本文作者：

盈科上海律师：谢连杰 翟晓博

2022年上半年的最后一天，国家互联网信息办公室发布了《个人信息出境标准合同规定（征求意见稿）》（以下简称“《标准合同规定（征求意见稿）》”），此文件加上已经发布的《数据出境安全评估办法》（以下简称“《安全评估办法》”）、《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》（以下简称“《安全认证规范》”），意味着《个保法》第三十八条规定的个人信息跨境传输的三种方式逐渐清晰。随之而来的，将是监管机关加强对跨境活动的管理。

基于个人信息跨境传输这一处理活动的特殊性和复杂性，即使采用标准合同这一形式，监管仍在适用范围、涉及数据跨境各方权利义务等方面有所要求。本文笔者将从监管的角度出发，以个人信息出境标准合同为主线，对采用拟采用标准合同这一出境方式各方义务进行梳理，希望对企业有所助益。

（一） 监管态度

由于世界各地的个人信息保护水平参差不齐，为了减少个人信息出境风险，我国对个人出境合同这种双方合意的形式仍有许多监管要求。具体表现在以下方面，第一，其他合同不得与出境标准合同冲突。第二，合同备案。标准合同生效之日起10个工作日内，向所在地省级网信部门备案。第三，境外接收方接受合同约束。履行合同中规定的最小必要，及时提供审计报告，特殊情形取得单独同意等义务。第四，争议解决选择中国有管辖权的仲裁机构或法院，适用法律应为中华人民共和国相关法律法规。

（二）适用范围

我们将《个保法》第三十八条规定的个人信息跨境传输的三种路径概括为安全评估、机构认证和标准合同。上述三种路径依据目前的规定，三种方式适用的条件不同。具体如下图：

 

关于三种路径的适用范围，笔者认为有两点需要注意：

第一，机构认证和标准合同的适用范围是否存在交叉，此问题在跨国公司中较常存在（上述适用范围图示中红色直线表示的路径）。具体而言，当企业在确定不适用安全评估的前提下，企业满足可进行机构认证的条件时，只能选择机构认证还是机构认证或标准合同二者择一即可。笔者倾向于后者，其原因是《标准合同规定（征求意见稿）》中关于适用范围的规定中，并未对可进行机构认证的个人信息处理者进行排除。同时，2022年7月7日，在《数据出境安全评估办法》答记者问中，也有回应。在答记者问最后一个问题，涉及三种方式如何衔接时，负责人回应“对于适用安全评估的个人信息处理者的数据出境情形应当申报安全评估；适用范围外的个人信息处理者的数据出境情形，可以通过个人信息保护认证或者签订国家网信部门制定的标准合同来满足个人信息跨境提供条件，便利个人信息处理者依法开展数据出境活动。”

第二，标准合同是否可用于安全评估和机构认证两种方式。在进行安全评估和机构认证工作中，均要求数据处理者与境外接收方拟订立的有法律约束力的文件。若重新拟定协议，可能存在违背监管要求的情形，现出境标准合同已公布，在进行安全评估或机构认证工作中，笔者建议可以根据企业实际情况，对出境标准合同进行修改，这样可以辅助企业顺利完成相关合规工作。

三、 企业采用标准合同出境的具体义务

企业必须意识到，标准合同不仅是一份合约，也是国家监管的有效手段。所以，企业应采取标准合同中要求的一系列措施确保其正常履行。

 

（一） 个人信息保护影响评估（PIA）

首先，进行PIA是法定义务。向境外提供个人信息是《个保法》规定的必须进行个人信息保护影响评估的情形之一。同时,个人信息保护影响评估报告也是标准合同备案必须提供的材料。所以进行个人信息保护评估是企业目前亟待履行的合规义务。如有违反，企业及其负责人将承担法定责任。

再者，专业高效的完成PIA可以帮助企业自证满足适用标准合同的条件。通过对企业进行PIA，对数据进行梳理，表明自己满足“少于100万”、“少于10万”、“少于1万”等情况。

最重要的，企业应当意识到，个人信息跨境传输这一处理活动是对企业整体数据合规工作的检视。而PIA是正是帮助企业建立制度、寻找合规差距的有力抓手。企业也可根据自评估的过程和结果，建立起完备企业的数据监控体系。

（二） 境内个人信息处理者的义务

1、《个保法》规定的义务

标准合同作为《个保法》中关于个人信息出境的配套规则，其要遵守个保法的相关规定。例如保证最小必要原则，特定情形下取得个人信息主体的单独同意，保证个人信息主体的知情权等权利。

2、标准合同备案

个人信息处理者应当在标准合同生效之日起10个工作日内，向所在地省级网信部门备案。备案应当提交以下材料：①标准合同②个人信息保护影响评估报告。如果相关情形出现变化，个人信息处理者应当重新签订标准合同并备案。需要注意，如果未备案或提供虚假材料备案，可能会受到行政处罚。构成犯罪的，依法追究刑事责任。

3、采取措施确保自己尽到勤勉尽责的义务

需要注意，公司还需向监管部门证明自己履行相关义务的举证责任。所以，企业除了对自身的履行合规义务进行留痕存档外，还要注意对境外接收方的相关合规措施进行留痕，包括针对境外数据尽调报告、被认可的机构出具的审计报告等。

4、 承担答复境内监管部门的兜底责任

境内的个人信息处理者应答复来自监管机构关于境外接收方的询问，但双方均同意由境外接收方作出答复的除外；在此情况下，若境外接收方在要求答复的期限内未答复，个人信息处理者仍将根据其合理掌握的信息在合理期限内作出答复。

（三） 境外接收方的义务

1、《个保法》下规定的义务

我国制定标准合同的一个目标，是确保境外接收方的个人信息保护水平至少要达到与国内一致的标准，所以我国《个保法》的相关规定境外接收方也应该遵守。包括最小必要，最小存储期限，采取技术措施和内控措施，制定数据泄露的方案等，通过提供副本的方式保证个人信息主体的知情权，满足对转委托、自动化决策等情形的要求。

2、提供审计报告

由于涉及跨境，数据尽调难度加大。提供被认可的审计报告，不仅有利于国内个人信息处理者对境外接收方的了解，也有利于应对国内的监管部门。需要提供审计的情形包括：删除或匿名化经委托处理的个人信息；对合同涵盖的处理活动进行审计；合同解除后，对接收的个人信息销毁或者匿名化处理的审计报告。

3、接受国内监管机关的管理

境外接收方应在组织内部确定一个联系人，授权其答复有关个人信息处理的询问。境外接收方应接受监管机构的监督管理，包括但不限于答复监管机构询问，配合监管机构检查，服从监管机构采取的措施或作出的决定，并提供已采取必要行动的书面证明。

（四） 第三方受益人

第三方受益人的概念，在欧盟SCCs有提及。我国对相关概念进行吸收，确保了个人信息权利主体在跨境传输过程中的基本权利。实践中，企业可通过隐私政策，单独说明等方式，保证《个保法》规定的个人信息权利得以实现。

结语

随着包括标准合同在内的数据跨境方式逐渐清晰，企业的数据跨境活动无法所依的局面即将结束。随之而来的应该是监管部门加强对于数据跨境活动的管理。希望企业提前布局，对监管做足准备。