《个人信息出境标准合同办法》解读

 

引言

日前，国家网信办公布《个人信息出境标准合同办法》，规定了个人信息出境标准合同的适用范围、订立条件和备案要求，并明确了标准合同范本，为向境外提供个人信息提供了具体指引，旨在落实《个人信息保护法》的规定，满足日益增长的个人信息出境需要。

一、出台背景

2021年11月1日施行的《个人信息保护法》开启了我国个人信息保护的新纪元。面对数字经济发展的时代潮流和个人信息出境的实践需求，《个人信息出境标准合同办法》（以下简称《办法》）应声出台。

 

为了加强对《民法典》规定的自然人个人信息的法律保护，进一步细化《个人信息保护法》关于个人信息跨境提供的基础性规定，网信办公布了本《办法》并以附件形式提供了标准合同范本，供个人信息处理者与境外接收方达成业务合作时参照签署，以保护个人信息权益，规范个人信息出境活动。《办法》于2023年6月1日起生效，并明确了《办法》施行前已经开展的个人信息出境活动，对不符合《办法》规定的应在6个月内予以整改。

 

二、《办法》主要内容

1、适用情形

《办法》第四条规定了个人信息处理者通过订立标准合同的方式向境外提供个人信息所适用的情形：（一）非关键信息基础设施运营者；（二）处理个人信息不满100万人的；（三）自上年1月1日起累计向境外提供个人信息不满10万人的；（四）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。《办法》规定的四种情形与《数据安全评估办法》的规定进行了有效区分。

 

数据出境存在多种合规方式，《办法》赋予了个人信息处理者选择权，除必须申报安全评估的情形之外，个人信息处理者可以结合具体情况及自身需要，选择订立标准合同或者其他个人信息出境方式。

 

另外，《办法》还明确规定，达到数据出境安全评估门槛的个人信息处理者，须依法采用安全评估方式向国家网信部门申请审核，而不可通过拆分组合，一部分申报，一部分订立标准合同的方式逃避监管。

2、个人信息保护影响评估

为了落实《个人信息保护法》第五十五条规定，《办法》要求个人信息处理者向境外提供个人信息前应当开展个人信息保护影响评估。事前进行个人信息保护影响评估应重点关注：个人信息出境必要性；个人信息出境的规模、安全风险；境外接收方的义务、安全技术措施和能力；个人信息权益的救济；境外接收方所在地的相关政策和法规对标准合同履行的影响等。在以标准合同方式出境时，个人信息保护影响评估是一个强制性的前置程序。

 

本《办法》所规定的自评估事项与《数据出境安全评估办法》有诸多重合之处，但不同于以安全评估的方式向境外提供个人信息时，域外个人信息保护政策法规的评估由国家网信部门完成，采用标准合同的方式向境外提供个人信息时，此项内容需要自行评估。

 

达到安全评估门槛的数据规模往往较大，涉及更广大的公共利益，隐含更多信息安全风险，因此，由国家网信部门来完成评估更为合理。而标准合同本身具有快流程、低成本的特征，通过本《办法》将个人信息保护影响评估由国家网信部门下放至企业自身，可以极大减轻企业(尤其是中小企业)的负担，以促进信息数据的流通和数字经济的发展。

3、合同备案

《办法》第八条规定，个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案,且进一步地明确备案所需提交的两项材料：一是标准合同;二是个人信息保护影响评估报告。

 

备案管理制度作为事后监管，一般不会对个人信息出境标准合同的效力产生实质性效果。个人信息处理者与境外接收方之间达成的协议是平等主体之间的民事法律行为，遵循了《民法典》中的意思自治原则；备案管理则体现了《个人信息保护法》的公法特点，这是保护权益和防范风险并举的结果。

4、及时更新

《办法》明确了在标准合同有效期内，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行备案手续的三种情形：一是向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；二是境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；三是可能影响个人信息权益的其他情形。

 

一旦发生了可能改变个人信息保护影响评估结果的情形，个人信息处理者应该重新开展个人信息保护影响评估，补充或者重新订立标准合同，并依规履行相应备案手续。

5、“第三方受益人”机制

《办法》附件中的标准合同范本涉及三方主体，包括个人信息处理者、境外接收方和个人信息主体。在我国民法中，合同具有相对性。《办法》创设性地对个人信息主体进行倾斜保护，即使个人信息主体并非标准合同的当事人，标准合同亦赋予个人信息主体第三方受益人权利。从内容上看，个人信息处理者应履行告知、提供副本、答复询问、个人信息保护影响评估等义务。境外接收方应履行提供合同副本、采取技术和管理措施、接受监督管理等义务；若进行“再传输”、“转委托”、“自动化决策”等处理行为需符合相关条件。个人信息主体对其个人信息的处理享有知情权、决定权等权利，并有权请求合同一方或双方履行标准合同项下与个人信息主体权利相关的条款。

 

一旦发生个人信息权益侵害，个人信息主体既可以依据《个人信息保护法》向个人信息处理者主张权利，也可以按照标准合同的内容直接向合同任何一方或双方主张权利。

6、修改禁止

《办法》第六条明确标准合同“应当严格按照本办法附件订立”，即必须严格遵循法定标准和内容订立，不可修改。如果双方还有其他相关约定，可以另行订立其他条款或补充协议，但不得与标准合同冲突。与此同时，国家网信部门有权对《标准合同》文本进行调整。

 

三、个人信息出境三大路径

1、个人信息出境方式的对比

《个人信息保护法》第三十八条第一款规定了个人信息出境安全评估、安全认证和标准合同，作为主要的合法出境方式。此前颁布的《数据出境安全评估办法》和《个人信息跨境处理活动安全认证规范》，已为安全评估和安全认证提供了规范依据，《个人信息出境标准合同办法》的出台，可谓补齐了三大路径的最后一块拼图。

 

作为个人信息出境的三大路径，其拥有相当的共性。从目的上看，三者都是为了落实《个人信息保护法》第三十八条第三款要求的“保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”。在理论基础上，都以个人信息处理者要为自己的个人信息处理行为负责为原则，当然也包括个人信息跨境提供给境外方。在实践上，个人信息出境后都需要持续采取措施，保障境外接收方是否对所接收个人信息持续提供同等保护。

 

三者在审查依据、适用范围、审查侧重点、审查性质和证明力上有所不同，可参见下表：

 

2、个人信息出境方式的适用

《个人信息保护法》列举出三项个人信息出境方式时，并未明确其适用的范围和顺序，在现有制度下三者的适用范围仍存在交叉和重叠。

 

《数据安全评估办法》第四条明确规定了应当进行安全评估的情形，即符合相关情形或达到相应门槛都应当依法申报安全评估。也有学者提出，《个人信息保护法》第四十条规定的例外情形为豁免安全评估预留了制度空间，不过就现有的规范来看，尚未存在可以豁免的情形。《个人信息出境标准合同办法》在适用情形上与《安全评估办法》构成了有效的衔接，而《认证规范》中对出境认证的适用范围暂未做限制。

 

以现有的制度框架为前提，数据安全评估宜作为个人信息出境方式适用的考虑起点，依《安全评估办法》规定的实体和程序要求，可参见下图：

 

 

若未达到安全评估门槛，则无需通过强制申报路径，可转而寻求自主管理路径，即个人信息出境通过安全认证、标准合同，或法律、行政法规规定的其他方式进行。

 

应当注意的是，个人信息保护是一个长期的、动态的过程，当出境个人信息达到一定数量或者境外接收方所在国家或地区的法律环境变化时，个人信息出境风险可能会发生质变。一旦发生前述变化，就可能需要根据现实情况，补充或重新订立标准合同或进行出境认证，甚至可能会被要求申报个人信息出境安全评估。

 

四、《办法》的意义

1、健全个人信息保护体系

《办法》是完善个人信息出境管理的重要配套规章，在告知义务、合法性基础等问题以及目的限制原则、最小化原则、个人信息储存规则上与《个人信息保护法》高度衔接。《办法》的出台，细化了《个人信息保护法》第三十八条“两类四种”个人信息出境方式的规定，为“标准合同”这一条件提供了可供操作的明确指引，是对个人信息出境管理制度的重要补充。

 

《数据出境安全评估办法》规定了数据出境管理中的“安全评估”，《办法》与其共同作为《个人信息保护法》的配套规章，进一步落实了有关个人信息出境管理制度的顶层设计，通过划定个人信息出境标准合同的适用范围和情形，有效实现了标准合同和安全评估、个人信息保护认证的制度体系搭建。

2、平衡商业自由与监管需求

《办法》采用了“自主缔约与备案管理相结合”的原则。一方面，标准合同无需事先审批即可生效；另一方面，要求个人信息处理者依规定进行备案，给网信部门的监管提供了抓手。《办法》明确，标准合同应该严格按照附件订立，省级网信部门备案不会对合同生效产生影响。这一规定既满足了监管需求，又保障了意思自治，实现了多元价值的统一。

3、促进个人信息高效便捷跨境流通

国际上有欧盟针对四种不同个人数据传输场景的“标准合同条款”珠玉在前，东盟、英国和中国香港等国家和地区在后,分别推出了“标准合同条款”范本。

 

我国标准合同的主要内容如个人信息再提供、处理安全、自动化决策处理等方面在借鉴域外经验和立足我国实际的基础上提出，结构完整，场景覆盖全面。在形式上，我国个人信息出境标准合同参考了国际上常见的标准合同条款模板，同时充分考虑了中国法律的本土化表达。因此，依托标准合同可更加安全、高效、便捷地促进个人信息的跨境流动，推动数据跨境双向有序流动，助力塑造数据要素领域国内国际双循环相互促进的发展新格局。

 

结束语

《个人信息出境标准合同办法》是构建我国个人信息保护制度体系的关键一环，是我国推动个人信息跨境流动、积极融入全球数字经济发展大势的重要举措。《办法》展现了我国信息数据立法的系统性、整体性、协同性、时效性，将为个人信息出境提供有力的法治指引和制度保障。