导言:

2022年6月30日，国家互联网信息办公室公布了《个人信息出境标准合同规定（征求意见稿）》（“《标准合同规定》”），并向社会公开征求意见。这是国家互联网信息办公室落实《中华人民共和国个人信息保护法》（“《个人信息保护法》”）有关个人信息跨境提供的规则的一个重大举措，备受业界期待和关注。本文就该规定的背景和主要内容作简要介绍。

一、背景

《个人信息保护法》第三十八条规定了个人信息处理者因业务等需要，确需向中国境外提供个人信息应当具备的条件。依据该条第一款第（三）项，与境外接收方订立合同向中华人民共和国境外提供个人信息的，应当按照《标准合同规定》签订个人信息出境标准合同（“标准合同”）。与签订标准合同并列，第三十八条规定的其他条件包括（１）国家网信部门组织的安全评估；（２）按照国家网信部门的规定经专业机构进行个人信息保护认证；或（３）法律、行政法规或者国家网信部门规定的其他条件。

二、适用范围

根据《标准合同规定》第四条，个人信息处理者同时符合下列情形的，可以通过签订标准合同的方式向境外提供个人信息：

（一）非关键信息基础设施运营者；　　

（二）处理个人信息不满100万人的；　　

（三）自上年1月1日起累计向境外提供未达到10万人个人信息的；

（四）自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。　

第四条对《标准合同规定》的适用范围作出了明确界定，与《个人信息保护法》第四十条保持一致。根据《个人信息保护法》第四十条，关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，确需向境外提供个人信息的，应当通过国家网信部门组织的安全评估，除非法律、行政法规和国家网信部门规定可以不进行安全评估。

《标准合同规定》第四条第一项明确排除了关键信息基础设施运营者适用该规定。规定第四条第二，第三和第四项，结合起来，可以理解为对《个人信息保护法》第四十条中规定的“处理个人信息达到国家网信部门规定数量”的细化。

我们注意到，这一数量标准，与国家互联网信息办公室于2021年10月29日公布的《数据出境安全评估办法（征求意见稿）》（“《评估办法》”）基本一致。《评估办法》第四条规定，数据处理者向境外提供数据，符合以下情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

······

（三）处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；

（四）累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息；

······

对照可以看到，《评估办法》第四条第三项对应《标准合同规定》第四条第二项。《评估办法》第四条第四项对应《标准合同规定》第四条第三和第四项。

需要注意的是，与《评估办法》不同，《标准合同规定》第四条就累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息，明确了该累计计算时间节点，即自上年1月1日起计算。换而言之，就累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息的个人信息处理者而言，如果该个人信息处理者自上年1月1日起累计向境外提供未达到10万人个人信息（且自上年1月1日起累计向境外提供未达到1万人敏感个人信息），同时也满足第四条的其他要求（即非关键信息基础设施运营者，且处理个人信息不满100万人），《标准合同规定》仍然可以适用，即可通过签订标准合同的方式向境外提供个人信息。

鉴于《数据出境安全评估办法（征求意见稿）》尚未正式施行，《评估办法》第四条第四项是否会就此细节作出相应调整，以与《标准合同规定》一致，尚待观察。

三、标准合同主要内容

根据《标准合同规定》，标准合同需包括以下主要内容：

（一）个人信息处理者和境外接收方的基本信息；

（二）个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等；　　

（三）个人信息处理者和境外接收方保护个人信息的责任与义务，以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等；　　

（四）境外接收方所在地的个人信息保护政策法规对遵守本合同条款的影响；　　

（五）个人信息主体的权利，以及保障该等权利的途径和方式；　　

（六）救济、合同解除、违约责任、争议解决等。　
 

四、备案要求

《标准合同规定》要求，个人信息处理者应当在标准合同生效之日起十个工作日内，向所在地省级网信部门备案，提交标准合同和《个人信息保护法》第五十五条要求的个人信息保护影响评估报告。

《标准合同规定》也明确了需要重新签订标准合同并备案的情形。在合同有效期内，如果：

（1）向境外提供个人信息的目的、范围等和境外接收方处理个人信息的用途、方式发生变化；

（2）延长个人信息境外保存期限；

（3）境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益；

（4）或出现可能影响个人信息权益的其他情况，

个人信息处理者应当重新签订标准合同并备案。

五、违规后果

对违反《标准合同规定》，

（1）未履行备案程序或者提交虚假材料进行备案的；

（2）未履行标准合同约定的责任义务，侵害个人信息权益造成损害的；

（3）或出现影响个人信息权益的其他情形，

省级以上网信部门有权责令相关个人信息处理者限期改正；拒不改正或者损害个人信息权益的，责令停止个人信息出境活动，依法予以处罚；构成犯罪的，依法追究刑事责任。

特别声明

本文仅供参考，不构成律师的正式意见，不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点，并不反映作者所服务的任何机构或客户的立场。