作者：高云

?

本文就中國數(shù)據(jù)跨境新規(guī)——《個人信息出境標(biāo)準(zhǔn)合同規(guī)定》及《標(biāo)準(zhǔn)合同》（征求意見稿）內(nèi)容進行全面分析并提出相應(yīng)的改進建議，具體分析包括標(biāo)準(zhǔn)合同的法律地位、合同框架和體系、境外接收者的主體范圍、個人信息處理者和境外接收方的義務(wù)難點、個人信息主體的法律地位、合同解除、合同轉(zhuǎn)讓、合同備案以及實施流程重點等十一個重點問題，期待監(jiān)管部門能夠充分聽取來自于實務(wù)界的聲音，做出更好一版的《規(guī)定》和《標(biāo)準(zhǔn)合同》。

?

為規(guī)范個人信息出境活動，國家互聯(lián)網(wǎng)信息辦公室（下稱“網(wǎng)信辦”）于2022年6月30日發(fā)布了《個人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》（下稱《規(guī)定》）和《個人信息出境標(biāo)準(zhǔn)合同》（下稱《標(biāo)準(zhǔn)合同》）。作為《個人信息保護法》（下稱《個保法》）的配套制度與文件，與此前網(wǎng)信辦發(fā)布的《數(shù)據(jù)出境安全評估辦法（征求意見稿）》（下稱《評估辦法》）《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》（下稱《網(wǎng)數(shù)條例》）等規(guī)范形成了一個完整的數(shù)據(jù)跨境規(guī)范和監(jiān)管體系，共同確保《個保法》第三十八條得到落實執(zhí)行。

?

本文就《標(biāo)準(zhǔn)合同》的相關(guān)重點問題、制度創(chuàng)新和不足進行點評，旨在與行內(nèi)人士進行專業(yè)交流。

?

六、關(guān)于個人信息主體的法律地位和加入方法

?

《標(biāo)準(zhǔn)合同》第二條第(三)款規(guī)定，個人信息主體依據(jù)本合同約定為第三方受益人，如果個人信息主體未在三十天內(nèi)明確拒絕，則可以依據(jù)該合同享有第三方受益人的權(quán)利。

?

上述條款吸取了歐盟立法的先進經(jīng)驗，將個人信息主體定義為《標(biāo)準(zhǔn)合同》的“第三方受益人”，系借鑒了歐盟《關(guān)于向第三國轉(zhuǎn)移個人數(shù)據(jù)的標(biāo)準(zhǔn)合同條款》的先進經(jīng)驗，在中國現(xiàn)行法律對于此類立法尚屬空白的情況下，這種積極探索創(chuàng)新的態(tài)度值得表揚。

?

但需要注意的是，并非《標(biāo)準(zhǔn)合同》當(dāng)中寫明“沉默即代表同意”的內(nèi)容，即可對合同主體之外的第三人生效，我們需要做更多工作。

?

因為根據(jù)《民法典》第140條規(guī)定，“……沉默只有在有法律規(guī)定、當(dāng)事人約定或者符合當(dāng)事人之間的交易習(xí)慣時，才可以視為意思表示”，所以，如果僅僅是《標(biāo)準(zhǔn)合同》有約定授予合同之外第三方個人信息主體擁有的合同權(quán)利，這是不足夠的，仍然可能存在個人信息主體有異議的問題。

?

所以，高云建議用戶應(yīng)該分別在個人信息主體與個人信息處理者之間的協(xié)議，還有與境外接收方之間的協(xié)議當(dāng)中，補上相應(yīng)的同意約定，取得個人信息主體的認(rèn)可更為穩(wěn)妥。

?

七、關(guān)于聯(lián)系人信息

?

《標(biāo)準(zhǔn)合同》開頭的合同主體信息、以及正文當(dāng)中的聯(lián)系人信息部分，都要求寫明聯(lián)系人的具體情況，此舉為保證個人信息主體方便聯(lián)系和投訴所設(shè)，這個初衷是好的，但需要兼顧降低實際操作繁瑣度的問題。

?

因為《標(biāo)準(zhǔn)合同》需要備案，如果將某個聯(lián)系人信息固定到《標(biāo)準(zhǔn)合同》當(dāng)中，就意味著聯(lián)系人不能輕易更換，否則企業(yè)就可能因為更換聯(lián)系人這個小事情，又需要對《標(biāo)準(zhǔn)合同》重新辦理備案，這種工作其實非常浪費人力和時間。

?

高云建議比較簡單的解決方法，是在《標(biāo)準(zhǔn)合同》當(dāng)中僅作出要求合同雙方都指定相應(yīng)的聯(lián)系人的內(nèi)容即可。對于具體聯(lián)系人的姓名、電話和郵箱等具體信息，不必寫入《標(biāo)準(zhǔn)合同》，可以在網(wǎng)信部門網(wǎng)站上開設(shè)個人信息處理者的聯(lián)系人公示欄目。如果將來企業(yè)因為工作變更或聯(lián)系人離職需要更換，企業(yè)自行登錄該公示欄目直接修改即可，既簡單省事又能夠滿足要求。

?

八、關(guān)于合同解除權(quán)的誤讀和補充

?

1.《標(biāo)準(zhǔn)合同》對于個人信息主體授權(quán)過寬，容易引起誤讀

?

《標(biāo)準(zhǔn)合同》條款第七條指的是合同解除權(quán)，即守約方可以在發(fā)生約定情形時宣布解除合同。而《標(biāo)準(zhǔn)合同》第五條第(六)款規(guī)定了個人信息主體有權(quán)向個人信息處理者和境外接收方任何一方主張并要求履行第七條的權(quán)利，兩個條款結(jié)合起來，容易引起誤讀的結(jié)果是，第三方受益人有權(quán)宣布解除《標(biāo)準(zhǔn)合同》。

?

這樣的解讀其實經(jīng)不起推敲，因為根據(jù)《民法典》第563條規(guī)定，合同解除只能由當(dāng)事人一方在發(fā)生五種法定情形之一時提出，即有權(quán)解除合同的主體不包括合同之外其他人。

?

高云估計，《標(biāo)準(zhǔn)合同》第五條所述的真正意思是，個人信息主體有權(quán)主張的僅僅是第七條當(dāng)中的第(四)款權(quán)利，即“經(jīng)雙方當(dāng)事人同意解除合同，但本合同的解除并不免除其在個人信息處理過程中的個人信息保護義務(wù)”，而非有權(quán)宣布解除《標(biāo)準(zhǔn)合同》。

?

高云認(rèn)為，上述錯誤主要是因為合同寫作技術(shù)存在問題，條款引用范圍不清所致。在合同寫作方法當(dāng)中，避免此類錯誤的應(yīng)對方法是盡量減少甚至杜絕條款之間的互相引用，解決錯誤的最好方法就是讓錯誤的前提不存在。

?

2.《標(biāo)準(zhǔn)合同》當(dāng)中的合同解除條款約定范圍不妥，而且遺漏約定境外接收方解除權(quán)和違約方解除權(quán)兩種情形

?

現(xiàn)在的《標(biāo)準(zhǔn)合同》規(guī)定較為寬廣的個人信息處理者合同解除權(quán)，境外接收方的合同解除權(quán)很狹窄，這種方式不妥。在實務(wù)當(dāng)中，出現(xiàn)上述方式的原因通常是因為合同系強勢一方起草，所以內(nèi)容偏向強勢方。

?

但是，《標(biāo)準(zhǔn)合同》為政府部門所寫，應(yīng)當(dāng)考慮同時兼顧雙方利益，現(xiàn)在有所偏向的寫法，容易予人不夠公平的印象和口實，其實也沒有必要。

?

因為數(shù)據(jù)跨境傳輸屬于超高風(fēng)險業(yè)務(wù)場景，任何一方違約都可能導(dǎo)致海量的個人信息外泄，影響面非常大，賦予雙方盡量寬廣的合同解除權(quán)，顯然比賦予一方能夠給予個人信息更強有力的保護，更能體現(xiàn)《個保法》的立法宗旨。

?

建議《標(biāo)準(zhǔn)合同》強化境外接收方解除權(quán)的約定。此外，《民法典》當(dāng)中已有明確規(guī)定，違約方也擁有相應(yīng)的合同解除權(quán)，因此《標(biāo)準(zhǔn)合同》也應(yīng)當(dāng)補充相應(yīng)的內(nèi)容。

?

九、關(guān)于合同轉(zhuǎn)讓的禁止

?

由于個人信息跨境提供屬于超高風(fēng)險業(yè)務(wù)場景，合同被轉(zhuǎn)讓就會導(dǎo)致境外接收方變動，如果變動頻繁就容易增加個人信息泄露的風(fēng)險。因此，限制甚至是禁止合同轉(zhuǎn)讓，是非常關(guān)鍵的一步。

?

但是，現(xiàn)在的《標(biāo)準(zhǔn)合同》版本沒有對于合同轉(zhuǎn)讓事宜作出約定，這是比較大的一個漏洞。

?

不要以為在補充合同當(dāng)中簡單寫一句“合同未經(jīng)一方同意不得轉(zhuǎn)讓”的類似約定即可解決問題。因為根據(jù)《民法典》第545條規(guī)定，“當(dāng)事人約定非金錢債權(quán)不得轉(zhuǎn)讓的，不得對抗善意第三人”。

?

換而言之，如果你在合同當(dāng)中沒有充分闡述寫明禁止合同轉(zhuǎn)讓給第三方的合理理由和第三方所面臨的違約和被拒絕履行等法律后果，合同雙方均無權(quán)阻止合同轉(zhuǎn)讓發(fā)生。

?

如果第三方依據(jù)《民法典》規(guī)定受讓了合同的權(quán)利義務(wù)，法律上即可有權(quán)要求個人信息處理者提供個人信息，這顯然是非常危險的。

?

還有，合同轉(zhuǎn)讓這種行為甚至連合同備案都無法阻止，因為依據(jù)《規(guī)定》和《標(biāo)準(zhǔn)合同》，合同是先生效后備案，而且僅為形式備案，所以合同是否備案均可被轉(zhuǎn)讓。

?

十、關(guān)于合同備案的三個問題

?

1.關(guān)于合同備案與合同成立、生效的設(shè)計

?

按照《規(guī)定》，個人信息處理者可以先提供數(shù)據(jù)再備案，備案只是形式備案。《標(biāo)準(zhǔn)合同》因而寫明，合同在雙方簽訂后即生效。由此推斷，似乎《標(biāo)準(zhǔn)合同》、補充協(xié)議以及備案都只是規(guī)定動作，沒有太大實質(zhì)意義。

?

其實不然，綜觀我國的數(shù)據(jù)安全立法，涉及數(shù)據(jù)的所有行為和內(nèi)容都要求必須遵循合法性、正當(dāng)性和必要性。所以，《標(biāo)準(zhǔn)合同》以及補充內(nèi)容絕不能僅僅符合形式要求，還應(yīng)當(dāng)符合實質(zhì)要求，如果有所懈怠，將給合同雙方埋下一系列不可預(yù)測的地雷。如果將來一旦發(fā)生安全審查、認(rèn)證評估或泄露事故，需要倒查責(zé)任時，情況就會變得一發(fā)不可收拾了。

?

為了幫助當(dāng)事人擁有更好的風(fēng)險控制能力，建議《標(biāo)準(zhǔn)合同》將合同成立和生效的約定權(quán)還給當(dāng)事人，讓當(dāng)事人根據(jù)實際情況另行處理。

?

根據(jù)《民法典》第502條關(guān)于“依法成立的合同，自成立時生效，但是法律另有規(guī)定或者當(dāng)事人另有約定的除外”的規(guī)定，個人信息處理者可以視風(fēng)險高低程度，與境外接收者作出不同約定：

?

對于低風(fēng)險的數(shù)據(jù)跨境流動，可以約定合同在雙方簽訂之日成立且生效。

?

對于高風(fēng)險的數(shù)據(jù)跨境流動，可以約定合同在簽訂之日成立，但在完成備案之日才生效。

?

2.如何避免減少不必要的反復(fù)備案？

?

無論是《規(guī)定》和《標(biāo)準(zhǔn)合同》，顯然都沒有對一旦發(fā)生《標(biāo)準(zhǔn)合同》輕微變化，例如增加多個境外接收者、基于不同目的出境、變更聯(lián)系人等等，如果嚴(yán)格執(zhí)行，則需要反復(fù)簽署、評估和備案，這容易讓企業(yè)浪費大量的時間精力。

?

在這點上，我們完全可以參考國內(nèi)關(guān)于集采合同的模式設(shè)計，允許合同任何一方的關(guān)聯(lián)方，以《合同加入通知》等方式，宣布加入已簽署的《標(biāo)準(zhǔn)合同》項目當(dāng)中，在相關(guān)主體資質(zhì)和承諾要求均符合原有《標(biāo)準(zhǔn)合同》要求的前提下，豁免簽訂和備案《標(biāo)準(zhǔn)合同》，如此做法可以大幅簡化程序，提高效率。

?

3.如何應(yīng)對短期內(nèi)同時大量并發(fā)的備案工作？

?

可以預(yù)見到在《規(guī)定》生效之后，將有大量企業(yè)在短期內(nèi)，一起擁到網(wǎng)信部門辦理《標(biāo)準(zhǔn)合同》備案登記。對于此類數(shù)量多、重復(fù)性強的工作，建議由國家網(wǎng)信部門牽頭開發(fā)《標(biāo)準(zhǔn)合同》線上人工智能審查和備案登記系統(tǒng)提高工作效率。高云根據(jù)開發(fā)類似人工智能系統(tǒng)的經(jīng)驗認(rèn)為，類似系統(tǒng)難度不高，開發(fā)時間不長，但能夠顯著提高工作效率，非常值得。

?

十一、關(guān)于實施流程的三大重點

?

高云建議客戶應(yīng)當(dāng)圍繞《標(biāo)準(zhǔn)合同》為中心制定整體實施方案，特別需要注意如下要點：

?

1.千萬不要把《標(biāo)準(zhǔn)合同》當(dāng)中一個合同模板，以為簡單簽名蓋章了事，雙方想寫什么內(nèi)容就貼入附件即可，正確態(tài)度是將《標(biāo)準(zhǔn)合同》作為數(shù)據(jù)出境合規(guī)工作的的關(guān)鍵節(jié)點和核心，圍繞它開展如下三項重點工作：

?

第一，向前回溯，考慮如何開展個人信息影響評估、境外接收主體和委托代理人資格判斷等事宜，確保合同簽訂的前提條件充分成就。

?

第二，向下深化，考慮如何對合同內(nèi)容進行補充、細(xì)化、擴充、備案、成立和生效等。

?

第三，向后延伸，構(gòu)思清楚《標(biāo)準(zhǔn)合同》簽訂之后如何執(zhí)行保護措施、應(yīng)對泄露事件、應(yīng)對投訴等問題。

?

2.在合同項目的準(zhǔn)備階段，要注重做好如下工作：

?

第一，對于境外接收方、委托代理人的主體資格進行合法性和充分性認(rèn)定。

?

第二，在產(chǎn)品前端加上相關(guān)的單獨同意、告知說明和附件下載，例如“向個人信息主體告知境外接收方的名稱或姓名、聯(lián)系方式、附錄一個人信息出境說明中的相關(guān)情況，以及行使個人信息主體權(quán)利的方式和程序等事項，并已取得個人單獨同意”等相關(guān)功能頁面。還有，將《標(biāo)準(zhǔn)合同》、雙方簽訂副本（經(jīng)適當(dāng)遮蔽）、有效摘要等在內(nèi)容展示并允許下載。

?

第三，做好個人信息影響評估工作。

?

第四，要求境外主體做好響應(yīng)個人的DSR權(quán)利和救濟的相應(yīng)配套開發(fā)、設(shè)計和實現(xiàn)工作。

?

第五，合同雙方都要做好對個人信息的日常維護保護措施、應(yīng)對泄露事件、應(yīng)對投訴等問題的制度和應(yīng)對流程。

?

3.在合同內(nèi)容寫作和簽訂階段，要注意做好如下工作：

?

第一，聘請專業(yè)律師團隊，對于《標(biāo)準(zhǔn)合同》的內(nèi)容進行適當(dāng)?shù)难a充、擴張和解釋，在確保補充合同內(nèi)容符合歐盟等外國SCCs的同時，不要忘記更重要的是，補充合同內(nèi)容必須符合我國《民法典》的相關(guān)規(guī)定。

?

第二，在合同簽訂方式上，靈活選擇書面簽和電子簽兩種方式。考慮到因為疫情原因，國際快遞來回的在途時間較長，而標(biāo)準(zhǔn)合同要求在合同生效之日起10日內(nèi)向省級網(wǎng)信部門備案，這就可能面臨合同還沒有寄回時已經(jīng)超過生效10日的尷尬局面，所以最好選擇電子簽的方式。

?

結(jié)語

?

綜上所述，《規(guī)定》和《標(biāo)準(zhǔn)合同》使得數(shù)據(jù)跨境監(jiān)管措施的靴子終于落地，高云期待監(jiān)管部門能夠充分聽取來自于實務(wù)界的聲音，做出更好一版的《規(guī)定》和《標(biāo)準(zhǔn)合同》，大家一起為打開中國數(shù)據(jù)合規(guī)新局面共同努力。

?

——————————————————————

?

高云，本名汪宏杰，30年法律從業(yè)經(jīng)驗，“合同六法”、“中國高質(zhì)量合同范本庫”創(chuàng)始人，擅長不良資產(chǎn)、并購重組、企業(yè)合規(guī)和法律顧問等業(yè)務(wù)，服務(wù)客戶覆蓋金融、互聯(lián)網(wǎng)、房地產(chǎn)、服務(wù)、快銷等行業(yè)。多年來先后出版《思維的筆跡》《公司法實務(wù)指南》《民法典時代合同實務(wù)指南》等14本法律實務(wù)類暢銷榜冠軍書籍，在中國法律界享有較高的知名度。

?