未回传无法出款 个人信息出境标准合同的制度逻辑与实务要点

2023年2月24日，国家网信办发布《个人信息出境标准合同办法》（下文简称“办法”），于6月1日起实施。该办法明确了标准合同制度，给出个人信息出境标准合同文本。自此，出境安全评估、标准合同及认证这三大数据出境路径已基本就位。

本文旨在阐释标准合同制度的基本逻辑，厘清其与相关制度之间的关系，并梳理个人信息处理者（即提供方）、境外接收方的义务以及标准合同使用要点。

一、标准合同制度的基本逻辑

1.尽量避免前置审批，适度保留行政干预

为保障个人权益的同时促进数据规范流通，避免一刀切的前置审批程序，中国在数据出境监管上采用了分层治理的思路，针对风险级别不同的数据出境行为，采取不同的规制措施。高风险的数据出境情形（关键信息基础设施运营者、重要数据、处理100万以上个人信息者、近两个自然年度累积出境10万人个人信息或1万人敏感个人信息），适用前置的数据出境安全评估制度，以最大程度地维护国家安全和公共利益。

针对风险较低的个人信息出境情形（提供方非关键信息基础设施运营者，且个人信息未达到规定规模），适用标准合同制度，各方可自主签署标准合同，跨境传输数据。

不过，为了保护个人权益，监管者仍保留有一定程度的行政干预，如必须使用标准合同文本，合同条款不可自行拟定或修改；如标准合同条款与其他合同或协议安排存在冲突，标准合同条款优先；合同签署生效后需至省级网信部门进行备案；如出境情况发生变更，还需重新备案或更新备案信息；如果备案后监管机构发现出境活动存在较大风险，可进行约谈、责令整改。

2.纳入利他合同条款，落实个人权利保障

标准合同制度借鉴自欧盟的《统一数据保护条例》（以下简称“GDPR”），其核心机制为“第三方受益人条款”，即个人虽非标准合同的缔约方，但是作为标准合同约定的第三方受益人，有权依据标准合同请求处理者和接收方履行个人信息保护义务，也可向二者或其一提起民事诉讼。

标准合同作为个人信息出境的保障措施之一，主要解决个人信息传输至境外后保护水平不降低的问题。一般情况下，中国《个人信息保护法》及相关法律对境外接收方的实际管辖能力可能受到客观条件限制，中国监管部门无法通过行政手段直接对境外接收方处理个人信息的活动进行监管。标准合同将个人信息保护的法定义务转化为合同义务，约束境外接收方，并通过个人提起的民事诉讼来保证实施，从而避免了本国行政监管对境外接收方鞭长莫及的问题。

二、标准合同制度与相关制度的衔接

1.标准合同制度与其他数据出境制度的衔接

中国数据出境主要有四条法律路径（保障措施）：安全评估、标准合同、个人信息保护认证以及其他路径。标准合同制度与安全评估制度分别适用于不同情形，是互相排斥的。属于前述高风险数据出境情形的，只能适用安全评估路径，不能以签订标准合同来代替安全评估，也不能通过分拆数量的方式规避安全评估。

前述低风险个人信息出境，不触发安全评估，处理者可以选择标准合同路径或认证路径，标准合同与认证之间，是选择而非排斥关系。需要注意的是，根据国家市监总局和国家网信办在2022年11月发布的《关于实施个人信息保护认证的公告》，个人信息保护认证适用范围更广，不仅适用于个人信息出境，也适用于《个人信息保护法》第3条第2款项下的跨境直接收集个人信息，还适用于在境内开展的各项处理活动，这点与GDPR下的认证制度相似。

在安全评估和认证路径下，境内外两方仍需签署数据出境协议或类似文件。我们理解，该等协议文件在双方的权利义务方面与标准合同并无大异，但无需采用标准合同文本，无需纳入利他合同条款，也无需办理合同备案。

关于标准合同与《个人信息保护法》第38条第4款提及的其他路径的关系，我们理解，其他路径主要是指国际条约(RCEP/CPTPP/DEPA)、双边谅解备忘录、国际司法协助程序或其他行业特殊审批程序。以国际司法协助路径为例，根据司法部发布的《国际民商事司法协助常见问题解答》[1]，结合我们的实践经验，境内当事人不论是应国际司法协助请求向境外提交证据材料，还是自愿向境外提交证据材料，一般均由司法部归口管理。这种情况下，无需签订标准合同（事实上也无法要求境外司法机关签署合同），也无需另行申报安全评估。

2.标准合同制度与网络安全审查制度的衔接

根据《网络安全审查办法》，“掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”。网络安全审查重点评估赴国外上市对国家安全产生风险的因素，包括因上市而导致关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险。

无论是业务经营过程中的数据出境，还是上市过程中向境外提供上市所需的各项材料，拟上市公司都应当酌情选择适当的数据出境路径，履行相应的程序，比如在未触发安全评估的情况下，应当签署标准合同并办理备案，或者通过认证。国家网信办在开展网络安全审查时，会将数据出境是否遵守相关要求作为事项之一纳入审查。我们理解，尽管网络安全审查与数据出境的监管部门同为网信部门，且监管内容上有一定重叠，但两项制度是并行的，不能以申报网络安全审查代替标准合同或其他数据出境程序，不过不排除未来监管部门对相关程序进行一定程度的简并优化。

三、标准合同下各方主要义务和责任

标准合同的核心内容是个人信息处理者与境外接收方的权利和义务，主要来源于《个人信息保护法》，新增若干出境场景下的特殊义务。

1.个人信息处理者的义务

在标准合同下，个人信息处理者的义务详见下表：

2.境外接收方的义务

在标准合同下，境外接收方的义务详见下表：

3.双方的责任承担

根据标准合同，在违反个人信息保护义务的情况下，处理者和接收方要对个人承担民事责任，这就涉及双方的责任分配问题。标准合同征求意见稿对处理者的责任规定较重，不论境内处理者是否有过错，均需为境外接收方的侵权行为向个人承担先行赔付的义务。

而标准合同正式版本删除了上述规定，根据不同情况分配双方的责任。如果双方构成连带责任，则个人有权向任何一方或双方主张民事责任，任何一方承担超过其份额的责任后有权向另一方追偿。如果双方不构成连带责任，则由违反保护义务的一方承担民事责任。

至于何种情况下双方构成连带责任，标准合同未做规定。根据《个人信息保护法》及相关法律，不同数据法律关系下，双方的责任承担模式不同：

如为共同处理关系，则双方承担连带责任；

如为委托处理关系，根据学界观点[2]，应将其类比为承揽关系，如受托人在完成委托处理活动过程中造成第三人损害的，由受托人承担侵权责任；如委托人对委托事宜、选任、指示存在过错的，应当承担相应的责任；如果双方存在共同过错，则应当承担连带赔偿责任；

如为提供关系，则双方分别为独立的处理者，原则上应各自承担其法律责任[3]。

鉴于上述情况，我们建议双方在签署标准合同时，可以在附录二中明确约定双方的数据处理角色与法律关系，厘清责任承担规则，在不减损个人权益的前提下，尽可能明确内部责任划分问题，以免产生争议。

四、标准合同的实务操作要点

所谓功夫在诗外，标准合同的使用难度不在其自身，而在于事先的准备工作与事后的持续管理。采取标准合同路径分为四步，每个步骤包含若干要点。

1.是否适用标准合同？

标准合同只适用于个人信息出境，所以首先要确定出境的是否为个人信息。如果出境不是个人信息，而是重要数据，或者二者兼有，则需要申报安全评估。

如果出境的只是个人信息，则需要看处理者的情况，是否为关键信息基础设施运营者，是否处理100万人以上个人信息（包括境内处理和出境），是否在最近两个自然年度内累计出境10万人以上个人信息或1万人以上敏感个人信息，符合任何一种情形都会触发安全评估，而不能采用标准合同。可见，标准合同主要适用于风险较低、少量个人信息出境的情形，如中小型规模的跨境企业内部跨境处理员工数据、小型跨境电商平台在提供跨境电商服务时涉及个人信息出境等场景。

此外还需注意，位于境内的受托处理者向境外委托方回传处理后的个人信息不能采用标准合同，因为标准合同适用于“个人信息处理者”，不包括受托处理者，因此，国内云服务商、SaaS服务商可能无法采用标准合同向其境外委托人传输数据。此种情况下如果属于《个人信息保护法》第3条第2款列举的情形，则境外委托方直接受《个人信息保护法》约束。

最后，还需判断相关处理活动是否构成“出境”。除典型的向境外提供个人信息、境外远程访问存储在境内的个人信息外，实务中的场景往往非常复杂，如员工出差时访问查询境内系统中的个人信息、员工持载有用户个人信息的电脑赴境外出差等等。对于这些特殊情况，不能仅依据物理层面的数据流进行判断，还要根据法律实质进行判断。

2.标准合同和谁签？

境内机构委托境外机构开展数据分析、市场调研等工作，或者境内机构向境外机构共享数据，或者境内机构使用境外云服务存储其境内运营产生的数据，这种典型场景下有明显的境内主体与境外主体，数据授受双方就是签约双方。

但是有些情况下确认接收方存在困难。比如，境内企业在境外建立独立站点，并未设置法律实体，其境外站点员工远程查看境内用户的订单信息以用于拣货，此时境外无接收方。我们倾向于认为，虽然这种情况下数据实际出境，但是个人信息仍然处于境内处理者的控制之下，不属于法律上的数据出境。

3.签署合同之前需要做什么？

签署标准合同之前，双方应相互配合，开展PIA，并完善隐私政策，制定个人信息出境规则，通过调整产品隐私设计或签署文件等方式获得用户单独同意，并在官方网站等公布接收用户投诉的联系方式等。

4.PIA怎么做？

境内处理者应在个人信息出境前开展PIA，可自行开展或聘请外部机构开展，评估要点如下：

处理者和接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性。该项主要评估个人信息出境目的是否正当合理，范围是否满足最小必要的要求，是否充分履行了告知义务，是否具备出境的合法事由以及是否存在限制或禁止出境的规定；

出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险。该项主要根据出境的个人信息总量、涉及人员范围、涉及的个人信息主体人数、字段的颗粒度、字段敏感程度、是否进行脱敏等，来判断出境后正常处理及发生滥用、泄露等安全事件后，对个人的人身权益、财产权益带来的风险程度；

境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全。该项主要评估境外接收方目前的数据安全管理和技术能力，包括组织建设、制度完善程度、数据安全能力部署、内部隐私评审流程、历史安全事件与处置情况等，并查看其现有安全认证的证书、认证报告等，以及拟针对出境采取的技术措施，综合判断境外接收方的安全保障能力；

个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等。该项可综合第（2）（3）项的情况来评估该风险，并评估境内处理者与境外接收方是否公开其用户行权渠道，是否内部建立有用户行权响应流程，针对不同客诉事件定义分类响应时间等SLA相关制度，验证行权渠道的有效性、响应时效等等；

境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响。该项可参考GDPR下的TIA进行，评估境外接收方所在国家或者地区个人信息保护相关立法情况、主要制度规则、监管部门设置情况、监管执法现状、个人信息主体救济途径，以及政府部门调取个人信息的程序、限制以及数据处理者是否可拒绝或质疑等事宜。如境外接收方所在法域与数据处理所在法域不同，根据安全评估的相关经验，我们认为应一并评估两地的法律环境及对标准合同的影响；

其他可能影响个人信息出境安全的事项。处理者可根据实际出境情形，判断是否存在其他影响个人信息出境安全的事项，如在涉及再转移的场景下，再转移接收方的基本情况、数据安全能力、所在地法律法规查明等。

5.签署标准合同时要注意什么？

在签署标准合同过程中，境内处理者可能会面临境外接收方对条款的修改意见等。根据办法规定，除可选填的内容外，标准合同条款不能修改。对此，需要向境外接收方做好沟通解释工作。

针对缔约双方之间的争议，可选择仲裁或诉讼解决，不同企业的偏好可能不同，建议综合考虑涉外裁决程序、执行及费用等相关因素进行选择。

个人与境内处理者或境外接收方之间的争议，标准合同规定的解决方式是向中国法院起诉，并适用中国法律。个人自愿选择其他争议解决方式或适用法律的，法律当不禁止。

6.签署标准合同后要做什么？

在签署标准合同后，境内处理者应妥善记录处理活动并留存记录，持续监督审计境外接收方的处理活动，留存审计记录；建立并维持适当渠道，及时响应个人行权、提供合同副本等请求；及时办理合同备案，接受监管机构的询问，提供相关信息，配合监管机构监督检查等。

境外接收方应采取妥善的安全保护措施，如加密、匿名化、去标识化、访问控制等，确保个人信息在传输过程中及接收后存储、使用等各环节的安全；记录处理活动并留存记录至少3年；建立并维持适当渠道，及时响应个人行权、提供合同副本等请求；配合处理者对其进行监督审计，提供相关信息和证明资料；接收监管机构的询问，配合监管机构检查，服从监管机构采取的措施和做出的决定，提供相关证明。

如发生信息泄露等安全事件，接收方应及时采取补救措施，立即通知处理者，根据相关法规要求报告监管机构和通知个人，并留存相关记录。境内处理者应提供必要协助。

保存期限届满，或者合同无效、被撤销、终止时，境外接收方应及时向处理者返还个人信息，或删除个人信息，并向处理者提供书面说明；删除难以实现的，接收方应当停止存储和安全措施之外的处理。境内处理者应当对删除情况进行监督。

一旦面临个人的投诉或诉讼，境内处理者与境外接收方应当相互配合，及时调取相应证据，明确划分双方责任，确定应对方案，积极配合监管机构的调查处理，或者应对相关诉讼，妥善处理相关负面舆情。如确实存在侵权行为，为了维护个人权益和企业声誉，境内处理者可以先行赔偿个人，再与境外接收方协商分担。

注释

[1]。

[2] 程啸：《个人信息保护法理解与适用》，中国法制出版社2021年版，第209-210页。

[3] 张新宝：《中华人民共和国个人信息保护法释义》，人民出版社2021年版，第69页。

数据隐私与网络安全专栏往期文章

作者介绍

袁律师是注册信息隐私专业人员（CIPP/E）、注册信息隐私管理人员（CIPM）、注册信息安全专业人员（CISP），参与多项信息安全技术标准的编制，并兼任华东政法大学数字法治研究院特聘研究员，华东师范大学法学院校外实务导师，“数据安全推进计划”智库专家，法商学院特聘导师。

袁律师的执业领域为网络与数据法、前沿科技法律事务，曾为众多国内外知名企业提供法律服务，承办了一系列前沿的、富有挑战性的项目，积累了丰富的实践经验，是该领域的知名专家。

袁律师连续多年名列The Legal 500数据保护和TMT领域“特别推荐律师”以及中国顶级律师排行榜“网络安全与数据”第一梯队，先后荣获中国律师特别推荐榜15强：网络安全与数据合规，中国律师特别推荐榜15强：高科技与人工智能；中国法律商务（China Law & ）年度网络安全杰出律师提名，DHR公会“数字化人力资源管理数据合规专家”，Ace Award年度大奖“Top 20 Data ”等奖项。

袁立志律师历史文章

朱垒历史文章