第一条 为了保护个人信息权益，规范个人信息出境活动，根据《中华人民共和国个人信息保护法》等法律法规，制定本办法。

【解读】

1、修订情况
相比《规定（征）》，删除了一个立法目的，即“促进个人信息跨境安全、自由流动”。

2、法律分析
《办法》第三条增加了跨境安全，而自由流动在第三条已经有了。为了避免重复，删除了第一条的跨境安全与自由流动内容。

第二条 个人信息处理者通过与境外接收方订立个人信息出境标准合同（以下简称标准合同）的方式向中华人民共和国境外提供个人信息，适用本办法。

【解读】

1、修订情况
原“不得与标准合同相冲突”条款放到了《办法》第六条。

2、法律分析
简化了表述，该条虽然简单，但是实务中对于何为个人信息出境，什么情况下需要签署《标准合同》，这一条明确了适用范围，且未采纳欧盟不同数据处理角色下，采用不同模型构建标准合同的复杂做法。具体构成要件如下：
第一，境内必须是个人信息处理者。
第二，境外接收方身份未要求是个人信息处理者，意味着也可以是受托人。
第三，“向境外提供”，这一定义有待解释。具体可以结合数据出境安全评估的相关问答理解即可。
第四，客体是个人信息，并不包括重要数据或者其他数据。这就意味着如果是重要数据出境，所签署的合同内容，与《标准合同》应有所不同，需要专门做调整。

第三条 通过订立标准合同的方式开展个人信息出境活动，应当坚持自主缔约与备案管理相结合、保护权益与防范风险相结合，保障个人信息跨境安全、自由流动。

【解读】

1、修订情况
删除了“防范个人信息出境安全风险”，增加了“保护权益与防范风险相结合”。

2、法律分析
“两个结合”，突出了我国个人信息出境标准合同的重要功能与管理结构，最终为安全与自由流动这两个目的服务。

第四条 个人信息处理者通过订立标准合同的方式向境外提供个人信息的，应当同时符合下列情形：
（一）非关键信息基础设施运营者；
（二）处理个人信息不满100万人的；
（三）自上年1月1日起累计向境外提供个人信息不满10万人的；
（四）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
法律、行政法规或者国家网信部门另有规定的，从其规定。
个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。

【解读】

1、修订情况
第二款和第三款为新增。

2、法律分析
这一条是高频适用条款，相比第二条适用范围，这一条是实质性的判断条款，是与《评估办法》的门槛相衔接的条款，凸显了我国数据出境不同路径的门槛差异性。
关于该条第二款，与《评估办法》类似，即“法律、行政法规另有规定的，依照其规定。”，为了解决法律冲突问题，一些特别法、或者更高位阶的法律法规，应该得到优先适用。例如在医疗行业、金融行业等。
关于该条第三款，是重点条款，体现了监管注意到实务中，可能存在规避安全评估门槛适用的做法，且该《办法》在《评估办法》整改期届满前发布，也为一些企业规避安全评估的手段，敲响了警钟。正确理解该条款，需要注意以下三点：
第一，“数量拆分”，作为一种规避手段，主要是指100万、10万和1万这三组关键数据，拆分的形式包括了人为把数据放到不同的公司，或者把一些场景人为割裂放到其他关联公司或者非关联公司等。
第二，“数量拆分”以外的手段，仍然在这一条款下可以包括，因为使用了“等手段”。这一立法技术，是为了解决实务中新的规避手段，给予了监管自由裁量的空间。其他手段包括“抽屉协议”，具体见我们总结的思维导图：

（点击查看大图）


（点击查看大图）

第三，从该条也可以进一步凸显合法避免触发安全评估机制，继续走《标准合同》备案机制的做法，需要更加谨慎判断。例如实务中采取数据销毁、相关技术隔离、存储方案隔离等，均需要充分论证，得到监管理解，否则容易被扣上“规避”的帽子。

第五条 个人信息处理者向境外提供个人信息前，应当开展个人信息保护影响评估，重点评估以下内容：
（一）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；
（二）出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；
（三）境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；
（四）个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；
（五）境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；
（六）其他可能影响个人信息出境安全的事项。

【解读】

1、修订情况
将数量、类型，改为规模和种类；将“泄露、损毁、篡改、滥用”替换为“篡改、破坏、泄露、丢失、非法利用”。

2、法律分析
完成PIA报告是《个保法》的法定要求，在安全评估过程中，并未要求向监管部门提供。但是在标准合同备案过程中，是要求提供的。这一做法，要求我们的企业需要重视该PIA报告在备案前的重要性。
实务中并无标准的模板，但是我国有相关国标可以参考，即《信息安全技术 个人信息安全影响评估指南》GB∕T 39335-2020，但是该指南并未突出个人信息出境的场景，还需要专门制订。

第六条 标准合同应当严格按照本办法附件订立。国家网信部门可以根据实际情况对附件进行调整。
个人信息处理者可以与境外接收方约定其他条款，但不得与标准合同相冲 突。
标准合同生效后方可开展个人信息出境活动。

【解读】

1、修订情况
本条真正增加的是第一款“标准合同应当严格按照本办法附件订立。国家网信部门可以根据实际情况对附件进行调整”，另外两款是《规定（征）》的第二条、第七条部分条款的整合。

2、法律分析
对于“标准合同应当严格按照本办法附件订立。国家网信部门可以根据实际情况对附件进行调整”这一条款，与目前数据出境安全评估实务中，监管部门要求对《标准合同》调整的要求吻合。实务中数据出境的结构纷繁复杂。以欧盟四种不同数据出境的模型即可窥见，加上欧盟正在就境外数据处理者直接在海外向欧盟境内收集个人信息的结构予以专门开展模型设计，为此我国现有《标准合同》只能解决大部分的问题，但是仍然无法覆盖所有的数据出境结构。为此，不排除实务中对《标准合同》会进行修订，这种修订，也需要按照国家网信部门调整的要求最终达成。
该条第二款，在实务中主要是针对《标准合同》附件内容，可以进行额外约定，如何理解这里的冲突，我们总结了如下思维导图，具体需要结合不同场景予以判定。

（点击查看大图）


（点击查看大图）

该条第三款，“标准合同生效后方可开展个人信息出境活动。”这里需要注意四点：
第一，需要判断生效的方式是否成就。实务中，一般是签署合同即生效。《标准合同》中并未就生效时间或者条件予以约定。实务中不排除会在正文中进行特别约定。
第二，标准合同生效后才可以开展个人信息出境活动，意味着在《办法》整改期内，需要尽快识别个人信息出境场景以及完成PIA、《标准合同》签署且生效的工作，确保在《办法》整改期结束后，不违反该条。
第三，如果出现标准合同生效后又中止《标准合同》的履行或者终止《标准合同》的情形，可能要停止个人信息出境活动，或者重新签署《标准合同》，完成新的备案工作。这一做法实务中可能存在诸多难点，不一定可以完成实现“无缝衔接”，有待进一步论证和观察。
第四，是否完成备案，不构成个人信息出境的前提，这也是区别于安全评估的重大差异点。在2023年3月1日以后，一旦数据处理者即将达到安全评估的门槛，需要提前启动安全评估申请机制，避免因为未完成安全评估流程，而擅自进行数据出境活动。

第七条 个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案应当提交以下材料：
（一）标准合同；
（二）个人信息保护影响评估报告。个人信息处理者应当对所备案材料的真实性负责。

【解读】

1、修订情况
本条最后一款的一句话，放到了第六条，即“标准合同生效后方可开展个人信息出境活动”。

2、法律分析
这一条实务中有五个问题值得进一步关注：
第一，10个工作日的起算时间是何时？
第二，备案是提交（投递）即备案成功，还是要拿到相关备案成功的凭证，备案成功的时间标志如何判断？
第三，后续是否有专门的备案系统，方便个人信息处理者线上操作？还是要把签署后的合同寄送到省网信办？
第四，提交的签署版合同复印件还是原件？
第五，个人信息保护影响评估报告，是否后续网信办会针对数据出境提供模板？
结合我们目前数据出境安全评估的实务，我们认为，主要是快递或者上门提交给监管材料。除了纸质材料，还要提交光盘。为此，短期内可能暂时不存在线上提交的可能性。如没有系统，建议选择EMS快递，尽量留足时间提交，关注成功投递时间。如果时间紧急，建议亲自上门送交网信部门。
从《标准合同》最后一条，并未看到份数这块，预留了一份给网信部门。为此不排除可以提交复印件，但是复印件上不排除需要进行盖章，并注明与原件一致。这一细节有待网信部门出相关问答或者解释。这一流程可能在具体签署《标准合同》过程中，需要特别注意，因为境外接收方在海外，如涉及复印件进行盖章，可能会增加签署的时间成本。尤其是上述提到的“10个工作日”需要完成备案。

第八条 在标准合同有效期内出现下列情形之一的，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行相应备案手续：
（一）向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；
（二）境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；
（三）可能影响个人信息权益的其他情形。

【解读】

1、修订情况
这一条有三处重大修订，一个是增加了“重新开展个人信息保护影响评估”；一个是“补充”或者“重新订立”标准合同；一个是把类型改为种类，删除了数量，保存期限改为保存地点。

2、法律分析
这一条要求个人信息处理者对《标准合同》开展动态管理，针对下列三类情形要做好监测，是一种事后管理机制。
这三类监测事宜中，对于“数量”变化进行了删除，也就是避免重新备案频率过高。因为一旦触发安全评估，有对应新的评估机制予以衔接，不必赘述。且《标准合同》备案的流程机制本身就是便利了中小企业开展个人信息出境活动，有助于实现自由流动的目的。另外则是保存期限杀出了，改为了保存地点。可见监管对于保存地点更为关注，对于保存期限长短调整，不是监管的重点。
最后就是特别强调需要重新“开展个人信息安全影响评估”。这一条其实影响较大，提高了合规成本。相比《个保法》第五十五条，应该是说触发的机制更为细致。未来针对其他几种情形，是否也会采取类似的立法技术，进行扩大解释，从而频繁要求个人信息处理者开展PIA，值得关注。
《个保法》第五十五条 有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：
（一）处理敏感个人信息；
（二）利用个人信息进行自动化决策；
（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；
（四）向境外提供个人信息；
（五）其他对个人权益有重大影响的个人信息处理活动。
最后，除了重新订立《标准合同》，也可对其进行补充。这一做法更为灵活，避免了合同订立时间过长而不利于《标准合同》及时备案的情形。

第九条 网信部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密，不得泄露或者非法向他人提供、非法使用。

【解读】

1、修订情况
“网信部门及其工作人员”这一条为修订后的表述，之前为“参与标准合同备案的机构和人员”。

2、法律分析
这一条主要针对的监管部门及其人员，对象范围更为聚焦。且这里的工作人员的表述可能还包括了监管部门临时外聘的人员。因为数据出境过程中，需要开展安全评估、备案的事宜较多，监管部门往往需要外部人员支持，为此参与该工作的人员均要符合本条款。
这一条值得关注的一个客体信息是“保密商务信息”，这一条在过去监管规则中较为少见。与《安全评估》“第十五条 参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供、非法使用。”的表述是一致的。

第十条 任何组织和个人发现个人信息处理者违反本办法向境外提供个人信息的，可以向省级以上网信部门举报。

【解读】

1、修订情况
该条补充了“向境外提供个人信息”的表述，更为完整。

2、法律分析
该条与《评估办法》第十六条，“任何组织和个人发现数据处理者违反本办法向境外提供数据的，可以向省级以上网信部门举报。”一致，只是因为《办法》突出了个人信息出境，为此这里的客体主要是个人信息，而不包括重要数据等。

第十一条 省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的，可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改、消除隐患。

【解读】

1、修订情况
该条存在重大修订，原条款为“发现通过签订标准合同的个人信息出境活动在实际处理过程中不再符合个人信息出境安全管理要求的，应当书面通知个人信息处理者终止个人信息出境活动。个人信息处理者应当在收到通知后立即终止个人信息出境活动。”

2、法律分析
该条在三个层面进行了修订，体现了监管措施更好落地，真正实现可操作性。
第一个层面，触发条件更为宽泛，目前是“发现个人信息出境活动存在较大风险或者发生个人信息安全事件的”，这里的“较大风险”“安全事件”都比较宽泛，且缺乏明确定义，自由裁量空间较大；
第二个层面是监管措施主要是“约谈”“整改”，相比《规定（征）》更加具有弹性，而不是通知终止，个人信息处理者立即终止，否则就会出现监管措施无法落地，个人信息处理者业务受到重大影响等不利后果，影响监管的威慑力。这一点笔者在过往办理P2P风险处置的业务时，也深有体会。比如要求P2P公司马上断网，停止业务，则可能造成投资人挤兑，不利于社会稳定。为此该条的修订，为后续个人信息出境的执法，奠定了很好的基础。
第三个层面是个人信息处理者“应当”整改，且要达到“消除隐患”的后果，为此在高风险出境场景中，需要注意因为《标准合同》走的是事后备案机制，为了不影响出境活动的正常开展，需要尽量避免高风险出境场景，同时也要注意在发生“较大风险”“安全事件”时，所采取的“消除隐患”的具体措施，能够真正打消监管疑虑。例如实现了境外个人信息的“销毁”等。

第十二条 违反本办法规定的，依据《中华人民共和国个人信息保护法》等法律法规处理；构成犯罪的，依法追究刑事责任。

【解读】

1、修订情况
该条进行了简化，未区分不同具体违反《办法》的情形。

2、法律分析
该条未来需要注意结合《网信部门行政执法程序规定（征求意见稿）》的出台，以及后续《个保法》的具体处罚细则，可能会在2024年出现较多执法案例，需要引起企业注意。
其中，在刑事责任这块，结合植德数据合规组的研究，涉及数据类的犯罪多达13类以上，为此需要注意避免踩红线。具体可以参考我们的《数据刑事红线指引（2.0版）》。

第十三条 本办法自2023年6月1日起施行。本办法施行前已经开展的个人信息出境活动，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改。

【解读】

1、修订情况
增加了“整改期”条款。施行日期与发布日期不一致。

2、法律分析
《办法》2023年2月24日发布，但是实施日期是2023年6月1日。整改宽限期至2023年12月1日截止。这一期间和安全评估的整改期一致。差别是《安全评估办法》是2022年7月7日发布，9月1日实施。《办法》的施行时间相比发布时间要更长，一定程度说明，监管部门给予这类满足数据出境路径的企业，更长的整改期。
整改期内需要注意识别违反《办法》的行为，以及具体的整改措施，包括但不限于：
第一，未签署《标准合同》；
第二，未完成个人信息保护影响评估；
第三，未进行《标准合同》备案等。
实务中可能存在以下问题，即：
第一，过往签署的数据跨境合同如有效期较长（如超过了2023年年底），面对《标准合同》，是否强制要求修改原有合同文本，是否不利于合同稳定性？
第二，后续监管部门是否会要求看到具体整改发现的问题和整改的措施？从目前的备案材料来看，不存在这一事项，但是不排除后续申请备案的材料中，会要求说明，或者在后续现场检查中会要求提供。为此，建议企业还是要制作整改报告或者自查报告，以便备查。

【解读】

1、修订情况
封面制订单位的表述做了调整。

2、法律分析
无。

为了确保境外接收方处理个人信息的活动达到中华人民共和国相关法律法规规定的个人信息保护标准，明确个人信息处理者和境外接收方个人信息保护的权利和义务和责任，经双方经协商一致，特签订本合同，以便共同遵守。

个人信息处理者：_______________________________________________________________
地址：_______________________________________________________________
电话：_________________________________
联系方式邮箱：_____________________
联系人：________________________
职务：___________________________
国籍： ___________________________

境外接收方：_______________________________________________________________
地址：_______________________________________________________________
电话联系方式：_____________________
邮箱：_________________________________
联系人：______________________________
职务：___________________________
国籍： ___________________________

个人信息处理者与境外接收方依据本合同附录一“个人信息出境说明”所列约定开展与个人信息出境有关的活动，与此活动相关的商业行为，双方【已】/【约定】于___年___月___日订立签署关于XX的（商业合同，如有）_____________________。

本合同正文系根据《个人信息出境标准合同办法规定》的要求拟定，在不与本合同正文内容相冲突的前提下，双方如有其他约定可在附录二中详述，附录构成本合同的组成部分。

【解读】

1、邮箱和电话均可以作为联系方式，不要求强制都同时填写；

2、不要求填写国籍，可能是出于对个人隐私的保护。

在本合同中，除上下文另有规定外：

（一）“个人信息处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的，向中华人民共和国境外提供个人信息的组织、个人。

（二）“境外接收方”是指在中华人民共和国境外自个人信息处理者处接收个人信息的组织、个人。

（三一）个人信息处理者或境外接收方单称“一方”，合称“双方”。

（二）“个人信息”和“敏感个人信息”与《中华人民共和国个人信息保护法》所规定的含义相同。

（四三）“个人信息主体”是指个人信息所识别标识或者关联的自然人。

（五）“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

（六）“敏感个人信息”是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

（四）“个人信息处理者”与《中华人民共和国个人信息保护法》所规定的含义相同。

（五）“境外接收方”是指位于中华人民共和国境外并自个人信息处理者处接收个人信息的组织或个人。

（七六）“监管机构”是指中华人民共和国省级以上网信部门。

（八七）“相关法律法规”是指《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国民法典》《个人信息出境标准合同办法规定》等中华人民共和国法律法规和部门规章，以及对前述法律法规和部门规章作出修订、修改或补充的法律法规和部门规章，包括取代原法律法规和部门规章的后续法律法规和部门规章。

（九八）本合同其他未定义术语的含义应与相关法律法规规定的含义保持一致。

【解读】

1、整体是把定义写得更完整，而不是援引法律依据，有助于全文理解相关概念。

2、把标识改为识别，与《个保法》的表述一致。

3、需要注意实务中，境内个人信息处理者，可以是个人，也可以是其他组织。而对于受托人，则不适合签署本合同。对于境外接收方则未区分数据法角色。这一点和欧盟的不同模型区分不同数据法角色，有很大差异性。

个人信息处理者应当履行下列义务：个人信息处理者在此陈述、保证、承诺如下：

（一）按照相关法律法规规定处理个人信息，向境外提供的个人信息个人信息系按照相关法律法规进行收集、使用等处理；出境个人信息范围仅限于实现处理目的所需的最小范围。

（二）已向个人信息主体告知境外接收方的名称或姓名、联系方式、附录一“个人信息出境说明”中处理目的、处理方式、个人信息的种类、保存期限的相关情况，以及行使个人信息主体权利的方式和程序等事项。，向境外提供并已取得个人单独同意，但相关法律法规规定不需要取得个人单独同意的除外。如涉及敏感个人信息的，还应当向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响。但是法律、行政法规规定不需要告知的除外。已向个人信息主体告知传输敏感个人信息的必要性及对个人的影响；涉及不满十四周岁未成年人个人信息的，已取得未成年人的父母或者其他监护人的同意；法律、行政法规规定应当取得书面同意的，已取得书面同意，相关法律法规规定无需取得书面同意的除外。

（三）基于个人同意向境外提供个人信息的，应当取得个人信息主体的单独同意。涉及不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面同意的，应当取得书面同意。

（四）已向个人信息主体告知其与境外接收方通过本合同约定个人信息主体为第三方受益人，如果个人信息主体未在30日三十天内明确拒绝，则可以依据本该合同享有第三方受益人的权利。

（五四）已尽合理的努力确保境外接收方能够履行本合同规定的义务并采取如下技术和管理措施（综合考虑个人信息处理目的、个人信息的种类类型、规模数量、范围及敏感程度、传输的数量和频率、个人信息传输及境外接收方的保存的期限、个人信息处理目的等可能带来的个人信息安全风险），以履行本合同约定的义务：
（如加密、匿名化、去标识化、访问控制等技术和管理措施）

（六五）根据经境外接收方要求，向境外接收方提供相关法律规定和技术标准的副本。

（七六）将答复来自监管机构关于境外接收方的个人信息处理活动的询问，但双方均同意由境外接收方作出答复的除外；在此情况下， 若境外接收方在要求答复的期限内未答复，个人信息处理者仍将根据其合理掌握的信息在合理期限内作出答复。

（八七）已经按照相关法律法规对拟向境外接收方提供个人信息的活动开展了个人信息保护影响评估。重点评估以下内容：评估已考虑：
1.个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性。；
2.出境个人信息的规模数量、范围、种类类型、敏感程度，个人信息出境可能对个人信息权益带来的风险。；
3.境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全。；
4.个人信息出境后篡改、破坏、泄露、丢失、非法利用泄露、损毁、篡改、滥用等的风险，个人维护个人信息权益维护的渠道是否通畅等；。
5.按照本合同第四条评估当地个人信息保护政策和法规对合同履行的影响。按本合同第四条评估当地个人信息保护政策法规对遵守本合同条款可能造成的影响；
6.其他可能影响个人信息出境安全的事项。
保存个人信息保护影响评估报告至少 3 年。

（九八）根据个人信息主体要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息，在不影响个人信息主体理解的前提下，在为保护商业秘密或其他机密信息（例如受保护的知识产权内容等）所必需的范围内，可对本合同副本相关内容进行以在提供副本之前对本合同相关内容进行适当遮蔽处理，但承诺向个人信息主体提供有效摘要以助其理解合同内容。

（十九）承担证明对本合同义务已的履行承担的举证责任。

（十一）根据相关法律法规要求，向监管机构提供本合同第三条第（十一）项款所述的信息，包括所有合规审计结果。
所述的信息，包括所有审计结果。

【解读】

1、义务条款实质上未增加，但是数量上进行了增加。境内个人信息处理者的合同义务从十个，增加到十一个。其中涉及单独同意的场景，作为一个单独义务条款，与之前的条款做了拆分。可见，监管对这一义务的重视。

2、单独同意不构成个人信息出境唯一的合法性基础。单独同意的前提是基于同意作为合法性基础。如果其他合法性基础可以替代同意，可以不采取单独同意作为出境合法性基础。

（点击查看大图）

3、第三方受益人机制，是本合同的特色需要准确理解，确保合规动作到位。我国民法典均有相关依据，未来有待完善。但是该机制放入《标准合同》，意味着实际上有数据出境场景的企业，在隐私政策和相关告知文件中，要充分给予境内个人信息主体“是否履行拒绝享有本合同权利的通知义务”。这一做法，为个人信息处理者履行本合同提出了新的合规要求。（具体可以见我们的解读：《数据出境安全评估系列文章（7）：标准合同第三方受益人机制对安全评估工作的影响》）

（点击查看大图）

（点击查看大图）

4、义务履行的证据与数据出境监测平台应该予以映射，确保自证清白。本条要求个人信息处理者在境内所搭建的出境平台，最好在所有义务履行上，应该构建对应的证据体系，确保未来监管执法可以予以自证清白。

5、如合同有敏感条款，可以进行处理，不限于遮蔽这一处理方式。

6、个人信息处理者向监管提交信息的义务。第十一项义务是境外接收方最为关心的条款之一，即在什么情况下境外的数据会被传输到境内监管。这里提到的“相关法律法规要求”，是境外接收方的DPO最为关心的意见。

境外接收方在此陈述、保证、承诺如下应当履行下列义务：

（一）按照附录一“个人信息出境说明”所列约定处理个人信息。，除非取得个人信息主体的事先同意。如超出约定的处理目的、处理方式和处理的个人信息种类，基于个人同意处理个人信息的，应当事先取得个人信息主体的单独同意；涉及不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的单独同意。

（二）受个人信息处理者委托处理个人信息的，应当按照与个人信息处理者的约定处理个人信息，不得超出与个人信息处理者约定的处理目的、处理方式等处理个人信息。

（三）根据个人信息主体要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息，在不影响个人信息主体理解的前提下，可对本合同副本相关内容进行适当处理。在为保护商业秘密或其他机密信息（例如受保护的知识产权内容等）所必需的范围内，可以在提供副本之前对本合同相关内容进行适当遮蔽，但承诺向个人信息主体提供有效摘要以助其理解合同内容。

（四三）采取对个人权益影响最小的方式处理个人信息。
出境个人信息范围仅限于实现处理目的所需的最小范围。

（五四）个人信息的保存期限为实现处理目的所必要的最短时间，保存期限届满的，应当删除个人信息（包括所有备份）。受个人信息处理者委托处理个人信息，委托合同未生效、无效、被撤销或者终止的，应当将个人信息返还个人信息处理者或者予以删除，并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的，应当停止除存储和采取必要的安全保护措施之外的处理。存储个人信息的期限为实现处理目的所必要的最短时间；超出上述存储期限后，对个人信息（包括所有备份）进行删除或匿名化处理，除非取得个人信息主体关于存储期限的单独同意。受个人信息处理者委托处理个人信息时，在删除或匿名化后，向个人信息处理者提供相关审计报告。

（六五）按以下方式保障个人信息处理安全：
1.采取包括但不限于本合同第二条第五项有效的技术和管理措施，以确保个人信息的安全，包括防止个人信息遭到意外或非法破坏、丢失、篡改、未经授权提供或访问（以下简称“数据泄露”）。为了履行这一义务，采取第二条第（四）款中规定的技术和管理措施，并。进行定期进行检查，以确保这些措施持续维持适当的安全水平；个人信息安全。
2. 确保授权处理个人信息的人员履行保密义务，并建立最小授权的访问控制策略，使前述人员只能访问职责所需的最小必要的个人信息，且仅具备完成职责所需的最少的数据操作权限。

（七）如处理的个人信息发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问，应当开展下列工作：如果处理的个人信息发生了数据泄露，将：
1.及时采取适当补救措施，以减轻对个人信息主体造成的不利影响；。
2.立即通知个人信息处理者，并根据相关法律法规要求报告中华人民共和国监管机构。通知应当包含以下内容下列事项：
（1）发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问的个人信息种类、原因和可能造成的危害。个人信息泄露的原因；
（2）泄露的个人信息种类和可能造成的危害；
（23）已采取的补救措施。；
（34）个人信息主体可以采取的减轻危害的措施。；
（45）负责处理数据泄露相关情况的负责人或负责团队的联系方式。
3.相关法律法规要求通知个人信息主体的，通知的内容包含前述本项第 2 目的事项。受个人信息处理者委托处理个人信息的，由个人信息处理者通知个人信息主体。项的内容；
4.记录并留存所有与发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问有关的情况，数据泄露有关的事实及其影响，包括采取的所有补救措施。；
1. 受个人信息处理者委托处理个人信息时，由个人信息处理者承担前述第 3项所规定的向个人信息主体通知的义务。

（八七）同时符合下列条件的，方可向中华人民共和国境外的第三方提供个人信息：不将个人信息提供给位于中华人民共和国境外的第三方， 除非同时符合以下要求：
1.确有业务需要提供个人信息。；
2.已告知个人信息主体该第三方名称或者姓名身份、联系方式、处理目的、处理方式、个人信息种类、保存期限以及行使个人信息主体权利的方式和程序等事项，。向第三方提供敏感个人信息的，还应当向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响。但是法律、行政法规规定不需要告知的除外。
3.基于个人同意处理个人信息的，应当取得个人信息主体的单独同意。并已取得个人单独同意，相关法律法规规定无需取得个人单独同意的除外；涉及敏感个人信息的，向个人信息主体告知传输敏感个人信息的必要性及对个人的影响；涉及不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的单独同意；法律、行政法规规定应当取得书面同意的，应当取得书面同意，相关法律法规规定无需取得书面同意的除外。在难以告知或者难以取得个人信息主体单独同意时，及时告知个人信息处理者，并请求个人信息处理者协助其告知个人信息主体或者取得个人信息主体单独同意；。
4.与第三方达成书面协议，以保障确保第三方对个人信息处理活动达到的保护水平不低于中华人民共和国相关法律法规规定的个人信息保护标准，并承担因再向中华人民共和国境外的第三方提供个人信息而侵害个人信息主体享有权利的法律责任提供而可能导致对个人信息主体造成损害的连带责任；
向个人信息处理者提供该协议副本。
5.根据个人信息主体的要求向个人信息主体提供该书面协议的副本。如涉及商业秘密或者保密商务信息，在不影响个人信息主体理解的前提下，可对该书面协议相关内容进行适当处理。

（九八）受个人信息处理者委托处理个人信息，转委托第三方处理时，事先征得个人信息处理者同意；确保转委托的第三方不超出本合同附录一“个人信息出境说明”中约定的处理目的、处理方式等处理个人信息，并对该第三方的个人信息处理活动进行监督。
受个人信息处理者委托处理个人信息，转委托第三方处理的，应当事先征得个人信息处理者同意，要求该第三方不得超出本合同附录一“个人信息出境说明”中约定的处理目的、处理方式等处理个人信息，并对该第三方的个人信息处理活动进行监督。

（十九）利用个人信息进行自动化决策的，应当保证决策的透明度和结果公平、公正，不得对个人信息主体在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人信息主体进行信息推送、商业营销的，应当同时提供不针对其个人特征的选项，或者向个人信息主体提供便捷的拒绝方式。

（十一）承诺向个人信息处理者提供已遵守本合同义务所需的必要信息，所有必要的信息，用以证明遵守本合同中规定的义务，允许个人信息处理者对必要数据文件和文档进行查阅，或者对本合同涵盖的处理活动进行合规审计。，在决定进行查阅或审计时，并为个人信息处理者自行开展或者委托第三方开展合规的审计提供便利，并按个人信息处理者的要求向其提供所持有的个人信息保护方面的资质认证情况。

（十二一）对开展的个人信息处理活动进行客观记录，保存记录至少 3 年；，并按相关法律法规要求直接或通过个人信息处理者向监管机构提供相关记录文件。

（十三二）同意在监督本合同实施的相关程序中接受监管机构的监督管理，包括但不限于答复监管机构询问，配合监管机构检查，服从监管机构采取的措施或者作出的决定，并提供已采取必要行动的书面证明等。

【解读】

1、本条应该是境外接收方最为关心的一条，尤其是在个人信息出境过程中，境外接收方是境内出境个人信息处理者的非关联方时，相关义务条款的理解，会备受关注。

2、本条义务条款合计13项，相比之前增加了1项。而从个人信息处理者的义务条款数量11项来看，境外接收方多了2项。从数量上，《标准合同》赋予了境外接收方更多的义务。

3、在理解本条时，需要注意境外接收方的数据法角色，大部分是个人信息处理者，但是如果是受托人时，可能义务会有变化，具体体现为第5、7、9三项义务，这三项中，有两项特别要求受托人要提供删除的说明，以及征得个人信息处理者的同意义务，是委托处理关系的要求，而有一项义务有所调整，即在发生数据泄露事件时，境外接收方作为受托人可以不通知个人信息主体。我们通个表格对比如下：

4、满足第三方受益人对于合同副本的复制要求，是一项新的合规义务，需要在隐私政策中体现。

5、二次传输的条件是重点。二次传输的条件有五项，需要同时满足：

二次传输是实务中比较复杂的问题，可能还存在多次传输的情况。本《标准合同》是否要一直监督到最后一个处理者，还是到二次传输的境外接收方就停止了？从严理解，我们认为会一直进行约束下去。而在确有业务需要这一条上，在安全评估流程中，可能会存在较大挑战，即要求调整字段或者不允许出境。那么在备案这个过程中，是否会出现因为不满足业务必要而无法备案呢？此外，二次传输下，因为可能触发《办法》第八条的情形，可能面临重新备案的情形，也值得关注。

6、境外接收方配合境内个人信息处理者开展一系列查阅、配合合规审计以及提供遵守本合同义务的必要信息，是一大难点，特别是境外接收方是非关联方的情况下，为此在附录中，或者其他补充合同中，应该对此进行细化，避免发生纠纷。

7、这一组义务中，最后两项义务，尤其是第13项义务，应该是境外接收方最为关心的，实践中可能存在谈判难度大，不愿意签署或者要求个人信息处理者进一步明确相关法律依据和释明具体情形。

8、《标准合同》中的“连带责任”，从原来《标准合同（征）》的三处（见图1），改为一处（见图2），并以法定连带责任为主，不再以约定连带责任为主，避免影响个人信息的自由流动，降低《标准合同》的签署难度。

（点击查看大图）

（图1）

（图2）

（一）双方应当在此保证在本合同订立时已尽到合理注意义务，未发现，经过合理努力仍不知晓境外接收方所在国家或者地区的个人信息保护政策和法规（包括任何提供个人信息的要求或授权公共机关访问个人信息的规定）影响,会阻止境外接收方履行本合同规定的义务。

（二）双方在此声明，在作出本条第一项的保证时，已经结合下列情形进行评估：提供第四条第（一）款中的保证时，已经考虑了以下要素：
1.出境的具体情况，包括涉及传输的个人信息处理目的、传输个人信息的种类类型、规模数量、范围及敏感程度、传输的规模和频率、个人信息传输及境外接收方的保存的期限、个人信息处理目的、境外接收方此前类似的个人信息跨境传输和处理相关经验、境外接收方是否曾发生数据安全相关事件及是否进行了及时有效地处置、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息请求及境外接收方应对的情况；
2.境外接收方所在国家或者地区的个人信息保护政策和法规，包括下列以下要素：
（1）该国家或地区现行的个人信息保护法律法规及普遍适用的标准情况；。
（2）该国家或地区加入的区域性或全球性的个人信息保护方面的组织，以及所做出的具有约束力的国际承诺。；
（3）该国家或地区落实个人信息保护的机制，如是否具备个人信息保护的监督执法机构和相关司法机构等。
3.境外接收方安全管理制度和技术手段保障能力。

（三）境外接收方保证，在根据本第四条第（二）款进行评估时，已尽最大努力为个人信息处理者提供了必要的相关信息。

（四）双方应当记录根据第四本条第二项（二）款进行的评估的过程和结果。

（五）因境外接收方所在国家或地区的个人信息保护政策和法规发生变化（包括境外接收方所在国家或地区更改法律，或者采取强制性措施）导致境外接收方无法履行本合同的，境外接收方应当在知道前述变化后立即通知个人信息处理者。

（六）境外接收方接到所在国家或者地区的政府部门、司法机构关于提供本合同项下的个人信息要求的，应当立即通知个人信息处理者。

【解读】

1、本条对有大量境外接收方且分布在不同国家的个人信息处理者，影响较大，需要全面梳理全球相关个人信息保护政策和法规，且做好持续的监督监测工作。

2、该条同时对开展数据出境安全评估工作中，对于境外接收方所在国个人信息保护政策和法规的评估维度，提供了依据。

3、尽合理注意义务VS尽最大努力。本条一处提到尽到合理注意义务，一处提到尽最大努力，可见监管对评估境外接收方所在国的个人信息保护政策以及境外接收方的相关情形，对境外接收方提出的要求更高。一定程度也反映了，境内个人信息处理者尽到合理注意义务即可，有助于个人信息的自由流动。

双方约定个人信息主体作为本合同第三方受益人享有以下权利：承认，按照相关法律法规赋予个人信息主体作为第三方受益人执行本合同中双方关于个人信息保护义务的权利。

（一）个人信息主体依据相关法律法规，对其个人信息的处理享拥有知情权、决定权、有权限制或者拒绝他人对其个人信息进行处理，有权要求的权利、查阅权、复制权、更正、与补充的权利、删除权其个人信息，以及有权要求对其个人信息处理规则进行解释说明的权利。

（二）当个人信息主体要求对已经出境的个人信息行使上述权利时，个人信息主体可以请求个人信息处理者采取适当措施实现，或者直接向境外接收方提出请求。个人信息处理者无法实现的，应当通知并要求境外接收方协助实现。

（三）境外接收方应当按照个人信息处理者的通知，或者根据个人信息主体的请求，在合理时限期限内实现个人信息主体依照相关法律法规所享有行使的权利。
境外接收方应当以显著方式、清晰易懂的语言真实、准确、完整地告知个人信息主体相关信息。

（四）如个人信息主体提出过多或不合理要求，尤其是具有重复性的要求，境外接收方可在考虑到要求获准的执行和操作成本后，可以收取合理的费用，或拒绝按其要求行事。

（四五）如境外接收方拟拒绝个人信息主体的请求的，应告知个人信息主体其拒绝的原因，以及个人信息主体向相关监管机构提出投诉、和寻求司法救济的途径。

（五六）个人信息主体作为本合同第三方受益人有权根据本合同条款向个人信息处理者和境外接收方的任何一方或者双方主张并要求履行本合同项下与个人信息主体权利相关的下列条款：
1.第二条，但第二条第五项、第六项、第七项、第十一项（四）款、第（五）款、第（六）款、第（十）款除外。；
2.第三条，但第三条第七项第2目和第4目、第九项、第十一项、第十二项、第十三项第（六）款第2项和第4项、第（八）款、第（十）款、第（十一）款、第（十二）款除外。；
3.第四条，但第四条第五项、第六项除外。；
4.第五六条；
5.第六七条；
6.第八条第二项、第三项第（三）款、第（四）款、第（六）款；
7.第九条第（四）款、第（六）款五项。
上述约定不影响个人信息主体依据《中华人民共和国个人信息保护法》享有的权益。

【解读】

1、删除了收费条款。因《个保法》并未赋予个人信息处理者基于个人信息主体行权的额外收费的权利，为此《标准合同》最终没有采纳。值得关注的是后续《网数条例（征）》第24条，基于可携带权所开的口子，是否可以被采纳，即：“请求转移个人信息次数明显超出合理范围的，数据处理者可以收取合理费用。”为此，实务中，隐私政策应尽量避免类似条款的出现。

2、行权机制的设计。个人信息主体可以向个人信息处理者或/且境外接收方主张合同第三方受益人权利，但是也有例外（主要是个人信息处理者和境外接收方之间的义务履行或者面向监管的义务履行）。该条将对个人信息处理者和境外接收方的个人信息主体权利响应机制，产生影响。

3、第三方受益人权利的范畴。合同中的第三方受益人权利和《个保法》项下的个人信息主体的权利，是合并状态，而非前者排除后者。

（一）境外接收方应在组织内部当确定一个联系人，授权其答复有关个人信息处理的询问或投诉，并应及时处理个人信息主体的任何询问或投诉。境外接收方应当将联系人信息告知个人信息处理者，并以简洁单易懂的方式，通过单独通知或者在其网站公告，告知个人信息主体该联系人信息，具体为：
联系人及联系方式（办公电话或电子邮箱）______

（二）双方同意，如个人信息主体与其中一方因履行本合同与个人信息主体在遵守本合同方面发生争议的，应当通知另一方，双方应当合作解决争议。互相通知对方有关情况，并合作以及时解决争议。

（三）如争议未能友好解决，而个人信息主体根据第五六条第（二）款规定行使第三方受益人的权利，境外接收方接受个人信息主体通过的下列形式维护权利维权主张：
1.向监管机构提出投诉；。
2.向本条第五项约定第九条第（四）款中规定的法院提起诉讼。

（四）双方同意个人信息主体境外接收方同意有关个人信息主体就本合同争议行使第三方受益人权利，个人信息主体选择适用的解决依据为中华人民共和国相关法律法规的，从其选择。

（五）境外接收方双方同意个人信息主体就本合同争议行使第三方受益人权利的，个人信息主体可以依据《中华人民共和国民事诉讼法》向有管辖权的人民法院提起诉讼。

（六）双方同意个人信息主体所作的维权选择不会减损个人信息主体根据其他法律法规寻求救济的实体性或程序性权利。

【解读】

1、境外接收方的联系方式如何实现。做好境外接收方（尤其是属于个人信息处理者关联方的情形下）单独通知或者网站公告，向个人信息主体履行告知义务的合规动作。可以在通知个人信息主体是否拒绝本合同第三方受益人权利的通知中，一并由境外接收方告知其联系人信息，也可以直接在境外接收方的网站进行公告。

2、个人信息主体的身份核实机制。为了更好核实身份，建议与个人信息处理者的行权机制一体化解决。

3、个人信息主体行权救济机制—即诉讼机制均明确。个人信息主体在行使第三方受益人权利时，只能通过诉讼方式解决，而不能通过仲裁解决。本条避免出现对该事项可仲裁性的争议问题，即《标准合同》如选择了仲裁，该仲裁条款对第三方受益人是没有约束力的，值得肯定。

（一）如果境外接收方违反本合同规定的义务，或者境外接收方所在国家或者地区的个人信息保护政策和法规发生变化（包括境外接收方所在国家或者地区更改法律，或者采取强制性措施）导致境外接收方无法履行本合同的，则个人信息处理者可以暂停向境外接收方提供传输个人信息，直到违约行为被改正更正或者合同被解除。

（二）有出现下列情形之一的，个人信息处理者有权解除本合同， 并在必要时通知监管机构：
1.个人信息处理者根据第七本条第（一项）款的规定暂停向境外接收方提供传输个人信息的时间超过1一个月。；
2.境外接收方遵守本合同将违反其所在国家或者地区的法律规定。；
3.境外接收方严重或持续违反本合同约定规定的义务；。
4.根据境外接收方的主管法院或者监管机构作出的不能上诉的终局性决定，境外接收方或个人信息处理者违反了本合同约定的规定义务；。
5. 境外接收方破产、解散或清算：无论是以个人还是组织名义提出的有关境外接收方依法解散的请求未在法定期限内被驳回；境外接收方作出解散决定；境外接收方被指定破产管理人；境外接收方自行开展破产、解散或清算程序；境外接收方在其国家或地区出现类似情况；
在本项第1目、第2目、第4目的情况下，在前述第 1、2 或 4 项的情况下，境外接收方也可以解除本合同。

（三）如果监管机构按照相关法律法规作出个人信息出境相关的决定，例如个人信息出境安全评估等导致本合同无法执行的，则任何一方均可解除本合同。

（三四）经双方当事人同意解除本合同的，但本合同的解除并不免除其在个人信息处理过程中的个人信息保护义务。

（四五）合同解除时，境外接收方应及时返还、或者删除其根据销毁或匿名化处理其根据本合同所接收到的个人信息（包括所有备份），并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的，应当停止除存储和采取必要的安全保护措施之外的处理。提供已经销毁或者匿名化处理的审计报告。

【解读】

1、本条合同解除权条款，境内个人信息处理者的“单方解除权”主要为四项，境外接收方的“单方解除权”主要有三项。

2、三项合同解除权均赋予了个人信息处理者和境外接收方，均有一定的客观性。一个是“暂停期限过长”（暂停原因也是基于境外接收方所在国的个人信息保护政策和法规变化），一个是“标准合同的义务履行与境外接收方所在国法律规定冲突”，一个是“境外接收方所在国监管或者法院的终局决定导致双方违反标准合同约定的义务”。

3、赋予境内个人信息处理者的一项独立的单方解除权，是基于境外接收方严重或者持续违反本合同义务，实务中，对于何为严重或者持续的次数或者长度，可以考虑在《标准合同》附件进一步约定。

4、增加了合同解除后，境外接收方的删除义务（包括所有备份）和提供书面说明的义务。

（一）双方应就其因违反本合同而给对方造成的任何损害向另一方损失承担责任。

（二）任何一方因违反本合同而侵害个人信息主体享有的权利，应当对个人信息主体承担民事法律责任，且不影响相关法律法规规定个人信息处理者应当承担的行政、刑事等法律责任。双方之间的责任限于非违约方所遭受的损失。

（三）每一方因违反本合同而侵害个人信息主体作为第三方受益人而享有的权利，应当对个人信息主体承担责任；个人信息主体有权获得赔偿。这不影响个人信息处理者在相关法律法规项下应承担的责任。

（四）个人信息处理者和境外接收方对因违反本合同而共同对个人信息主体造成的任何物质或非物质损害负责的，个人信息处理者和境外接收方应对个人信息主体承担连带责任。

（三五）双方依法承担连带责任的，个人信息主体有权请求任何一方或者双方承担责任。一方承担的责任超过其应当承担的责任份额时，有权向另一方追偿。双方同意，如果一方（“赔偿方”）因另一方（“被追偿方”）对违反本合同的行为对个人信息主体承担连带责任且赔偿方承担的连带责任超过其应承担的责任份额，则赔偿方有权向被追偿方追偿。

（六）尽管有第八条第（三）款和第八条第（四）款的规定，个人信息处理者应就境外接收方因违反本合同而对个人信息主体造成的任何物质和非物质损失向个人信息主体负责，个人信息主体有权向其主张损害赔偿责任。

（七）双方同意，个人信息处理者根据第八条第（六）款因境外接收方造成的损害承担责任的，有权向境外接收方追偿。

【解读】

1、这次修订《标准合同》，该条也再次彰显避免责任过重，影响合同签署难度，更好实现个人信息自由流动的目标。

2、本条改动较大，修订后的条款，相比之前，没有以“个人信息处理者”最终兜底的责任概念，更有助于境内个人信息处理者与境外接收方开展跨境合作。

（一）如果本合同在达成或签订时与合同双方订立的其他法律文件已存在的任何其他协议发生冲突，本合同的条款优先适用。

（二）本合同的成立、效力、履行、解释、因本合同引起的双方间的任何争议，适用于中华人民共和国相关法律法规。

（三）由一方向其它方发出的所有通知应当以电子邮件、电报、电传、传真（以航空信件寄送确认副本）或航空挂号信迅速发往或寄往（具体地址）或书面通知取代该地址的其它地址。如用航空挂号信寄出本合同项下的通知或通讯，则应在邮戳日期后的______天应当视为收讫；，如以用电子邮件、电报、电传或传真发出，则应在发出以后的______个工作日应当视为收讫。

（四）个人信息主体作为第三方受益人向个人信息处理者或境外接收方提起诉讼的，应当根据《中华人民共和国民事诉讼法》的规定确定管辖。

（四五）双方因本合同产生的争议个人信息处理者和境外接收方对于双方因合同产生的纠纷以及任何一方因先行赔偿个人信息主体损害赔偿责任而向另一方的追偿，应由双方应当协商解决；协商解决不成的，任何一方可以采取下列第______种方式加以解决（如选择仲裁，请勾选仲裁机构）：
1. 仲裁。将该争议提交
⥾ 中国国际经济贸易仲裁委员会
⥾ 中国海事仲裁委员会
⥾ 北京仲裁委员会（北京国际仲裁中心）
⥾ 其他《承认及执行外国仲裁裁决公约》成员的仲裁机构_________按其届时有效的仲裁规则在____________（仲裁地点）进行仲裁；
2. 诉讼。依法向中华人民共和国中国有管辖权的人民法院提起诉讼。

（五六）本合同应当按照相关法律法规的规定进行解释，不得以与相关法律法规规定的权利、义务相抵触的方式解释本合同。

（六七）本合同正本一式___份，双方各执_____份，个人信息处理者和境外接收方各执______份，其法律效力相同。
本合同在____（地点）_____签订

（八）本合同经双方正式签署后成立并立即生效。

【解读】

本条修订后，有三处值得关注：

第一， 仲裁机构的选择，不局限于上述机构，还可以包括其他《承认及执行外国仲裁裁决公约》成员的仲裁机构，如武汉仲裁委员会。

第二，合同生效条款予以了调整，即允许双方另行约定生效方式，给予了自由约定的空间。

第三，在本合同条款与其他法律文件的条款冲突上，优先适用本合同条款。本条修订后，实现了本合同签署前和签署后的其他文件，都不可以与本合同冲突。修订前，则主要是对已经签署的文件不能和标准合同相冲突。修订后的表述更为强调标准合同条款的“不可更改性”。

本合同由个人信息处理者和境外接收方在________________________签订。

个人信息处理者：___________________________________（盖章）______

法定代表人/委托代理人：______________________________（签字或盖章）

______年___月___日

境外接收方：___________________________________（盖章）______

法定代表人/委托代理人：______________________________（签字或盖章）

______年___月___日

【解读】

1、考虑到个人信息处理者可能是个人，为此去掉盖章、法定代表人更为合适。

2、境外接收方也可能是没有公章的，为此去掉也较为合适。

个人信息出境说明

根据本合同向境外提供个人信息的详情约定如下：

（一）传输的个人信息属于下列类别的个人信息主体处理目的：

（二）传输是为了以下目的处理方式：

（三）传输出境个人信息的规模数量：

（四）出境个人信息种类类别（参考GB/T 35273《信息安全技术 个人信息安全规范》和相关标准）：

（五）出境敏感个人信息种类类别（如适用，参考 GB/T 35273《信息安全技术 个人信息安全规范》和相关标准）：

（六）境外接收方只向以下中华人民共和国境外第三方提供个人信息（如适用）：传输的个人信息只向以下接收方提供：

（七）传输方式：

（八）出境后存储时间保存期限：
（______年___月___日至______年___月___日）

（九）出境后保存存储地点：

（十）其他事项（视情况填写）：

【解读】

相关表述更为准确，且与《标准合同》正文修订后的表述一致。实务中，可以充分发挥本条以及附件二的补充约定的功能。

【无】