《个人信息出境标准合同办法》出台 个人信息出境版图完善｜mhp君悦评论

国家互联网信息办公室于2023年2月24日发布《个人信息出境标准合同办法》（“《标准合同办法》”），于2023年6月1日生效。至此，《个人信息保护法》第三十八条规定的个人信息处理者向中华人民共和国境外提供个人信息三种路径的法律基础已经完备。相较于“安全评估”和“个人信息保护认证”而言，订立“标准合同”无疑是这三种路径中最为直接和简便的方式。

1. 《标准合同办法》的适用情景

《标准合同办法》下通过订立“标准合同”路径向境外提供个人信息应满足以下四个条件：（1）信息处理者应为非关键信息基础设施运营者；（2）涉及处理的个人信息不满100万人；（3）自上一年1月1日起累计向境外提供个人信息不满10万人；（4）自上一年1月1日起累计向境外提供敏感个人信息不满1万人。值得注意的是，如果信息处理者满足上述条件，且信息处理者和境外信息接收方属于跨国公司或者同一经济、事业实体内的关联公司，则可由境内的信息处理者通过“个人信息保护认证”实现个人信息出境合规。但如果信息处理者属于关键信息基础设施运营者或处理的个人信息超过上述任一阈值，即使符合“个人信息保护认证”路径下的关联公司这一前提，其仍应寻求《数据出境安全评估办法》下的“安全评估”路径以实现个人信息出境合规。

可以看出，在涉及个人信息数量可控的情况下，监管机构通过订立标准合同方式简化个人信息出境的相关监管要求，实现“低风险、低管制”的目的。从个人信息处理者的角度出发，在涉及个人信息数量有限的情况下，通过订立“标准合同”无疑更为便捷且无需投入过多的合规成本。在实践中，境内个人信息处理者委托境外第三方开展例如员工股权激励等的员工管理事宜、境内个人信息处理者因跨境并购、交易或服务需要向境外提供个人信息或者CRO组织向境外提供涉及个人信息的临床试验数据等均是订立“标准合同”以满足个人信息出境合规的典型适用场景。

2. 《标准合同办法》下的合规操作

订立“标准合同”路径下的个人信息出境合规主要包括了自主缔约、影响评估与备案管理三个环节。

“自主缔约”是指境内个人信息处理者与境外接收方通过书面合同形式约定，即签订标准合同。标准合同包括了：（1）个人信息处理者义务；（2）境外接收方义务；（3）境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响；（4）个人信息主体权利；（5）法律救济；（6）合同解除和（7）违约责任等内容，及个人信息处理者向境外提供个人信息的详细约定，例如处理目的、处理方式、个人信息出境规模、出境种类、出境后向第三方提供个人信息情况、传输方式、境外保存地点和期限等内容。国家网信办在《标准合同办法》后附上了个人信息出境标准合同模板，该模板涵盖了上述全部要求，故从监管角度来说，直接签署该模板可以最大程度降低个人信息出境风险，并能极大降低网信部门的审查压力。无需顾虑的是，在签署这一形式上的“标准合同”模板同时，个人信息处理者和境外接收方仍然可以签署与个人信息出境相关的其他协议及法律文件，进一步明确并细化相关商业条款及双方权利义务，但前提是，这些其他协议及法律文件不得与“标准合同”相冲突。

“影响评估”是指个人信息处理者向境外提供个人信息前，应当开展个人信息保护影响评估。该影响评估重点关注以下方面：（1）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；（2）出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；（3）境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；（4）个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；（5）境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；及（6）其他可能影响个人信息出境安全的事项。与《数据出境安全评估办法》下的“数据出境风险自评估”相比，“影响评估”不关注出境个人信息对国家安全、公共利益或者组织合法权益带来的风险；而鉴于订立的“标准合同”是建立在网信部门制定的标准合同模板上签署的，故亦不再强调法律文件下的个人信息安全保护责任义务，同时反而强调了“标准合同”在境外接收方所在国家或者地区的法律适用性问题。这些变化也使得涉及“标准合同”的“影响评估”更为合理和具有针对性。

在完成“自主缔约”和“影响评估”后，境内个人信息处理者应在标准合同生效之日起10个工作日内，向省级网信部门备案。一般而言，备案内容仅涉及“标准合同”和“影响评估”的评估报告。

如果在《标准合同办法》生效前，个人信息处理者已经开展个人信息出境活动，则应当在2023年11月底之前完成整改并完成上述合规操作。

3. 备案后义务

与《数据出境安全评估办法》下2年的数据出境安全评估结果不同的是，“标准合同”备案无有效期限制。但是，个人信息处理者应在下述情况下重新开展“影响评估”、补充或重新签订“标准合同”及完成新的备案手续：（1）向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；（2）境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；（3）可能影响个人信息权益的其他情形。

另外，如果在任何时间段内，个人信息处理者出境的个人信息数量达到了《数据出境安全评估办法》规定的阈值，则个人信息处理者应按照相关流程，完成个人信息出境的安全评估。