跨境数据合规｜​《个人信息出境标准合同备案指南（第一版）》六大要点解析

走出去智库观察  

在《个人信息出境标准合同办法》6月1日正式施行两天前，国家网信办发布《个人信息出境标准合同备案指南（第一版）》（《备案指南》），对个人信息出境标准合同备案方式、备案流程、备案材料等具体要求作出了说明。

走出去智库(CGGT)特约法律专家、中伦律师事务所合伙人李瑞与中伦律师事务所顾问贾申认为，《备案指南》的出台标志着个人信息标准合同机制落地要求的进一步深入，数据出境合规地图不断完善，建议企业抓紧时间落实和完成个人信息出境标准合同相关工作。

个人信息出境有哪些合规要求和落地方案？今天，走出去智库(CGGT)刊发中伦律师事务所李瑞、贾申、徐晨、马悦的文章，供关注跨境数据合规管理的读者参阅。

要 点

CGGT，CHINA GOING GLOBAL THINKTANK

1、在个人信息出境标准合同机制下，企业为开展数据跨境传输活动所需展开的个人信息保护影响评估（Personal Information Security Impact Assessment，PIA）、标准合同签署与标准合同备案的时间线得到明确。

2、如果省级网信办会对备案材料进行实质性审查，基于对数据跨境传输活动的安全性的判断而给出不予备案的结果，且这一结果会产生阻断企业开展相关个人信息跨境传输活动的效果，那么标准合同备案流程实质上发挥着类似“审批”的作用。

3、《备案指南》对于PIA工作提出了较高的要求。一方面，PIA报告中需涵盖的内容多且细致，涉及境外接收方信息的收集与编写、信息系统的排查与说明等，对于企业的材料组织能力提出了不小的挑战。另一方面，细致的内容要求意味着PIA工作不能够流于形式，而应进行深入的合规性与技术性分析。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

2023年6月1日，国家互联网信息办公室（以下简称“网信办”）发布的《个人信息出境标准合同办法》（以下简称“《标准合同办法》”）正式施行。为指导和帮助个人信息处理者开展《标准合同办法》规定的个人信息出境标准合同备案，网信办于两日前正式发布《个人信息出境标准合同备案指南（第一版）》[1]（以下简称“《备案指南》”），对个人信息出境标准合同（“标准合同”）备案的时限、流程、提交材料、结果等事项提供了指引，并提供了主要备案材料的模板。

《标准合同办法》的生效实施以及《备案指南》的发布，对于存在个人信息出境情形且根据法规和企业实际情况，可通过个人信息出境标准合同机制来满足合规要求的企业来说，进一步明确了合规要求和落地方案，建议企业照此抓紧时间落实和完成个人信息出境标准合同相关工作。为帮助企业理解和落实相关工作要求，本文梳理了《备案指南》六大要点，供企业参考。

要点一：明确个人信息保护影响、评估标准合同签署及标准合同备案三步工作的时间要求

《备案指南》明确了“个人信息处理者应当在标准合同生效之日起10个工作日内，通过送达书面材料并附带材料电子版的方式，向所在地省级网信办备案。”与此同时，《备案指南》后附《承诺书（模板）》中进一步明确，“个人信息保护影响评估工作为备案之日前3个月内完成，且至备案之日未发生重大变化。”

由此，在个人信息出境标准合同机制下，企业为开展数据跨境传输活动所需展开的个人信息保护影响评估（Personal Information Security Impact Assessment，PIA）、标准合同签署与标准合同备案的时间线得到明确。结合企业为开展该机制需开展的盘点及整改工作，全套工作的时间线应大致如下，具体请参见下图1：

（1）首先，企业需通过盘点，明确自身存在个人信息出境场景，且可以通过个人信息出境标准合同机制满足出境要求；

（2）其次，企业应首先完成关于个人信息出境的PIA。在评估过程中如发现存在合规问题导致无法通过PIA，需开展整改工作，直至PIA得到通过；

（3）再次，在通过PIA后的约10周（即2个半月）内，企业需完成标准合同的签署；

（4）最后，在标准合同生效之日起10个工作日内，企业需将备案材料准备完毕，向所在地省级网信部门申报标准合同备案。

图1 “三步走”时间流程图

以上时间表无疑适用于《标准合同办法》正式施行后企业新开展的个人信息出境行为。那么，对于《标准合同办法》正式施行前就已经开展的个人信息出境行为来说，是否同样需要遵循上述时间要求？结合《标准合同办法》第13条的规定，即“本办法施行前已经开展的个人信息出境活动，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改。”我们倾向于认为，在以“整改”或称“后补”的方式完成个人信息出境标准合同备案的情况下，如企业已经在6月1日之前实施了出境行为、甚至签署了标准合同，则其备案时间应当有一定灵活性，无需严格受制于上述时间要求，但需在2023年12月1日前（即《标准合同办法》生效施行之日起6个月内）完成全套合规工作，包括申报标准合同备案。尽管如此，我们认为，《备案指南》中提出的实质性要求仍然适用——即企业此前开展的个人信息跨境传输活动与备案时相比未发生重大变化，否则应按照《标准合同办法》及《备案指南》的要求重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行相应备案手续。

要点二：细化和明确标准合同备案需提交的材料

《备案指南》明确了标准合同备案应当提交的材料，包括以下文件：

（1）统一社会信用代码证件影印件；

（2）法定代表人身份证件影印件；

（3）经办人身份证件影印件；

（4）经办人授权委托书；

（5）承诺书；

（6）标准合同；

（7）《个人信息保护影响评估报告》。

《备案指南》附件1中对提交材料的形式，包括提交影印件还是原件，是否需要加盖公章等均作出了明确细致规定，并就前述第（4）-（7）项材料提供了相应的模板，应依据模板进行准备。

要点三：明确省级网信办办理标准合同备案工作的时限

《备案指南》明确，省级网信办收到材料后，应当在15个工作日内完成材料查验，并通知个人信息处理者备案结果。如未通过备案且需要补充完善材料的，企业应当于10个工作日内再次提交材料；补充或者重新备案的材料查验时间为15个工作日。具体请参见下图2。

因此，如企业无需提交补充完善材料即可完成备案的，在提交材料后的15个工作日内即可获知备案结果；如企业需要提交补充完善材料，甚至多次被要求提交补充完善材料的，标准合同备案时限自首次提交材料之日可能会耗费几十个工作日才能完成，上不封顶。

图2 个人信息出境标准合同备案流程图

要点四：明确标准合同备案可能会存在不通过的结果

根据《备案指南》，备案结果分为通过和不通过两种结果。通过备案的，省级网信办向个人信息处理者发放备案编号；不通过备案的，个人信息处理者将收到备案未成功通知及原因，要求补充完善材料的，个人信息处理者应当补充完善材料并于10个工作日内再次提交。

上述规定引发了一些疑问。比如，尽管《备案指南》中明确备案可能不予通过，但并未进一步说明标准合同备案是否通过的标准。省级网信办在对企业提交材料是否可通过备案进行裁量时，是基于对备案提交材料的形式完备性审查，还是基于对个人信息出境的保护评估内容的实质性审查？又如，如果标准合同备案未能通过，是否意味着企业不能开展相关个人信息出境活动？从法理上来说，备案程序并不会影响标准合同的有效性。

如果省级网信办会对备案材料进行实质性审查，基于对数据跨境传输活动的安全性的判断而给出不予备案的结果，且这一结果会产生阻断企业开展相关个人信息跨境传输活动的效果，那么标准合同备案流程实质上发挥着类似“审批”的作用。这一点将如何把握，可能需要监管部门进一步明确，也需要相关各方在标准备案实践开展过程中找寻答案。

要点五：明确企业需通过单位内部人士经办备案工作，也引出关联公司可否合并办理备案的问题

根据《备案指南》附件2提供的《经办人授权委托书（模板）》，个人信息出境标准合同备案经办人应为个人信息处理者单位内部工作人员。这一规定与我们目前在协助企业办理数据出境安全评估工作中积累的实践经验相同，即网信部门更倾向于与企业内部人员直接联系，推进相关数据出境合规工作。

这一机制引出了另一个问题——考虑到实践中经常存在同一数据跨境传输活动涉及集团内多家关联公司的情况，这类出境活动的标准合同备案应当如何办理，能否合并办理？

例如，A集团分别在北京、上海、江苏等地有多家分子公司，多家分子公司使用同一套信息系统，且个人信息跨境传输场景完全一致，仅存在“为了人力资源管理的目的，通过同一信息系统向同一境外接收方（即境外母公司）提供员工个人信息”的出境场景。在这种情况下，这几家子公司如何推进个人信息出境标准合同合规机制，存在下述问题：（1）多家子公司是否需分别办理标准合同备案，还是可由其中一家公司办理合并备案？（2）如果需要分别备案，但由于出境场景完全一致，多家子公司是否依赖于同一份合并签署的标准合同以及统一出具的PIA报告办理备案？

上述问题的答案有待于在实践中探索。我们倾向于认为，由于多家子公司坐落于不同省市，需要分别办理标准合同备案；同时，由于出境场景完全一致，如果多家子公司合并签署了同一份标准合同、合并开展PIA并出具了一份PIA报告，不同子公司可依据同一份标准合同和同一份PIA报告办理备案。这一观点有赖于实践验证。与此同时，在这一情形下，如多家子公司提交相同的材料在不同省级网信办进行备案，是否可能会出现由于不同省级网信办的办理尺度不同而出现不同的备案结果，也有待在实践中观察和验证。

要点六：发布并明确《个人信息保护影响评估报告》模板

开展PIA、切实整改所发现的问题并妥善留存《个人信息保护影响评估报告》（“PIA报告”）是个人信息出境标准合同合规机制项下的重要工作之一。此前，业界对于如何开展深入、有效的PIA仍存有一些疑问，《备案指南》附件5提供了PIA报告模板，对于个人信息出境场景下的PIA工作具有重要的指导意义。

此次发布的PIA报告模板规范、明确了评估报告所需整体结构，要求报告包括以下主要板块：

（1）评估工作简述；

（2）出境活动整体情况；

·个人信息处理者基本情况；

·个人信息出境涉及业务和信息系统情况；

·拟出境个人信息情况；

·个人信息处理者个人信息保护能力情况；

·境外接收方情况；

·个人信息处理者认为需要说明的其他情况。

（3）拟出境活动的影响评估情况；

（4）出境活动影响评估结论。

从上述报告内容的要求来看，《备案指南》对于PIA工作提出了较高的要求。一方面，PIA报告中需涵盖的内容多且细致，涉及境外接收方信息的收集与编写、信息系统的排查与说明等，对于企业的材料组织能力提出了不小的挑战。另一方面，细致的内容要求意味着PIA工作不能够流于形式，而应进行深入的合规性与技术性分析；如发现任何问题，应在个人信息出境前切实开展整改。依据我们的项目经验，我们建议公司充分拉通法律合规人员、信息安全技术人员、个人信息出境场景涉及的业务人员协同工作，并在必要时聘请外部律师开展PIA，以确保PIA能够切实响应《标准合同办法》中所提出的评估要点（个人信息处理活动的合法性、正当性、必要性，对于个人信息主体权益的影响等）。

结语

《备案指南》的出台标志着个人信息标准合同机制落地要求的进一步深入，数据出境合规地图不断完善。如我们在前文中所介绍的，个人信息出境标准合同机制下需开展的工作较多，而且部分工作对于成果的深度与完善性有较高的要求。鉴于备案还存在不通过的可能性，我们提示相关企业充分重视，并综合考虑各项工作的时间要求，做好充分的准备；同时考虑聘请外部专家，以确保PIA、合同签署等工作能够在要求时限内高效合规完成，以免对日常经营、业务发展等造成不利影响。

[注]

[1] 国家互联网信息办公室发布的《个人信息出境标准合同备案指南（第一版）》请见：http://www.cac.gov.cn/2023-05/30/c_1687090906222927.htm

来源：中伦视界

 免责声明 

本文仅代表原作者观点，不代表走出去智库立场。