一、適用條件

根據《標準合同規定征求意見稿》第四條，同時符合如下情形的，可以通過簽訂標準合同的方式向境外提供個人信息：（一）非關鍵信息基礎設施運營者（以下簡稱“CIIO”）；（二）處理個人信息不滿100萬人的；（三）自上年1月1日起累計向境外提供未達到10萬人個人信息的；（四）自上年1月1日起累計向境外提供未達到1萬人敏感個人信息的。

而根據《出境安全評估辦法征求意見稿》第四條，符合以下情形之一的，應當申報數據出境安全評估：（一）CIIO收集和產生的個人信息和重要數據；（二）出境數據中包含重要數據；（三）處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息；（四）累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息；（五）國家網信部門規定的其他需要申報數據出境安全評估的情形。

就個人信息的出境情形來看，比對上方兩份文件（同屬網信辦發布的部門規章）的要求，可以發現，在涉及個人信息出境的情況下，需要重點考慮四點因素：

1. 個人信息處理者是否被認定為CIIO；
2. 處理的個人信息所對應的主體是否超出100萬人；
3. 累計向境外提供的個人信息所對應的主體是否達到10萬人以上（自上年1月1日起）；
4. 累計向境外提供的敏感個人信息對應的主體是否達到1萬人以上（自上年1月1日起）。

如果上述四個問題中有一個答案為“是”，則其數據向境外傳輸前只能通過申報出境安全評估后方能進行，無法采用訂立標準合同的方式作為個人信息跨境傳輸的保護措施。換言之，采取訂立標準合同的方式對于上述四類情形的保護是不夠充分的，因此仍然需要向網信部門申請安全評估，才符合法律要求。如果上述問題的答案均為“否”，則才可以采用通過與境外接收方簽署標準合同的措施，向境外接收方提供個人信息。

圖2 個人信息出境前提條件適用規則

注：

由于《個人信息出境標準合同規定（征求意見稿）》和《數據出境安全評估辦法（征求意見稿）》目前均為征求意見稿階段，本圖僅根據征求意見稿初步制定。如正式稿公布后，適用規則可能會相應調整。

針對第1個問題，《標準合同規定征求意見稿》主要依據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》和《個保法》的相關規定，明確CIIO在中華人民共和國境內運營中收集和產生的個人信息無法通過訂立標準合同的機制實施個人信息出境。此外，除個人信息外，作為CIIO，原則上，在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。確有需要向境外提供數據時，不論數據類型為個人信息或重要數據，不論數據量多少，都應向網信部門申請安全評估。并且，在安全評估通過后，方才可以向境外傳輸。

針對第2個問題，《標準合同規定征求意見稿》的表述為“處理個人信息不滿100萬人的”，《出境安全評估辦法征求意見稿》的表達為“處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息”。一方面，從上述表達來看，對于出境安全保護措施的選擇問題，法律法規規制的對象是某一類個人信息處理者，而非某一類處理行為。該類個人信息處理者需要具備處理了個人信息已達到一百萬人的特征。另一方面，網信辦于2021年11月14日發布了《網絡數據安全管理條例（征求意見稿）》，第二十六條規定“數據處理者處理一百萬人以上個人信息的，還應當遵守該條例對于重要數據的處理者的規定”。也就是說，從立法趨勢來看，對于處理個人信息達到100萬人以上（此處應當“含100萬人”）的個人信息處理者，法律將其與重要數據的處理者相提并論，無論出境的數據量是否達到100萬，只要個人信息處理者所處理的個人信息對應的主體數量達到100萬人，就需要向網信部門申請出境安全評估并且遵守重要數據處理者的相關要求。

根據上述理解，可進一步得出以下兩個結論：1）對于處理個人信息主體的數量達到100萬人的個人信息處理者，如果需要向境外提供個人信息，無論向境外提供的個人信息量是否達到100萬，都應當申請出境安全評估，而不能選擇適用標準合同的方式。舉個例子，對于用戶量已超過100萬的網站、App、小程序等互聯網產品，無論其向境外傳輸的單次數據量情況如何，均需要根據《出境安全評估辦法征求意見稿》申請安全評估，不能僅通過簽署標準合同的方式履行合規義務。2）對于處理個人信息主體的數量未達到或暫未達到100萬人的個人信息處理者，即使其擬出境的個人信息超出100萬個字段，也可以根據《個保法》第38條，任選一種個人信息出境的保護機制。當然，在滿足《標準合同規定征求意見稿》第四條其他適用條件的情況下，與境外接收方簽署標準合同可能成為多數企業有意向選擇的方案。

針對第3個問題和第4個問題，此次《標準合同規定征求意見稿》解答了實務中出現的一些困惑?！冻鼍嘲踩u估辦法征求意見稿》發布后，有些企業一度困惑于“累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息”的理解，起算時間是否為《出境安全評估辦法征求意見稿》生效后。此次《標準合同規定征求意見稿》回應了這類疑慮：若生效版正式稿保持同樣的要求，則企業應當計算自上一年1月1日起至該企業向境外傳輸數據之日止累計向境外提供個人信息的主體數量。舉個實例，假設《標準合同規定征求意見稿》于2022年10月1日宣布生效并立即實施，某企業計劃向境外傳輸個人信息的時間為2022年10月5日。當其在2022年7月4日進行企業內部自評估時，需要請后臺統計從2021年1月1日起至2022年7月4日期間處理個人信息對應的主體數量和已經累計向境外傳輸個人信息和敏感個人信息相對應的主體數量，如果已經處理的個人信息主體的人數還未超過100萬人，則再看累計向境外傳輸個人信息的主體人數是否已經達到10萬人（含）或者敏感個人信息主體人數已經達到1萬人（含），若達到了，則建議暫停向境外傳輸個人信息，該企業應當待《出境安全評估辦法征求意見稿》生效后，依流程向網信部門申請出境安全評估，獲得批準后再根據評估意見恢復個人信息傳輸出境。如果2022年7月4日得出的自評估報告顯示，該企業處理的個人信息人數未達100萬人、從2021年1月1日起至2022年7月4日止累計向境外傳輸的個人信息和敏感個人信息對應的主體數量分別未達10萬人和1萬人的，那么該企業同時還應當預估2022年7月5日至2022年9月30日期間可能向境外傳輸的個人信息主體的數量。如果根據往日數據預估，在未來3個月內注冊用戶人數可能突破一百萬的，以及向境外傳輸個人信息的人數將達到10萬人以上或傳輸敏感個人信息的人數將達到1萬人以上，從謹慎起見，還是不建議在7月4日時決策采用訂立標準合同的方式來完成將來的個人信息跨境傳輸，而應當待《出境安全評估辦法征求意見稿》生效后，依流程向網信部門申請出境安全評估。

結合上述假設的案例來看，不難看出，相較于安全評估，適用訂立標準合同的條件更為嚴苛，并且還會隨著企業向境外傳輸數據的動態變化進而實施周期性的評估和調整措施。因此，我們初步判斷，可選擇采用訂立標準合同作為個人信息出境安全措施的企業向境外傳輸的頻率不高，而且傳輸個人信息的主體人數不多，或者向境外傳輸的個人信息基本不屬于敏感個人信息的情況。但凡規模較大且有將個人信息出境作為常態化訴求的企業，基本都需要等待《出境安全評估辦法征求意見稿》生效，并在通過出境安全評估之后，方可進行跨境傳輸個人信息的活動。

二、出境前的個人信息保護影響自評估

《標準合同規定征求意見稿》第五條規定，在個人信息出境前，應當事先開展個人信息保護影響評估。根據《個保法》第五十五條，向境外提供個人信息的，應當事前進行個人信息保護影響評估，并對處理情況進行記錄。我們比對了《出境安全評估辦法征求意見稿》《標準合同規定征求意見稿》和《認證規范》中對于出境場景下企業自行組織的評估要求，具體如下：

通過比對可知，除了關注出境對個人權益帶來的影響外，《出境安全評估辦法征求意見稿》相比較其他兩者，自評估內容中還包括重點評估對國家安全、公共利益、組織的合法權益可能產生的風險或影響。究其原因，一方面是由于《出境安全評估辦法征求意見稿》的規制對象不僅包括個人信息，還包括重要數據等。另一方面，能夠符合適用《標準合同規定征求意見稿》的企業基本屬于處理個人信息相對應的主體數據量較少，向境外傳輸情況不太復雜，因處理個人信息人數少進而達到重要數據處理者標準的概率較低（除非該企業單獨掌握重要數據）的個人信息處理者。因此，《標準合同規定征求意見稿》未明確提及企業自評估的對象包括個人信息出境給“國家安全”“公共利益”“組織的合法權益”帶來的風險。從立法本意看，當處理大量個人信息的個人信息處理者跨境傳輸個人信息或重要數據時，因后續需要向網信部門申請安全評估，企業自評估的內容需以網信部門評審的要求提前自檢，即需結合個人信息出境對于國家安全和公共利益側的影響評估與分析。此外，相較于《標準合同規定征求意見稿》，《出境安全評估辦法征求意見稿》還強調了企業應當評估在數據轉移環節的管理和技術措施是否充足，能否保障出境數據的安全?！稑藴屎贤幎ㄕ髑笠庖姼濉贰墩J證規范》雖然未對上述評估內容有強制要求，但有分別要求企業從境外接收方所在國家或者地區的個人信息保護政策法規對標準合同履行是否造成影響以及境外接收方所在國家或者地區的網絡安全環境是否將對個人信息主體權益造成影響等內容進行評估。

值得關注的是，《標準合同規定征求意見稿》還提到個人信息處理者應當評估境外接收方所在國家或者地區的個人信息保護政策法規對標準合同履行的影響，這一點類似歐盟在Schrems II案中提出的傳輸影響評估（TIA），后續企業可以考慮引入外部評估機構進行協助。

個人信息保護影響評估是《個保法》下的法定義務，并且向境外傳輸個人信息是觸發個人信息保護影響評估的情形之一，因此，企業可以參考《個人信息影響評估指南》最新版本（現行版本為：GB/T 39335-2020），評估向境外提供個人信息活動是否合法、正當、必要，所采取的保護措施是否有效并與風險程度相適應等，并根據《標準合同規定征求意見稿》第七條的要求，將個人信息保護影響評估報告提交備案。盡管《出境安全評估辦法征求意見稿》《標準合同規定征求意見稿》和《認證規范》所指引的個人信息保護影響評估的重點內容各有側重，但總體來看差距不大。為了防范在評估之時企業處理個人信息的情況還在不斷變化和更新，實務中，我們建議企業針對個人信息出境事宜開展的個人信息保護影響評估所適用的評估清單應盡可能全面、細致，將幾類情況都提前覆蓋，否則遺漏了其中一項或幾項評估要點，可能影響整體的個人信息出境安排?？偨Y來看，至少應包括下列評估事項：

1. 向境外提供個人信息是否符合法律、行政法規；
2. 個人信息出境及境外接收方處理個人信息的目的、范圍、方式等的合法性、正當性、必要性；
3. 出境個人信息的數量、范圍、種類、敏感程度，個人信息出境可能對國家安全、公共利益、其他組織的合法權益帶來的風險，以及對個人權益帶來的影響；
4. 個人信息處理者在數據轉移環節的管理和技術措施、能力等能否防范數據泄露、毀損等風險；
5. 個人信息接收方承諾承擔的責任義務，以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全；
6. 個人信息出境和再轉移后泄露、毀損、篡改、濫用等的風險，個人維護個人信息權益的渠道是否通暢等；
7. 與境外接收方訂立的個人信息出境相關合同是否充分約定了數據安全保護責任義務，或者標準合同中是否提及了額外的數據安全保護責任義務；
8. 境外國家和地區的法律環境、網絡安全環境等對個人信息出境、個人權益保護、（標準）合同履行情況的影響等。

三、備案要求

《標準合同規定征求意見稿》創新地提出了對標準合同的備案要求。根據《標準合同規定征求意見稿》第三條的規定，依據標準合同開展個人信息出境活動，應堅持自主締約與備案管理相結合。歐盟《通用數據保護條例》（以下簡稱“GDPR”）第46條規定了個人信息跨境傳輸的相關機制，即允許個人信息在滿足特定條件的情況下，向未被歐盟認定為具有“足夠的數據保護水平”的國家、地區或國際組織轉移，這些機制包括：（一）基于公共機構之間具有約束力和可執行力的協議進行跨境傳輸；（二）制定具有約束力的公司規則（Binding Corporate Rules，以下簡稱“BCRs”），且該BCRs獲得了數據保護機關的批準（approve）；（三）數據出口方與數據進口方簽署了歐盟委員會發布（adopted）或成員國監管機構發布且經歐盟委員會批準的標準合同條款（Standard Contractual Clauses，以下簡稱“SCC”）；（四）基于經批準（approve）的行為守則（code of conduct）進行跨境傳輸；以及（五）基于經批準（approve）的認證機制進行跨境傳輸。

從上述要求來看，我國的標準合同管理機制與GDPR下的SCC不完全相同，GDPR下由監管部門歐盟數據保護委員會（EDPB）發布SCC，此后不需要企業另行履行備案手續。此外，我國的標準合同管理機制需進行的（行政）備案也不同于GDPR下對于其他跨境傳輸機制所要求的批準。

我國目前尚未針對行政備案形成統一、明確的概念，僅由部分地方法規對此進行了定義。根據《河北省行政備案管理辦法》第二條，行政備案是指行政機關或者法律、法規、規章授權的組織，依法接受公民、法人或者其他組織（以下簡稱行政相對人）報送其從事特定活動的有關材料，并將備案資料存檔以備事后監督的行為?！稄V州市行政備案管理辦法（2019修訂）》第二條也對行政備案進行了定義，即行政機關為了加強行政監督管理，依法要求公民、法人和其他組織報送其從事特定活動的有關材料，并將報送材料存檔備查的行為。

通過上述地方規定來看，備案主要是為了加強行政監督管理，要求行政相對人通過報送方式將有關材料向有關行政機關提交存儲，以備事后監督和檢查，并不等同于事前的行政審批。而《國務院關于加快推進政務服務標準化規范化便利化的指導意見》也將行政備案與行政許可、行政確認等進行了并列。換言之，行政備案并非行政許可和行政確認，并不創設或確認任何權利義務關系，行政備案本身不會使跨境傳輸無效。

具體到數據跨境傳輸行為，則體現在標準合同備案和生效日期的時間差上。根據《標準合同規定征求意見稿》第七條，個人信息處理者應當在標準合同生效之日起10個工作日內，向所在地省級網信部門提交標準合同和個人信息保護影響評估報告，以進行備案。同時，個人信息處理者對所備案材料的真實性負責。標準合同生效后個人信息處理者即可開展個人信息出境活動。

根據《標準合同規定征求意見稿》第十二條，個人信息處理者未履行備案程序或者提交虛假材料進行備案的，由省級以上網信部門依照《中華人民共和國個人信息保護法》的規定，責令限期改正；拒不改正或者損害個人信息權益的，責令停止個人信息出境活動，依法予以處罰；構成犯罪的，依法追究刑事責任。

結合上述規定來看，如果企業未履行備案，將面臨行政處罰，構成犯罪的，還可能承擔刑事責任。但整體而言，不影響合同的效力，即合同生效后即可開展個人信息出境活動。這也體現了《標準合同規定征求意見稿》第一條的立法理念，即一方面需要促進個人信息的自由跨境流通，另一方面也要保護個人信息權益和個人信息安全。

此外，《標準合同規定征求意見稿》第八條還規定了重新簽署合同并履行備案手續的情況，包括：（一）向境外提供個人信息的目的、范圍、類型、敏感程度、數量、方式、保存期限、存儲地點和境外接收方處理個人信息的用途、方式發生變化，或者延長個人信息境外保存期限的；（二）境外接收方所在國家或者地區的個人信息保護政策法規發生變化等可能影響個人信息權益的；（三）可能影響個人信息權益的其他情況。其中，向境外提供個人信息的“數量”發生變化需要重新簽訂標準合同，可能較難界定，具體是數據量的大小還是人數的多少，沒有明確的區間。實踐中值得探討的是，是否數量只要多一人或少一人，就需要重新備案？

同時，《標準合同規定征求意見稿》第九條也要求參與標準合同備案的機構和人員對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等應當依法予以保密，不得泄露或者非法向他人提供、非法使用。

四、救濟方式、罰則和其他

從救濟方式來看，《標準合同規定征求意見稿》第十條和第十一條分別規定了組織和個人有權進行投訴舉報，以及網信部門依職權發現違法行為后可書面通知個人信息處理者終止出境活動。

《標準合同規定征求意見稿》還規定了相關罰則，即個人信息處理者出現如下情形時，由省級以上網信部門依照《中華人民共和國個人信息保護法》的規定，責令限期改正；拒不改正或者損害個人信息權益的，責令停止個人信息出境活動，依法予以處罰；構成犯罪的，依法追究刑事責任：（一）未履行備案程序或者提交虛假材料進行備案的；（二）未履行標準合同約定的責任義務，侵害個人信息權益造成損害的；（三）出現影響個人信息權益的其他情形。

從上述規定來看，如果未履行相關責任義務，侵害個人信息權益，那么監管機關將直接對個人信息處理者進行處罰。同時，從標準合同第二條（六）、第八條（六）也可以看出，境內的個人信息處理者仍然需要作為兜底的外部責任直面方。對于是否可以直接處罰境外接收方，《標準合同規定征求意見稿》目前沒有明確要求。因此，如因境外接收方未履行相關數據安全保護責任，造成侵害個人信息權益造成損害，根據《標準合同規定征求意見稿》，則由個人信息處理者承擔責任，之后可根據《標準合同規定征求意見稿》中的《個人信息出境標準合同》第八條向境外接收方追償。

五、具體合同內容

根據《標準合同規定征求意見稿》第六條，標準合同包括以下主要內容：（一）個人信息處理者和境外接收方的基本信息，包括但不限于名稱、地址、聯系人姓名、聯系方式等；（二）個人信息出境的目的、范圍、類型、敏感程度、數量、方式、保存期限、存儲地點等；（三）個人信息處理者和境外接收方保護個人信息的責任與義務，以及為防范個人信息出境可能帶來安全風險所采取的技術和管理措施等；（四）境外接收方所在國家或者地區的個人信息保護政策法規對遵守本合同條款的影響；（五）個人信息主體的權利，以及保障個人信息主體權利的途徑和方式；（六）救濟、合同解除、違約責任、爭議解決等。

個人信息出境（跨境傳輸）作為個人信息處理活動中的一種，也應當遵循《個保法》對于個人信息處理活動的基本要求。因此，《個保法》中的對于個人信息處理活動的一般原則也在標準合同中的部分條款中予以了體現?！稑藴屎贤幎ㄕ髑笠庖姼濉芬愿郊男问焦剂藰藴屎贤木唧w條款。具體詳見附件中的分析。

整體而言，標準合同的主要條款都集中在境內外雙方對于跨境傳輸個人信息應當履行的義務，而沒有對雙方在數據處理活動中的權利等信息進行明確約定。這些未提及的內容就需要雙方通過其他合同來進行進一步細化。需要注意的是，根據《標準合同規定征求意見稿》第二條，個人信息處理者與境外接收方簽訂與個人信息出境活動相關的其他合同，不得與標準合同相沖突。并且，如果標準合同在達成或簽訂時與合同雙方已存在的任何其他協議發生沖突，標準合同的條款需要優先適用。

結語

此次網信辦公布標準合同，與歐盟SCC和香港近期公布的建議合約條文范本相比，最大的區別在于并未區分境內外主體在數據處理活動中的關系，即雙方是否對于數據處理活動具有獨立的決定權和掌握權，即GDPR語境下的“數據控制者”和“數據處理者”，以及香港《私隱條例》下的“資料使用者”和“資料處理者”。因此，無論是境內主體還是境外主體均需要對個人信息處理活動承擔較重的責任，甚至在標準合同中有進一步加重境內主體責任的趨勢。

我國《個保法》在第二十一條和第二十三條規定了類似委托處理和對外提供的兩種數據處理模式。對于跨境傳輸個人信息，是否有必要考慮在一定程度上針對境內外雙方之間的處理關系進行區分對待也是后續立法中可以考量的問題。盡管在標準合同的部分條款中有所體現，但是整體而言，標準合同似乎跳脫了傳統的數據處理關系，將跨境傳輸作為一種特殊的處理活動，賦予了境內外雙方各自不同于傳統委托處理、對外提供關系下的新的義務（例如接受詢問等）。

總而言之，隨著個人信息出境相關法律法規及配套文件的逐步出臺，對于個人信息出境的合規要求和合規路徑也日漸明晰。針對個人信息處理規模較小的主體而言，應充分考慮數據傳輸活動的不同情形，將標準合同與個人信息保護認證、個人信息保護影響評估等制度的實踐情況相結合；并且密切關注最新法律法規的動向，參考網信辦等部門后續可能會發布的配套指引性文件，進一步在實踐中對于標準合同規定和合規義務進行細化和落地，增強自身的風險管控能力，更加嚴格和謹慎地處理個人信息出境活動。