简析《个人信息出境标准合同办法》

国家互联网信息办公室于2023年2月24日发布《个人信息出境标准合同办法》^【1】，该办法自今年6月1日起施行。

订立个人信息出境标准合同属于《中华人民共和国个人信息保护法》第三章“个人信息跨境提供的规则”第38条^【2】规定的个人信息出境合规途径之一，该条款列举了境内个人信息处理者向境外提供个人信息的可行途径包括：①通过安全评估；②申请安全认证；③与境外接收方订立标准合同；④法律、行政法规或者国家网信部门规定的其他方式。

截至目前，安全评估之《数据处境安全评估办法》^【3】已于2022年9月1日正式施行，安全认证之《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》^【4】也于2022年12月16日公布，此次《个人信息出境标准合同办法》的出台，使得《个人信息保护法》项下的个人信息出境合规途径在具体操作时全都有了可供遵循的依据。

本文仅对《个人信息出境标准合同办法》简要分析如下：

一、适用主体

《个人信息出境标准合同办法》第4条规定，个人信息处理者只有同时满足以下条件，才能选择订立标准合同后向境外提供个人信息：①非关键信息基础设施运营者；②处理个人信息不满100万人；③自上年1月1日起累计向境外提供个人信息不满10万人；④自上年1月1日起累计向境外提供敏感个人信息不满1万人；⑤不属于法律、行政法规或者其他国家网信部门规定限制出境的情形（例如《国家健康医疗大数据标准、安全和服务管理办法（试行）》第30条等）。

同时该条第3款明确禁止个人信息处理者采取数量拆分等手段逃避出境安全评估的行为。如果个人信息处理者不能同时满足以上情形，就不得不放弃订立标准合同而寻求安全评估和安全认证的方式向境外提供个人信息。

二、适用步骤

《个人信息出境标准合同办法》第5条、第6条及第7条分别规定了通过订立标准合同的方式向境外提供个人信息的步骤。

首先，个人信息处理者向境外提供个人信息前须开展个人信息保护影响评估，制作评估报告。其中重点评估内容如下：

1.    个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；
2.    出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；
3.    境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；
4.    个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；
5.    境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；其他可能影响个人信息出境安全的事项。

      其次，个人信息处理者须与境外接收方签订标准合同，其内容必须严格遵循《个人信息出境标准合同办法》所附合同文本，国家网信部门可以调整该版本内容。该版本内容包括合同正文、附录一“个人信息出境说明”、附录二“双方约定的其他条款（如需要）”，合同双方当事人不得变更合同正文的内容，如双方拟约定与正文不同的内容的，可以记载在附录二。标准合同生效后即可开展个人信息出境活动。

再次，个人信息处理者应当在标准合同生效之日起10个工作日内持标准合同和个人信息保护影响评估报告向所在地省级网信部门备案。

最后，需要提醒的是，《个人信息出境标准合同办法》第8条规定，在标准合同有效期内出现下列情形之一的，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行相应备案手续。向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；可能影响个人信息权益的其他情形。

三、适用对象

《个人信息出境标准合同办法》自今年6月1日起施行，但根据该办法第13条的规定，其适用的对象不仅限于施行后的个人信息出境活动，施行前的个人信息出境活动也将受到该办法的规制，且限定整改时限为该办法施行之日起6个月内完成。

四、法律责任

个人信息处理者如因任何组织或个人的举报（第10条）或者备案材料的真实性存在问题（第7条）等，而被省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的，将被要求约谈、整改，甚至承担行政乃至刑事责任。

如您对本内容有任何疑问，敬请联系： info@shiminlaw.com

本资料的著作权归世民律师事务所（以下简称“世民”）所有，请勿擅自引用、更改、转印或复印本资料。

本资料是仅供理解法律法规内容而制作的，不包括对于法律法规的解释、说明或解读等。