走出去智庫觀察

6月30日，國家互聯網信息辦公室發布《個人信息出境標準合同規定(征求意見稿)》(以下簡稱《標準合同規定》)，向公眾征求意見的反饋截止時間為2022年7月29日。

走出去智庫 (CGGT) 特約法律專家、北京德恒律師事務所合伙人王一楠指出，為了有效地保護個人信息主體的權利，標準合同在條款設計方面環環相扣、細致全面。另一方面，有些條款也會給個人信息處理者和境外接收方帶來合規挑戰，建議在合同履行過程中予以特別注意。

《標準合同規定》有哪些重要條款？今天，走出去智庫（CGGT）刊發王一楠律師的文章，供關注跨境數據合規管理的讀者參考。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、為了確保本國的個人信息在出境之后能得到與其在境內相同的保護，各國立法專家們設計了各種數據跨境流動的保護措施。其中應用較廣的一種就是“標準合同條款”（Standard Contractual Clause或SCC），即要求境內數據出口方與境外數據進口方簽署一個由監管部門事先擬定的標準合同條款，通過合同法賦予的法律約束力來將境內的管轄權“延伸”至境外，達到一定“境內法域外適用”的效果。

2、在標準合同簽署之后，如果發生《標準合同規定》第八條項下可能影響個人信息權益的“重大變化”，應當重新簽署標準合同并備案。

3、相較于數據出境安全評估的流程，標準合同這種出境路徑更加快捷、可預期、且低成本。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

2022年6月30日，國家互聯網信息辦公室（“國家網信辦”）發布了《個人信息出境標準合同規定（征求意見稿）》（“標準合同規定”）。這是繼去年10月29日發布的《數據出境安全評估辦法（征求意見稿）》（“評估辦法”）之后，國家網信辦為了落實《個人信息保護法》（“個保法”）第三十八條項下三條個人信息出境路徑（即安全評估、認證、標準合同）而推出的第二個具體規定，構成我國數據出境安全管理制度一個重要組成部分。

一、《標準合同規定》的適用范圍

隨著全球化與數字經濟的發展，數據在國際間的流動越來越頻繁。實踐中，跨國公司的全球員工統一管理、海外云存儲、海外IT技術支撐、出境商務或旅游、跨境電商等場景下，我國的個人信息都有可能被傳輸到境外。根據《標準合同規定》第四條（并結合《評估辦法》第四條的理解），凡是未達到安全評估“門檻”的，個人信息處理者向境外傳輸個人信息均可以按照《標準合同規定》的處理。簡而言之，“大量/高風險”個人信息出境需要進行安全評估，“少量/低風險”個人信息出境可以選擇簽署標準合同。

二、標準合同的“前世今生”

為了確保本國的個人信息在出境之后能得到與其在境內相同的保護，各國立法專家們設計了各種數據跨境流動的保護措施。其中應用較廣的一種就是“標準合同條款”（Standard Contractual Clause或SCC），即要求境內數據出口方與境外數據進口方簽署一個由監管部門事先擬定的標準合同條款，通過合同法賦予的法律約束力來將境內的管轄權“延伸”至境外，達到一定“境內法域外適用”的效果。

早在2001年，歐盟委員會就首次推出了基于《第95/46/EC號保護個人在數據處理和此類數據自動流動中權利的指令》（“95指令”）的標準合同條款SCC2001C和SCC2001P，后在2004年和2010年分別推出了兩個新版本SCC2004C和SCC2010P（后者取代SCC2001P）。

為了與2018年生效的《通用數據保護條例》（GDPR）保持一致，歐盟委員會于2021年6月4日公布最新版本標準合同條款（“歐盟SCC”），取代之前所有的SCC版本。

事實上，世界上很多國家和地區也都先后推出自己的SCC版本，例如，英國UK IDTA，東盟ASEAN MCCs（“東盟MCC”），香港建議范本條文等。我國《標準合同規定》所附的合同條款也借鑒了國際上的一些成熟作法。

在內容方面，《標準合同規定》分為兩個部分：規定正文和附件“個人信息出境標準合同”模板（“標準合同”）。規定正文介紹了標準合同在實踐中的具體使用方法，而標準合同則提供一個完整合同模板，約定了各方的權利義務及其他合同條款。下文將分章對規定正文和附件進行解讀。

三、標準合同在實踐中的使用方法

根據《標準合同規定》的正文，我們理解如果個人信息處理者因業務需要向境外提供國內的個人信息，首先應當根據《個保法》第五十五條進行個人信息保護影響評估（類似歐盟的DPIA）。同時，個人信息處理者需要對照《標準合同規定》第四條，確認該規定是否適用，即同時滿足如下四個條件：（1）非關鍵信息基礎設施運營者，（2）處理個人信息不滿100萬人，（3）自上年1月1日起累計向境外提供未達到10萬人個人信息，（4）自上年1月1日起累計向境外提供未達到1萬人敏感個人信息。

如果《標準合同規定》第四條適用，個人信息處理者應與境外數據接收方商討標準合同簽署的具體細節，包括但不限于填寫其附錄一“個人信息出境說明”中所要求信息，就雙方約定的其他條款進行談判并填寫至其附錄二，選定第九條第（五）款中的爭議解決方式等。

待雙方就上述事項達成一致且完成標準合同簽署之后，個人信息處理者即可進行個人信息的出境活動。同時，個人信息處理者應履行《標準合同規定》第七條的備案義務，將簽署的《標準合同》和《個人信息保護影響評估報告》向所在地省級網信部門備案。

在標準合同簽署之后，如果發生《標準合同規定》第八條項下可能影響個人信息權益的“重大變化”，應當重新簽署標準合同并備案。在標準合同履行過程中，監管部門如果發現《標準合同規定》第十一條所述的違規情形（例如實際出境的個人信息超出所備案的數量等）有權立即終止出境活動。

為了方便讀者理解，本文通過如下圖示說明標準合同在實踐中的使用方法。

四、標準合同重要條款分析

1.第三方受益人

標準合同通過賦予個人信息主體“第三方受益人”的地位來加強對其的保護。具體的操作是：首先，個人信息處理者通過履行標準合同第二條第（三）款項下的告知義務來賦予個人信息主體“第三方受益人”的權利；其次，在標準合同中約定個人信息處理者和/或境外數據接收方需要向個人信息主體承擔義務的若干條款〔詳見標準合同第五條第（六）款〕；最后，標準合同第九條第（四）款明確了個人信息主體可以通過訴訟來實現其“第三方受益人”權利的路徑。

“第三方受益人”借鑒了歐盟SCC中“Third-Party Beneficiary”的制度設計（事實上，并非歐盟所有成員國法律都支撐該法律概念）。該設計的目的是突破合同相對性，讓個人信息主體無需在合同上簽字也可以據此起訴個人信息處理者和/或境外數據接收方。我國法律雖沒有明確規定“第三方受益人”這個概念，但在《民法典》第五百二十二條中可以找到一定支撐。至于該制度設計最終是否可以“落地”，期待在未來的司法實踐中予以檢驗。

2.單一模塊化設計

標準合同在形式上與歐盟SCC和東盟MCC的一個顯著區別就是沒有像后者那樣采用多模塊設計。歐盟SCC為了適應實踐中的多種場景，基于數據出口方和進口方在跨境傳輸時的角色不同設計了如下四種模塊條款：

（1）出口方是控制者（Controller），進口方也是控制者（Controller）（“C-C場景”），

（2）出口方是控制者（Controller），進口方是處理者（Processor）（“C-P場景”）；

（3）出口方是處理者（Processor），進口方也是處理者（Processor）（“P-P場景”）；

（4）出口方是處理者（Processor），進口方是控制者（Controller）（“P-C場景”）。

東盟MCC雖不像歐盟SCC那么完整地設計出四種模塊條款，其也根據數據出口方和進口方在跨境傳輸時的常見角色設計了如下兩種模塊條款：

（1）出口方是控制者（Controller），進口方也是控制者（Controller）（“C-C場景”），

（2）出口方是控制者（Controller），進口方是處理者（Processor）（“C-P場景”）。

標準合同雖然沒有明確采用多模塊的設計，但在條款表述上兼顧了不同場景下的義務區別。總體而言，標準合同第三條第（四）款，第三條第（六）款第5項款，第三條第（八）款這三處均為境外接收方“受個人信息處理者委托處理個人信息”的情況（即C-P場景）匹配了合適的義務條款，準確地體現境外接收方作為受托人的從屬地位。這種單一模塊設計更類似于英國的UK IDTA，即并不明確羅列多種模塊，而是使用“如果接收方是處理者或次級處理者”等語句，體現該場景下相應義務或權利所對應的變化。

至于標準合同在P-P場景和P-C場景下的適用問題，標準合同條款本身并未給出明確答案。筆者認為《個保法》第三十八條雖規定標準合同僅在個人信息處理者向境外提供個人信息時適用，但從立法目的解釋的角度來說，個人信息受托人向境外提供個人信息也應當簽署標準合同。

3.合同雙方面臨的挑戰

為了有效地保護個人信息主體的權利，標準合同在條款設計方面環環相扣、細致全面。另一方面，有些條款也會給個人信息處理者和境外接收方帶來合規挑戰，建議在合同履行過程中予以特別注意。

對于個人信息處理者而言，標準合同要求其對境外接收方的處理行為進行一定監督〔如第二條第（四）款和第（十）款〕以及對境外接收方所在國的相關政策法規進行某種程度的盡職調查〔如第四條第（一）款和第（二）款〕。相較于標準合同中約定的其他義務而言（如告知），這對于個人信息處理者提出更高要求，不僅需要其與境外接收方建立持續的互動關系，而且需要其具有一定的國際視野。

對于境外接收方而言，標準合同要求其在很多情況下直接向個人信息主體履行義務〔如第三條第（二）款、第五條第（二）至（三）款、第六條第（一）款等〕和直接接受監管機構的監督管理〔如第三條第（十一）和（十二）款〕。同樣，相較于標準合同中約定的其他義務而言（如處理合規），這些要求對于境外接收方更具挑戰。因為其身處境外，需要為履約配備一定的人員和資源來解決語言、文化、時差等差異。

對于雙方而言，標準合同多處提到記錄留存的義務〔如第二條第（九）款和第（十）款、第三條第（十一）款、第四條第（四）款〕，這與《個保法》第六十九條所確定的過錯推定責任一脈相承。這也從另一角度凸顯了個人信息處理者和境外接收方在日常經營過程中建立完善合規體系的重要性。

4.爭議解決與行政監督

為了確保上述義務的有效履行，標準合同還設計了一套爭議解決與行政監督相結合的機制來規范個人信息處理者和境外接收方（特別是后者）的行為。

首先，根據標準合同第六條第（三）款，個人信息主體有權基于其“第三方受益人”的身份向法院起訴追究個人信息處理者和/或境外接收方的違約責任，或者向監管機構提出投訴。監管機構基于投訴或者獨立信息渠道了解到的違規行為后對個人信息處理者和/或境外接收方采取行政監管措施。雖然境外接收方不在監管機構的管轄范圍內，但該措施可以依據第三條第（十二）款直接或者通過對個人信息處理者的適用而間接“傳導”到境外接收方。

對于個人信息處理者和境外接收方在對外向個人信息主體承擔的賠償責任或因雙方之間的違約行為，雙方可以通過標準合同第九條第（五）款來解決爭議。該條款設計較為開放，不僅允許雙方在訴訟和仲裁之間自由選擇，而且在仲裁機構選擇方面也未禁止雙方選擇國際仲裁機構。這樣的安排即解決了國內法院判決在境外承認和執行的困難，又增加境外接收方對標準合同的接受程度，有利于標準合同的執行和簽署。

為了方便讀者理解，本文通過如下圖示說明爭議解決與行政監督的工作機制。

五、標準合同的重要意義

如前文所述，標準合同簽署后個人信息處理者即可開展個人信息出境活動。相較于數據出境安全評估的流程，標準合同這種出境路徑更加快捷、可預期、且低成本。作為我國數據出境安全管理制度的一個重要組成部分，標準合同為個人信息處理者和境外接收方提供一個個人信息出境活動的“綠色通道”。

即使在個人信息出境活動適用數據出境安全評估的場景下，標準合同也具有重要的參考價值。根據《評估辦法》，數據處理者所需要提交的申報資料，除了申報書和自評估報告以外，還包括其與境外接收方訂立的合同。雖然這個“合同”與標準合同并非一個文件（前者是在滿足安全評估要求的前提下自由約定的文件，而后者是國家網信部門制定文本），數據處理者與境外接收方在準備安全評估申報材料時完全可以參照標準合同（特別是出境的數據僅限于個人信息時）擬定類似內容。

《標準合同規定》的出臺標志標準合同，這個國際上應用最廣的個人信息出境保護性措施，首次在我國“生根發芽”。我們有理由相信，隨著我國數據出境安全管理制度的不斷完善，它將以其靈活便捷的特點體現出越來越強的“生命力”。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。