专业解读

2023年2月24日，国家互联网信息办公室（下称“网信办”）公布了《个人信息出境标准合同办法》（下称《办法》）及附件《个人信息出境标准合同》（下称《标准合同》），自2023年6月1日起开始施行。国家互联网信息办公室有关负责人表示，出台《办法》旨在落实《个人信息保护法》的规定，保护个人信息权益，规范个人信息出境活动。

本文拟对《办法》及《标准合同》的规范亮点加以解析。

亮点一：明确个人信息出境标准合规路径

2021年11月1日施行的《个人信息保护法》第三十八条针对个人信息处理者因业务需要向境外提供个人信息指明了四条合规路径，分别是：“通过国家网信部门组织的安全评估”、“经过专业机构进行个人信息保护认证”、“按照国家网信部门制定的标准合同与境外接收方订立合同”和“法律、行政法规或国家网信部门关于个人信息出境的其他规定条件”。在网信办近年来陆续出台的相关规范文件中，上述合规路径已经得到不同程度的落实。

2022年7月7日，网信办公布了《数据出境安全评估办法》；同年8月31日。网信办又发布了《数据出境安全评估申报指南（第一版）》。这两份文件主要针对重要数据和一定体量的个人信息及敏感个人信息的跨境行为进行安全评估制定了规范指引。

2022年11月4日，网信办会同国家市场监督管理总局联合发布2022年第37号《关于实施个人信息保护认证的公告》，该公告所附的《个人信息保护认证实施规则》为经过批准的认证机构从事个人信息保护认证工作提供了实施依据；而涉及个人信息跨境活动的认证工作，还需要符合《个人信息跨境处理活动安全认证规范》的要求，截至目前该认证规范最新版本为全国信息安全标准化技术委员会秘书处于2022年12月16日发布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》。

本次《办法》和《标准合同》的出台则属于进一步落实了关于个人信息出境管理制度的顶层设计，为在安全评估、个人信息保护认证等路径之外的个人信息跨境流动提供了新的规范途径，丰富了个人信息出境方式。

亮点二：哪些情形不能适用《办法》

《办法》第四条对于能够采用订立标准合同这一方式的前提条件进行了明确。反观之，存在下列情形之一的，则无法适用《办法》之规定：

① 关键信息基础设施运营者（下称“CIIO”）涉及个人信息出境的；
② 处理个人信息超过100万人的；
③ 自上年1月1日起向境外提供个人信息累计超过10万人的；
④ 自上年1月1日起向境外提供敏感个人信息累计超过1万人的。

如果仔细比对，不难发现上述情形指向的其实都是《数据出境安全评估办法》第四条规定的各项情形，例如CIIO向境外提供个人信息的只能采取安全评估的方式，标准合同并不适用；而对于涉及处理或提供个人信息的数量超过一定限额的个人信息处理者，也不能采用标准合同的方式。而针对上述数量的理解，需要注意以下几处重点：

1. “处理个人信息超过100万人”并不等于“向境外提供的个人信息超过100万人”！

此处的“处理”指向的其实是个人信息处理者“掌握”的个人信息数量，直白点说，国内任意一家掌握有百万用户的企业大概率都符合“处理个人信息超过100万人”的这一特征，此类企业在涉及个人信息跨境流动时就基本告别订立标准合同的方式了，直接申报数据出境安全评估才是正道。另外，符合这一标准的企业在赴国外上市前还得根据《网络安全审查办法》的规定申报安全审查。所以百万个人信息就成为从事数据跨境活动的一个主体关键特征。

2. 已经出境的个人信息或敏感个人信息累计达到规定量级后需要更换出境方式。

根据《办法》第四条的规定可知，在累计出境数量没有达到规定量级之前，标准合同可以是出境首选方式，但一旦触及规定量级，则需要根据《数据出境安全评估办法》的规定申报数据出境安全评估了。之所以如此规定，是基于一方面个人信息体量增加到特定规模很可能会导致安全影响发生重大变化，另一方面也是考虑到不排除会有个人信息处理者通过分拆出境数量的方式来规避数据出境安全评估申报，正是基于上述因素，才将累计个人信息的规定量级作为不同出境方式的量化标准。

亮点三：个人信息处理者不得实施哪些行为

结合《办法》的相关规定，为个人信息处理者初步总结出有以下行为不可实施：

1. 不得以拆分规避安全评估

《办法》第四条第二款明确规定“个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供”。这一规定也为《办法》与《数据出境安全评估办法》的无缝衔接提供了坚实的基础。

2. 不可修改标准合同格式条款

《办法》第六条第一、二款明确规定“标准合同应当严格按照本办法附件订立。国家网信部门可以根据实际情况对附件进行调整。个人信息处理者可以与境外接收方约定其他条款，但不得与标准合同相冲突”。既然是标准合同，那么个人信息处理者与境外接收方就只能“填写订立”而不能“修改订立”，而对标准合同的调整只能是网信办才有权实施；如果标准合同里已有格式条款无法满足个人信息处理者与境外接收方的合作需求，双方还可以在标准合同附录二“其他条款”里通过补充约定加以完善，但这种补充约定应当注意不得与标准合同里的格式条款内容存在冲突或矛盾，否则不排除该部分补充约定会面临无法履行的不利后果。

3. 不得先出境后补标准合同

《办法》第六条第三款规定“标准合同生效后方可开展个人信息出境活动”、第九条第（二）项规定“本合同的成立、效力、履行、解释、因本合同引起的双方间的任何争议，适用中华人民共和国相关法律法规”。据此可知，先签约后出境的顺序不可颠倒，也就是说在《办法》实施以后，个人信息出境标准合同不可倒签。

亮点四：如何开展个人信息保护影响评估

《办法》第五条规定了个人信息处理者应当在个人信息出境前开展个人信息保护影响评估。评估的具体内容与《数据出境安全评估办法》第五条规定的数据出境风险自评估的内容几乎相同，唯一的区别是《办法》增加了一条关于评估“境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响”。新增的这一项内容在《标准合同》的第二条第八项第5目和第四条中有着明确体现，个人信息处理者与境外接收方两方均需要结合个人信息出境的具体情况、境外政策法规、境外接收方的安全管理制度和技术手段保障能力进行综合评估。

此外还有一点细微但显著的差别是，《数据出境安全评估办法》第五条表述的是“数据出境风险自评估”，这一表达已经明确进行评估的主体只能是“数据处理者”本身；而《办法》对个人信息保护影响评估的规定并没有“自评估”的字样，这是否意味着除了个人信息处理者自行评估外，其他第三方也可以根据个人信息处理者的要求开展第三方评估，这就为个人信息保护影响评估工作留下了较大的施展空间，当然这一空间能否平稳落地还有待观察。

亮点五：出现风险事件的处理后果有所缓和

网信办曾在2022年6月30日发布过《个人信息出境标准合同规定（征求意见稿）》，该《征求意见稿》的第十一条曾表述为“省级以上网信部门发现通过签订标准合同的个人信息出境活动在实际处理过程中不再符合个人信息出境安全管理要求的，应当书面通知个人信息处理者终止个人信息出境活动。个人信息处理者应当在收到通知后立即终止个人信息出境活动。”；而正式施行的《办法》第十一条则修正为“省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的，可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改，消除隐患”。原有的“书面通知终止个人信息出境活动”变成了“按照要求整改，消除隐患”，这一变化体现了行政部门对风险安全事件在监管上的灵活和温度。

亮点六：《办法》施行前的出境行为限期整改

《办法》第十三条规定“本办法自2023年6月1日起施行。本办法施行前已经开展的个人信息出境活动，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改。”这一规定所溯及的是在2023年6月1日之前已经实施的所有符合《办法》第四条规定情形的个人信息出境活动，也就是说在2023年12月1日之前，符合《办法》规定情形的个人信息处理者都应当完成个人信息保护影响评估并与境外接收方签署《个人信息出境标准合同》且向所在地省级网信部门完成备案工作。

综上，《办法》及《标准合同》的出台及实施作为我国个人信息跨境管理制度的重要组成部分，同时也为个人信息处理者开展个人信息跨境流动提供了标准化、低成本、便捷化的合规路径，对于规范我国个人信息跨境流动、完善数据跨境管理制度和促进参与国际间数据合作都具有重要意义。

本文来源丨知产前沿

作者简介

邓勇
道可特北京办公室高级合伙人

业务领域：知识产权、反不正当竞争、数据合规、信息安全、电子商务

邮箱：dengyong@dtlawyers.com.cn