个人信息出境又出台重磅文件，规定四种情形，中小企业或受益

2月24日，国家互联网信息办公室公布《个人信息出境标准合同办法》（下称《办法》），自今年6月起施行。至此，我国个人信息出境的三条路径——安全评估、保护认证、标准合同的具体合规要求基本清晰。

根据《办法》，个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合四种情形：非关键信息基础设施运营者；处理个人信息不满100万人的；自上年1月1日起累计向境外提供个人信息不满10万人的；自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

有专家指出，标准合同具有便捷化、成本低的特征。《办法》在为中小企业个人信息跨境业务合作提供法治保障的同时，也减轻了中小企业负担，有利于进一步促进数据自由流通和数字经济发展。

1

标准合同具有便捷化、成本低的特征

国家网信办有关负责人答记者问时介绍，近年来，随着数字经济的蓬勃发展，个人信息出境需求快速增长，个人信息权益保护面临较大挑战。个人信息保护法对个人信息跨境提供规则作了基础性规定，按照国家网信部门制定的标准合同订立合同是向境外提供个人信息的法定途径之一。制定出台《办法》是落实法律规定的重要举措，目的是为了保护个人信息权益，规范个人信息出境活动。

根据个人信息保护法规定，个人信息处理者因业务等需要，确需向中国境外提供个人信息的，应当具备四个条件之一：

（一）通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

去年9月，《数据出境安全评估办法》施行，明确了数据出境管理中的“安全评估”路径。两个月后，《个人信息保护认证实施规则》公布并实施，对“保护认证”路径进行规范。而《办法》作为个人信息保护法的配套规章，进一步落实了有关个人信息出境管理制度的顶层设计。

具体来说，个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合下列情形：非关键信息基础设施运营者、处理个人信息不满100万人的、自上年1月1日起累计向境外提供个人信息不满10万人的、自上年1月1日起累计向境外提供敏感个人信息不满1万人的。法律、行政法规或者国家网信部门另有规定的，从其规定。

南都记者注意到，“100万”“10万”“1万”等数量与《数据出境安全评估办法》明确的四种应当申报数据出境安全评估的情形相呼应。在清律律师事务所首席合伙人熊定中看来，“这基本上是把标准合同定位在相对而言‘小规模、不重要’的数据出境场景中。”

中国信通院互联网法律研究中心主任方禹撰文指出，《办法》通过划定个人信息出境标准合同的适用范围和情形，有效实现了标准合同和安全评估、个人信息保护认证的制度衔接，也为后续出台有关认证等其他个人信息出境方式的规则预留了制度接口。

“作为一种个人信息出境方式，标准合同具有便捷化、成本低的特征。《办法》的出台积极回应了社会关切，在为中小企业个人信息跨境业务合作提供法治保障的同时，也减轻了中小企业负担，有利于进一步促进数据自由流通和数字经济发展。”他表示。

《办法》还强调，个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。

2

进一步细化个人信息保护影响评估项

《办法》明确，个人信息处理者向境外提供个人信息前，应当开展个人信息保护影响评估并明确了重点评估内容。

北京理工大学教授洪延青指出，除了对个人信息保护法的落实，《办法》进一步针对出境场景细化了影响评估的评估项，比如境外接收方承诺履行的个人信息保护义务、措施和能力；个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险。

方禹也观察到，《办法》的重点评估内容与《数据出境安全评估办法》中“数据出境风险自评估”的重点评估事项基本一致。但是，个人信息保护影响评估内容中增加了“境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响”。

此外，《办法》在附件《个人信息出境标准合同》中明确了合同相关定义和基本要素、个人信息处理者和境外接收方的合同义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利和相关救济，以及合同解除、违约责任、争议解决等事项，并设计了个人信息出境说明、双方约定的其他条款等两个附录。

对比此前的征求意见稿，南都记者发现，《个人信息出境标准合同》要求在超出合同约定的保存期限后，境外接收方应当删除个人信息（包括所有备份），去掉了征求意见稿中“匿名化处理”的方式。

根据《办法》，个人信息处理者通过与境外接收方订立标准合同的方式向境外提供个人信息的，除遵守《办法》规定外，合同的成立、效力、履行、解释以及因本合同引起的双方争议应适用《民法典》等中国相关法律法规。

在洪延青看来，《个人信息出境标准合同》的主要内容，如个人信息再提供、处理安全、自动化决策处理等方面借鉴了有关国家、地区的有益做法，为数据跨境流动制度的国际合作奠定了基础，争取与更多的国家地区建立稳定可行的数据流通双多边机制。

“《办法》的正文和附件标准合同范本前后衔接，既明确了个人信息出境标准合同的监管要求，又保障了合同双方的意思自治和合同磋商空间。”方禹写道，将标准合同作为个人信息出境的方式，有利于积极应对互联网新业态新模式带来的风险挑战。

3

“自主缔约与备案管理相结合”

《办法》规定，个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案，备案需提交的材料包括标准合同和个人信息保护影响评估报告。

洪延青提到，这是出于平衡商业自由和监管需要。“我国对标准合同采用‘自主缔约与备案管理相结合’的原则”，他提到，一方面，标准合同无需事先审批即可生效；另一方面，个人信息处理者的备案行为为网信部门持续监督提供了管理抓手。

哪些情形下，个人信息处理者需要重新履行备案手续？

《办法》明确，在标准合同有效期内，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行备案手续的三种情形：

一是向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；

二是境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；

三是可能影响个人信息权益的其他情形。

方禹表示，从性质上看，《办法》设立的备案制度为事后监管，并不会产生功能性的效果。从结果上看，对于未履行备案程序或者提交虚假材料进行备案的违法行为，若由此导致个人信息出境活动存在较大风险或者发生个人信息安全事件，省级以上网信部门可以进行约谈，要求整改。

对于《办法》施行前已经开展的个人信息出境活动，不符合《办法》规定的，应当自《办法》施行之日起6个月内完成整改。

值得注意的是，《办法》还明确了举报监督制度与法律责任。一方面，任何组织和个人发现个人信息处理者违反《办法》规定向境外提供个人信息的，可以向省级以上网信部门举报。另一方面，当省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的，可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改，消除隐患。此外，还规定了违反《办法》规定的应当依据个人信息保护法等法律法规处理，构成犯罪的依法追究刑事责任。