跨境数据合规｜如何应对《个人信息出境标准合同》订立与备案的难点？_风闻

走出去智库观察

日前，北京德亿信数据有限公司与香港诺华诚信有限公司签订的个人信息出境标准合同已通过北京市网信办组织的备案审核，成为国内首家通过订立标准合同实现个人信息合规出境的企业。

**走出去智库（CGGT）特约法律专家、中伦律师事务所资深律师吕卓认为，**首例标准合同备案的通过，标志着《个人信息出境标准合同办法》(简称“《标准合同》”)于2023年6月1日起生效后，个人信息出境标准合同正式落地实施。虽然个人信息处理者可以根据《标准合同》与境外接收方约定相关条款，但境外接收方可能对《标准合同》中的一些条款有“巨大反弹”，包括适用中国法律、管辖权、合规审计等方面。

《标准合同》在执行中存在哪些难点**？今天，走出去智库(CGGT) 刊发中伦律师事务所吕卓、宋洋的文章，供关注跨境数据合规管理的读者参阅。**

要 点

CGGT，CHINA GOING GLOBAL THINKTANK

**1、实践中，个人信息出境可能涉及多种特殊情形，例如个人信息处理者委托某境内第三方将其处理的个人信息传输出境的情形，以及个人信息处理者为多个主体的****情形。《**标准合同办法》以及《标准合同》对于这些特殊情形均未进行具体规定。

**2、《个人信息保护法》、****《标准合同》**均未对个人信息处理者进行自我合规审计的周期和频率进行具体规定。企业可以根据自己的业务特点、个人信息保护建设及执行的具体情况定期进行自我合规审计。

3、境外接收方应当承诺同意在合同实施的相关程序中接受监管机构的监督管理，包括但不限于答复监管机构询问、配合监管机构检查、服从监管机构采取的措施或者作出的决定、提供已采取必要行动的书面证明等。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/吕卓、宋洋

北京市中伦律师事务所

2023年5月30日，中国国家互联网信息办公室（以下简称“网信办”）发布了《个人信息出境标准合同备案指南（第一版）》（以下简称“《标准合同备案指南》”），为企业根据《个人信息出境标准合同办法》（以下简称“《标准合同办法》”）通过标准合同路径出境个人信息提供了更详细的指引。

近日，**北京德亿信数据有限公司与香港诺华诚信有限公司签订的《个人信息出境标准合同》已通过北京市网信办的备案审核，成为首家通过订立标准合同实现个人信息合规出境的企业。**这标志着《标准合同办法》正式生效后，个人信息出境标准合同备案制度也正式落地。

基于我们以往关于个人信息出境的项目经验并结合我们与网信办的沟通交流，本文梳理了《个人信息出境标准合同》（以下简称“《标准合同》”）备案的适用情形、个人信息处理者和境外接收方在订立和备案《标准合同》中需要关注的问题和谈判要点，以期为各方提供参考。

一、《标准合同》备案的适用情形

根据《中华人民共和国个人信息保护法》第三十八条等法律法规，我国当前个人信息出境共有三条路径：（1）通过网信部门组织的个人信息跨境传输安全评估；（2）通过网信办指定的专业机构进行的个人信息保护认证，以及（3）与境外接收方订立由国家网信部门制定的标准合同并在网信办完成备案手续。这三条路径的适用情形各有不同。

《标准合同办法》第四条规定，“个人信息处理者通过订立标准合同的方式向境外提供个人信息的，应当同时符合下列情形：（一）非关键信息基础设施运营者；（二）处理个人信息不满100万人的；（三）自上年1月1日起累计向境外提供个人信息不满10万人的；（四）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。法律、行政法规或者国家网信部门另有规定的，从其规定。个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。”需要注意的是，只有在同时满足上面的条件的情况下，国内的个人信息出境才可以采用合同备案的方式。

实践中，合同备案与 “个人信息跨境传输安全评估”相比，是一种更为简便的路径。

二、《标准合同》订立和备案过程中的问题解析

**1.**问题一：《标准合同》应由哪些主体签订？

《标准合同办法》第二条规定“个人信息处理者通过与境外接收方订立个人信息出境标准合同（以下简称标准合同）的方式向中华人民共和国境外提供个人信息，适用本办法。”因此《标准合同》的签订主体为个人信息处理者和境外接收方。

但是，实践中，个人信息出境可能涉及多种特殊情形，例如个人信息处理者委托某境内第三方将其处理的个人信息传输出境的情形，以及个人信息处理者为多个主体的情形。《标准合同办法》以及《标准合同》对于这些特殊情形均未进行具体规定。

根据我们与网信办的沟通交流，《标准合同》的签订主体为个人信息处理者与境外接收方，第三方不可以成为《标准合同》的签订主体；并且，《标准合同》的签订主体是一对一，即一位个人信息出境方对应一位境外接收方。据此，如果业务模式中存在个人信息处理者委托第三方处理信息的场景，个人信息处理者应与境外接收方签订《标准合同》，并与第三方签订委托合同；如果个人信息处理者为多个主体，个人信息处理方应与每位境外接收方分别签订《标准合同》。

**2.**问题二：个人信息处理者在办理《标准合同》备案之前，需要办理个人信息保护认证手续吗？

根据《标准合同备案指南》附件5：《个人信息保护影响评估报告（模板）》[1]，个人信息处理者在提交个人信息保护影响评估报告时需提供自身基本情况、自身信息保护能力情况等信息。其中，国内个人信息处理者可以通过已经开展的个人信息保护认证、个人信息保护合规审计、网络安全等级保护测评等证明材料证明自身已具备良好的信息保护能力。

根据我们与网信办的沟通交流，“个人信息保护认证”手续并非是国内个人信息处理者进行个人信息保护影响评估的必备证明，但如果国内个人信息处理者在进行个人信息出境活动前已完成个人信息保护认证将会更有助于《标准合同》的成功备案。****

值得注意的是，“个人信息保护认证”并非是“个人信息跨境处理活动安全认证”。相较于“个人信息保护认证”，因涉及到国内个人信息跨境的问题，“个人信息跨境处理活动安全认证”更强调境外接收方的责任与义务，要求境外接收方对遵守中国法律法规、承担中国法项下的相关责任、接受认证机构的持续监督等事项进行承诺。

3.问题三：《标准合同》对个人信息处理者的合规审计工作有哪些要求********？****

根据《标准合同》第二条第十一款，个人信息处理者有义务向监管机构提供合规审计的结果。[2]这意味着个人信息处理者应定期开展与数据安全、个人信息保护有关的自我合规审计。并且，《个人信息保护法》也对个人信息处理者规定了相同的义务。

需要注意的是，《个人信息保护法》、《标准合同》均未对个人信息处理者进行自我合规审计的周期和频率进行具体规定。企业可以根据自己的业务特点、个人信息保护建设及执行的具体情况定期进行自我合规审计。

就合规审计的主体而言，国内个人信息处理者除了自我审计外，还可以另行委托第三方机构如律师事务所、网络安全技术服务公司等进行个人信息处理的合规审计[3]。

就合规审计的工作内容而言，国内个人信息处理者应检查下述信息：① 其个人信息出境活动是否满足法律法规对个人信息跨境提供的前提条件；② 个人信息跨境提供前是否进行了个人信息保护影响评估；③ 个人数据跨境提供前是否对个人信息主体尽到了告知义务，并获取了个人信息主体的个人的单独同意；④ 境外接收方是否存在向外国司法或者执法机构提供中华人民共和国境内的个人信息的情形以及是否在个人信息跨境提供中采取了有效措施保障个人信息安全等。

三、《标准合同》的谈判难点

根据《标准合同办法》第六条，标准合同应当严格按照《标准合同办法》所附的《标准合同》订立；个人信息处理者可以与境外接收方约定其他条款，但不得与标准合同相冲突。根据我们的项目经验，境外接收方可能对《标准合同》中的下述条款有巨大反弹：

**1.**条款一：《标准合同》必须适用中国法律

根据《标准合同》第九条第二款，与标准合同有关的任何争议（如合同的成立、效力、履行、解释等），将适用中华人民共和国相关法律法规。

2.条款二：《标准合同》项下********个人信息主体有权在中国大陆法院直接起诉境外接收方并向他索赔****

根据《标准合同》第六条第（三）、（四）、（五）项，个人信息主体具有向有管辖权的人民法院提起诉讼的权利，可以向有管辖权的人民法院就个人信息处理者、境外接收方的违约责任、民事法律责任以及连带责任请求二者中的一方或各方承担。

**3.**条款三：境外接收方必须同意个人信息处理者以及中国监管机构对其进行合规审计

根据《标准合同》第三条第（十一）项，境外接收方应当承诺向个人信息处理者提供已遵守本合同义务所需的必要信息，允许个人信息处理者对必要数据文件和文档进行查阅，或者对本合同涵盖的处理活动进行合规审计，并为个人信息处理者开展合规审计提供便利。

根据《标准合同》第三条第（十三）项，境外接收方应当承诺同意在合同实施的相关程序中接受监管机构的监督管理，包括但不限于答复监管机构询问、配合监管机构检查、服从监管机构采取的措施或者作出的决定、提供已采取必要行动的书面证明等。

境外接收方往往以个人信息处理者以及中国监管机构对其进行合规审计、监督管理可能导致本公司的商业秘密泄露或者违反本国法律为由拒绝接受该等条款。

因此，通过什么样的补充条款来削弱特定条款的影响或者不与《标准合同》相冲突，将需要律师来协助处理。我们可以为境外接收方和国内的个人信息处理者提供这方面的法律服务。

四、结语

在本文中，我们高度概括地梳理了《标准合同》备案适用的情形、个人信息处理者和境外接收方在订立和备案《标准合同》中需要关注的问题和谈判要点。如果您对于相关议题有疑问，欢迎留言探讨。

注释：

1. 《个人信息保护影响评估报告（模板）》“二、出境活动整体情况”详细说明了各项提供信息的具体内容。

2. 根据《个人信息出境标准合同办法》第二条第十一款：“个人信息处理者应当履行下列义务：…（十一）根据相关法律法规要求，向监管机构提供本合同第三条第十一项所述的信息，包括所有合规审计结果。”

3. 根据《个人信息保护法》第六十四条:“履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施，进行整改，消除隐患。” 但对于《个人信息保护法》第六十四条中监管部门委托的“专业机构”，还有待于法律法规或权威解释的进一步明确。

免责声明:

本文仅代表原作者观点，不代表走出去智库立场。