知个人信息处理者。 |
收到有关部门要求提供个人信息的要求 | 境外接收方接到所在国家或者地区的政府部门、司法机构关于提供《标准合同》项下的个人信息要求的,应当 立即通知 个人信息处理者。 |
(四)个人信息主体的权利
个人信息处理者需向个人信息主体告知其与境外接收方通过《标准合同》约定个人信息主体为第三方受益人,如个人信息主体未在30日内明确拒绝,则有权根据《标准合同》向个人信息处理者和境外接收方的一方或者双方主张并要求履行《标准合同》项下与个人信息主体权利相关的条款。为保障个人信息主体的权利,个人信息处理者和境外接收方在个人信息出境活动开展过程中需采取适当措施实现个人信息主体的合理请求。
此外,结合《民法典》第五百二十二条第二款,当事人约定第三人可以直接请求债务人向其履行债务,第三人未在合理期限内明确拒绝,债务人未向第三人履行债务或者履行债务不符合约定的,第三人可以请求债务人承担违约责任。当个人信息处理者或境外接收方未履行《标准合同》义务而侵害个人信息权益时,个人信息主体可主张违约方承担违约责任,亦可根据《个人信息保护法》等法律主张侵害个人信息权益方承担侵权责任。
(五)个人信息出境规模的约定
在实践中,向境外提供个人信息往往是一个长期的、持续性的活动,难以事前明确精确数值。那么在《标准合同》中应如何约定出境个人信息的规模呢?当个人信息出境规模较之《标准合同》订立时发生变化时,是否应重新签订《标准合同》?
我们认为,《标准合同办法》未明确要求当向境外提供个人信息的规模发生变化时,应补充或重新订立标准合同。个人信息处理者和境外接收方可在《标准合同》中根据必要原则约定个人信息出境的规模区间和传输频率,但不建议盲目扩大区间。当个人信息出境规模明显超出事前约定的区间和频率且可能影响个人信息权益时,个人信息处理者应及时与境外接收方协商,根据《标准合同办法》重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续。
(六)落实安全管理义务
仅签订和备案《标准合同》并非完全满足合规要求,其仅是启动个人信息出境流程的一个开关,个人信息处理者和境外接收方在个人信息出境全生命周期中,还应按照《标准合同》的约定和相关法律法规规定制定和采取与个人信息出境风险相匹配的安全管理制度和技术保障措施,全面履行个人信息保护义务,以满足个人信息出境安全管理要求。
为了监督境外接收方履行个人信息保护义务,《标准合同》赋予个人信息处理者对境外接收方开展审计的权利,以及境外接收方应依约提供信息或书面说明的义务:
场景 | 境外接收方义务 |
| 个人信息处理者对《标准合同》涵盖的处理活动进行合规审计 | 1.向个人信息处理者提供已遵守《标准合同》义务所需的必要信息; 2.允许个人信息处理者对必要数据文件和文档进行查阅,或者对《标准合同》涵盖的处理活动进行 合规审计 ,并为个人信息处理者开展合规审计提供便利。 |
委托处理 | 受个人信息处理者委托处理个人信息,委托合同未生效、无效、被撤销或者终止的,应当将个人信息返还个人信息处理者或者予以删除,并向个人信息处理者提供 书面说明。 |
合同解除 | 合同解除时,境外接收方应当及时返还或者删除其根据《标准合同》所接收到的个人信息(包括所有备份),并向个人信息处理者提供 书面说明。 |
其中,较之2022年6月的征求意见稿,《标准合同》未再要求境外接收方在委托处理和合同解除的场景下提供审计报告,一定程度上减轻了境外接收方的合规压力。
(七)法律适用和管辖
《标准合同》明确,该合同的成立、效力、履行、解释、因《标准合同》引起的双方间的任何争议,适用中华人民共和国相关法律法规。个人信息处理者和境外接收方可在《标准合同》中选择仲裁或向中国有管辖权的人民法院提起诉讼的争议解决方式。同时,在个人信息主体就《标准合同》争议行使第三方受益人权利时,个人信息主体可以选择适用中华人民共和国相关法律法规,并依据《中华人民共和国民事诉讼法》向有管辖权的人民法院提起诉讼。
Part 2 高频问答
1. 与境外接收方签署《标准合同》是否为强制性义务?
与境外接收方签署《标准合同》并非个人信息处理者的强制性义务。当个人信息处理者同时符合《标准合同办法》第四条所规定的四项条件时,其既可选择签署《标准合同》,亦可选择通过个人信息保护认证以实现合法合规向境外提供个人信息的目的。
当个人信息处理者未能同时满足《标准合同办法》第四条所规定的条件时,其应根据《数据出境安全评估办法》申报数据出境安全评估。
2. 个人信息处理者委托境外主体处理个人信息的,可否通过签署《标准合同》以实现个人信息的合法合规出境?
如个人信息处理者符合《标准合同办法》的适用条件,其可与境外受托方签署《标准合同》以满足中国相关法律法规要求。《标准合同》亦对委托处理个人信息场景中境外接收方应履行的义务进行了明确。
3. 《标准合同》的内容是否可以修改?
除《标准合同》中的开放性条款(如第二条第五项)外,个人信息处理者不得修改《标准合同》的内容,但可在不违反《标准合同》的前提下,与境外接收方约定其他条款。
《标准合同》对境外接收方设置了较多义务,鉴于境外接收方所处法律环境与中国的差异,与其协商签署《标准合同》可能面临较多挑战。建议存在相应需求的个人信息处理者尽早规划,设计并逐步完成协商和签署《标准合同》的To-Do-List。个人信息处理者可考虑从如下角度与境外接收方进行协商:
(1)向境外接收方说明中国个人信息保护要求和出境制度设计,协助境外接收方理解《标准合同》条款含义、签署要求及法律风险;
(2)可将中国个人信息保护要求和境外接收方所处国家或地区的相关法律要求进行对比,厘清境外接收方需承担的义务及应采取的制度和技术措施;
(3)在不违反《标准合同》的前提下,在其附录或其他法律文件中细化双方的权利义务;
(4)在双方就《标准合同》存在较大分歧的情况下,考虑选择个人信息保护认证方案或本地化部署方案。
此外,如在签署《标准合同》前,双方已签署类似法律文件的,个人信息处理者还需评估其中是否包含与《标准合同》相冲突的条款。
4. 如何通过签署《标准合同》向境外提供个人信息?
个人信息处理者可参考如下流程通过签署《标准合同》向境外提供个人信息:

5. 如何处理个人信息行使权利的要求?
根据《标准合同》,个人信息处理者和境外接收方处理个人信息行使权利要求的主要流程如下:

6. 《标准合同办法》是否设置了过渡期?
《标准合同办法》将于2023年6月1日施行,并为相关个人信息处理者设置了6个月的过渡期。适用《标准合同办法》的个人信息处理者如选择签署《标准合同》,需在过渡期结束前签署并完成《标准合同》的备案手续。
7. 未依法签署或履行《标准合同》可能面临哪些法律责任?
如个人信息处理者在既未签署《标准合同》,亦未满足《个人信息保护法》第三十八条的其他条件的情况下向境外提供个人信息,其可能被认定为违法处理个人信息,或者处理个人信息未履行法律规定的个人信息保护义务,将由监管机关根据《个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。
如个人信息处理者通过签署《标准合同》向境外提供个人信息,但未履行相关义务,将由监管机关根据《个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。当省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改,消除隐患。
