编者按

千呼万唤始出来，自《个人信息保护法》第三十八条首次将签署标准合同明确作为向境外提供个人信息的条件之一后，《个人信息出境标准合同规定（征求意见稿）》（下称“《征求意见稿》”）终于在2022年6月30日向社会公开征求意见。《征求意见稿》明确标准合同的适用条件和个人信息保护影响评估重点，并新增标准合同及个人信息保护影响评估报告备案义务，在我国跨境数据传输标准合同制度建立的道路上迈出了重要一步。

一、标准合同的适用范围

通过签署标准合同开展个人信息出境活动的方式适用于用户数量和个人信息出境体量较小的非关键信息基础设施运营者。《征求意见稿》的规制对象为某一类个人信息处理者而非某项具体个人信息处理行为，其第四条的要求和7月7日发布的《数据出境安全评估办法》（下称“《评估办法》”）的应当申报数据出境安全评估的标准相对应，皆考虑了个人信息处理者的处理个人信息所涉及的个人信息主体数量和自上年1月1日起累计向境外提供个人信息所涉及的个人信息主体数量两个要素，以个人信息主体数量而非个人信息条数来划分适用范围：

《征求意见稿》 《数据出境安全评估办法》

个人信息处理者同时符合下列情形的，可以通过签订标准合同的方式向境外提供个人信息：
（一）非关键信息基础设施运营者；
（二）处理个人信息不满100万人的；
（三）自上年1月1日起累计向境外提供未达到10万人个人信息的；
（四）自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：
（一）数据处理者向境外提供重要数据；
（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；
（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；
（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。

结合《评估办法》的相关规定，如果满足条件的个人信息处理者在通过签署标准合同向境外提供个人信息后，所处理的个人信息超过100万人，或向境外提供个人信息所涉个人信息主体数量在累计计算期间内超过10万人或1万人（敏感个人信息），由于此时个人信息处理者达到了应当申报数据出境安全评估的标准，需要根据《评估办法》通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

二、个人信息保护影响评估要求

《个人信息保护法》要求个人信息处理者在向境外提供个人信息前，进行个人信息保护影响评估，并对处理情况进行记录。因此无论是《征求意见稿》，还是《评估办法》或于2022年6月发布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》，都对个人信息保护影响评估提出要求，并针对性地细化了评估重点。以《征求意见稿》和《评估办法》为例：

《征求意见稿》 《评估办法》

第五条个人信息处理者向境外提供个人信息前，应当事前开展个人信息保护影响评估，重点评估以下内容：
（一）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；
（二）出境个人信息的数量、范围、类型、敏感程度，个人信息出境可能对个人信息权益带来的风险；
（三）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全；
（四）个人信息出境后泄露、损毁、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅等；
（五）境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响；
（六）其他可能影响个人信息出境安全的事项。第五条数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，重点评估以下事项：
（一）数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；
（二）出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；
（三）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；
（四）数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；
（五）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等（以下统称法律文件）是否充分约定了数据安全保护责任义务；
（六）其他可能影响数据出境安全的事项。

《网络数据安全管理条例（征求意见稿）》规定，处理100万人以上个人信息的个人信息处理者，还应当遵守该条例第四章对重要数据的处理者作出的规定。可见，我国立法将处理100万人以上的个人信息处理者视同为重要数据处理者。因此，适用于该类个人信息处理者以及CIIO的《评估办法》相较于《征求意见稿》，除关注个人信息出境可能对个人信息权益带来的风险外，还需重点评估数据出境可能对国家安全、公共利益、组织合法权益带来的风险。另外，由于《征求意见稿》已提供了统一适用的标准合同文本，相较《评估办法》要求重点评估境外接收方承诺承担的责任义务和与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务，《征求意见稿》更关注境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响，需重点评估标准合同是否能够得到完全履行。

三、备案和标准合同重新签订和备案要求

《征求意见稿》要求个人信息处理者应当在标准合同生效之日起10个工作日内，向所在地省级网信部门备案。备案不同于行政许可，只要个人信息处理者满足《征求意见稿》第四条所列条件，其即可在标准合同生效后开展个人信息出境活动。个人信息处理者向网信部门备案所签订的标准合同及个人信息保护影响评估报告为网信部门提供了监管抓手，省级以上网信部门发现通过签订标准合同的个人信息出境活动在实际处理过程中不再符合个人信息出境安全管理要求的，将书面通知个人信息处理者终止个人信息出境活动。

当在标准合同有效期内出现下列情况的，个人信息处理者应当重新签订标准合同并备案：

（1）向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；

（2）境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的；

（3）可能影响个人信息权益的其他情况。

另外，由于备案需提交标准合同和个人信息保护影响评估报告，在重新签订标准合同并备案前，个人信息处理者还需重新开展个人信息保护影响评估。

四、标准合同签订和履行要点

签订合同是开展个人信息出境活动的基本要求，如《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》（下称“《认证规范》”）要求签订具有法律约束力和执行力的文件，确保个人信息主体权益得到充分的保障；《评估办法》要求签订数据出境相关合同或其他具有法律效力的文件以充分约定数据安全保护责任。对比《征求意见稿》《认证规范》及《评估办法》，可以发现三者对于数据出境合同或其他具有法律效力的文件的内容要求存在很多重合之处，即使个人信息处理者无法直接适用签订标准合同的方式开展个人信息出境活动，其仍可参考标准合同的内容来拟定相关数据出境合同或法律文件。

（一）标准合同的优先适用　

选择通过签订标准合同开展个人信息出境活动的个人信息处理者，可以在签订标准合同之外，签订与个人信息出境活动相关的其他合同，亦可直接在标准合同的附录二中明确其他约定。标准合同由国家网信办依法拟定，无论是在标准合同附录中约定其他权利义务，还是另行签署其他合同，均需明确约定当与国家网信办拟定的标准合同条款不一致时，应当优先适用国家网信办拟定的标准合同条款。

（二）个人信息处理者的主要义务　

标准合同要求个人信息处理者在个人信息出境活动中履行如下保护义务：

保护义务 义务内容 标准合同第二条
对应款项

具备个人信息出境的合法性基础 1、个人信息系按照相关法律法规进行收集、使用等处理；
2、出境个人信息范围仅限于实现处理目的所需的最小范围；
3、已依法满足个人信息出境的各项告知与同意要求。（一）
（二）

保障个人信息主体的知情权 1、向个人信息主体告知其与境外接收方通过本合同约定个人信息主体为第三方受益人，如果个人信息主体未在三十天内明确拒绝，则可以依据该合同享有第三方受益人的权利；
2、根据个人信息主体要求向个人信息主体提供本合同的副本。（三）
（八）

监督和配合境外接收者履行义务 1、尽合理的努力确保境外接收方能够履行合同规定的义务并采取合同约定的技术和管理措施；
2、经境外接收方要求，向境外接收方提供相关法律规定和技术标准的副本。（四）
（五）

配合监管 1、答复来自监管机构关于境外接收方的个人信息处理活动的询问；
2、根据法律法规要求向监管机构提供境外接收方的信息，包括所有审计结果。（六）
（十）

开展个人信息保护影响评估根据《征求意见稿》等相关法律法规对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估。（七）

承担举证责任承担证明合同义务已履行的举证责任。（九）

（三）境外接收方的主要义务　

标准合同要求境外接收方在个人信息出境活动中履行如下保护义务：

保护义务 义务内容 标准合同第二条
对应款项

根据合同约定处理个人信息按照附录一“个人信息出境说明”所列约定处理个人信息，除非取得个人信息主体的事先同意。（一）

保障个人信息主体的知情权根据个人信息主体要求向个人信息主体提供本合同的副本。（二）

遵守最小必要原则 1、出境个人信息范围仅限于实现处理目的所需的最小范围；
2、存储个人信息的期限为实现处理目的所必要的最短时间。（三）
（四）

保障个人信息处理安全 1、采取有效的技术和管理措施；
2、确保授权处理个人信息的人员履行保密义务，并建立最小授权的访问控制策略；
3、及时采取应对数据泄露的补救措施和履行通知义务。（五）
（六）

限制向其他境外第三方提供个人信息不将个人信息提供给位于中华人民共和国境外的第三方，除非同时符合以下要求：
1、确有业务需要提供个人信息；
2、履行法律要求和合同约定的各项告知及获取同意义务；
3、与第三方达成书面协议并承担连带责任；
4、向个人信息处理者提供前述协议副本。（七）

限制转委托受个人信息处理者委托处理个人信息，转委托第三方处理时，应当满足如下条件：
1、事先征得个人信息处理者同意；
2、确保转委托的第三方不超出本合同附录一“个人信息出境说明”中约定的处理目的、处理方式等处理个人信息；
3、对该第三方的个人信息处理活动进行监督。（八）

依法开展自动化决策 1、不对个人在交易价格等交易条件上实行不合理的差别待遇；
2、同时提供不针对其个人特征的选项，或者提供便捷的拒绝方式。（九）

提供所有必要信息 1、向个人信息处理者提供所有必要的信息，用以证明遵守本合同中规定的义务，允许个人信息处理者对数据文件和文档进行查阅，或对本合同涵盖的处理活动进行审计；
2、为个人信息处理者自行开展或者委托第三方开展的审计提供便利；
3、按个人信息处理者的要求向其提供所持有的个人信息保护方面的资质认证情况。（十）

记录个人信息处理活动对开展的个人信息处理活动进行客观记录，保存记录至少3年。（十一）

配合监管 1、按相关法律法规要求直接或通过个人信息处理者向监管机构提供个人信息处理活动相关记录文件；
2、在监督本合同实施的相关程序中接受监管机构的监督管理，包括但不限于答复监管机构询问，配合监管机构检查，服从监管机构采取的措施或作出的决定，并提供已采取必要行动的书面证明。（十一）
（十二）

基于境内外的法律环境和各方的地理位置等因素限制，个人信息处理者监督境外接收方的个人信息处理行为和了解境外接收方所在国家或地区的个人信息保护政策法规存在一定难度。此时，境外接收方全面、及时、完整地提供所有必要信息就显得尤为重要。

国家网信办提供的标准合同中也明确要求境外接收方承诺向个人信息处理者提供所有必要的信息，包括：

相关经验 1、境外接收方此前类似的个人信息跨境传输和处理相关经验；
2、境外接收方是否曾发生数据安全相关事件及是否进行了及时有效地处置；
3、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息请求及境外接收方应对的情况。

个人信息保护政策法规 1、该国家或地区现行的个人信息保护法律法规及普遍适用的标准情况；
2、该国家或地区加入的区域或全球性的个人信息保护方面的组织，以及所做出的具有约束力的国际承诺；
3、该国家或地区落实个人信息保护的机制，如是否具备个人信息保护的监督执法机构和相关司法机构等。

安全管理制度和技术手段保障能力 1、境外接收方的安全管理制度；
2、证明境外接收方具备技术手段保障能力的证明材料；
3、境外接收方所持有的个人信息保护方面的资质认证情况。

个人信息保护政策法规的变化因境外接收方所在国家或地区的个人信息保护政策法规发生变化（包括境外接收方所在国家或地区更改法律，或者采取强制性措施）导致境外接收方无法履行合同的，境外接收方应在知道前述变化后立即通知个人信息处理者。

《征求意见稿》要求当境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益时，重新签订标准合同并备案。因此，建议个人信息处理者和境外接收方在标准合同附录二中明确约定，当境外接收方存在所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的情形出现时，境外接收方应当及时通知个人信息处理者，与个人信息处理者共同评估该变化将对个人信息权益带来的风险。如确将引发新的个人信息权益风险，境外接收方应与个人信息处理者共同协商以重新签订标准合同。

（四）个人信息主体的权利　

《征求意见稿》要求将个人信息主体的权利纳入标准合同之中，标准合同文本第六条明确赋予个人信息主体作为第三方受益人执行该合同中个人信息处理者和数据接收者关于个人信息保护义务的权利，包括知情权、决定权、限制或拒绝他人对其个人信息进行处理的权利、查阅权、复制权、更正与补充的权利、删除权，以及要求对其个人信息处理规则进行解释说明的权利。个人信息处理者向个人信息主体告知其与境外接收方通过本合同约定个人信息主体为第三方受益人，如果个人信息主体未在三十天内明确拒绝，则可以依据该合同享有第三方受益人的权利。

（点击查看大图）

为保障个人信息主体的权利，个人信息处理者和境外接收方在个人信息出境活动开展过程中需采取适当措施实现个人信息主体的合理请求。但如个人信息主体提出过多或不合理要求，尤其是具有重复性的要求，境外接收方可在考虑到要求获准的执行和操作成本后，收取合理的费用，或拒绝按其要求行事。

另外，根据《民法典》第五百二十二条第二款，当事人约定第三人可以直接请求债务人向其履行债务，第三人未在合理期限内明确拒绝，债务人未向第三人履行债务或者履行债务不符合约定的，第三人可以请求债务人承担违约责任。标准合同中亦明确，个人信息主体作为标准合同第三方受益人有权向个人信息处理者和境外接收方任何一方主张并要求履行标准合同项下与个人信息主体权利相关的部分条款。当个人信息处理者或境外接收方未履行标准合同义务而侵害个人信息权益时，个人信息主体可主张违约方承担违约责任，亦可根据《个人信息保护法》等法律主张侵害个人信息权益方承担侵权责任。

（五）个人信息出境数量的约定　

业界对个人信息出境数量应当如何在标准合同中约定尚有不同观点。如果向境外提供个人信息是一次性的活动，个人信息处理者可以在标准合同中约定一个固定数量。然而，在实践中，向境外提供个人信息往往是一个长期的、持续性的活动，难以在合同中明确约定个人信息出境的精确数量，此时又应当如何判断向境外提供个人信息的数量是否发生变化而需重新签订标准合同及备案呢？本团队认为，是否触发重新签订及备案情形的关键在于个人信息出境场景所发生的变化是否影响到个人信息权益。个人信息处理者可事先在标准合同中根据最小必要原则明确约定个人信息出境的数量区间和传输频率，不建议为了规避标准合同重新签订和备案要求盲目扩大区间。当向境外提供个人信息的数量超出最小必要区间时，个人信息处理者需重新签订标准合同并备案。

（六）落实安全管理义务　

仅仅签订标准合同并非满足了合规要求，标准合同的签订与生效仅是启动个人信息出境流程的一个开关，个人信息处理者和境外接收方在个人信息出境全生命周期中，还应按照标准合同的约定和相关法律法规规定制定和采取与个人信息出境风险相匹配的安全管理制度和技术保障措施，全面履行个人信息保护义务，以满足个人信息出境安全管理要求。如未履行标准合同约定的责任义务，侵害个人信息权益造成损害的，省级以上网信部门将根据《个人信息保护法》的规定，责令限期改正；拒不改正或者损害个人信息权益的，责令停止个人信息出境活动，依法予以处罚；构成犯罪的，依法追究刑事责任。

为了监督境外接收方履行个人信息保护义务，标准合同赋予个人信息主体对境外接收方开展审计的权利，以及境外接收方应当依约提供审计报告的义务：

审计场景 境外接收方义务

个人信息处理者对标准合同涵盖的处理活动进行审计承诺向个人信息处理者提供所有必要的信息，用以证明遵守标准合同中规定的义务，允许个人信息处理者对数据文件和文档进行查阅，或对本合同涵盖的处理活动进行审计。在决定进行查阅或审计时，为个人信息处理者自行开展或者委托第三方开展的审计提供便利，并按个人信息处理者的要求向其提供所持有的个人信息保护方面的资质认证情况。

委托处理境外接收方受个人信息处理者委托处理个人信息时，在删除或匿名化后，向个人信息处理者提供相关审计报告。

合同解除合同解除时，境外接收方应及时返还、销毁或匿名化处理其根据本合同所接收到的个人信息，并提供已经销毁或者匿名化处理的审计报告。

（七）法律适用和管辖　

最高人民法院关于适用《中华人民共和国涉外民事关系法律适用法》若干问题的解释（一）（2020年修订）第四条规定，中华人民共和国法律没有明确规定当事人可以选择涉外民事关系适用的法律，当事人选择适用法律的，人民法院应认定该选择无效。《个人信息保护法》等个人信息保护相关法律法规没有明确规定当事人可以选择涉外民事关系适用的法律。标准合同中明确该合同适用于中华人民共和国相关法律法规，因此在标准合同中提到的“按照相关法律法规”等表述需要理解为按照我国境内个人信息保护相关法律法规，换言之，境外接收方的个人信息保护水平应达到中华人民共和国法律、行政法规的规定和强制性国家标准等法律规范的要求。

同时，标准合同明确个人信息处理者和境外接收方可在标准合同选择仲裁或向中国有管辖权的人民法院提起诉讼的争议解决方式。另外，个人信息主体作为第三方受益人向个人信息处理者或境外接收方提起诉讼的，应当根据《中华人民共和国民事诉讼法》的规定确定管辖。以上要求将与标准合同有关的司法管辖限定在中国境内，被视为应对境外长臂管辖的重要举措。

五、作者简介

吴丹君合伙人
北京观韬中茂（上海）律师事务所
wudj@guantao.com 吴丹君律师是观韬中茂上海办公室合伙人、上海律师协会互联网业务研究会委员、深圳市大数据研究与应用协会法律专家、律商联讯法律专家，曾为众多跨国公司和外国公司在华投资、并购以及日常运营提供法律服务。
近年来，吴律师专注于网络安全和数据合规领域，她服务的行业众多，包括地产、快消、酒店、OTA、金融、科技、教育、大数据、人工智能、云计算、精准营销、在线支付、互联网医疗等。吴律师对于中国立法和实践有着深入的理解，同时对第三方支付、算法推荐、数据挖掘、云计算、车联网、物联网等新兴技术具有充分的认识。
吴律师曾协助金融机构、汽车制造商、HCM SaaS平台企业、云计算服务提供商、数据服务商、制造业公司、互联网医院、生物医疗等企业建立全流程网络安全、数据安全管理制度及个人信息保护制度，能为客户提供具有落地性和前瞻性的网络与数据法律服务。

保护义务	义务内容	标准合同第二条对应款项
具备个人信息出境的合法性基础	1、个人信息系按照相关法律法规进行收集、使用等处理； 2、出境个人信息范围仅限于实现处理目的所需的最小范围； 3、已依法满足个人信息出境的各项告知与同意要求。	（一）（二）
保障个人信息主体的知情权	1、向个人信息主体告知其与境外接收方通过本合同约定个人信息主体为第三方受益人，如果个人信息主体未在三十天内明确拒绝，则可以依据该合同享有第三方受益人的权利； 2、根据个人信息主体要求向个人信息主体提供本合同的副本。	（三）（八）
监督和配合境外接收者履行义务	1、尽合理的努力确保境外接收方能够履行合同规定的义务并采取合同约定的技术和管理措施； 2、经境外接收方要求，向境外接收方提供相关法律规定和技术标准的副本。	（四）（五）
配合监管	1、答复来自监管机构关于境外接收方的个人信息处理活动的询问； 2、根据法律法规要求向监管机构提供境外接收方的信息，包括所有审计结果。	（六）（十）
开展个人信息保护影响评估	根据《征求意见稿》等相关法律法规对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估。	（七）
承担举证责任	承担证明合同义务已履行的举证责任。	（九）

相关经验	1、境外接收方此前类似的个人信息跨境传输和处理相关经验； 2、境外接收方是否曾发生数据安全相关事件及是否进行了及时有效地处置； 3、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息请求及境外接收方应对的情况。
个人信息保护政策法规	1、该国家或地区现行的个人信息保护法律法规及普遍适用的标准情况； 2、该国家或地区加入的区域或全球性的个人信息保护方面的组织，以及所做出的具有约束力的国际承诺； 3、该国家或地区落实个人信息保护的机制，如是否具备个人信息保护的监督执法机构和相关司法机构等。
安全管理制度和技术手段保障能力	1、境外接收方的安全管理制度； 2、证明境外接收方具备技术手段保障能力的证明材料； 3、境外接收方所持有的个人信息保护方面的资质认证情况。
个人信息保护政策法规的变化	因境外接收方所在国家或地区的个人信息保护政策法规发生变化（包括境外接收方所在国家或地区更改法律，或者采取强制性措施）导致境外接收方无法履行合同的，境外接收方应在知道前述变化后立即通知个人信息处理者。

审计场景	境外接收方义务
个人信息处理者对标准合同涵盖的处理活动进行审计	承诺向个人信息处理者提供所有必要的信息，用以证明遵守标准合同中规定的义务，允许个人信息处理者对数据文件和文档进行查阅，或对本合同涵盖的处理活动进行审计。在决定进行查阅或审计时，为个人信息处理者自行开展或者委托第三方开展的审计提供便利，并按个人信息处理者的要求向其提供所持有的个人信息保护方面的资质认证情况。
委托处理	境外接收方受个人信息处理者委托处理个人信息时，在删除或匿名化后，向个人信息处理者提供相关审计报告。
合同解除	合同解除时，境外接收方应及时返还、销毁或匿名化处理其根据本合同所接收到的个人信息，并提供已经销毁或者匿名化处理的审计报告。

编者按

目录

一、标准合同的适用范围

二、个人信息保护影响评估要求

三、备案和标准合同重新签订和备案要求

四、标准合同签订和履行要点

五、作者简介