《个人信息出境标准合同办法》正式出台，个人信息出境机制拼图补齐

点击蓝字丨关注我们

申请加入数据安全共同体计划，请在本公众号回复“申请表”获取下载链接

我国《个人信息保护法》第38条平衡自由与安全，构建安全评估、认证、标准合同和其他条件等多种个人信息出境路径，满足多样化的个人信息出境需求。《个人信息保护法》出台一年以来，个人信息出境传输三大机制渐次成型：2022年7月，国家互联网信息办公室发布《数据出境安全评估办法》，并于9月启动个人信息出境安全评估工作；2022年11月，国家市场监督管理总局、国家互联网信息办公室发布《关于实施个人信息保护认证的公告》，明确开展个人信息保护认证活动的具体规则；2023年2月24日，国家互联网信息办公室正式发布《个人信息出境标准合同办法》（以下简称《办法》），并以附件形式公布《个人信息出境标准合同》（以下简称《标准合同》），补齐个人信息出境机制拼图的重要内容。

标准合同不仅仅是个人信息出境具体路径之一，便利低风险、小规模个人信息出境需求，同时国家网信部门提供的标准合同文本对于数据出境安全评估、跨境处理活动的个人信息保护认证中订立个人信息出境相关合同也具有重要参考价值。

一、以自主缔约便利个人信息出境需求

个人信息出境标准合同是国家网信部门提供的合同范本，预先将个人信息保护义务要求转化为标准合同条款，因而通过订立标准合同方式开展个人信息出境活动，仅需要个人信息处理者与境外接收方订立个人信息出境标准合同，承诺遵守标准合同各条款约定的权利义务，在标准合同生效后即可开展个人信息出境活动。与安全评估需要国家网信部门事先审核、认证需要认证机构事先验证不同，标准合同路径通过自主缔约方式极大地便利了个人信息出境需求。

与标准合同方式的便捷性相对应，标准合同的适用前提具有明确的限定性，仅适用于低风险、小规模个人信息出境场景，《办法》第四条对标《数据出境安全评估办法》第四条，通过排除法明确标准合同仅适用于未达到安全评估基线的个人信息出境场景，也即非关键信息基础设施运营者且达到规定数量的低风险、小规模个人信息出境场景才可以适用标准合同方式。实践中，对于中小规模个人信息处理者，通常个人信息出境活动未达到安全评估的适用阈值，又碍于组织管理能力或时间经济成本限制难以获得认证，标准合同路径将成为首选个人信息出境方式。同时，标准合同路径中个人信息处理者应当在标准合同生效后10个工作日内向所在地省级网信部门履行备案手续。

二、以影响评估防范个人信息出境风险

标准合同路径的适用前提从整体上排斥了可能存在较高风险的个人信息出境活动，而要求个人信息处理者开展个人信息影响评估则是在微观上实现对具体个人信息出境活动的风险防范与控制。《个人信息保护法》第五十五条将个人信息保护影响评估作为向境外提供个人信息的前置义务，但与安全评估、认证路径中存在监管部门、认证机构综合判定个人信息出境风险不同，在标准合同路径中个人信息保护影响评估成为事先识别和防范个人信息出境风险的首要手段，个人信息处理者更应当重视并切实开展个人信息保护影响评估，避免发生个人信息安全事件导致问责。

《办法》第五条明确个人信息保护影响评估的评估内容，结合《个人信息保护法》第五十六条规定来看，《办法》第五条第（一）项至第（四）项是个人保护影响评估内容在个人信息出境场景中的具体化，第（五）项内容则是参考欧盟传输影响评估（TIA），将个人信息处理者需要对境外接收方所在地的个人信息保护政策和法规对标准合同履行的影响纳入评估，《标准合同》第四条明确了该评估项的具体要求,并在第七条明确该等事项变更导致境外接收方无法履行合同的，构成合同解除事由。另外，《办法》第七条明确个人信息保护影响评估报告同样作为备案材料，需要在标准合同生效之日起10个工作日内履行备案手续，第八条则明确出现可能影响个人信息权益的情形的，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同并履行备案手续。

三、以义务传导明确个人信息同等保护

数字经济全球化使得数据跨境日趋频繁，但不同国家和地区的个人信息保护制度不同，保护水平参差不齐，个人信息出境监管的目标之一在于实现个人信息出境前后的同等保护水平，确保个人信息不因出境而降低保护标准。《标准合同》通过将我国个人信息保护法定要求转化为境外接收方合同义务的方式，明确境外接收方的个人信息处理活动应达到我国相关法律法规规定的个人信息保护标准。

《标准合同》第三条凝练了境外接收方应遵守的各项义务，涵盖《个人信息保护法》规定的个人信息处理的目的限定、知情同意、最小必要等个人信息保护基本原则，以及个人信息安全技术和管理措施、个人信息安全事件处置、个人信息自动化决策、个人信息处理转委托等个人信息保护具体事项。除此之外，该条第（八）项对境外个人信息再传输提出同等保护要求，在符合业务需要、履行告知、征得同意等条件之外，境外接收方还需要与境外第三方达成书面协议，确保境外第三方个人信息处理活动达到我国相关法律法规规定的个人信息保护标准。最后，该条第（十一）项至第（十三）项要求境外接收方接受境内个人信息处理者和监管机构的监督，保障境外接收方切实执行同等保护水平。

四、以受益条款强化信息主体权利保障

合同原则上具有相对性，效力仅及于合同双方主体，合同双方主体之外的第三方无法就合同事项提出权利主张。《标准合同》第五条明确个人信息主体作为第三方受益人，将合同的保护效力扩张及于个人信息主体，并将个人信息主体的权利与救济作为重点事项予以规范。由此，个人信息主体可基于受益第三人身份，依据《标准合同》向个人信息处理者或境外接收方任何一方或双方提出权利主张；同时，个人信息主体也可以依据《标准合同》向违约方请求违约损害赔偿，极大地便利了个人信息主体权利行使与救济。

就权利行使而言，个人信息出境可能对个人信息主体权利行使带来不便，对于已经出境的个人信息，个人信息主体直接向境外接收方提出查阅、复制、更正、补充、删除等个人信息权利请求，可能面临着语言、时差、推诿等诸多障碍。因此，在直接向境外接收方提出请求之外，《标准合同》第五条第（二）项明确个人信息主体可以请求个人信息处理者采取适当措施实现其权利请求，个人信息处理无法单独实现个人信息主体权利请求的，可以通知并要求境外接收方协助实现。就权利救济而言，对于个人信息出境后发生侵害个人信息主体权益的情形，《标准合同》第八条明确个人信息处理者或境外接收方任何一方因违反合同而侵害个人信息主体享有的权利的，应当对个人信息主体承担民事法律责任，依法承担连带责任的，个人信息主体有权请求任何一方或者双方承担责任。同时，《标准合同》第六条第（五）项明确个人信息主体可以依据我国民事诉讼法向有管辖权的人民法院提起诉讼，主张权利救济。

五、展望

当前，安全评估、认证、标准合同三大路径已然成型，相关监管工作也正在有序推进，个人信息处理者应当及时梳理自身个人信息跨境业务特点，选择适当的出境路径，进一步规范个人信息出境活动，保障个人信息跨境安全、自由流动。

数据安全共同体计划

（data security community）

“数据安全共同体计划”为了促进《数据安全法》《个人信息保护法》落地实施，推动数据开发利用和数据安全领域的技术推广和产业创新，致力于促进数据安全产业链各环节的交流与合作，推动数据安全政策、技术、人才多要素良性互动，构建数据安全产业生态共同体。

咨询电话：

曹京 15810981762

解伯延 18631643906

联系人邮箱：[email protected]