个人信息出境监管版图成型｜MHP君悦评论

国家网信办于2022年6月30日发布了《个人信息出境标准合同规定（征求意见稿）》（“标准合同规定”），公开征求意见。结合国家网信办于2021年发布的《数据出境安全评估办法（征求意见稿）》（“安全评估办法”）和2022年6月24日全国信息安全标准化技术委员会颁布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》（“安全认证规范”），国家对个人信息出境的监管框架版图成型。

1. 个人信息出境的基本监管规则

个人信息出境的基本监管规则源自于《中华人民共和国个人信息保护法》（“个人信息保护法”）的要求，即个人信息出境应满足下列条件之一：（1）处理个人信息达到国家网信部门规定数量的个人信息处理者，确需向境外提供的，应当通过国家网信部门组织的安全评估（法律、行政法规规定可以不进行安全评估的除外）；（2）按照国家网信部门的规定经专业机构进行个人信息保护认证；（3）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；及（4）法律、行政法规或者国家网信部门规定的其他条件。

除上述第（4）点兜底条款外，个人信息保护法实质上明确了三种个人信息出境的途径：（1）安全评估；（2）个人信息保护认证，和（3）订立标准合同。

2. 安全评估

非关键信息基础设施运营者的个人信息处理者在出现下述情况时，需要申报数据安全评估：（1）处理个人信息达到100万人的个人信息处理者向境外提供个人信息；或（2）累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息。

安全评估的过程中，主要涵盖了风险自评估和安全评估两个核心部分。其中，风险自评估由个人信息处理者自行完成并形成个人信息出境风险自评估报告。个人信息风险自评估的重点评估事项包括：（1）个人信息出境及境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；（2）出境个人信息的数量、范围、种类、敏感程度，个人信息出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；（3）个人信息处理者在个人信息转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险；（4）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；（5）个人信息出境和再转移后泄露、毁损、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅等；及（6）与境外接收方订立的个人信息出境相关合同是否充分约定了个人信息安全保护责任义务。

在完成个人信息风险自评估后，境内个人信息处理者应申请个人信息安全评估，并至少递交以下文件：（1）申请书；（2）个人信息出境风险自评估报告；及（3）个人信息处理者与境外接收方订立的合同。

安全评估着重于评估个人信息出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险，包括：（1）个人信息出境的目的、范围、方式等的合法性、正当性、必要性；（2）境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境个人信息安全的影响；境外接收方的数据保护水平是否达到中国法律、行政法规规定和强制性国家标准的要求；（3）出境个人信息的数量、范围、种类、敏感程度，出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险；（4）个人信息安全和个人信息权益是否能够得到充分有效保障；（5）个人信息处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务；及（6）遵守中国法律、行政法规、部门规章的情况。

国家网信部门受理申报后，将组织行业主管部门、国务院有关部门、省级网信部门、专门机构等进行安全评估，并以书面形式通知个人信息处理者安全评估结果，该结果有效期为两年。个人信息处理者应在如下情况发生时重新申报安全评估：（1）向境外提供个人信息的目的、方式、范围、类型和境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；（2）境外接收方所在国家或者地区法律环境发生变化，个人信息处理者或者境外接收方实际控制权发生变化，个人信息处理者与境外接收方合同变更等可能影响出境数据安全的；（3）出现影响出境个人信息安全的其他情形；或（4）安全评估结果有效期即将届满（不少于60日），且个人信息处理者将继续开展个人信息出境活动的。

3.个人信息保护认证

个人信息保护认证适用于两种情况：（1）跨国公司或同一经济、事业实体下属公司或关联公司之间的个人信息出境活动。该情况下，由境内个人信息处理者申请认证，及（2）境外个人信息处理者在中国境外以向境内自然人提供产品或者服务为目的或以分析、评估境内自然人的行为为目的处理中国境内自然人个人信息。该情况下，由境外个人信息处理者在境内设置的专门机构或指定代表申请认证。

个人信息保护认证的基本要求包括：（1）个人信息处理者和境外接收方之间有符合规定的关于个人信息传输及保护的协议；（2）个人信息处理者和境外接收方均明确指定个人信息保护负责人并承担相关职责；（3）个人信息处理者和境外接收方均设立个人信息保护机构并承担包括但不限于制定并实施个人信息跨境处理活动计划、组织开展个人信息保护影响评估、监督确保个人信息处理者和境外接收方按照约定处理个人信息及接受和处理个人信息主体请求和投诉在内的职责；（4）个人信息处理者和境外接收方遵守统一的个人信息跨境处理规则；（5）个人信息处理者应事先评估向境外接收方提供个人信息是否合法、正当、必要，且采取的保护措施是否与风险程度相适应并有效。

在个人信息保护认证框架下，还特别要求个人信息处理者和境外接收方对于个人信息主体的权利保护，并明确了个人信息处理者和境外接收方的责任义务。

值得注意的是，该认证属于自愿性认证。而一次认证的时效性及认证机构尚待有关部门予以明确。

4. 订立标准合同

通过订立标准合同方式实现个人信息出境合规的前提是个人信息的有限出境，即非关键信息基础设施运营者的个人信息处理者应满足下列要求：（1）处理个人信息不满100万人的；（2）自上年1月1日起累计向境外提供未达到10万人个人信息的；且（3）自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。若任何个人信息数量超过上述阈值，个人信息处理者无法通过订立标准合同方式实现出境合规，其应转而寻求前述“安全评估”或“个人信息保护认证”方式。

可以看出，在涉及个人信息数量可控的情况下，监管机构拟通过订立标准合同方式简化个人信息出境的相关监管要求，实现“低风险、低管制”的目的。而订立标准合同路径下的个人信息出境合规主要包括了自主缔约、自评估与备案管理三个环节。

“自主缔约”即境内个人信息处理者与境外接收方通过书面合同形式约定，即签订标准合同。标准合同应包括：（1）个人信息处理者和境外接收方的基本信息，包括但不限于名称、地址、联系人姓名、联系方式等；（2）个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等；（3）个人信息处理者和境外接收方保护个人信息的责任与义务，以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等；（4）境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响；（5）个人信息主体的权利，以及保障个人信息主体权利的途径和方式；（6）救济、合同解除、违约责任、争议解决等内容。

自评估的重点评估内容与“安全评估”路径下的自评估要求无异，不再赘述。

在完成自主缔约和自评估后，境内个人信息处理者应在标准合同生效之日起10个工作日内，向省级网信部门备案。

国家网信办在标准合同规定后附上了个人信息出境标准合同模板，该模板涵盖了上述标准合同的全部要求，故从监管角度来说，直接签署该模板可以最大程度降低个人信息出境风险，并能极大降低网信部门的审查压力，从而能够高效地实现“低风险、低管制”的目的。无需顾虑的是，在签署并递交这一形式上的“标准合同”模板同时，个人信息处理者和境外接收方仍然可以签署与个人信息出境相关的其他协议及法律文件，进一步明确并细化相关商业条款及双方权利义务，前提是，这些其他协议及法律文件不得与“标准合同”相冲突。

5. 实践

在实践中，安全评估、个人信息保护认证和订立标准合同这三种个人信息出境的合规路径择一即可。境内个人信息处理者应根据实际情况进行选择处理。特别的，在跨国公司的关联公司之间通过“个人信息保护认证”方式进行个人信息出境似乎更为合理和高效。但在该认证的时效性及认证机构尚未明确的情况下，则可能需要根据个人信息出境的数量级判断是否采取其他两种方式之一。

另外，在安全评估、个人信息保护认证路径下，并没有强制要求相关方签订“标准合同”，这也能更大的保持双方之间灵活的商业安排及相关权利义务安排。

不过，由于标准合同规定和安全评估办法尚处于征求意见稿阶段，未来是否会有更多变化，仍然值得关注。