引  言

《中华人民共和国个人信息保护法》（“《个保法》”）规定向境外提供个人信息，应满足若干条件，其中包括“按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务”，此即标准合同合规路径。为帮助企业更好地落实这一合规路径，网信办制定了《个人信息出境标准合同办法》（“《标准合同办法》”），该法规已于2023年6月1日起正式施行。《标准合同办法》颁布后，网信办发布了《个人信息标准合同备案指南（第一版）》（“《标准合同备案指南》”），对于《标准合同办法》中提出的标准合同备案管理、个人信息保护影响评估等相关规定提出了更为细化的要求。需要指出的是，《标准合同备案指南》与数据出境安全评估机制中的要求实质上较为类似，并没有大幅度进行简化，企业所需承担的合规义务仍比较繁重。本文将详细解析落实标准合同合规路径中所需注意的事项，为企业提供参考。

一、落实《标准合同办法》相关要求的工作步骤及期限

落实《标准合同办法》相关要求所需工作步骤大体上包括：

（一）对出境个人信息进行盘点和梳理；

（二）按照《标准合同备案指南》要求，开展个人信息保护影响评估，对发现的问题和风险进行整改并完成评估报告；

（三）与境外接收方签署标准合同；

（四）按照《标准合同备案指南》要求，向省级网信办提交签订生效的标准合同、个人信息保护影响评估报告等备案文件，并完成备案手续。

对于在2023年6月1日之前开展的个人信息出境活动，《标准合同办法》规定了6个月的整改宽限期。企业若在6月1日后继续开展此前进行的个人信息出境活动，需要在2023年11月30日之前落实上述工作步骤。

对于在2023年6月1日后新向境外提供个人信息的情形，个人信息出境方需要在个人信息出境前完成上述第一至第三步，并在《标准合同》生效后10个工作日内（并且在个人信息保护影响评估工作完成之后的3个月内）进行第四步。

需要注意的是，《标准合同办法》《标准合同备案指南》均未对上述6个月的整改宽限期做出进一步说明。目前尚不确定“整改完成”的判断标准是境内外双方已订立标准合同并生效，还是已获得网信办备案通过的反馈。

二、《标准合同》的内容

网信办发布的《标准合同》（范本）由以下部分组成：

第一条 定义

第二条 个人信息处理者的义务

第三条 境外接收方的义务

第四条 境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响

第五条 个人信息主体的权利

第六条 救济

第七条 合同解除

第八条 违约责任

第九条 其他

附录一 个人信息出境说明（该部分需填写个人信息出境方根据该合同向境外提供个人信息的详情，包括处理目的及方式、出境个人信息的规模、出境敏感个人信息的种类、传输方式、出境后保存期限等）

附录二 双方约定的其他条款（如需要）

前述条款里的以下具体内容，对于境外接收方来说可能不太容易理解和接受：

（一）个人信息主体可以直接向境外接收方行使其相关权利

个人信息主体作为第三方受益人，可以直接向境外接收方行使其相关权利，并对境外接收方提起诉讼。

（二）个人信息出境方有权对境外接收方进行审计

根据《标准合同》，个人信息出境方有权查阅境外接收方的必要数据和相关文件，并对境外接收方的个人信息处理活动进行审计。监管机构（例如网信办）可以根据相关法律法规，查阅个人信息出境方所获取的数据、文件和审计结果。

（三）配合中国监管机构的询问和检查

根据《标准合同》，境外接收方需同意在监督标准合同实施的相关程序中，接受监管机构（例如网信办）的监督管理，包括但不限于答复监管机构询问、配合监管机构检查、服从监管机构采取的措施或者作出的决定、提供已采取必要行动的书面证明等。

（四）适用法律与管辖

《标准合同》适用中国法律，双方可选择以下争议解决方式：

• 向中国境内有管辖权的法院提起诉讼；或

• 仲裁。

个人信息主体是标准合同的第三方受益人，可依据《中华人民共和国民事诉讼法》向有管辖权的人民法院提起诉讼。

（五）《标准合同》条款不可修改

网信办不允许双方修改《标准合同》条款。如果需要进行特别约定，可考虑将这些条款补充到附录二中。

三、Bing Corporate Rules ("BCRs")

全球数据传输协议和《标准合同》

欧盟General Data Protection Regulation("GDPR")下的BCRs不能替代中国法律下的标准合同。两份文件虽有相似之处，但也存在一定差异。这些差异主要体现在：所需信息的详细程度、处理个人信息的合法基础、允许个人信息出境的情形、向监管部门的报告义务以及影响评估的触发条件等。

全球数据传输协议同样不能替代中国法律下的《标准合同》，若符合适用条件，企业仍需再签署《标准合同》。需要注意的是，通过修改现有全球数据传输协议、使其实质上涵盖《标准合同》条款的做法可能不会被网信办接受。因为签署生效的标准合同需要提交给出境方所在地的省级网信办进行备案，且独立签署的标准合同也更容易被网信办接受。不过，将《标准合同》作为附件补充到企业现有的全球数据传输协议中，这种做法应具有一定可行性，但需要注意根据中国相关法律法规规定，即使《标准合同》作为全球传输协议的附件，出境方也仍然需要将签署生效后的《标准合同》提交所在地网信办备案。

最后，根据《标准合同》，当其与其他法律文件发生冲突时，《标准合同》的条款应优先适用。

四、个人信息保护影响评估

（“影响评估”）

网信办发布的《标准合同备案指南》包含了备案所需的材料清单及相关模板。其中，个人信息保护影响评估报告与数据出境安全评估申报材料中的数据出境风险自评估报告（“自评估报告”）在格式、结构及具体评估项等方面均高度相似。下表详细对比了两份报告各章节的内容，其中重点变化部分已加粗标识，方便企业进一步了解：

五、结论与建议

总体看来，《标准合同办法》和《标准合同备案指南》中的具体要求，对个人信息出境企业的合同订立、影响评估和备案等工作仍然提出了较大挑战。此外，企业可能还会面临一些其他难题，例如如何确定合适的境外接收方并确保其能够被网信办所接受，以及如何进行合并备案等。根据《标准合同办法》的规定，2023年11月30日是整改期限的最后一天。我们建议需进行《标准合同》备案的企业，尽快启动本文所建议的各项工作，制定详细的项目计划和工作方案，高效推进各项工作的进行，并争取成功通过网信办的备案。

供稿丨法律部

北京高文律师事务所 杨洪泉、吴雯

展开全文