个人信息出境的路线之三——标准合同备案指南公布｜mhp君悦评论

《个人信息保护法》明确了三种向中华人民共和国境外提供个人信息的前提条件，分别是（1）通过国家网信部门组织的安全评估；（2）经专业机构进行个人信息保护认证；及（3）与境外接收方订立标准合同。为明确标准合同路径下向境外提供个人信息的适用，《个人信息出境标准合同办法》（“《标准合同办法》”）于2023年6月1日生效。根据《标准合同办法》，个人信息处理者应当在标准合同生效之日起10个工作日内向省级网信部门备案。

2023年5月30日，国家互联网信息办公室（“网信办”）公布并实施《个人信息出境标准合同备案指南》（“《指南》”），以指导个人信息处理者规范有序地进行标准合同备案。

1. 适用范围

个人信息出境既包括个人信息处理者将其在境内运营中收集和产生的个人信息传输、存储至境外，也包括个人信息处理者收集和产生的个人信息存储在境内，境外的法人和个人可以查询、调取、下载、导出。

标准合同备案适用于同时符合如下情形的个人信息出境：（1）个人信息处理者为非关键信息基础设施运营者；（2）处理个人信息不满100万人；（3）自上年1月1日起累计向境外提供个人信息不满10万人；及（4）自上年1月1日起累计向境外提供敏感个人信息不满1万人。如果个人信息处理者不符合上述任一条件，则应寻求通过“安全评估”路径实现个人信息出境合规。

实践中，如果个人信息处理者在多场景下向境外传输个人信息（例如，同时传输员工个人信息、用户/客户个人信息和/或其他场景下的个人信息）或向多个境外接收方传输个人信息，其应合并计算数量并合并备案。

2. 备案文件

和安全评估申报路径相比，标准合同备案没有需要填报的标准表格，也没有兜底类的“其他相关证明材料”要求。各地省级网信办在办理安全评估申报过程中根据个案情况可能要求申报人提供的公司政策、内控制度、安全技术文件、知情同意书、第三方协议等在标准合同备案中将不作要求。

标准合同备案的核心文件是（1）个人信息出境标准合同；及（2）个人信息保护影响评估报告。与安全评估申报下的自评估时间要求一致，个人信息保护影响评估应该在备案前3个月内完成。“个人信息保护影响评估报告（模板）”与安全评估申报下的数据出境风险自评估报告的脉络和架构基本一致，其关注点集中在：（1）涉及个人信息的目的、范围、方式等的合法性、正当性、必要性；（2）出境个人信息的规模、范围、种类、敏感程度和风险控制；（3）境外接收方的义务以及履行义务的管理和技术措施、能力等；（4）个人信息出境后的风险及维权途径；（5）境外接收方所在地的个人信息保护政策和法规对标准合同履行的影响。从笔者从事安全评估申报的经验来看，在整体架构不得进行变动的前提下，各地网信办对于个人信息保护影响评估会着重审阅，并可能对具体个案提出具体要求，例如内容的详实度、颗粒度及细节披露等。

3. 查验及反馈

省级网信办将直接对标准合同备案进行管理。其在收到材料后15个工作日内完成材料审查。通过备案程序的，网信办将发放备案编号；不通过备案程序的，个人信息处理者应在收到反馈意见后10个工作日内再次提交。实践中，网信办对于备案材料，特别是个人信息保护影响评估的审核尺度，有待通过实践确认。

4. 后续合规

个人信息处理者应当在如下情况下重新开展个人信息保护影响评估，补充或重新订立标准合同并备案：

（1）向境外提供的个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限；

（2）境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；

（3）可能影响个人信息权益的其他情形。