【法律研究】《個人信息出境標準合同備案指南（第一版）》解讀與實務指引網經社電子商務研究中心電商門戶互聯(lián)網+智庫

當前位置：100EC>數(shù)字研究>【法律研究】《個人信息出境標準合同備案指南（第一版）》解讀與實務指引

【法律研究】《個人信息出境標準合同備案指南（第一版）》解讀與實務指引

作者：來源：浙江墾丁律師事務所發(fā)布時間：2023年06月26日 17:44:16

(網經社訊)為了指導和幫助個人信息處理者規(guī)范、有序備案個人信息出境標準合同，國家互聯(lián)網信息辦公室編制了《個人信息出境標準合同備案指南（第一版）》（以下簡稱 "《備案指南》"），對個人信息出境標準合同備案方式、備案流程、備案材料等具體要求作出了說明。

個人信息處理者通過與境外接收方訂立個人信息出境標準合同的方式向境外提供個人信息，應當根據(jù)《個人信息出境標準合同辦法》規(guī)定，按照備案指南向所在地省級網信部門備案。

《個人信息保護法》第三十八條確定的數(shù)據(jù)出境的三條路徑的細則、落地指南至此已經明晰，此前我們已經對《個人信息出境標準合同辦法》及標準合同的適用要點進行了分析，詳見：

個人信息出境國家標準合同（SCCs）的 30 個評析意見

《個人信息出境標準合同辦法》與征求意見稿對比表

本文將在實操角度對《備案指南》的發(fā)布背景和意義、備案流程、備案所需材料、備案后跟進、提交材料的注意事項以及其他問題等內容進行詳細解讀。

一、《備案指南》發(fā)布的背景和意義

1、發(fā)布背景

2023 年 2 月 24 日，國家網信辦正式公布《個人信息出境標準合同辦法》，明確了個人信息出境標準合同的訂立、備案等要求。自此，標準合同、安全評估、保護認證共同構成了個人信息出境三條路徑。《個人信息出境標準合同辦法》已于 2023 年 6 月 1 日施行，該辦法施行前已經開展的個人信息出境活動，不符合該辦法規(guī)定的，應當自該辦法施行之日起 6 個月內完成整改。

因此，企業(yè)若選用《標準合同》作為個人信息出境的合規(guī)路徑，須在 2024 年 1 月 1 日前根據(jù)《備案指南》的要求通過備案。

2、標準化合同的制度發(fā)展

標準合同（Standard Contractual Clauses，SCC）制度起源于歐盟 1995 年的《個人數(shù)據(jù)保護指令》（其后被 GDPR 替代），2021 年 6 月 4 日，歐盟委員會發(fā)布了用于保護個人數(shù)據(jù)的新的標準合同條款。這些新的標準合同條款取代了歐盟委員會在 2010 年采用可用于支持在特定情況下合法傳輸數(shù)據(jù)的 SCC。通過實行各種合同義務，SCC 允許將受 GDPR 約束的個人數(shù)據(jù)傳輸給歐洲經濟區(qū)以外的接收方。

2021 年 11 月 1 日生效的《中華人民共和國個人信息保護法》第三十八條規(guī)定，個人信息處理者因業(yè)務等需要，確需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：…（三）按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務。該條款為中國標準合同作為個人信息出境的解決方案提供了法律基礎。

2022 年 06 月 30 日，中國網信網發(fā)布了《個人信息出境標準合同規(guī)定（征求意見稿）》，并向社會公開征求意見。

2023 年 2 月 22 日《個人信息出境標準合同辦法》正式發(fā)布，并于 2023 年 6 月 1 日起施行。

2023 年 05 月 30 日，中國網信辦發(fā)布了《個人信息出境標準合同備案指南（第一版）》，對個人信息出境標準合同備案方式、備案流程、備案材料等具體要求作出了說明。

二、備案流程

三、備案需要提交的材料

1、材料清單

序號	材料名稱	要求
1	統(tǒng)一社會信用代碼證件	影印件加蓋公章
2	法定代表人身份證件	影印件加蓋公章
3	經辦人身份證件	影印件加蓋公章
4	經辦人授權委托書	原件
5	承諾書	原件
6	個人信息出境標準合同	原件
7	個人信息保護影響評估報告	原件

2、書面材料并附帶材料電子版

《備案指南》要求個人信息處理者需通過 " 送達書面材料并附帶材料電子版的方式 " 向所在地省級網信辦備案，該要求與《數(shù)據(jù)出境安全評估申報指南（第一版）》（以下簡稱 "《申報指南》"）要求的方式保持一致。根據(jù)上海市網信辦于 6 月 7 日發(fā)布的《上海市網信辦關于個人信息出境標準合同備案的通知》，其規(guī)定電子版材料應當為與紙質材料一致的 PDF 掃描件（可使用光盤或者其他存儲介質）。個人信息處理者應先將完整電子版材料發(fā)送至指定備案材料接收郵箱（請以所在地監(jiān)管機構的要求為準），待電子版材料查驗通過后線下提交書面材料并附帶材料電子版。

四、備案后的事后跟進

企業(yè)應當重新開展個人信息保護影響評估，補充或者重新訂立標準合同，并履行備案手續(xù)的 3 種情形主要包括：

一是向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發(fā)生變化，或者延長個人信息境外保存期限的；

二是境外接收方所在國家或者地區(qū)的個人信息保護政策和法規(guī)發(fā)生變化等可能影響個人信息權益的；

三是可能影響個人信息權益的其他情形。

五、提交文件的注意事項

1、授權書授權人的要求

（1）經辦人授權委托書

該授權書是個人信息處理者出于備案流程本身對經辦人員的授權，主要目的是由經辦人代表個人信息處理者進行個人信息出境標準合同備案過程中的一切行為，包括所簽署和上傳的資料。本質上若標準合同備案辦結，那么相應的授權事項也就結束了。建議對授權人的要求系對本次數(shù)據(jù)出境的情況較為熟悉的人員，同時在標準合同有效期內職務相對穩(wěn)定的數(shù)據(jù)合規(guī)人員最為合適。

（2）授權書的期限問題

因為經辦人將代表公司接受監(jiān)管部門的詢問并提交相關材料，參考備案流程所需的時間（如自評估報告 3 個月內、合同生效后 10 個工作日內申請備案、15 個工作日內完成檢驗、10 個工作日內補足材料），授權書給予經辦人的期限應當至少能夠完成整個流程，并考慮需要補充材料的時間，給予相對寬裕的辦理時間為宜，避免授權書到期，備案還沒完成的尷尬情況發(fā)生，需法人和法代再次蓋章、簽字授權。

2、承諾函承諾事項的說明和解析

（1）承諾函

承諾函的大部分內容均為字面含義，我們在此不再進行過多解釋。我們重點解讀一下 " 三、未采取數(shù)量拆分等手段，將依法應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供 "。

在實踐中，我們常會遇到可能與同一境外接收方存在若干個合作事宜，如可能有員工的數(shù)據(jù)出境、業(yè)務的合作等多個目的需要進行數(shù)據(jù)跨境，這種情況下，我們需不需拆分不同的合同？若拆分之后可能導致無需備案的場景，我們認為一份標準合同中可承載多個數(shù)據(jù)出境的目的，可在附件中載明。

另外，目前許多的跨國企業(yè)都是通過集團化管理的方式進行，那么集團項下是否可以拆分為若干個子公司、控股公司等分別進行申報，或者無需進行備案申報了呢？這一情況并非可以依據(jù)各個公司是獨立的法人這一理由一筆帶過，而是要看不同公司之間是否使用同一賬號體系、存不存在數(shù)據(jù)融合以及各個子公司的數(shù)據(jù)是否在服務器中隔離存儲等等因素綜合判斷同一集團項下的數(shù)據(jù)出境活動是否要進行拆分申報。

3、標準合同

（1）標準合同的不可修改要求

根據(jù)《個人信息出境標準合同辦法》第 6 條規(guī)定，標準合同應當嚴格按照該辦法附件訂立。國家網信部門可以根據(jù)實際情況對附件進行調整。個人信息處理者可以與境外接收方約定其他條款，但不得與標準合同相沖突。

因此，建議在標準合同的正文盡量不要進行修改調整，如有特殊情況或其他需要說明的事項可以在合同附件中聲明，如有特殊約定建議對個人信息的跨境傳輸保護措施等也不得低于標準合同正文約定的要求。

（2）標準合同中的技術和管理措施如何披露

根據(jù)標準合同中的約定，（五）盡合理地努力確保境外接收方采取如下技術和管理措施（綜合考慮個人信息處理目的、個人信息的種類、規(guī)模、范圍及敏感程度、傳輸?shù)臄?shù)量和頻率、個人信息傳輸及境外接收方的保存期限等可能帶來的個人信息安全風險），以履行本合同約定的義務：（如加密、匿名化、去標識化、訪問控制等技術和管理措施）。該條款的重點在于披露的措施需要與數(shù)據(jù)跨境傳輸可能帶來的個人信息安全風險相適應。同時，應當注意對境外接收方的措施進行披露以及要求其提供相應的材料證明。措施可根據(jù)已經采取的措施據(jù)實說明。

（3）是否需要向用戶公開標準合同

根據(jù)《個人信息出境標準合同辦法》要求，個人信息處理者需要根據(jù)個人信息主體的要求向個人信息主體提供本合同的副本。如涉及商業(yè)秘密或者保密商務信息，在不影響個人信息主體理解的前提下，可對本合同副本相關內容進行適當處理。

因此，標準合同并未要求企業(yè)向用戶公開標準合同的全部內容。結合個保法對個人信息跨境傳輸?shù)囊?，個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權利的方式和程序等事項，并取得個人的單獨同意。筆者認為根據(jù)目前的實踐，我們告知用戶上述事項即已經達到了合規(guī)的要求。目前市面上對上述內容披露較為完善的有奔馳、三星以及 ZARA。

ZARA 隱私政策（部分節(jié)選）

（4）如何根據(jù)個人信息主體的要求向個人信息主體提供標準合同的副本

我們對市面上較為頭部的一些跨國公司的隱私政策進行調研中發(fā)現(xiàn)，大部分公司并未向用戶提供標準合同副本的渠道。目前只有微軟在隱私政策稱在從歐盟向其他國家傳輸數(shù)據(jù)的過程中，會簽署歐盟的標準合同條款，并設置了超鏈接，指引用戶去查看歐盟委員會官網上的標準條款。戴森也在隱私政策中聲明用戶可以通過歐盟委員會網站查看更多的信息。

微軟隱私政策（部分節(jié)選）

戴森隱私政策（部分節(jié)選）

因目前國內并沒有明確的法規(guī)要求企業(yè)向用戶主動提供標準合同的副本，如果借鑒微軟以及戴森的做法向用戶提供一些標準合同的通用條款查看路徑，也不失為一種辦法。

（5）如何對標準合同約定義務進行留痕以承擔舉證責任

標準合同約定的義務包括了向個人信息主體告知境外接收方的名稱或者姓名、聯(lián)系方式、基于個人同意向境外提供個人信息的，應當取得個人信息主體的單獨同意、個人信息主體告知其與境外接收方通過本合同約定個人信息主體為第三方受益人、盡合理地努力確保境外接收方采取如下技術和管理措施等。

我們認為針對個人信息主體告知的這一類義務，可以通過前端協(xié)議、保存用戶同意日志等方式進行留痕。對于對境外接收方的審核，可以要求境外接收方填寫數(shù)據(jù)合規(guī)問卷以及提供相應的證明材料等方式進行備查留痕，以證明我們對境外接收方的技術和管理措施盡到了審查義務。

4、PIA 報告的時間節(jié)點

（1）個人信息保護影響評估報告（PIA 報告）

根據(jù)《備案指南》附件 3 承諾書模板以及標準合同第二條第八款，PIA 報告的完成時間應在備案之日前 3 個月內，保存時間為至少 3 年。

（2）PIA 報告的填寫注意事項

①《備案指南》附件 5 的 PIA 報告模板與《申報指南》附件 4 的《數(shù)據(jù)出境風險自評估報告（模板）》（以下簡稱 "《自評估報告》"）整體結構大致相同，企業(yè)在開展 PIA 時亦可參考《申報指南》" 填表說明 " 進行理解與填寫。但需要注意以下幾點：

·《備案指南》的 PIA 報告模板相較《自評估報告》新增了第三方機構參與評估的要求：如有第三方機構參與評估，PIA 報告還需說明第三方機構的基本情況及參與評估的情況，并在相關內容頁上加蓋第三方機構公章；

·《備案指南》的 PIA 報告模板對于出境活動整體情況的說明要求，相較《自評估報告》，新增關注向第三方提供個人信息情況、確保標準合同條款落實措施、敏感個人信息處理以及利用個人信息進行自動化決策情況。建議企業(yè)在開展以標準合同備案為目的 PIA 時應當重點關注新增評估點；

·《備案指南》的 PIA 報告模板未要求說明分類分級制度以及數(shù)據(jù)處理者與境外接收方之間訂立的合同等法律文件約定的數(shù)據(jù)安全保護責任義務，而是更注重境外接收方所在國家或者地區(qū)的個人信息保護政策和法規(guī)對標準合同履行的影響。

② PIA 模板與標準合同的內容有所重合，企業(yè)在填寫兩份文件時，應確保文件之間重合的內容銜接流暢意思表達一致，避免出現(xiàn)內容沖突。

六、其他在實務中需要關注的問題

1、《標準合同》的備案是否是《標準合同》的生效要件

根據(jù)《人信息出境標準合同辦法》第三條，通過訂立標準合同的方式開展個人信息出境活動，應當堅持自主締約與備案管理相結合、保護權益與防范風險相結合，保障個人信息跨境安全、自由流動。因此，企業(yè)不進行備案并不影響合同的效力，但若企業(yè)不進行標準合同備案，可能導致監(jiān)管部門對企業(yè)進行責令改正、停止個人信息出境行為等情況，會對企業(yè)業(yè)務開展產生不良影響。

2、不同關聯(lián)主體是否可以聯(lián)合合并備案

目前《備案指南》尚未明確不同關聯(lián)主體之間是否可以合并數(shù)據(jù)出境情況進行備案。若《標準合同》中境內 " 個人信息處理者 " 涉及多方，《備案指南》中要求企業(yè)提供《經辦人授權委托書》及《承諾書》，以上文件均需要境內各方分別出具，因此為我們建議應分別與 " 境外接收方 " 簽訂標準合同，而非合并簽署合同及備案。

3、首次備案審查未通過的影響

標準合同備案工作并非完全的形式審查，體現(xiàn)了我國數(shù)據(jù)出境和網絡安全的監(jiān)管力度。根據(jù)《備案指南》，備案結果分為通過、不通過。通過備案的，省級網信辦向個人信息處理者發(fā)放備案編號；首次備案審查未通過的，個人信息處理者將收到備案未成功通知及原因，要求補充完善材料的，個人信息處理者應當補充完善材料并于 10 個工作日內再次提交。

4、境外接收方向境外第三方再次提供所接收的個人信息，是否需要再次簽署《標準合同》并進行備案？

若企業(yè)在同一業(yè)務運營場景中，向面臨境外接收方可能向境外其他第三方提供個人信息的情況，若同時滿足以下情況：

確有業(yè)務需要。

已告知個人信息主體該第三方的具體信息、個人信息處理目的范圍等事項。

涉及敏感個人信息的，還應當向個人信息主體告知提供敏感個人信息的必要性以及對個人權益的影響。

基于個人同意處理個人信息的，應當取得個人信息主體的單獨同意。

與第三方達成書面協(xié)議，確保第三方的個人信息處理活動達到中華人民共和國相關法律法規(guī)規(guī)定的個人信息保護標準。

根據(jù)個人信息主體的要求向個人信息主體提供該書面協(xié)議的副本。

無論該第三方是否與境外接收方位于同一國家，我們建議企業(yè)在《標準合同》附錄一的第（六）項中補充該第三方的具體信息、個人信息處理目的范圍等事項，無需另行重復簽署《標準合同》以及進行備案。

5、企業(yè)違反《標準合同》規(guī)定的，對企業(yè)出境活動有什么影響

根據(jù)《標準合同》的內容來看，除承擔違約責任或面臨行政處罰外，省級以上網信部門有權要求個人信息處理者立即終止個人信息出境活動，并影響企業(yè)此后可能的數(shù)據(jù)安全評估申報和標準合同備案工作，導致業(yè)務連續(xù)性受到不可挽回的負面影響。

因此我們建議企業(yè)嚴格遵守《標準合同》中各條款約定的義務，并承擔相應的個人信息保護責任，避免出現(xiàn)違反《標準合同》規(guī)定的情況。

浙江網經社信息科技公司擁有18年歷史，作為中國領先的數(shù)字經濟新媒體、服務商，提供“媒體+智庫”、“會員+孵化”服務；（1）面向電商平臺、頭部服務商等PR條線提供媒體傳播服務；（2）面向各類企事業(yè)單位、政府部門、培訓機構、電商平臺等提供智庫服務；（3）面向各類電商渠道方、品牌方、商家、供應鏈公司等提供“千電萬商”生態(tài)圈服務；（4）面向各類初創(chuàng)公司提供創(chuàng)業(yè)孵化器服務。

網經社“電數(shù)寶”電商大數(shù)據(jù)庫（DATA.100EC.CN，免費注冊體驗全庫）基于電商行業(yè)18年沉淀，包含100+上市公司、新三板公司數(shù)據(jù)，150+獨角獸、200+千里馬公司數(shù)據(jù)，4000+起投融資數(shù)據(jù)以及10萬+互聯(lián)網APP數(shù)據(jù)，全面覆蓋“頭部+腰部+長尾”電商，旨在通過數(shù)據(jù)可視化形式幫助了解電商行業(yè)，挖掘行業(yè)市場潛力，助力企業(yè)決策，做電商人研究、決策的“好參謀”。