专家解读｜《个人信息出境标准合同办法》出台贡献数据跨境流动中国方案

我国《个人信息保护法》已于2021年11月1日施行，其中对向境外提供个人信息作出了一系列规定，第三十八条规定了“通过国家网信部门组织的安全评估”、“按照国家网信部门的规定经专业机构进行个人信息保护认证”、“按照国家网信部门制定的标准合同与境外接收方订立合同”等个人信息跨境合规路径。2023年2月24日，国家互联网信息办公室公布《个人信息出境标准合同办法》（以下简称《办法》），明确了个人信息出境标准合同（以下简称“标准合同”）的订立、备案等要求，为《个人信息保护法》视域下的个人信息跨境方式之一的“标准合同”提供了落地蓝本与中国方案。

　　我国的个人信息出境标准合同在形式上参考了国际上较常见的标准合同条款模板，同时充分考虑了中国法律的本土化表达，并在以下方面充分展现了中国方案的优越性：

　　第一，注重制度匹配。《办法》在清晰界定自身适用范围的同时，也实现了与其他数据出境安全管理制度的有效衔接。比如，《数据出境安全评估办法》要求数据处理者与境外接收方拟订合同等具有法律效力的文件，《办法》提出的标准合同内容与上述法律文件内容要求衔接适用。因此，仅涉及个人信息出境的数据处理者申报数据出境安全评估时，相关法律文件可参照《办法》附件拟订。

　　第二，细化风险管理。《办法》在《个人信息保护法》第五十五条提出个人信息保护影响评估（以下简称“影响评估”）后进一步针对出境场景细化了影响评估的评估项，比如境外接收方承诺履行的个人信息保护义务、措施和能力；个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险。个人信息处理者在选定标准合同作为个人信息跨境传输合规路径的情况下，需要在向境外提供个人信息前进行影响评估，此为对《个人信息保护法》的落实。

　　第三，平衡商业自由和监管需要。我国对标准合同采用“自主缔约与备案管理相结合”的原则。一方面，标准合同无需事先审批即可生效；另一方面，个人信息处理者的备案行为为网信部门持续监督提供了管理抓手。《办法》第六条规定，标准合同应当严格按照本办法附件订立，生效后个人信息处理者方可开展个人信息出境活动；第七条规定，个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。从文义上理解，《办法》明确了标准合同应该严格按照《办法》附件订立，省级网信部门备案不会对合同生效产生影响。

　　第四，场景覆盖全面。根据标准合同范本第一条第（二）项，“境外接收方”是指在中华人民共和国境外自个人信息处理者处接收个人信息的组织、个人。这里的境外接收方既包括可以自主决定处理目的、处理方式的组织、个人，也包括受个人信息处理者委托处理个人信息的受托人。因此，订立标准合同的双方可能有“处理者—受托人”和“处理者—处理者”两种情形，也就是说，境内处理个人信息的受托人，不能作为标准合同的相对方，再次转委托境外主体处理个人信息。

　　第五，注重国际衔接。我国标准合同的主要内容，如个人信息再提供、处理安全、自动化决策处理等方面借鉴了有关国家、地区的有益做法，为数据跨境流动制度的国际合作奠定了基础，争取与更多的国家地区建立稳定可行的数据流通双多边机制。

　　总的来说，《办法》体现了四方面鲜明导向：一是以人民为中心，把维护个人信息主体合法权益放在首要位置；二是坚持一致性，《办法》与我国《个人信息保护法》等法律法规要求保持一致；三是突出简明性，标准合同范本内容注重易于企业理解、实践和应用；四是强调开放性，标准合同范本内容与国际通用规则的理念相兼容，便于企业对外开展对等的商业合作。相信《办法》能够为我国加大对外开放合作提供重要的制度保障。

作者：洪延青　北京理工大学教授

来源：“网信中国”微信公众号

-END-

面向安全和运维人员，欢迎扫码订阅2023年《网络安全和信息化》杂志~