E&C 观点 | 《个人信息出境标准合同备案指南（第一版）》快评

以下文章来源于数据安全推进计划，作者数安智库

2023年2月22日，国家互联网信息办公室正式发布了《个人信息出境标准合同办法》（以下简称“《标准合同办法》”），该办法将于2023年6月1日起施行。根据相关法律规定，同样作为数据出境合法路径之一的安全评估，其法律规范《数据出境安全评估办法》已于2022年9月1日施行。在该办法施行前夜，国家互联网信息办公室（“国家网信办”）发布《数据出境安全评估申报指南（第一版）》。此次，在《标准合同办法》正式施行之前，国家网信办同样于2023年5月30日发布了《个人信息出境标准合同备案指南（第一版）》（以下简称“《备案指南》”），用以“指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同”。

关于标准合同与数据出境整体管理体系之间的关系等，可参考本团队往期文章《个人信息出境新规解析：<个人信息出境标准合同办法>》本次发布的《备案指南》是对《标准合同办法》涉及标准合同备案程序和具体要求的细化和展开，并进一步明确了备案手续的具体方式和备案材料的具体内容等。对于适用个人信息标准合同出境这一合法路径的个人信息处理者而言，具有实践性的指导意义。同时，《备案指南》的内容与整体数据出境管理体系的适应性，以及对相关领域监管态度的体现也是需要关注的重点之一。对此，我们对《备案指南》的具体内容进行了如下梳理和总结，供读者参考。

一、《备案指南》的结构和主体内容

1. 《备案指南》的结构

《备案指南》主要包括正文和附件两部分。正文部分包括标准合同的适用范围、备案方式、备案流程和咨询、举报联系方式。附件部分提供了标准合同备案中所涉及材料的模板，包括经办人授权委托书、承诺书、个人信息出境标准合同及个人信息保护影响评估报告。

2. 主体内容

（1）适用范围

《备案指南》中的规定与《标准合同办法》第四条中规定的内容一致，即按照《数据出境安全评估办法》应当适用安全评估作为数据出境合法路径以外的其他个人信息出境活动。其中对于个人信息出境行为的认定，也与《数据出境安全评估申报指南（第一版）》中认定的数据出境行为情形一致，包括：个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外；个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；国家网信办规定的其他个人信息出境行为。

（2）备案方式

《备案指南》再次确认了个人信息处理者应当在标准合同生效之日起10个工作日内，向所在地省级网信部门备案。同时，确认了同安全评估申报的报送方式一样，应当通过送达书面材料并附带材料电子版的方式进行提交备案。

（3）备案流程

《备案指南》除明确了备案流程包括材料提交、材料查验及反馈备案结果、补充或者重新备案等环节和要求之外，还对《标准合同办法》中规定的备案提交材料的内容进行了明确。即，除《标准合同办法》第七条中规定的个人信息出境标准合同和个人信息保护影响评估报告之外，标准合同备案还应当提交统一社会信用代码证件影印件、法定代表人身份证件影印件、经办人身份证件影印件、经办人授权委托书和承诺书。其中，就经办人授权委托书和承诺书，均在附件中提供了模板。

（4）咨询、举报联系方式

与《数据出境安全评估申报指南（第一版）》相同，在《备案指南》中公布了咨询、举报的邮箱地址和联系电话。特别地，在本次《备案指南》中突出了该联系方式除了咨询，同时承担接受举报的职能，而且虽然备案材料提交省级网信部门，但是受理咨询、举报的是国家网信部门，强调了该项工作的统一性。

（5）附件部分

从附件中的《经办人授权委托书（模板）》来看，我们理解在办理标准合同备案的手续中，经办人原则上应为备案主体的员工。

从《承诺书（模板）》的内容来看，除了承诺符合法律法规规定要求、保证材料真实、完整、准确和有效之外，特别强调了备案主体应当保证“未采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供”，此外与安全评估中的要求一致，要求“个人信息保护影响评估工作为备案之日前3个月内完成，且至备案之日未发生重大变化。”

附件中的《个人信息出境标准合同》与《标准合同办法》公布的内容版本一致。而对于附件中公布的《个人信息保护影响评估报告（模板）》（出境版），我们将在下文二、2对于标准合同出境路径中的评估要求的实务解读中进行详细阐述。

二、重点内容解读

1. 备案的审查

《备案指南》在备案流程中首次明确了监管部门对于备案的查验和备案结果反馈的内容。省级网信部门在收到材料后的15个工作日内将完成材料查验，将会向个人信息处理者反馈备案结果，结果分为通过或不通过。通过备案的，省级网信部门向个人信息处理者发放备案编号；不通过备案的，个人信息处理者将收到备案未成功通知及原因，要求补充完善材料的，个人信息处理者应当补充完善材料并于10个工作日内再次提交。

从备案要求提交的材料来看，并结合我们对法律的理解和实务经验，我们认为监管部门对于备案材料的查验，除了涉及资料是否齐备等形式性审查之外，备案是否可以通过的决定性查验材料在于已经签署的标准合同和个人信息保护影响评估报告。监管部门将通过特别是个人信息保护影响评估报告的内容，确认和核查备案主体备案的个人信息出境是否应当或可以适用标准合同出境的路径，个人信息出境是否满足合法、必要和正当等法律原则和要求等要素，并在此基础上确定备案是否通过。因此，我们建议企业务必关注个人信息保护影响评估的内容和质量。

此外，需要提醒注意的是，《标准合同办法》中仅规定了在个人信息出境之前需要进行个人信息保护影响评估，并未规定备案通过也是个人信息出境的必备前置条件。理论上，标准合同生效即可实施个人信息出境活动，但是如果出现备案不通过的情况，对于已经基于个人信息出境标准合同进行的个人信息出境活动会产生怎样的影响，特别是在《标准合同办法》规定的6个月整改期之后发生类似情况将如何认定和处理，还需要进一步观察监管部门的实务处理结果或后续细则的发布。但对于个人信息处理者而言，参照并与《标准合同办法》第十一条[1] 进行联动解读，不排除存在备案不通过导致个人信息处理者承受包括被要求后续整改等法律责任的可能性。

此外，《备案指南》中规定了补充和重新备案，除对《标准合同办法》第八条[2] 中规定的需要补充和重新备案的情形再次强调之外，还提到了对于提交虚假材料的个人信息处理者的处理方式，即按照备案不通过处理，并依法追究相应法律责任。

综上所述，虽然在标准合同方式下，理论上不同于安全评估路径下严格的事先监管，但如果未能达到相关法规中的要求，则后续依然可能会对个人信息处理者及个人信息出境活动带来一定的不利影响。

2. 个人信息保护影响评估

关于个人信息保护影响评估，《中华人民共和国个人信息保护法》第五十五条[3] 规定了应当事先进行个人信息保护影响评估的情形，其中包括“向境外提供个人信息”的情形。2020年11月18日发布、2021年6月1日实施的国家标准《信息安全技术 个人信息安全影响评估指南（GB/T 39335-2020）》中对其评估原理、实施流程等进行了详细指导，但其附录A中第A.2条明确提到“个人信息出境场景的评估可参照有关国家标准执行”。可以看出，个人信息出境场景下的个人信息保护影响评估具有一定特殊性，需要特别处理。

根据《标准合同办法》第五条[4] ，出境场景下的个人信息保护影响评估应当涉及六个方面。《备案指南》附件中发布的模板正是对于如何就上述六个方面进行评估进行了具体展开。

首先，模板中要求个人信息处理者应首先对评估工作的大体内容进行简述，涉及第三方参与评估的也应当在此提及。其次，在介绍具体的个人信息出境情况过程中，需要就个人信息处理者的基本情况、业务情况、系统情况、出境的个人信息的情况、个人信息处理者在个人信息保护方面的技术能力和相关记录、境外接收方情况等具体展开。在前述内容的基础上，总结出对个人信息出境活动的评估结果。评估结果中，需要就本次个人信息出境中，涉及《标准合同办法》第五条中规定的六方面中可能存在的问题和风险隐患进行说明，并明确相应的整改措施及整改效果。

我们对于本次发布的个人信息保护影响评估报告模板和《数据出境安全评估申报指南（第一版）》附件中的数据出境风险自评估报告模板进行了对比。除因所涉出境数据类型不同（个人信息保护影响评估不包括重要数据）而导致的内容差异之外，在评估工作简述、出境活动整体情况、境外接收方基本情况等方面的评估内容要求基本一致。当然，由于安全评估所涉及的对象为大量出境数据的个人信息处理者，出境数据也可能同时涉及重要数据和个人信息等风险较高的场景，因此我们理解在实际评估过程中，安全评估风险自评估的内容在广度上比起个人信息出境标准合同中的评估范围更广，要求涉及的评估内容也更加具体。但是，从两份评估报告模板的相似性中可以看出，虽然标准合同情形下的监管力度并未达到与安全评估同样的高度，但从评估角度而言其要求并未放宽。结合前文中提到的对“备案不通过”这一结果的理解，在导致备案不通过的可能情形中，个人信息保护影响评估报告的完备性和实质性是否达标可能是需要重点关注的对象之一。

三、个人信息出境标准合同备案的工作建议

1. 工作流程

结合本次出台的《备案指南》，我们总结标准合同的备案流程如下：

（1）进行个人信息保护影响评估；

（2）准备个人信息出境标准合同；

（3）在个人信息出境标准合同生效10个工作日内向省级网信部门提交备案材料（纸质和电子版）；

（4）省级网信部门材料查验（15个工作日）；

（5）反馈结果（通过、不通过、完善材料等）；

（6）要求补充完善材料的在10个工作日内再次提交。

2. 建议:

6月1日起，《标准合同办法》就将正式实施，为期6个月的整改期间也将进入倒计时。根据本次发布的《备案指南》内容来看，由于个人信息保护影响评估工作在工作周期、工作量和工作要求上均具有一定的难度，有个人信息出境需求，并且希望通过标准合同方式出境的企业对相关工作进行准备已经迫在眉睫。考虑到前述备案审查的不确定性等因素，为了避免对实际业务构成影响，并尽可能降低合规风险，建议相关企业整合内外部资源，尽快开展包括涉及数据出境业务情况的整理确认，并尽快着手相关评估准备工作。

注释：

[1]《个人信息出境标准合同办法》第十一条 省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的，可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改，消除隐患。

[2] 《个人信息出境标准合同办法》第八条 在标准合同有效期内出现下列情形之一的，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行相应备案手续：

（一）向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；

（二）境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；

（三）可能影响个人信息权益的其他情形。

[3] 《中华人民共和国个人信息保护法》第五十五条有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动。

[4]《个人信息出境标准合同办法》第五条 个人信息处理者向境外提供个人信息前，应当开展个人信息保护影响评估，重点评估以下内容：

（一）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；

（二）出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；

（三）境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；

（四）个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；

（五）境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；

（六）其他可能影响个人信息出境安全的事项。

文章转发自“数据安全推进计划”公众号

声明：本文由21财经客户端“南财号”平台入驻机构（自媒体）发布，不代表21财经客户端的观点和立场。