个人信息出境合同备案通道开启 — 国家网信办发布《个人信息出境标准合同备案指南（第一版）》

作者：段志超丨蔡克蒙丨徐莲

2023年5月30日，国家互联网信息办公室（“网信办”）如期发布了《个人信息出境标准合同备案指南（第一版）》（“《备案指南》”），为计划通过与境外接收方订立标准合同向中国境外提供个人信息的企业规范、有序开展备案工作提供了落地指引，标志着通过个人信息出境标准合同实现个人信息出境的大门正式开启。

作为数据出境安全评估和个人信息保护认证以外的第三条跨境个人信息传输合规路径，标准合同路径由于其更广泛的适用性和相对认证路径更加灵活的实施方式而广受关注。此前出台的《个人信息出境标准合同办法》（“《标准合同办法》”）仅就备案和以及备案中需要一并提交的个人信息保护影响评估报告进行了原则性规定，《备案指南》首次明确了这两个步骤的细节。

与期待稍有偏差的是，备案结果存在不通过的可能性，且个人信息保护影响评估并未相较于和数据出境安全评估相关联的数据出境自评估进行实质性的简化。这两点都引起了从业者和相关企业对不能及时通过备案的担忧，为依赖于标准合同进行持续性的跨境个人信息传输增加了一定的不确定性。有鉴于今日起生效的《标准合同办法》仅规定了6个月的整改期限，相关企业有必要及早启动相关准备工作，避免不能及时完成标准合同签署和备案带来的合规风险。

在往期文章中，我们已经对《标准合同办法》及标准合同的适用要点进行了分析，本文将在此基础上，梳理《备案指南》中明确的具体要求，并结合我们在数据出境安全评估项目上的经验，对标准合同备案过程中草创未就的事项提出我们的观察和观点。

一、备案的方式

对于标准合同备案的方式，《备案指南》在《标准合同办法》第7条的基础上进一步规定了如下要点：

• 备案时间：标准合同生效之日起10个工作日内

• 备案形式：送达书面材料并附带材料电子版

• 备案地点：个人信息处理者所在地省级网信办

从数据出境安全评估的申报实践来看，个人信息处理者所在地通常是指提交备案企业的注册地址所在地；材料电子版则通常是指可编辑文档的光盘文件。

二、备案的流程

对于标准合同的备案流程，《备案指南》将备案环节具体分为了材料提交、材料查验、反馈备案结果、补充或者重新备案等环节，相关流程图和要点如下：

（一） 个人信息保护评估须在备案之日前3个月内完成

在《备案指南》提供的备案材料模板中，《承诺书》明确要求个人信息保护影响评估工作（“PIA”）应当在备案之日前3个月内完成，且至备案之日未发生重大变化。

从数据出境安全评估的申报实践来看，在首次提交备案材料时，提交备案企业通常能够确保PIA工作的结束时间与提交备案的时间之间不超过3个月。但如果企业被要求补充完善材料，特别是多次补充的情形下，企业提交备案材料的时间可能会超过3个月的有效期，此时企业可能需要补充开展PIA的工作。

（二） 备案审查的时限

《备案指南》规定，省级网信办收到材料后，会在15个工作日内完成材料查验，并通知个人信息处理者备案结果。如果个人信息处理者被要求补充完善材料的，则个人信息处理者应当在10个工作日内再次提交备案材料。补充或者重新备案的材料查验时间为15个工作日。

根据上述规定，提交备案企业如果可以一次性通过材料查验，则15个工作日便可以取得备案通过的结果；如果需要补充完善材料的，则可能需要至少40个工作日才能取得备案结果。从当前实践中企业向网信办提交数据出境安全评估的申报往往会被要求多次补充材料来看，企业可能需要更长的时间去取得备案结果；进一步地，提交备案企业同样需要考虑适当延长经办人授权委托书的委托期限。

（三） 补充或者重新备案的情形

《备案指南》重申了《标准合同办法》的规定，要求个人信息处理者在标准合同有效期内出现下列情形的，应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行相应备案手续：

• 向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；

• 境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；

• 可能影响个人信息权益的其他情形。

《备案指南》进一步规定，补充订立标准合同的，个人信息处理者需要向所在地网信办提交补充材料；重新订立标准合同的，则应当重新备案。然而何种情形下可以补充材料即可，何种情形下必需重新订立标准合同，二者之间应当如何区分，以及企业是否可以自行判断，仍有待进一步明确。

三、备案提交的材料

与《标准合同办法》第6条相比，《备案指南》进一步细化了标准合同备案时应当提交的材料，并同时提供了相应模板，具体包括：

• 统一社会信用代码证件影印件；

• 法定代表人身份证件影印件；

• 经办人身份证件影印件；

• 经办人授权委托书；

• 承诺书；

• 标准合同；

• 《个人信息保护影响评估报告》。

对于前述材料，有以下值得关注的要点：

（一） 材料内容相对简化

相比于2022年8月31日网信办发布的《数据出境安全评估申报指南（第一版）》，本次用于标准合同备案的材料减少了申报表以及其他相关证明材料。然而，由于《备案指南》仍然给予了地方网信办补充查验的裁量权，因此不排除后续提交备案企业仍然需要按要求提交证明材料的可能。

（二） PIA报告明确第三方机构需要加盖公章

在《备案指南》提供的备案材料模板中，《个人信息保护影响评估报告》明确要求如果有第三方机构参与PIA工作的，需说明第三方机构的基本情况及参与评估的情况，并在相关内容页上加盖第三方机构公章。

（三） PIA报告侧重对个人信息权益的影响

相比于2022年8月31日网信办在《数据出境安全评估申报指南（第一版）》提供的《数据出境风险自评估报告模板》，本次网信办在《备案指南》提供的《个人信息保护影响评估报告模板》无论在体例编排方面，还是涉及的评估要点方面均存在较多相似之处，其核心差异在于出境自评估更加侧重数据出境活动对国家安全、公共利益的影响，而个人信息保护影响评估则聚焦于对个人信息权益的影响，具体包括：

• 增加对处理敏感个人信息和利用个人信息进行自动化决策情况的说明；

• 增加是否向第三方提供个人信息的说明；

• 增加合同双方如何确保标准合同条款落实的说明。

考虑到《个人信息保护影响评估报告模板》的评估要点及颗粒度和《数据出境风险自评估报告模板》较为类似，并未实质性地进行简化，我们建议计划提交备案的企业在开展PIA工作的过程中，需要对数据处理活动进行全面的调研和梳理，并开始安排合规整改，以便在《标准合同办法》规定的整改期——2023年11月30日前完成备案工作。

四、我们的观察和观点

尽管《备案指南》的发布对个人信息处理者规范、有序开展标准合同备案工作提供了指导和帮助，但结合数据出境安全评估的申报实践来看，以下事项仍有待网信办在后续开展备案工作过程中提供更加明晰的指引：

（一） 关联企业是否可以联合申报？

跨国集团通常具有个人信息出境的需求。对于集团内部不同实体之间的个人信息出境，是否可以由一家企业，例如集团在中国的母公司进行联合申报，目前《备案指南》和《标准合同办法》均未涉及。

从数据出境安全评估的申报实践来看，集团内部的不同实体能否由某一特定主体合并申报，亦或必需由各家主体分别申报，需要在具体场景中结合实体之间的股权关系、系统关系、业务关系、数据共享和流转关系等因素综合判断。

（二） 标准合同与集团内传输协议之间的关系是什么？

跨国企业通常已经制定集团内数据传输协议（Intra-Group Data Transfer Agreement），以便在集团内部实现数据跨境传输，而跨国企业通常希望尽可能利用现有的集团内数据传输协议，或将中国向境外提供个人信息的场景纳入至现有协议之中。鉴于《标准合同办法》明确规定，标准合同应当严格按照网信办发布的版本订立，因此集团内数据传输协议无法替代中国个人信息出境标准合同。在该等集团内数据传输协议和标准合同正文内容不相冲突的前提下，个人信息处理者和境外接收方可以将集团内数据传输协议在标准合同附录二中详述，亦可以在集团内数据传输协议中以引用的方式明确约定中国个人信息出境标准合同的适用范围和效力。

（三） 受托处理者是否可以签订标准合同？

中国的标准合同未像欧盟标准合同条款根据签约方属于数据控制者（Data Controller）或处理者（Data Processor）的不同法律地位区分不同版本。从标准合同的条文来看，标准合同的缔约方似乎仅限于中国境内的数据传输方是个人信息处理者，境外接收方是个人信息处理者或者受托处理个人信息的情形。根据我们的经验，在数据出境安全评估的情况下，网信办并没有特别区分境内提供方属于个人信息处理者或是受托方，且在实践中经常存在境内受托方向境外个人信息处理者（委托方）或境内受托方向境外受托方提供个人信息的情况，如果无法签署标准合同则可能导致在此情况下数据无法合规出境的问题。因此，我们认为在境内提供方为受托方的情况下，亦可通过与境外接收方签署标准合同的方式实现数据出境。

（四） 备案是仅涉及形式审查，还是可能涉及实质审查？备案不通过是否会影响向境外提供个人信息？

《备案指南》明确了备案的结果分为通过和不通过两种情形，这说明主管部门可能对备案材料开展实质审查。而对于未通过备案的企业，《备案指南》并未规定相关企业可能会承担何种责任。按照《标准合同办法》第6条以及第7条的规定，备案并非标准合同生效的先决条件，个人信息处理者在标准合同生效后方可以开展相关出境活动。《标准合同办法》并未明确相关企业未能通过标准合同备案对其相关个人信息的出境活动的影响。

考虑到相关企业未能通过备案的原因可能是备案所涉合同和《标准合同办法规定》有冲突或个人信息保护影响评估存在问题，进而导致其个人信息处理可能会被认定为存在违反《个人信息保护法》，因此我们认为备案不通过可能导致企业被责令终止个人信息出境活动，甚至面临其他行政处罚的风险。

随着《标准合同办法》于今日，即2023年6月1日正式施行，6个月整改期的时限也开始正式进入了倒计时。从数据出境安全评估的申报实践来看，开展PIA工作进行数据出境信息的调研和梳理、准备PIA报告、与境外接收方协商标准合同的签署需要花费较长时间进行筹备。因此，对于需要完成标准合同备案的企业来说，建议尽快开展相关工作，以确保个人信息出境活动的合法合规性。