《个人信息出境标准合同办法》正式施行！合同要点及备案流程解读
2023-06-02 10:09:07   来源：赛博研究院   评论：0 点击：

1.主体限定

《办法》对于能够采取《标准合同》实施个人信息跨境的主体范围进行了非常明确的界定，包括：

（1）非关键信息基础设施运营者；

（2）处理个人信息不满100万人的；

（3）自上年1月1日起累计向境外提供个人信息不满10万人的；

（4）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

个人信息处理者必须同时满足上述四项条件，才能够适用《标准合同》。

2.目的明确：基于合同出境的个人信息保护最低约束条件

《标准合同》明确其制定直接目的在于“为了确保境外接收方处理个人信息的活动达到中华人民共和国相关法律法规规定的个人信息保护标准”、“明确个人信息处理者和境外接收方个人信息保护的权利和义务”。

基于此目的设置了个人信息出境活动中，作为境外接收方的外国企业、组织等实体的最低合同义务要求，并通过合同对各方权利义务的合理分配、法律适用与违约责任等予以规定，保障了对个人信息出境活动的各方管理制度、安全技术措施的验证与追责，使得个人、境内外企业组织等实体完全可以通过民事诉讼等方式维护自身合法权益，而无需动辄启动公权力。

3.效力范围：民事合同层面的优先适用与效力

根据《标准合同》第九条，个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同如与《标准合同》冲突，《标准合同》条款优先适用，且个人信息处理者和境外接收方不能对《标准合同》的内容进行调整或删减，否则将视为未签订《个人信息保护法》第38条规定的标准合同。而如果未签订《标准合同》，则可能导致对《个人信息保护法》出境条件的不符合而承担不利法律后果。

若各方确需对个人信息的出境情况进行补充，补充条款不应对《标准合同》条款进行任何效力修订、否定或排除，不得与《标准合同》相冲突，并不得规定低于《标准合同》设置的义务和责任，特别是不得对个人信息主体的权利及其行使设定任何障碍或限制。

还需要注意，签订和履行《标准合同》仅是从民事合同层面约定的各方权利义务，以及违反合同约定的民事责任，并不能当然减轻或免除个人信息处理者因违反《个人信息保护法》而导致的其他法律责任。
 

二二

1.生效条件：

《办法》第七条要求个人信息处理者应当在《标准合同》生效之日起10个工作日内，向所在地省级网信部门备案。

该条明确了《标准合同》的生效不依赖于备案或任何前置条件，备案《标准合同》不属于行政许可，即使未备案，也不影响合同本身的有效性，充分尊重各方当事人的意思自治，但同样这不影响因违反《个人信息保护法》而产生的相关行政责任。如果在合同有效期内发生重大的约定事项变化，个人信息处理者需要补充或者重新签订《标准合同》并备案。

2.备案流程：

标准合同备案流程包括材料提交、材料查验及反馈备案结果、补充或者重新备案等环节。

《备案指南》规定个人信息处理者应当在标准合同生效之日起10个工作日内，通过送达书面材料并附带材料电子版的方式，向所在地省级网信办备案。省级网信办收到材料后，在15个工作日内完成材料查验，并通知个人信息处理者备案结果。

备案结果分为通过、不通过。通过备案的，省级网信办向个人信息处理者发放备案编号；不通过备案的，个人信息处理者将收到备案未成功通知及原因，要求补充完善材料的，个人信息处理者应当补充完善材料并于10个工作日内再次提交。

在标准合同有效期内出现下列情形之一的，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行相应备案手续：

（1）向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；

（2）境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；

（3）可能影响个人信息权益的其他情形。

个人信息处理者在标准合同有效期内补充订立标准合同的，应当向所在地省级网信办提交补充材料；重新订立标准合同的，应当重新备案。补充或者重新备案的材料查验时间为15个工作日。个人信息处理者对所提交材料的真实性负责，提交虚假材料的，按照备案不通过处理，并依法追究相应法律责任。
 

三

1.个人信息处理者的义务

《标准合同》第二条以（境内）个人信息处理者单方陈述、保证和承诺的方式直接规定了其法律义务，其中个人信息保护影响评估是签订《标准合同》之前，或者说至少不晚于签订时应完成的事项。个人信息保护影响评估报告属于备案材料。

2.境外接收方的义务

境外接收方的义务主要面向（境内）个人信息处理者和个人信息所涉及的主体本身两方面进行规定。由于《标准合同》制定目的之一是“确保境外接收方处理个人信息的活动达到中国相关法律法规规定的个人信息保护标准”，即对出境后的个人信息仍能实施有效保护，因此第三条境外接收方的义务成为《标准合同》最复杂的条款。

3.境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响

《标准合同》第四条要求合同双方从勤勉尽责出发进行保证和声明，主要考虑内容包括：

（1）境外接收方过往的个人信息活动实践，包括执法和司法要求提供个人信息及其应对等情况的披露；

（2）对境外接收方所在国家或者地区的个人信息保护政策法规、执法司法机构、标准等进行整体披露；

（3）政策法规发生变化时的通知义务，直至解除合同。

4.个人信息主体的权利和救济

《标准合同》规定的个人信息主体权利是对《个人信息保护法》第四章内容的合同化，但个人信息主体非《标准合同》的合同方，因此《标准合同》对“第三方”个人信息主体设置权利时充分考虑了可接受和可行性，同时避免对个人信息主体设置任何义务或障碍。

可接受和可行性的考虑主要体现为：

（1）个人信息主体可以分别、单独向个人信息处理者或境外接收方主张权利；

（2）境外接收方应当以显著方式、清晰易懂的语言真实、准确、完整地告知个人信息主体相关信息，这一要求体现为境外接收方应主要通过可访问的隐私政策、可切换语言种类的不同页面，具有辨识度的请求和投诉联络方式；

（3）境外接收方同意个人信息主体就合同争议的解决依据为中国相关法律法规等等。

5.合同解除与违约责任

作为典型的合同条款，《标准合同》规定了合同解除的触发情形和可能导致的违约责任，特殊考虑在于在合同解除与违约责任中需要充分考虑个人信息主体的权利，由于个人信息主体往往并不能第一时间获知数据泄露或其他损害其权益的情况，这也对条款设计的协调与呼应提出更高要求。

例如无论何种情形导致合同解除，境外接收方应及时返还、销毁或匿名化处理其根据合同所接收到的个人信息（包括所有备份），并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的，应当停止存储和采取必要的安全保护措施之外的处理。