以標準合同進行個人信息出境的合規建議

2月24日，國家網信辦發佈《個人信息出境標準合同辦法》（以下簡稱“《辦法》”），最終確定了以標準合同出境的個人信息出境的規則和標準合同。經過比較發現，除了少數修改，《辦法》絕大部分與《個人信息出境標準合同規定（徵求意見稿）》（以下簡稱《徵求意見稿》）的條文一致。本文將結合《辦法》和《個人信息保護法》，提出以標準合同進行個人信息出境的合規建議。

一、標準合同進行個人信息出境的適用對象

《辦法》明確規定，必須同時符合下述條件，才能適用標準合同將個人信息出境：“（一）非關鍵信息基礎設施運營者；（二）處理個人信息不滿100萬人的；（三）自上年1月1日起累計向境外提供個人信息不滿10萬人的；（四）自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的。”[1]對於適用對象，《辦法》與《徵求意見稿》一樣，但是《辦法》比《徵求意見稿》多了一款，即“不得採取數量拆分等手段”繞開出境安全評估，但對於何爲“數量拆分”並未明確，留有空白。比如，同屬一個母公司或者集團的具有獨立法人資格的各個子公司分別向境外傳輸個人信息的是單獨計算還是合併計算，這將決定把由一家公司出境改爲多家子公司分別出境是否定性爲“數量拆分”。對此，將留待執法進一步細化。

綜上，對於數量上沒有達到出境安全評估的企業，比如境內跨國公司、國內出海企業，可以選擇標準合同將收集到的個人信息出境。

二、標準合同進行個人信息出境前的準備

標準合同進行個人信息出境前的準備至少包含兩項工作：數據盤點和個人信息保護影響評估。

（1）數據盤點

個人信息出境的數量決定了能否適用標準合同將個人信息出境，因此，對個人信息的盤點就顯得尤其必要。其中，重點就是按照《個人信息保護法》對“個人信息”以及“敏感個人信息” 的定義，結合數據處理者將個人數據出境的業務場景（比如供應鏈管理、人力資源管理等）統計出境的個人信息數量及相應鏈路等。

當然，由於剛過去的2月底是數據出境安全評估的截止日，很多具有數據處境的企業（包括很多跨國公司）已經對數據進行了盤點，相信已經對個人信息出境的數量有了內部的數據。對於比較確定不會達到數據出境安全評估標準的企業，可以提前做好籤訂標準合同的準備，因爲《辦法》的實施日是今年6月1日，並有6個月的整改期。也就是說，到2023年11月30日所有不需要進行出境安全評估申報的企業將個人信息出境的，必須簽訂標準合同並完成備案。[2]

（2）個人信息保護影響評估

第二個要做的準備工作就是開展個人信息保護影響評估。評估的重點包括：處理個人信息的目的、範圍、方式等的合法性、正當性、必要性；出境個人信息的規模、範圍、種類、敏感程度，個人信息出境可能對個人信息權益帶來的風險；境外接收方承諾承擔的義務，以及履行義務的管理和技術措施、能力等能否保障出境個人信息的安全；個人信息出境後遭到篡改、破壞、泄露、丟失、非法利用等（以下簡稱“數據違約”）的風險，個人信息權益維護的渠道是否通暢等；境外接收方所在國家或者地區的個人信息保護政策和法規對標準合同履行的影響。上述評估內容大部分與《數據出境安全評估辦法》中規定的申報前評估內容基本一致。上述評估報告至少保存3年。[3]另外，只有準確理解上述評估重點內容的含義才能開展個人信息保護影響評估。

a. 處理個人信息的目的、範圍、方式等的合法性、正當性、必要性

“目的”、“範圍”、“方式”、“合法性”、“正當性”和“必要性”這些詞彙均在《個人信息保護法》中出現，但沒有這樣排列。《辦法》當中的表述很容易讓人理解爲“目的”的合法性、正當性和必要性，“範圍”的合法性、正當性和必要性，以及“方式”的合法性、正當性和必要性。而這很顯然與《個人信息保護法》不一致。而這樣的理解與《個人信息保護法》不一致，而且混亂。既然《辦法》是依據《個人信息保護法》制定，那其中的術語含義及要求必須與《個人信息保護法》保持一致。

根據《個人信息保護法》第五條，合法、正當和必要其實是個人信息處理的原則，而這些原則均能對應《個人信息保護法》裏具體的個人信息處理規則。合法性對應的具體規則就是不得非法收集、使用、加工、傳輸他人個人信息，不等非法買賣、提供或者公開他人個人信息，也不能危害國家安全和公共利益（第10條）和個人信息處理的合法性根據（比如知情同意、履行合同所必需，規定在第13條，共7種合法性基礎）。正當性，是指處理個人信息的行爲和程序必須是正當的，處理者“不得通過誤導、欺詐、脅迫等方式處理個人信息”[4]，其對應的具體規則就是處理者不得以個人不同意處理其個人信息或者撤回同意爲由，拒絕提供產品或者服務（第16條），和處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知個人信息處理的名稱或者姓名和聯繫方式等（第17條），以及處理者利用個人信息進行自動化決策，應當保證決策透明和結果公平、公正（第24條）。必要性是比例原則在《個人信息保護法》中的體現，[5]主要對應，收集個人信息應當限制在處理目的所需最小範圍，不得過度收集個人信息（第6條第2款），處理敏感個人信息應當充分必要（第28條第2款），和個人信息保存期限應當爲實現處理目的所必要的最短時間（第19條）。

根據上述法條，我們認爲處理個人信息的目的要滿足合法性，不能爲侵犯個人隱私和破壞國家安全和公共利益爲目的。範圍要滿足必要性，收集個人信息應當限制在處理目的所需最小範圍。方式要滿足正當性，處理個人信息既要行爲正當又要程序正當。

b. 出境個人信息的規模、範圍、種類、敏感程度，個人信息出境可能對個人信息權益帶來的風險

我們認爲，這裏的“規模”指的是“數量”，因爲一是《徵求意見稿》第五條用的是“數量”，二是結合上下文。這裏的“數量”包含兩方面的數量：一是個人信息的數量，一是涉及的個人信息主體數量。根據上文，“範圍”是指個人信息涉及都有哪些種類。個人信息的“種類”在《個人信息保護法》和其他法律中並沒有直接規定，但結合《個人信息保護法》對個人信息的定義以及對個人信息大類的分析，可以有如下對個人信息的分類：可以單獨識別個人信息主體的個人信息（如姓名、地址、手機號碼、銀行卡號、車牌號等）、與其他信息一起可識別特定個人信息主體的個人信息（如性別、年齡、語言、職業、婚姻狀況、受教育水平等）和敏感個人信息（如居民身份證號碼、行蹤軌跡、健康信息、生物識別信息、通信記錄、賬戶密碼等）。對於出境可能對個人信息權益帶來的風險，包括安全事件的可能性和個人信息權益影響兩個維度。[6]

c.境外接收方承擔的義務以及履行義務的管理和技術措施、能力能否保障出境個人信息的安全

這裏主要評估境外接收方對於個人信息保護都有哪些內部規章制度及人員配備、有哪些技術措施（比如加密、匿名化、去標識化、訪問控制、[7]校驗技術、安全傳輸通道、防護設備）以及這些技術措施是否有相關認證抑或是行業通用標準。而“能力”則主要體現在有效的管理及技術措施的有效。

這樣的評估需要得到境外接收方的配合，需要境外接收方提供證明其管理和技術措施的資料，必要時也可與境外接收方通過各種方式進行會議、訪談瞭解情況。

d.個人信息出境後發生數據安全事故後個人信息權益維護的渠道是否通暢

該評估至少要評估境內數據處理者有無建立便捷的個人行使權力的申請受理和處理機制，境內數據處理者對境外數據接收方數據安全事故的監控能力、境內數據處理者對境外發生數據安全事故的應急預案、境外數據接收方對發生安全事故所做的承諾及應急預案等。

e. 境外接收方所在國家或者地區的個人信息保護政策和法規對標準合同履行的影響

該評估主要考慮境外個人信息保護政策和法規是否阻礙標準合同的履行，重點分析境外的個人信息保護政策和法規是否對標準合同中境內數據處理者和境外數據接收方的權利義務造成履行不能或影響履行，境外是否具有落實個人信息保護的機制（比如是否具備個人信息保護的監督執法機構和司法機構等）。[8]

該評估需要分析境外個人信息保護的法律法規，必要時要取得境外接收方的相關法律意見。

三、標準合同的簽訂及相關條款的理解

1、標準合同模板中的條款不能修改或刪除只能增加

在做完簽訂標準合同的準備後，境內處理者和境外接收方應當簽訂標準合同，《辦法》規定“應當嚴格按照”標準合同簽訂，不允許修改或刪除，但可以增加，增加的條款不得與標合同衝突。[9]

但是《辦法》對於合同的語言並無規定，而標準合同的簽訂不大可能只有中文，應該還要有外文。因此，標準合同對應的外文應該如何確定？是否要經過有翻譯資質的翻譯機構翻譯？還是僅需要雙語法律工作者根據標準合同以符合外文習慣的法律語言嚴格對照標準合同進行轉譯？對於上述問題，我們建議需要雙語法律工作者進行轉譯，因爲一般只有法律人士才能理解法律語言的精確含義，才能進行準確的翻譯。

2、標準合同的相關條文理解

標準合同共有九條，主要包括個人信息處理者的義務、境外接收方的義務、境外接收方所在國家或地區個人信息保護政策和法規對合同履行的影響、個人信息主體的權利、救濟和合同解除。標準合同與其說是合同，不如說是給個人信息主體的的授權書，因爲各條文都彰顯對個人信息的保護。

（1）向境外提供個人信息的不是一律要取得個人信息主體的單獨同意

標準合同第二條第（三）項只約定了兩種需要個人信息主體單獨同意的情形，即基於個人同意向境外提供個人信息的以及提供的信息涉及不滿十四周圍未成年人個人信息。根據上述約定，言外之意，就是基於其他合法性根據處理個人信息的則不需要再進過個人信息主體的再一次單獨同意，即不需要個人信息主體的雙重同意。比如，爲訂立或履行合同所必需，或者按照勞動規章制度和簽訂的集體勞動合同實施人力資源管理所必需。以“按照勞動規章制度和簽訂的集體勞動合同實施人力資源管理所必需”爲例，跨國公司能否援引該同意例外直接不經員工同意直接把員工信息存儲到境外服務器呢？我們認爲，答案是否定的。因爲境內員工一般都是與境內主體簽訂勞動合同，合同在國內履行，完全沒有必要將員工的個人信息存儲到境外服務器，只是由於跨國公司爲了全球統一管理而使用人力資源管理軟件，而該軟件的服務器在境外，這不是《個人信息保護法》意義上的“實施人力資源管理所必需”。因此，我們建議跨國公司將員工個人信息存儲到境外服務器仍然獲取員工的單獨同意。

（2）境外接收方超約定處理基於個人同意出境的個人信息的，應當取得個人信息主體的單獨同意

標準合同中要約定處理個人信息的目的、方式和處理個人信息的種類，如果境外接收方超出約定的目的、方式和種類處理個人信息的，如果該個人信息是經過個人信息主體纔到境外處理的，那麼，境外接收需要再次取得個人信息主體的單獨同意。如果涉及不滿十四週歲未成年人個人信息的，應當取得未成年人父母或其他監護人的單獨同意。標準合同條款中沒有約定取得單獨同意的方式，可以視情況由境內個人信息處理代爲轉交書面同意文件或者由境外接收方直接向個人信息主體送交同意文件。

（3）境外接收方在接到其所在國家或地區的政府部門、司法機構提供個人信息要求的通知義務

因爲涉及到個人信息的主權及安全問題，標準合同第4條第6款，約定：“境外接收方接到所在國家和地區的政府部門、司法機構關於提供本合同項下的個人信息要去的，應當立即通知個人信息處理者。”但該條並未說明通知後應該怎麼處理，也並未說明境內個人信息處理者在接到通知後是否要向網信部門報告。因此，這是一個懸而未決的問題，需要在實踐中不斷摸索應對之策。

（4）法律適用及爭議解決

標準合同第九條第二款規定，因標準合同而引起的任何爭議適用中華人民共和國法律。同時，標準合同也爲個人信息主體維權適用我國法律預留了空間，給個人信息主體以選擇權。[10]

關於爭議解決，標準合同傾向於仲裁，而且是國內仲裁。當然，境內處理和境外接收方可以選擇其他仲裁機構或中國法院起訴。[11]如果選擇仲裁的，仍然要對仲裁語言進行約定，由於涉及境外接收方，一般選擇英語作爲仲裁語言。

四、合同簽訂後的工作

個人信息處理者應當在標準合同生效之日起10個工作日內向所在地省級網信部門備案。備案應當提交以下材料：標準合同（已經簽好字、蓋好章的合同）和個人信息保護影響評估報告。[12]當然，如果發生重大事項應當重新進行個人信息保護影響評估並重新簽訂個人信息出境標準合同。

對此，我們建議個人信息處理者應當對境外接收方進行定期跟蹤，已確定是否發生重大變化。     

[1] 《個人信息出境標準合同辦法》第四條。

[2] 《個人信息出境標準合同辦法》第十三條。

[3] 《個人信息保護法》第五十六條第二款。

[4] 《個人信息保護法》第五條。

[5] 程嘯：《個人信息保護法理解與適用》，第81頁，中國法製出版社，2021年9月。

[6] 《信息安全技術 個人信息安全影響評估指南》5.6條。

[7] 《個人信息出境標準合同》第二條第（五）項。

[8] 《個人信息出境標準合同》第四條第二款第二項第三目。

[9] 《個人信息出境標準合同辦法》第六條。

[10] 《個人信息出境標準合同》第六條第四款。

[11] 同上，第九條第四款。

[12] 《辦法》第九條。