【学科类别】网络法
【出处】微信公众号：肖飒lawyer
【写作时间】2023年
【中文关键字】个人信息；跨境企业
【全文】





数字时代的到来意味着数据市场的逐渐繁荣，数据正在扮演着未来世界越来越重要的角色，而数据出境正是其中的一个重要环节，因此国家网信办去年颁布了《数据出境安全评估办法》对数据出境活动进行规范，但对于另一类重要信息，即个人信息的出境规则，则仅仅在《个人信息保护法》第三十八条至第四十三条中略有提及但并不具体，仅仅只是一个框架。

在此基础上，2023年2月22日国家网信办发布了《个人信息出境标准合同办法》（下称《标准合同办法》），对个人信息出境活动的其中一种情形进行了较为明确的规范。飒姐团队今日文章，便对该办法进行分析。

一、《标准合同办法》及个人信息出境标准合同的适用条件

应当明确的是，并非所有个人信息出境活动都适用于《标准合同办法》。根据《标准合同办法》第二条的规定，该办法仅仅适用于个人信息处理者通过与境外接收方订立个人信息出境标准合同（以下简称标准合同）的方式向中华人民共和国境外提供个人信息的场景。

因此，关键的问题在于，在何种情况下，个人信息处理者才能通过标准合同的方式进行个人信息出境。对此，《标准合同办法》第四条第一款明确规定，除法律、行政法规或者国家网信部门另有规定外，“个人信息处理者通过订立标准合同的方式向境外提供个人信息的，应当同时符合下列情形：（一）非关键信息基础设施运营者；（二）处理个人信息不满100万人的；（三）自上年1月1日起累计向境外提供个人信息不满10万人的；（四）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。”以上四个条件缺一不可。

事实上，之所以如此规定，是因为《个人信息保护法》第四十条明确将关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者的个人信息出境活动规定为必须通过国家网信部门组织的安全评估，而不能采取标准合同的方式。因此，只有非关键信息基础设施运营者，以及处理个人信息没有达到规定数量的个人信息处理者能够通过订立标准合同的方式对外提供个人信息。这实际上反过来提示各大处理者，一旦处理个人信息达到100万人，或自上年1月1日起累计向境外提供个人信息满10万人，或自上年1月1日起累计向境外提供敏感个人信息满1万人，就可能属于“处理个人信息达到国家网信部门规定数量的个人信息处理者”进而需要进行安全评估。

二、何为标准合同

所谓标准合同，实际上指的就是《标准合同办法》所附的《标准合同》文本。如果个人信息处理者符合《标准合同办法》第四条的规定，那么就应当以《标准合同》文本为基础与境外接收方签订协议。

对此，《标准合同办法》第六条第一款规定，“标准合同应当严格按照本办法附件订立。国家网信部门可以根据实际情况对附件进行调整。”因此，此合同文本主体个人信息处理者无权变更，必须严格依照适用。在此基础上，国家网信办允许个人信息处理者与境外接收方约定其他条款，前提是该其他条款不得与标准合同冲突。换言之，一旦该条款与标准合同冲突，相关条款极有可能被认定为无效，严重者可能会面临行政处罚。

三、《标准合同办法》要点解析

除去前述两项内容，对于个人信息处理者而言，《标准合同办法》所提要点如下：

1

必须开展个人信息保护影响评估

根据《标准合同办法》第五条的规定，个人信息处理者向境外提供个人信息前，必须开展个人信息保护影响评估，并重点评估以下内容：（一）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；（二）出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；（三）境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；（四）个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；（五）境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；（六）其他可能影响个人信息出境安全的事项。

2

履行备案义务

根据《标准合同办法》第七条的规定，个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门进行备案，备案材料必须真实，备案内容为标准合同和个人信息保护影响评估报告。

3

合同生效后的合同调整义务

标准合同并非一成不变，实际上在合同有效期内完全可能存在各种各样的情形，导致标准合同需要重新进行调整。考虑到该变故同样会使得个人信息保护影响评估的结果发生变化，因此，《标准合同办法》第八条的规定，在标准合同有效期内出现以下情况之一的，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行相应备案手续：（一）向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；（二）境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；（三）可能影响个人信息权益的其他情形。

4

存在较大风险或者发生个人信息安全

事件时的整改义务

根据《标准合同办法》第十一条的规定，省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的，可以依法对个人信息处理者进行约谈，此时，个人信息处理者应当按照要求进行整改，以消除隐患。

写在最后

尽管《标准合同办法》自2023年6月1日方才开始施行，但是这并不意味着其对生效之前已经开展的个人信息出境活动没有影响，事实上，根据该办法第十三条的规定，前述条件下的个人信息处理者必须在自该办法实施之日起六个月内完成整改，否则将会因违反该办法的相关规定而追究相应责任。因此，已经开展个人信息出境活动的各位朋友们仍然应当及时开展整改活动，为自身企业的合法合规经营做好准备。




【作者简介】
肖飒法律团队，一支以学术业务立身的法学硕博团队。垂直深耕于“金融+科技”行业，对创新业务有独特的研究优势和一线实务经验。团队创始人肖飒女士，系中国互联网金融协会申诉委员、中国银行法学研究会理事、首批北京市涉案企业合规第三方监督评估专业人才、中国人民大学法学院法硕实务导师、中国政法大学法律硕士学院兼职导师、中国社科院产业金融研究基地特约研究员、工信部信息中心《中国区块链产业白皮书》编委会委员。著有虚拟币规制畅销书《ICO黑洞》、合著学术书籍《网络金融犯罪的刑事治理研究》等。在《证券时报》《人民日报海外版》《财新》《经济观察报》等发表过近百篇署名文章。

稿件来源：北大法律信息网法学在线

原发布时间：2023/3/3 15:24:02