个人信息出境政策再细化：标准合同怎么用？

个人信息出境合规的途径之一——标准合同落地再进一步。6月30日，国家互联网信息办公室依据《中华人民共和国个人信息保护法》，推出《个人信息出境标准合同规定（征求意见稿）》（下称《规定》），明确符合一定条件的个人信息处理者，可以通过签订标准合同的方式向境外提供个人信息，以达到数据出境合规。

　　根据《规定》，个人信息出境标准合同的适用者包括：非关键信息基础设施运营者；处理个人信息不满100万人的；自上年1月1日起累计向境外提供未达到10万人个人信息的；自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。

　　北京师范大学网络法治国际中心执行主任吴沈括告诉财新，个人信息处理者需要同时符合上述四个情形才适用该《规定》。

　　《规定》要求，在向境外提供个人信息前，个人信息处理者应事前开展个人信息保护影响评估，然后按照《规定》要求签署标准合同，最后在标准合同生效之日起10个工作日内，向所在地省级网信部门备案，备案内容即标准合同和个人信息保护影响评估报告。

　　上海交通大学数据法律研究中心执行主任何渊向财新分析，作为规范性文件，《规定》细化了《中华人民共和国个人信息保护法》第三十八条第一款的内容。据该条款，个人信息处理者需向境外提供个人信息的，有三种路径可选，其中之一便是与境外接收方订立个人信息出境的标准合同。另外两种数据出境的合规方式，一是通过国家网信部门组织的安全评估，一是经专业机构进行个人信息保护认证。不过，相对这两种合规方式来说，标准合同的方式对符合前述情形的企业来说相对更易走通。“有的公司对安全评估有所顾忌，若大家都选择安全评估的话，监管部门政务压力也会很大，而专业机构评估制度目前尚未建立起来。”他认为。

　　不过，上述三种数据出境的合规方式中，安全评估仍具优先性。吴沈括向财新解释，评估出境具有优先性，即如果企业符合了安全评估出境的情形，就必须要选择安全评估的方法。“只有在不符合评估要求的情况之下，才可以选择包括标准合同出境在内的其他方式。”

　　《中华人民共和国个人信息保护法》于2021年11月1日起施行，其中第三章对个人信息的跨境提供进行了规定。

　　2021年10月29日，国家网信办发布《数据出境安全评估办法（征求意见稿）》，对安全评估的具体流程进行说明。根据该办法，如果数据处理者要向境外提供重要数据或某些个人信息，比如累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息，应通过所在地省级网信部门向国家网信部门申报数据出境安全评估。国家网信部门自收到申报材料之日起7个工作日内，确定是否受理评估；自出具书面受理通知书之日起，45个工作日内，完成数据出境安全评估；情况复杂或需补充材料的，可以适当延长，但一般不超过60个工作日。

　　《规定》附有个人信息出境标准合同，内容包括个人信息处理者和境外接收方的基本信息、个人信息出境的目的和范围等内容、个人信息处理者和境外接收方保护个人信息的责任与义务、境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响、个人信息主体的权利等、以及救济、合同解除、违约责任、争议解决等内容。

　　对个人信息处理者，上述标准合同要求出境个人信息范围仅限于实现处理目的所需的最小范围。标准合同还要求，个人信息处理者向个人信息主体告知境外接收方的名称或姓名、联系方式、进行“个人信息出境说明”，以及行使个人信息主体权利的方式和程序等事项，并已取得个人单独同意，但相关法律法规规定不需要取得个人单独同意的除外。

　　上述标准合同对境外接收方的义务也有明确要求，例如出境个人信息范围仅限于实现处理目的所需的最小范围；存储个人信息的期限为实现处理目的所必要的最短时间；超出上述存储期限后，对个人信息（包括所有备份）进行删除或匿名化处理，除非取得个人信息主体关于存储期限的单独同意等。上述标准合同还规定了境外接收方对“数据泄露”等问题的相关补救措施及纠纷处理办法。

　　熟悉数据立法工作的世辉律师事务所合伙人王新锐律师向财新表示，本次标准合同规定，上位法是《个人信息保护法》，同时参考《信息安全技术——个人信息安全规范》等国家标准，是一个“上下衔接”的专门性制度。

　　王新锐特别指出，《规定》相比之前发布的规则有多处细化，例如对个人信息和敏感个人信息累计向境外提供的期限限定为两年内，又如明确了当出境不是基于同意这一合法性基础时，可以不需要单独同意。

　　“通过个人信息处理者和境外接收方签订标准合同的方式，即受到适当保障的传输，是国际上个人信息跨境流动的常见制度，包括欧盟、东盟都有类似的规定。” 王新锐表示，“本次关于标准合同的规定也和国际上的制度很大的相通性。”

　　王新锐认为，整体而言，标准合同是通过将法律规定内嵌于合同中，将我国对个人信息的法律要求和合规义务延伸至境外接收方，防止个人信息流向境外后降低保护水平，或者带来数据安全风险。

　　何渊也期待，标准合同和专业机构认证的方式能在未来企业数据出境合规上发挥更大的作用。他表示，安全评估的方式——包括网络安全审查等，应重点应用在重要信息基础设施和敏感数据的出境监管上。而个人信息量不太大、又没那么敏感的情况下，将更适和标准合同和专业机构认证的方法。