作者丨陳際紅 陳煜烺 林婉琪 張媛媛

2023年2月24日，國(guó)家網(wǎng)信辦發(fā)布《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》（以下簡(jiǎn)稱“《辦法》”）及其附件《個(gè)人信息出境標(biāo)準(zhǔn)合同》（以下簡(jiǎn)稱“《標(biāo)準(zhǔn)合同》”），并于6月1日正式實(shí)施。正式稿塵埃落定，也意味著繼《數(shù)據(jù)出境安全評(píng)估辦法》、《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0》（以下簡(jiǎn)稱“《認(rèn)證規(guī)范》”）后，《個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱“《個(gè)保法》”）第三章所確立的個(gè)人信息跨境傳輸三大機(jī)制正式落地。

整體上，本次正式稿沿用了《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》的立法理念、規(guī)則框架以及監(jiān)管模式，關(guān)于此部分的解讀，請(qǐng)見此前文章：

中國(guó)版標(biāo)準(zhǔn)合同條款揭開面紗，能否成為個(gè)人信息出境的通途（一）？

中國(guó)版標(biāo)準(zhǔn)合同條款揭開面紗，能否成為個(gè)人信息出境的通途（二）？

本文將就企業(yè)應(yīng)對(duì)《辦法》的相關(guān)焦點(diǎn)問題進(jìn)行解讀，并結(jié)合我們的跨境項(xiàng)目經(jīng)驗(yàn)，為企業(yè)提供具有針對(duì)性的實(shí)操應(yīng)對(duì)方案。

一、如何適配三種數(shù)據(jù)跨境傳輸機(jī)制？三種數(shù)據(jù)跨境機(jī)制有何差別？

針對(duì)個(gè)人信息及重要數(shù)據(jù)[1]出境活動(dòng)，《個(gè)保法》《數(shù)據(jù)出境安全評(píng)估辦法》確立了“申報(bào)安全評(píng)估”“訂立標(biāo)準(zhǔn)合同并備案”“開展個(gè)人信息保護(hù)認(rèn)證”三種數(shù)據(jù)跨境傳輸機(jī)制，結(jié)合我們?cè)诖罅靠缇稠?xiàng)目中的實(shí)戰(zhàn)經(jīng)驗(yàn)，建議企業(yè)在適配出境機(jī)制時(shí)可遵循“兩步走”原則，第一步為識(shí)別法定觸發(fā)場(chǎng)景，第二步為選擇最佳出境機(jī)制。

第一步：識(shí)別法定觸發(fā)場(chǎng)景

企業(yè)應(yīng)首先識(shí)別出境場(chǎng)景是否屬于依法需申報(bào)安全評(píng)估的情形，如觸發(fā)，則直接選擇申報(bào)安全評(píng)估作為出境機(jī)制。需注意，企業(yè)不得采取數(shù)量拆分等手段規(guī)避安全評(píng)估的申報(bào)（《辦法》第四條）。

第二步：選擇最佳出境機(jī)制

如未觸發(fā)申報(bào)安全評(píng)估，則可進(jìn)入第二步，結(jié)合本次出境所涉及的業(yè)務(wù)活動(dòng)及數(shù)據(jù)情況，針對(duì)性地選擇最佳出境機(jī)制，即訂立《標(biāo)準(zhǔn)合同》或開展個(gè)人信息保護(hù)認(rèn)證。具體可參考如下因素：

一是考慮個(gè)人信息出境活動(dòng)的期限和頻次。對(duì)于短期、臨時(shí)性的個(gè)人信息出境行為，或跨境交易中場(chǎng)景清晰的個(gè)人信息出境，作為基礎(chǔ)性機(jī)制，《標(biāo)準(zhǔn)合同》具有時(shí)效快（合同生效后即可出境）、成本低的優(yōu)點(diǎn)，適合企業(yè)在開展跨境業(yè)務(wù)時(shí)，將其作為附件與業(yè)務(wù)活動(dòng)的主合作協(xié)議一并進(jìn)行磋商、簽署，而無需第三方認(rèn)證機(jī)構(gòu)介入。

二是考慮開展個(gè)人信息出境活動(dòng)的主體。針對(duì)集團(tuán)關(guān)聯(lián)公司之間的跨境傳輸，鑒于集團(tuán)關(guān)聯(lián)公司間的業(yè)務(wù)關(guān)系較為穩(wěn)定，制定并遵循統(tǒng)一的個(gè)人信息跨境處理規(guī)則較易實(shí)現(xiàn)，采用個(gè)人信息保護(hù)認(rèn)證的方式有助于“一攬子”解決多個(gè)境內(nèi)實(shí)體的出境問題。此外，以跨境活動(dòng)作為產(chǎn)業(yè)生態(tài)鏈的企業(yè)，亦宜選擇個(gè)人信息保護(hù)認(rèn)證作為出境機(jī)制。

具體見下圖：

針對(duì)三種跨境機(jī)制，其主要差別如下表：

二、相比征求意見稿，正式稿有哪些核心變化？

針對(duì)《辦法》，正式稿主要有如下核心變化：

• 進(jìn)一步強(qiáng)調(diào)與申報(bào)安全評(píng)估的分野，并新增例外情形。正式稿新增了禁止個(gè)人信息處理者采取數(shù)量拆分等手段規(guī)避申報(bào)安全評(píng)估的規(guī)定，并就《標(biāo)準(zhǔn)合同》的適用范圍增加了“法律、行政法規(guī)或者國(guó)家網(wǎng)信部門另有規(guī)定的，從其規(guī)定”的例外規(guī)定。（《辦法》第四條）

• 明確《標(biāo)準(zhǔn)合同》文本不可修改。締約雙方可以約定與《標(biāo)準(zhǔn)合同》不相沖突的其他條款，但不得修改《標(biāo)準(zhǔn)合同》文本；同時(shí)，國(guó)家網(wǎng)信部門有權(quán)對(duì)《標(biāo)準(zhǔn)合同》文本進(jìn)行調(diào)整。（《辦法》第六條）

• 新增重新開展個(gè)人信息保護(hù)影響評(píng)估的義務(wù)。如觸發(fā)法定事項(xiàng)，除征求意見稿所明確的“補(bǔ)充或重新訂立《標(biāo)準(zhǔn)合同》并重新備案”外，正式稿提出個(gè)人信息處理者還應(yīng)重新開展個(gè)人信息保護(hù)影響評(píng)估。（《辦法》第八條）

• 新增“約談并要求整改”的風(fēng)險(xiǎn)控制手段。正式稿新增規(guī)定，對(duì)于個(gè)人信息出境活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件時(shí)，網(wǎng)信辦可以采取約談手段，并要求個(gè)人信息處理者相應(yīng)整改以消除隱患。（《辦法》第十一條）

• 新增6個(gè)月整改期限。正式稿明確《辦法》自2023年6月1日起施行，此前已經(jīng)開展的個(gè)人信息出境活動(dòng)，不符合《辦法》規(guī)定的，應(yīng)自施行之日起6個(gè)月內(nèi)完成整改。（《辦法》第十三條）

針對(duì)《標(biāo)準(zhǔn)合同》，正式稿主要有如下核心變化：

• 明確單獨(dú)同意僅適用于以同意為合法性基礎(chǔ)的處理活動(dòng)。《個(gè)保法》出臺(tái)以后，關(guān)于“單獨(dú)同意”與合法性基礎(chǔ)的爭(zhēng)論方興未艾，此次《標(biāo)準(zhǔn)合同》第二條第（三）項(xiàng)正式明確“基于同意向境外提供個(gè)人信息的”，才需取得單獨(dú)同意。

• 調(diào)整締約雙方協(xié)助義務(wù)，明確以境內(nèi)數(shù)據(jù)處理者為抓手，監(jiān)管境外個(gè)人信息處理活動(dòng)。如《標(biāo)準(zhǔn)合同》第二條第（七）項(xiàng)刪除征求意見稿中關(guān)于境外接收方答復(fù)監(jiān)管機(jī)構(gòu)詢問的例外情形，進(jìn)一步體現(xiàn)以境內(nèi)處理者作為監(jiān)管抓手的趨勢(shì)。

• 貼合企業(yè)實(shí)踐，在合規(guī)的前提下提供更靈活的義務(wù)履行方式。如《標(biāo)準(zhǔn)合同》第二條第（九）項(xiàng)及第三條第（三）項(xiàng)將“遮蔽處理”調(diào)整“適當(dāng)處理”；第三條第（五）項(xiàng)將“刪除或匿名化處理”調(diào)整為“應(yīng)當(dāng)刪除，如刪除從技術(shù)上難以實(shí)現(xiàn)，應(yīng)停止除存儲(chǔ)和采取必要安全保護(hù)措施之外的處理”。

• 對(duì)標(biāo)《個(gè)保法》等適用法律法規(guī)調(diào)整境外接收方的合同權(quán)利與義務(wù)，增加“目的限定”“最小必要”等原則的落實(shí)。如《標(biāo)準(zhǔn)合同》第三條下新增要求“境外接收方受托處理個(gè)人信息不得超出約定的處理目的、處理方式”；第（四）項(xiàng)新增要求“境外接收方采取對(duì)個(gè)人權(quán)益影響最小的方式處理”。

• 調(diào)整合同解除情形。《標(biāo)準(zhǔn)合同》第七條新增因境外接收方所在國(guó)或地區(qū)政策或法規(guī)變化導(dǎo)致無法履約的合同解除情形；刪除了境外接收方破產(chǎn)、解散或清算及因監(jiān)管機(jī)構(gòu)原因?qū)е碌暮贤獬樾巍?

• 調(diào)整責(zé)任形式。《標(biāo)準(zhǔn)合同》第八條刪除了征求意見稿中繁雜的責(zé)任分配機(jī)制，明確連帶責(zé)任需依法確定，并提出“對(duì)外連帶，對(duì)內(nèi)按份”的歸責(zé)原則。

除上述核心變化外，我們?cè)诖饲暗姆治鲋性敿?xì)對(duì)比了正式稿與征求意見稿的區(qū)別，具體請(qǐng)見：修改對(duì)比及要點(diǎn)速覽 |《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》發(fā)布[2] 。

三、《標(biāo)準(zhǔn)合同》為個(gè)人信息處理者和境外接收方設(shè)定了哪些義務(wù)？

《標(biāo)準(zhǔn)合同》為個(gè)人信息處理者和境外接收方設(shè)定了一系列義務(wù)，經(jīng)梳理，主要包括1）處理活動(dòng)的透明性、合法性、必要性及其他限制；2）個(gè)人信息安全保障；3）個(gè)人信息權(quán)益保護(hù)；4）合同履行的協(xié)助義務(wù)和舉證責(zé)任；5）接受監(jiān)管及信息透明義務(wù)五個(gè)方面，具體如下：

（一）處理活動(dòng)的透明性、合法性、必要性及其他限制

（二）個(gè)人信息安全保障

（三）個(gè)人信息權(quán)益保護(hù)

（四）合同履行的協(xié)助義務(wù)和舉證責(zé)任

（五）接受監(jiān)管與信息透明義務(wù)

四、如何開展個(gè)人信息保護(hù)影響評(píng)估（PIA）？

《個(gè)保法》第五十五條設(shè)定了個(gè)人信息處理者在向境外提供個(gè)人信息前事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估（Personal Information Protection Impact Assessment，以下或稱“PIA”），并對(duì)處理情況進(jìn)行記錄的義務(wù)，但該義務(wù)相對(duì)具有內(nèi)部性，企業(yè)往往對(duì)此項(xiàng)合規(guī)工作的“優(yōu)先級(jí)”不夠重視。此次《辦法》第七條將個(gè)人信息保護(hù)影響評(píng)估報(bào)告作為備案標(biāo)準(zhǔn)合同時(shí)必須提交的材料之一，這實(shí)際上意味著網(wǎng)信部門針對(duì)個(gè)人信息跨境場(chǎng)景下的PIA（以下簡(jiǎn)稱“跨境PIA”）已有監(jiān)管抓手。

具體而言，企業(yè)可按照如下方式開展跨境PIA：

1. 以《個(gè)保法》及《個(gè)人信息安全影響評(píng)估指南》為依據(jù)，搭建PIA基礎(chǔ)制度。

實(shí)踐中，企業(yè)多以2020年11月發(fā)布的GB/T39335-2020《信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南》（以下簡(jiǎn)稱“《個(gè)人信息安全影響評(píng)估指南》”）作為開展PIA的主要參考。我們理解，《個(gè)人信息安全影響評(píng)估指南》作為普適性指南，可支撐企業(yè)搭建基礎(chǔ)PIA制度。但《個(gè)人信息安全影響評(píng)估指南》發(fā)布于《個(gè)保法》出臺(tái)之前，且其附錄A中明確“個(gè)人信息出境場(chǎng)景的評(píng)估可參照有關(guān)國(guó)家標(biāo)準(zhǔn)執(zhí)行”，因而還需結(jié)合其他相關(guān)標(biāo)準(zhǔn)、規(guī)范，確定跨境PIA的具體評(píng)估要點(diǎn)。

2. 結(jié)合《個(gè)保法》《辦法》《認(rèn)證規(guī)范》《數(shù)據(jù)出境安全評(píng)估辦法》的要求，就跨境PIA的主要評(píng)估內(nèi)容事先進(jìn)行準(zhǔn)備。

目前，監(jiān)管部門尚未發(fā)布《標(biāo)準(zhǔn)合同》路徑下的跨境PIA報(bào)告模板。在具體模板出臺(tái)前，企業(yè)可結(jié)合《個(gè)保法》《辦法》《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0》（以下簡(jiǎn)稱“《認(rèn)證規(guī)范》”）《數(shù)據(jù)出境安全評(píng)估辦法》的要求，就PIA的主要評(píng)估內(nèi)容事先進(jìn)行準(zhǔn)備。前述文件對(duì)PIA評(píng)估要點(diǎn)的列舉具體如下表所示。

PIA評(píng)估要點(diǎn)對(duì)比表（實(shí)質(zhì)性差異以藍(lán)色字體標(biāo)注）

經(jīng)對(duì)比，三種出境路徑下的評(píng)估要點(diǎn)相對(duì)具有一致性，企業(yè)可暫時(shí)以網(wǎng)信部門發(fā)布的《數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估報(bào)告（模板）》為底稿開展PIA，但需注意：

1) 評(píng)估范圍僅限于個(gè)人信息，重點(diǎn)應(yīng)側(cè)重于個(gè)人信息出境活動(dòng)對(duì)個(gè)人信息主體權(quán)益的影響；

2) 無需再評(píng)估法律合同是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)；

3) 對(duì)境外接收方法律環(huán)境的評(píng)估應(yīng)著重考慮其對(duì)標(biāo)準(zhǔn)合同履行的影響。

我們理解，企業(yè)可結(jié)合《標(biāo)準(zhǔn)合同》第四條第（二）項(xiàng)及《認(rèn)證規(guī)范》第5.4條e)項(xiàng)確定前述第3）點(diǎn)的具體評(píng)估內(nèi)容。此外，歐盟就依據(jù)標(biāo)準(zhǔn)合同作為數(shù)據(jù)跨境傳輸保障機(jī)制時(shí)應(yīng)進(jìn)行的數(shù)據(jù)跨境傳輸評(píng)估（Transfer Impact Assessment，以下或稱“TIA”）同樣涉及對(duì)第三國(guó)法律環(huán)境的評(píng)估。由于歐盟標(biāo)準(zhǔn)合同機(jī)制與我國(guó)標(biāo)準(zhǔn)合同機(jī)制均追求同等保護(hù)標(biāo)準(zhǔn)，具有相同的價(jià)值取向，故TIA提出的關(guān)于第三國(guó)法律環(huán)境的評(píng)估因素，也可作為企業(yè)評(píng)估境外接收方所在國(guó)家或地區(qū)法律環(huán)境的參考。前述文件對(duì)法律環(huán)境評(píng)估要點(diǎn)如下表所示。

法律環(huán)境評(píng)估要點(diǎn)對(duì)比表

此外，雖然《辦法》第五條第（五）項(xiàng)將法律環(huán)境評(píng)估范圍限定為“個(gè)人信息”相關(guān)，但我們理解境外接收方所在國(guó)家或地區(qū)的網(wǎng)絡(luò)安全及域外管轄相關(guān)法律環(huán)境等也可能對(duì)合同履行產(chǎn)生影響，如是否存在相關(guān)阻斷法律適用規(guī)定、境外司法或監(jiān)管機(jī)構(gòu)是否有可能認(rèn)定以中國(guó)法為準(zhǔn)據(jù)法的合同無效等。

五、締約雙方是否可修改《標(biāo)準(zhǔn)合同》條款的文本？

根據(jù)《辦法》第六條，《標(biāo)準(zhǔn)合同》應(yīng)當(dāng)嚴(yán)格按照《辦法》附件文本進(jìn)行訂立，締約雙方不得更改現(xiàn)有合同文本，但可約定與《標(biāo)準(zhǔn)合同》不相沖突的其他條款。這意味著過去企業(yè)希望在既有數(shù)據(jù)出境合同中以新增條款的形式涵蓋《標(biāo)準(zhǔn)合同》要點(diǎn)的做法，可能無法滿足《辦法》的要求，企業(yè)必須按照《標(biāo)準(zhǔn)合同》文本進(jìn)行簽署，在此之外可約定補(bǔ)充條款?？梢姡稑?biāo)準(zhǔn)合同》作為一種納入強(qiáng)監(jiān)管的合同，極大地限縮了合同意思自治的空間，以確保同等保護(hù)標(biāo)準(zhǔn)的實(shí)現(xiàn)。

值得一提，根據(jù)《辦法》第六條第一款，國(guó)家網(wǎng)信部門有權(quán)進(jìn)一步調(diào)整《標(biāo)準(zhǔn)合同》的文本。由于締約雙方不可更改文本，一旦調(diào)整，企業(yè)可能會(huì)面臨新版本《標(biāo)準(zhǔn)合同》的換簽問題。此等“預(yù)留修訂空間”的規(guī)定在我國(guó)部門規(guī)章層級(jí)中并不多見。我們理解，本次《標(biāo)準(zhǔn)合同》正式發(fā)布的大背景在于盡快落實(shí)“跨境三件套”，以確保我國(guó)跨境機(jī)制監(jiān)管的全面落地和實(shí)施。在此背景下，我國(guó)對(duì)于《標(biāo)準(zhǔn)合同》的出境路徑仍處于探索階段；即使是在國(guó)際上，歐盟委員會(huì)亦根據(jù)企業(yè)所面臨的數(shù)據(jù)跨境傳輸實(shí)踐，對(duì)已施行近二十年的SCCs進(jìn)行調(diào)整，并于2021年適時(shí)頒布了新版GDPR SCCs。據(jù)此，“預(yù)留修訂空間”實(shí)乃本土實(shí)踐及國(guó)際經(jīng)驗(yàn)的應(yīng)有之義。此外，從跨國(guó)企業(yè)的實(shí)踐來看，在規(guī)章層面作出此等明文規(guī)定，亦有益于企業(yè)在與境外接收方磋商換簽事宜時(shí)提出“調(diào)整合同文本系中國(guó)法所明確要求”，以降低溝通成本，幫助企業(yè)更順利地推進(jìn)出境合同的訂立和實(shí)施。

六、如何理解備案管理機(jī)制？監(jiān)管部門會(huì)對(duì)出境活動(dòng)做實(shí)質(zhì)性審查嗎？

與《數(shù)據(jù)出境安全評(píng)估辦法》所確立的事前審查機(jī)制不同，《辦法》所要求的備案程序是一種事后機(jī)制，目的是為了在不影響正常業(yè)務(wù)活動(dòng)的同時(shí)將跨境個(gè)人信息處理活動(dòng)納入監(jiān)管機(jī)構(gòu)的視野，并對(duì)監(jiān)管機(jī)構(gòu)保持透明性。針對(duì)高風(fēng)險(xiǎn)或違規(guī)出境活動(dòng)，才會(huì)進(jìn)一步采取約談等監(jiān)管手段，或課以行政處罰。

根據(jù)《辦法》第六條、第七條，企業(yè)在開展個(gè)人信息保護(hù)影響評(píng)估并經(jīng)《標(biāo)準(zhǔn)合同》生效后，即可開展個(gè)人信息出境活動(dòng)，但個(gè)人信息處理者應(yīng)當(dāng)在《標(biāo)準(zhǔn)合同》生效之日起10個(gè)工作日內(nèi)向所在地省級(jí)網(wǎng)信部門備案，并提交《標(biāo)準(zhǔn)合同》文本及個(gè)人信息保護(hù)影響評(píng)估報(bào)告。

此外，《辦法》第八條規(guī)定，當(dāng)個(gè)人信息出境活動(dòng)發(fā)生實(shí)質(zhì)性變化時(shí)，需重新開展個(gè)人信息保護(hù)影響評(píng)估，補(bǔ)充或者重新訂立《標(biāo)準(zhǔn)合同》，并重新備案。具體而言，“實(shí)質(zhì)性變化”即指出境活動(dòng)發(fā)生了可能影響個(gè)人信息權(quán)益的情形，具體包括：

• 事實(shí)變化：境外提供個(gè)人信息的目的、范圍、種類、敏感程度、方式、保存地點(diǎn)或者境外接收方處理個(gè)人信息的用途、方式發(fā)生變化，或者延長(zhǎng)個(gè)人信息境外保存期限；

• 法律變化：境外接收方所在國(guó)家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)發(fā)生變化等可能影響個(gè)人信息權(quán)益；

• 其他可能影響個(gè)人信息權(quán)益的變化。

具體備案及重新備案流程如下圖：

七、6個(gè)月整改期內(nèi)，企業(yè)有哪些To-Do-List？

第一，全面識(shí)別數(shù)據(jù)出境場(chǎng)景，適配數(shù)據(jù)出境機(jī)制。企業(yè)應(yīng)首先全量梳理業(yè)務(wù)活動(dòng)中所涉及的數(shù)據(jù)出境場(chǎng)景，明確是否構(gòu)成特殊主體（關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者），盤點(diǎn)所出境的數(shù)據(jù)資產(chǎn)，準(zhǔn)確統(tǒng)計(jì)跨境傳輸?shù)臄?shù)量（如涉及個(gè)人信息），并適配相應(yīng)數(shù)據(jù)出境機(jī)制（適配方案具體見“一、如何適配三種數(shù)據(jù)跨境傳輸機(jī)制？”）。

第二，積極推動(dòng)訂立《標(biāo)準(zhǔn)合同》的簽署工作，銜接現(xiàn)有出境合同文本（如有）。實(shí)踐中，如何“說服”境外接收方同意訂立《標(biāo)準(zhǔn)合同》往往成為該等出境機(jī)制落實(shí)過程中的關(guān)鍵。建議可考慮法律合規(guī)性和業(yè)務(wù)必要性等因素進(jìn)行磋商，并引入第三方律所等專業(yè)人士對(duì)于《標(biāo)準(zhǔn)合同》的重點(diǎn)內(nèi)容進(jìn)行說明和闡釋，以最大程度提高境外接收方就《標(biāo)準(zhǔn)合同》文本達(dá)成共識(shí)的效率。此外，針對(duì)已部署GDPR SCCs等出境合同文本的跨國(guó)公司，還需考慮如何與現(xiàn)有文本相銜接（具體見“九、《標(biāo)準(zhǔn)合同》與GDPR SCCs有哪些區(qū)別？已建立GDPR SCCs的企業(yè)應(yīng)如何應(yīng)對(duì)？”）。

第三，開展個(gè)人信息保護(hù)影響評(píng)估。關(guān)于開展個(gè)人信息保護(hù)影響評(píng)估的具體要求，請(qǐng)見“四、如何開展個(gè)人信息保護(hù)影響評(píng)估？”。

第四，開展合規(guī)整改。需根據(jù)個(gè)人信息保護(hù)影響評(píng)估的情況，針對(duì)個(gè)人信息處理者及境外接收方的合規(guī)差距，制定合規(guī)整改計(jì)劃表，并推進(jìn)整改工作。包括但不限于起草隱私政策等告知文本，制定同意/其他合法性基礎(chǔ)方案，設(shè)計(jì)產(chǎn)品交互界面（如需），落實(shí)行權(quán)響應(yīng)機(jī)制，采取管理措施和技術(shù)措施，并逐項(xiàng)審查落實(shí)《標(biāo)準(zhǔn)合同》為締約雙方設(shè)定的義務(wù)清單等。

第五，開展《標(biāo)準(zhǔn)合同》及個(gè)人信息保護(hù)影響評(píng)估報(bào)告的備案工作。關(guān)于備案的具體要求，請(qǐng)見“六、如何理解備案管理機(jī)制？”

第六，建立企業(yè)內(nèi)部數(shù)據(jù)跨境的長(zhǎng)效合規(guī)機(jī)制，包括但不限于數(shù)據(jù)跨境合規(guī)管理手冊(cè)及定期評(píng)估機(jī)制。通過建立數(shù)據(jù)跨境合規(guī)管理手冊(cè)，為業(yè)務(wù)部門提供個(gè)人信息跨境場(chǎng)景的識(shí)別指引及不同跨境機(jī)制下的適配方案，并就合規(guī)開展數(shù)據(jù)跨境傳輸提供具體指引，例如是否履行透明性要求并具備合法性基礎(chǔ)，是否建立行權(quán)機(jī)制、是否建立數(shù)據(jù)安全事件響應(yīng)機(jī)制等，確保業(yè)務(wù)部門“有章可循”，避免觸發(fā)合規(guī)紅線。此外，備案并非一勞永逸，企業(yè)應(yīng)建立內(nèi)部定期評(píng)估機(jī)制，跟蹤自身出境活動(dòng)的事實(shí)變化及域外法律變化，密切關(guān)注可能觸發(fā)重新評(píng)估、重新備案的情形（《辦法》第八條）等。

八、網(wǎng)信部門針對(duì)《辦法》有哪些監(jiān)管手段？如違反《辦法》，締約雙方可能面臨哪些責(zé)任？

由于備案管理相較申報(bào)安全評(píng)估，系一種更為中立的事后備案而非審查機(jī)制，為彌補(bǔ)此等機(jī)制的可能不足，《辦法》進(jìn)一步設(shè)定了兩類監(jiān)管手段：1）舉報(bào)監(jiān)督機(jī)制，網(wǎng)信部門可經(jīng)舉報(bào)獲知個(gè)人信息處理者違規(guī)向境外提供個(gè)人信息的情況（《辦法》第十條）；2）主動(dòng)發(fā)現(xiàn)機(jī)制，網(wǎng)信部門如發(fā)現(xiàn)個(gè)人信息出境活動(dòng)存在較大風(fēng)險(xiǎn)或發(fā)生安全事件，將主動(dòng)觸發(fā)監(jiān)管，采取約談并要求整改（《辦法》第十一條），我們理解，“發(fā)現(xiàn)”的方式可能包括查看備案材料、啟動(dòng)專項(xiàng)檢查等。

如違反《辦法》，締約雙方可能面臨行政、刑事及民事責(zé)任。《辦法》第十一條采取“較大風(fēng)險(xiǎn)或安全事件”而非“違法開展出境活動(dòng)”的表述，我們傾向于認(rèn)為此處并非指向違法出境后的行政責(zé)任，而是網(wǎng)信部門監(jiān)管出境風(fēng)險(xiǎn)的手段。如企業(yè)違反《辦法》開展出境活動(dòng)的，仍需依據(jù)《個(gè)保法》承擔(dān)相關(guān)行政責(zé)任，包括但不限于被要求終止個(gè)人信息出境活動(dòng)[4]。如構(gòu)成犯罪的，還可能依據(jù)《中華人民共和國(guó)刑法》承擔(dān)刑事責(zé)任。針對(duì)民事責(zé)任，一方面，《標(biāo)準(zhǔn)合同》第八條設(shè)定了違約責(zé)任條款，締約雙方可能因違約而向?qū)Ψ交蛳騻€(gè)人信息主體承擔(dān)違約責(zé)任；另一方面，締約雙方如違反《個(gè)保法》《辦法》等法律法規(guī)侵犯?jìng)€(gè)人信息主體權(quán)益的，還可能會(huì)承擔(dān)侵權(quán)責(zé)任。

九、《標(biāo)準(zhǔn)合同》與GDPR SCCs有哪些區(qū)別？已建立GDPR SCCs的企業(yè)應(yīng)如何應(yīng)對(duì)？

標(biāo)準(zhǔn)合同條款（Standard Contractual Clauses, SCCs）為歐盟GDPR下常用的個(gè)人數(shù)據(jù)跨境傳輸保障機(jī)制之一。中國(guó)版《標(biāo)準(zhǔn)合同》與GDPR SCCs的主要異同如下所示。

可見，《標(biāo)準(zhǔn)合同》雖與GDPR SCCs整體取向一致，但仍在適用場(chǎng)景、責(zé)任分配、條款表述等方面存在較大差異。針對(duì)已建立GDPR SCCs的企業(yè)，鑒于《辦法》第六條明確要求《標(biāo)準(zhǔn)合同》應(yīng)當(dāng)嚴(yán)格按照網(wǎng)信部門制定的模板訂立，故我們理解很難通過修改GDPR SCCs框架下的SCCs條款文本以使之符合中國(guó)法下《辦法》及《標(biāo)準(zhǔn)合同》的要求，而需重新訂立中國(guó)版《標(biāo)準(zhǔn)合同》。

針對(duì)已簽訂集團(tuán)間數(shù)據(jù)跨境傳輸框架協(xié)議的跨國(guó)集團(tuán)而言，則可考慮將《標(biāo)準(zhǔn)合同》文本作為單獨(dú)附件適用于中國(guó)法下的個(gè)人信息跨境傳輸場(chǎng)景。同時(shí)，企業(yè)應(yīng)注意對(duì)跨境傳輸框架協(xié)議的總則條款進(jìn)行審查，確保其不與《標(biāo)準(zhǔn)合同》沖突，特別是不得削弱或者減少一方在《標(biāo)準(zhǔn)合同》下規(guī)定的責(zé)任和義務(wù)；或可在中國(guó)專章中明確，當(dāng)總則條款與《標(biāo)準(zhǔn)合同》沖突時(shí)，優(yōu)先適用《標(biāo)準(zhǔn)合同》。

十、針對(duì)《辦法》出臺(tái)前的出境活動(dòng)如何處理？是否仍需訂立《標(biāo)準(zhǔn)合同》并備案？

《辦法》第十三條明確了溯及既往的效力，即針對(duì)《辦法》實(shí)施前的個(gè)人信息出境活動(dòng)，同樣需適用《辦法》的相關(guān)規(guī)定訂立《標(biāo)準(zhǔn)合同》、開展個(gè)人信息保護(hù)影響評(píng)估以及備案，并設(shè)定了6個(gè)月的整改期?？梢园l(fā)現(xiàn)，其與《數(shù)據(jù)出境安全評(píng)估辦法》第二十條關(guān)于溯及力的規(guī)定采取了一致的邏輯。具體而言：

1. 對(duì)于已經(jīng)完成傳輸，且境外接收方已經(jīng)刪除或匿名化措施處理個(gè)人信息的出境活動(dòng)，無需再適用《辦法》。

2. 對(duì)于已經(jīng)完成傳輸、但境外接收方仍繼續(xù)在存儲(chǔ)或處理個(gè)人信息的出境活動(dòng)：由于個(gè)人信息處理活動(dòng)是一個(gè)連續(xù)的行為，境外接收方的后續(xù)處理行為仍可能對(duì)個(gè)人權(quán)益產(chǎn)生影響，我們傾向于認(rèn)為《辦法》適用于此種情形。

3. 對(duì)于正在進(jìn)行中的個(gè)人信息出境活動(dòng)：在過渡期內(nèi)，企業(yè)因業(yè)務(wù)需要需進(jìn)行個(gè)人信息跨境傳輸?shù)?，仍可繼續(xù)進(jìn)行，但應(yīng)在過渡期內(nèi)訂立《標(biāo)準(zhǔn)合同》、完成對(duì)現(xiàn)有個(gè)人信息出境行為的個(gè)人信息保護(hù)影響評(píng)估，并依法完成備案工作。

[注]

[1] 如出境數(shù)據(jù)構(gòu)成重要數(shù)據(jù)，則均需申報(bào)安全評(píng)估，故本文對(duì)重要數(shù)據(jù)相關(guān)規(guī)則不再贅述，而聚焦于個(gè)人信息跨境的機(jī)制適配。

[2] https://mp.weixin.qq.com/s/8xgSjfMZn9TcSeIrufkLjw。

[3] 歐盟數(shù)據(jù)保護(hù)委員會(huì)（EDPB）：Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data version 2.0（關(guān)于補(bǔ)充數(shù)據(jù)傳輸工具的 01/2020號(hào)建議 第2版）；Recommendations 02/2020 on the European Essential Guarantees for surveillance measures （針對(duì)監(jiān)控措施的關(guān)于歐盟重要保障的02/2020號(hào)建議）。

[4] 根據(jù)《個(gè)人信息保護(hù)法》第六十六條第二款，如企業(yè)違法開展個(gè)人信息處理活動(dòng)（含出境活動(dòng)），情節(jié)嚴(yán)重的，可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓。我們理解，此處暫停相關(guān)業(yè)務(wù)可能包括要求終止個(gè)人信息出境活動(dòng)。

[5] 此處由于目前征求意見稿的適用條件并未明確此點(diǎn)，有可能會(huì)導(dǎo)致境外已適用《個(gè)保法》的處理者受到重復(fù)的義務(wù)約束。

[6] EU Commission THE NEW STANDARD CONTRACTUAL CLAUSES – QUESTIONS AND ANSWERS, Q23

[7] EDPB Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR (version for public consultation)

[8] 然而，由于近年來“Schrems II”相關(guān)案例爭(zhēng)議的影響，實(shí)質(zhì)性達(dá)成充分性保護(hù)水平成為EDPB監(jiān)管的重點(diǎn)，具體體現(xiàn)在：EDPB：Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data Version 2.0 Adopted on 18 June 2021

[9] EU Commission THE NEW STANDARD CONTRACTUAL CLAUSES – QUESTIONS AND ANSWERS, Q33

[10] EDPB：Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data（Version 2.0 Adopted on 18 June 2021）

[11] EU Commission THE NEW STANDARD CONTRACTUAL CLAUSES – QUESTIONS AND ANSWERS, Q7 & 8

作者簡(jiǎn)介

陳際紅 律師

北京辦公室 合伙人

業(yè)務(wù)領(lǐng)域：知識(shí)產(chǎn)權(quán)權(quán)利保護(hù), 網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù), 反壟斷和競(jìng)爭(zhēng)法

特色行業(yè)類別：金融行業(yè), 通訊與技術(shù)

陳煜烺

北京辦公室 知識(shí)產(chǎn)權(quán)部

林婉琪

北京辦公室 知識(shí)產(chǎn)權(quán)部

張媛媛

北京辦公室 知識(shí)產(chǎn)權(quán)部

* 陳瑞庭對(duì)本文亦有貢獻(xiàn)。

聲明：本文來自中倫視界，版權(quán)歸作者所有。