文丨??陳梅瑜 吳嬌燕 夏律??浙江墾丁律師事務所

編輯 丨 任晶晶?

實務 · 詳解

全文總計約6444字，細讀時間約20分鐘

本期內容

? //??

一、《備案指南》發(fā)布的背景和意義

二、備案流程

三、備案需要提交的材料

四、備案后的事后跟進

五、提交文件的注意事項

六、其他在實務中需要關注的問題

序言

為了指導和幫助個人信息處理者規(guī)范、有序備案個人信息出境標準合同，國家互聯(lián)網信息辦公室編制了《個人信息出境標準合同備案指南（第一版）》（以下簡稱“《備案指南》”），對個人信息出境標準合同備案方式、備案流程、備案材料等具體要求作出了說明。

個人信息處理者通過與境外接收方訂立個人信息出境標準合同的方式向境外提供個人信息，應當根據(jù)《個人信息出境標準合同辦法》規(guī)定，按照備案指南向所在地省級網信部門備案。

《個人信息保護法》第三十八條確定的數(shù)據(jù)出境的三條路徑的細則、落地指南至此已經明晰，此前我們已經對《個人信息出境標準合同辦法》及標準合同的適用要點進行了分析，詳見：

個人信息出境國家標準合同（SCCs）的30個評析意見

《個人信息出境標準合同辦法》與征求意見稿對比表

本文將在實操角度對《備案指南》的發(fā)布背景和意義、備案流程、備案所需材料、備案后跟進、提交材料的注意事項以及其他問題等內容進行詳細解讀。

一、《備案指南》發(fā)布的背景和意義

1.發(fā)布背景

2023年2月24日，國家網信辦正式公布《個人信息出境標準合同辦法》，明確了個人信息出境標準合同的訂立、備案等要求。自此，標準合同、安全評估、保護認證共同構成了個人信息出境三條路徑?！秱€人信息出境標準合同辦法》已于2023年6月1日施行，該辦法施行前已經開展的個人信息出境活動，不符合該辦法規(guī)定的，應當自該辦法施行之日起6個月內完成整改。

因此，企業(yè)若選用《標準合同》作為個人信息出境的合規(guī)路徑，須在2024年1月1日前根據(jù)《備案指南》的要求通過備案。

2.標準化合同的制度發(fā)展

標準合同（Standard Contractual Clauses，SCC）制度起源于歐盟1995年的《個人數(shù)據(jù)保護指令》（其后被GDPR替代），2021 年 6 月 4 日，歐盟委員會發(fā)布了用于保護個人數(shù)據(jù)的新的標準合同條款。這些新的標準合同條款取代了歐盟委員會在 2010 年采用可用于支持在特定情況下合法傳輸數(shù)據(jù)的 SCC。通過實行各種合同義務，SCC允許將受 GDPR 約束的個人數(shù)據(jù)傳輸給歐洲經濟區(qū)以外的接收方。

2021年11月1日生效的《中華人民共和國個人信息保護法》第三十八條規(guī)定，個人信息處理者因業(yè)務等需要，確需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：…（三）按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務。該條款為中國標準合同作為個人信息出境的解決方案提供了法律基礎。

2022年06月30日，中國網信網發(fā)布了《個人信息出境標準合同規(guī)定（征求意見稿）》，并向社會公開征求意見。

2023年2月22日《個人信息出境標準合同辦法》正式發(fā)布，并于2023年6月1日起施行。

2023年05月30日，中國網信辦發(fā)布了《個人信息出境標準合同備案指南（第一版）》，對個人信息出境標準合同備案方式、備案流程、備案材料等具體要求作出了說明。

二、備案流程

三、備案需要提交的材料

? ?1.材料清單

2.書面材料并附帶材料電子版

《備案指南》要求個人信息處理者需通過“送達書面材料并附帶材料電子版的方式”向所在地省級網信辦備案，該要求與《數(shù)據(jù)出境安全評估申報指南（第一版）》（以下簡稱“《申報指南》”）要求的方式保持一致。根據(jù)上海市網信辦于6月7日發(fā)布的《上海市網信辦關于個人信息出境標準合同備案的通知》，其規(guī)定電子版材料應當為與紙質材料一致的PDF掃描件（可使用光盤或者其他存儲介質）。個人信息處理者應先將完整電子版材料發(fā)送至指定備案材料接收郵箱（請以所在地監(jiān)管機構的要求為準），待電子版材料查驗通過后線下提交書面材料并附帶材料電子版。

四、備案后的事后跟進

企業(yè)應當重新開展個人信息保護影響評估，補充或者重新訂立標準合同，并履行備案手續(xù)的3種情形主要包括：

一是向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發(fā)生變化，或者延長個人信息境外保存期限的；

二是境外接收方所在國家或者地區(qū)的個人信息保護政策和法規(guī)發(fā)生變化等可能影響個人信息權益的；

三是可能影響個人信息權益的其他情形。

五、提交文件的注意事項

1.授權書授權人的要求

（1）經辦人授權委托書

該授權書是個人信息處理者出于備案流程本身對經辦人員的授權，主要目的是由經辦人代表個人信息處理者進行個人信息出境標準合同備案過程中的一切行為，包括所簽署和上傳的資料。本質上若標準合同備案辦結，那么相應的授權事項也就結束了。建議對授權人的要求系對本次數(shù)據(jù)出境的情況較為熟悉的人員，同時在標準合同有效期內職務相對穩(wěn)定的數(shù)據(jù)合規(guī)人員最為合適。

（2）授權書的期限問題

因為經辦人將代表公司接受監(jiān)管部門的詢問并提交相關材料，參考備案流程所需的時間（如自評估報告3個月內、合同生效后10個工作日內申請備案、15個工作日內完成檢驗、10個工作日內補足材料），授權書給予經辦人的期限應當至少能夠完成整個流程，并考慮需要補充材料的時間，給予相對寬裕的辦理時間為宜，避免授權書到期，備案還沒完成的尷尬情況發(fā)生，需法人和法代再次蓋章、簽字授權。

2.承諾函承諾事項的說明和解析

（1）承諾函

承諾函的大部分內容均為字面含義，我們在此不再進行過多解釋。我們重點解讀一下“三、未采取數(shù)量拆分等手段，將依法應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供”。

在實踐中，我們常會遇到可能與同一境外接收方存在若干個合作事宜，如可能有員工的數(shù)據(jù)出境、業(yè)務的合作等多個目的需要進行數(shù)據(jù)跨境，這種情況下，我們需不需拆分不同的合同？若拆分之后可能導致無需備案的場景，我們認為一份標準合同中可承載多個數(shù)據(jù)出境的目的，可在附件中載明。

另外，目前許多的跨國企業(yè)都是通過集團化管理的方式進行，那么集團項下是否可以拆分為若干個子公司、控股公司等分別進行申報，或者無需進行備案申報了呢？這一情況并非可以依據(jù)各個公司是獨立的法人這一理由一筆帶過，而是要看不同公司之間是否使用同一賬號體系、存不存在數(shù)據(jù)融合以及各個子公司的數(shù)據(jù)是否在服務器中隔離存儲等等因素綜合判斷同一集團項下的數(shù)據(jù)出境活動是否要進行拆分申報。

3.標準合同

（1）標準合同的不可修改要求

根據(jù)《個人信息出境標準合同辦法》第6條規(guī)定，標準合同應當嚴格按照該辦法附件訂立。國家網信部門可以根據(jù)實際情況對附件進行調整。個人信息處理者可以與境外接收方約定其他條款，但不得與標準合同相沖突。

因此，建議在標準合同的正文盡量不要進行修改調整，如有特殊情況或其他需要說明的事項可以在合同附件中聲明，如有特殊約定建議對個人信息的跨境傳輸保護措施等也不得低于標準合同正文約定的要求。

（2）標準合同中的技術和管理措施如何披露

根據(jù)標準合同中的約定，（五）盡合理地努力確保境外接收方采取如下技術和管理措施（綜合考慮個人信息處理目的、個人信息的種類、規(guī)模、范圍及敏感程度、傳輸?shù)臄?shù)量和頻率、個人信息傳輸及境外接收方的保存期限等可能帶來的個人信息安全風險），以履行本合同約定的義務：（如加密、匿名化、去標識化、訪問控制等技術和管理措施）。該條款的重點在于披露的措施需要與數(shù)據(jù)跨境傳輸可能帶來的個人信息安全風險相適應。同時，應當注意對境外接收方的措施進行披露以及要求其提供相應的材料證明。措施可根據(jù)已經采取的措施據(jù)實說明。

（3）是否需要向用戶公開標準合同

根據(jù)《個人信息出境標準合同辦法》要求，個人信息處理者需要根據(jù)個人信息主體的要求向個人信息主體提供本合同的副本。如涉及商業(yè)秘密或者保密商務信息，在不影響個人信息主體理解的前提下，可對本合同副本相關內容進行適當處理。

因此，標準合同并未要求企業(yè)向用戶公開標準合同的全部內容。結合個保法對個人信息跨境傳輸?shù)囊?，個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權利的方式和程序等事項，并取得個人的單獨同意。筆者認為根據(jù)目前的實踐，我們告知用戶上述事項即已經達到了合規(guī)的要求。目前市面上對上述內容披露較為完善的有奔馳、三星以及ZARA。

（4）如何根據(jù)個人信息主體的要求向個人信息主體提供標準合同的副本

我們對市面上較為頭部的一些跨國公司的隱私政策進行調研中發(fā)現(xiàn)，大部分公司并未向用戶提供標準合同副本的渠道。目前只有微軟在隱私政策稱在從歐盟向其他國家傳輸數(shù)據(jù)的過程中，會簽署歐盟的標準合同條款，并設置了超鏈接，指引用戶去查看歐盟委員會官網上的標準條款。戴森也在隱私政策中聲明用戶可以通過歐盟委員會網站查看更多的信息。

因目前國內并沒有明確的法規(guī)要求企業(yè)向用戶主動提供標準合同的副本，如果借鑒微軟以及戴森的做法向用戶提供一些標準合同的通用條款查看路徑，也不失為一種辦法。

（5）如何對標準合同約定義務進行留痕以承擔舉證責任

標準合同約定的義務包括了向個人信息主體告知境外接收方的名稱或者姓名、聯(lián)系方式、基于個人同意向境外提供個人信息的，應當取得個人信息主體的單獨同意、個人信息主體告知其與境外接收方通過本合同約定個人信息主體為第三方受益人、盡合理地努力確保境外接收方采取如下技術和管理措施等。

我們認為針對個人信息主體告知的這一類義務，可以通過前端協(xié)議、保存用戶同意日志等方式進行留痕。對于對境外接收方的審核，可以要求境外接收方填寫數(shù)據(jù)合規(guī)問卷以及提供相應的證明材料等方式進行備查留痕，以證明我們對境外接收方的技術和管理措施盡到了審查義務。

4.PIA報告的時間節(jié)點

（1）個人信息保護影響評估報告（PIA報告）

根據(jù)《備案指南》附件3承諾書模板以及標準合同第二條第八款，PIA報告的完成時間應在備案之日前3個月內，保存時間為至少3年。

（2）PIA報告的填寫注意事項

①《備案指南》附件5的PIA報告模板與《申報指南》附件4的《數(shù)據(jù)出境風險自評估報告（模板）》（以下簡稱“《自評估報告》”）整體結構大致相同，企業(yè)在開展PIA時亦可參考《申報指南》“填表說明”進行理解與填寫。但需要注意以下幾點：

·《備案指南》的PIA報告模板相較《自評估報告》新增了第三方機構參與評估的要求：如有第三方機構參與評估，PIA報告還需說明第三方機構的基本情況及參與評估的情況，并在相關內容頁上加蓋第三方機構公章；

·《備案指南》的PIA報告模板對于出境活動整體情況的說明要求，相較《自評估報告》，新增關注向第三方提供個人信息情況、確保標準合同條款落實措施、敏感個人信息處理以及利用個人信息進行自動化決策情況。建議企業(yè)在開展以標準合同備案為目的PIA時應當重點關注新增評估點；

·《備案指南》的PIA報告模板未要求說明分類分級制度以及數(shù)據(jù)處理者與境外接收方之間訂立的合同等法律文件約定的數(shù)據(jù)安全保護責任義務，而是更注重境外接收方所在國家或者地區(qū)的個人信息保護政策和法規(guī)對標準合同履行的影響。

②PIA模板與標準合同的內容有所重合，企業(yè)在填寫兩份文件時，應確保文件之間重合的內容銜接流暢意思表達一致，避免出現(xiàn)內容沖突。

六、其他在實務中需要關注的問題

1.《標準合同》的備案是否是《標準合同》的生效要件

根據(jù)《個人信息出境標準合同辦法》第三條，通過訂立標準合同的方式開展個人信息出境活動，應當堅持自主締約與備案管理相結合、保護權益與防范風險相結合，保障個人信息跨境安全、自由流動。因此，企業(yè)不進行備案并不影響合同的效力，但若企業(yè)不進行標準合同備案，可能導致監(jiān)管部門對企業(yè)進行責令改正、停止個人信息出境行為等情況，會對企業(yè)業(yè)務開展產生不良影響。

2.不同關聯(lián)主體是否可以聯(lián)合合并備案

目前《備案指南》尚未明確不同關聯(lián)主體之間是否可以合并數(shù)據(jù)出境情況進行備案。若《標準合同》中境內“個人信息處理者”涉及多方，《備案指南》中要求企業(yè)提供《經辦人授權委托書》及《承諾書》，以上文件均需要境內各方分別出具，因此為我們建議應分別與“境外接收方”簽訂標準合同，而非合并簽署合同及備案。

3.首次備案審查未通過的影響

標準合同備案工作并非完全的形式審查，體現(xiàn)了我國數(shù)據(jù)出境和網絡安全的監(jiān)管力度。根據(jù)《備案指南》，備案結果分為通過、不通過。通過備案的，省級網信辦向個人信息處理者發(fā)放備案編號；首次備案審查未通過的，個人信息處理者將收到備案未成功通知及原因，要求補充完善材料的，個人信息處理者應當補充完善材料并于10個工作日內再次提交。

4.境外接收方向境外第三方再次提供所接收的個人信息，是否需要再次簽署《標準合同》并進行備案？

若企業(yè)在同一業(yè)務運營場景中，向面臨境外接收方可能向境外其他第三方提供個人信息的情況，若同時滿足以下情況：

• 確有業(yè)務需要。

• 已告知個人信息主體該第三方的具體信息、個人信息處理目的范圍等事項。

• 涉及敏感個人信息的，還應當向個人信息主體告知提供敏感個人信息的必要性以及對個人權益的影響。

• 基于個人同意處理個人信息的，應當取得個人信息主體的單獨同意。

• 與第三方達成書面協(xié)議，確保第三方的個人信息處理活動達到中華人民共和國相關法律法規(guī)規(guī)定的個人信息保護標準。

• 根據(jù)個人信息主體的要求向個人信息主體提供該書面協(xié)議的副本。

無論該第三方是否與境外接收方位于同一國家，我們建議企業(yè)在《標準合同》附錄一的第（六）項中補充該第三方的具體信息、個人信息處理目的范圍等事項，無需另行重復簽署《標準合同》以及進行備案。

5.企業(yè)違反《標準合同》規(guī)定的，對企業(yè)出境活動有什么影響

根據(jù)《標準合同》的內容來看，除承擔違約責任或面臨行政處罰外，省級以上網信部門有權要求個人信息處理者立即終止個人信息出境活動，并影響企業(yè)此后可能的數(shù)據(jù)安全評估申報和標準合同備案工作，導致業(yè)務連續(xù)性受到不可挽回的負面影響。

因此我們建議企業(yè)嚴格遵守《標準合同》中各條款約定的義務，并承擔相應的個人信息保護責任，避免出現(xiàn)違反《標準合同》規(guī)定的情況。

作者介紹

陳梅瑜

浙江墾丁律師事務所律師，網經社電子商務研究中心特約研究員，上海大學法律碩士研究生。

主要專注于數(shù)據(jù)安全、電子商務、網絡直播、平臺規(guī)則等場景的合規(guī)工作。

參與/跟進：浙江省市場監(jiān)督管理局直播電商的合規(guī)評審項目；法天使各類型平臺用戶協(xié)議撰寫項目；納斯達克上市企業(yè)數(shù)據(jù)合規(guī)專項項目；民法典生效后隱私權、個人信息保護糾紛第一案；oppo訴刷機平臺不正當競爭案；觸手訴主播跳槽的不正當競爭糾紛、合同糾紛案；游戲飾品交易平臺責任界限相關的網絡服務合同糾紛、OPPO訴嗨來電等來電秀軟件劫屏案等系列合規(guī)與訴訟。

吳嬌燕

浙江墾丁律師事務所專職律師，畢業(yè)于浙江財經大學法學專業(yè)，曾任職于科技企業(yè)法務部門，為企業(yè)提供業(yè)務合規(guī)、投融資、爭議糾紛等工作。

目前主要從事數(shù)據(jù)合規(guī)、個人信息保護、車聯(lián)網、涉網侵權訴訟、電子商務及其他互聯(lián)網領域涉及的法律事務，參與跟進過互聯(lián)網檢測交易平臺規(guī)則體系合規(guī)項目、知名應用市場分發(fā)平臺審計項目、知名手機合規(guī)整改項目、車聯(lián)網系統(tǒng)合規(guī)評審項目、電商平臺合規(guī)處理、互聯(lián)網廣告合同糾紛等。

夏律

浙江墾丁律師事務所律師，主要執(zhí)業(yè)領域為網絡安全與數(shù)據(jù)合規(guī)、個人信息隱私保護、互聯(lián)網出海等領域，曾參與多起數(shù)據(jù)隱私合規(guī)及互聯(lián)網出海合規(guī)服務，包括某大型網絡游戲公司未成年人隱私合規(guī)項目、某上市智能終端產品和移動互聯(lián)服務公司海外數(shù)據(jù)隱私合規(guī)項目、某知名綜合性互聯(lián)網公司內容安全合規(guī)項目、某知名短視頻社交平臺海外多國的跨境數(shù)據(jù)合規(guī)專項法律服務等，并對短視頻、電商、游戲、新零售、直播等平臺的數(shù)據(jù)安全與合規(guī)領域較為熟悉并有相關實務經驗的積累。夏律畢業(yè)于中山大學、中國傳媒大學，分別取得法律碩士學位和工學學士學位。

關于威理揚????

　　墾丁律師事務所威理揚法律團隊，骨灰級二次元迷匯集地、產品經理型律師團隊。專注ACG產業(yè)全生命周期法律合規(guī)、為互聯(lián)網企業(yè)提供出海合規(guī)方案、國內研發(fā)及發(fā)行各階段法律風險梳理及評估、數(shù)據(jù)合規(guī)、知識產權及訴訟糾紛等。

團隊初心

“二次元”發(fā)源日本，面向世界。時代賦予了“二次元”新的含義和生命。

悲壯如銀河戰(zhàn)爭中的提督楊威利、孤勇如明治維新的劍客緋村劍心，堅毅如滿血熱愛穿越千年的棋魂藤原佐為、溫暖如十二國殘酷斗爭中始終給人希望方向的半獸樂俊....

新的時代，我們看到了在日本揚帆起航的羅小黑戰(zhàn)記、收獲了時光代理人帶來的驚心動魄、看到刺客伍六七邁向世界的高昂步伐、也驚艷于原神的全球開花......

熱愛二次元、癡迷日語、精通英語的我們，從漫畫到動畫，從動畫到游戲，從游戲到虛擬世界.....愿以法律合規(guī)為器，伴你披荊斬棘，為你保駕護航。

聲明

本文章所載內容僅供參考之用，并不代表威理揚法律團隊及律師的意見。如需更多信息，請聯(lián)系我們。