自2016年起，我国陆续发布了《网络安全法》《数据安全法》和《个人信息保护法》，构成了我国的“数据三法”，结合其他行政法规、部门规章及相关标准，构成了我国数据领域的法律体系。

2023年2月，国家互联网信息办公室（“国家网信办”）发布了《个人信息出境标准合同办法》（“《标准合同办法》”），规定个人信息处理者向境外提供个人信息，符合一定条件的，应当订立标准合同并办理备案。新规自2023年6月1日起施行，为指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同，5月30日，国家网信办发布了《个人信息出境标准合同备案指南（第一版）》（“《标准合同备案指南》”）。现结合《标准合同办法》和《标准合同备案指南》，为境内个人信息处理者解读新规，为办理备案提供实务指南。

一、需要订立标准合同并办理备案的情形

（一）个人信息出境的三条“路径”

首先需要明确的是，当出现个人信息出境时，才需要办理相关手续。如果个人信息处理者在境内处理个人信息，相关个人信息并未出境，则不需要办理。具体而言，个人信息出境是指以下三种行为之一：

1.个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外；

2.个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；

3.国家网信办规定的其他个人信息出境行为。

根据《个人信息保护法》第38条的规定，向境外提供个人信息的，应具备下列条件之一：安全评估、个人信息保护认证或订立标准合同。这也就是个人信息出境的三条“路径”。

个人信息出境的具体情形是多种多样的，可能发生在任何一个行业。举例而言，外资企业将员工个人信息发送给境外股东，境内App运营者为融资等目的向境外主体提供用户个人信息，境内跨国酒店向总部传递住客信息等，都可能属于“个人信息出境”的情形，需要办理相关手续。除作为关键信息基础设施运营者，现行法规并未对个人信息处理者的行业、规模、业务模式等作出特别规定，因此需要向境外提供个人信息的个人、企业、其他组织，几乎都可能需要办理相关手续。

（二）需要订立标准合同的情形

属于个人信息出境的，根据《标准合同办法》，符合下列条件的，则应当通过订立标准合同的方式向境外提供个人信息：

1.非关键信息基础设施运营者；

2.处理个人信息不满100万人的；

3.自上年1月1日起累计向境外提供个人信息不满10万人，且累计向境外提供敏感个人信息不满1万人的。

希望读者留意的是：

1.属于关键信息基础设施运营者，或者处理、提供个人信息数量超过上述情形的，需要办理安全评估；符合个人信息保护认证情形的，应当办理认证。因此从目前的制度设计而言，标准合同仍是绝大多数跨国企业获取个人信息最有效率的方式。

2.如处理、提供的个人信息超过上述情形，个人信息处理者应当依法办理安全评估，不得采取数量拆分等手段，通过订立标准合同的方式向境外提供个人信息。

二、标准合同的主要内容和签订要求

《标准合同办法》以附件形式发布了《个人信息出境标准合同》，其中主要内容有定义、个人信息处理者的义务、境外接收方的义务境外接收方的义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利、救济、合同解除、违约责任、其他（包括通知、争议解决方式等）。除此之外，还有两个附件：《个人信息出境说明》和《双方约定的其他条款》。

标准合同的当事人是境内的个人信息处理者，和境外的个人信息接收方。合同适用于中华人民共和国法律，双方可以选择争议解决方式，适用仲裁，或在中国有管辖权的人民法院提起诉讼（可以认为是个人信息处理者所在地人民法院）。

需要留意的是，标准合同需严格按照《标准合同办法》发布的文本订立，如果双方当事人希望约定其他条款，可以通过附件二《双方约定的其他条款》来进行约定，但所约定的内容不得与标准合同相冲突；同时，如标准合同与双方订立的其他法律文件发生冲突，优先适用标准合同的条款。根据我们与相关机构工作人员的沟通所了解的信息，“严格按照标准合同订立”，可以理解为“一个字不许改”。考虑到标准合同较强的效力，我们也建议跨国企业尽早开展合同内容的设计工作，进一步明确双方权利义务，并避免与标准合同固定条款“撞车”。

另外，考虑到部分跨国企业已经签署了欧盟GDPR下的标准合同，但基于中国的监管要求，仍需签订中国的标准合同，才能够向境外提供个人信息。

三、个人信息保护影响评估的内容

根据《个人信息保护法》第55条的规定，向境外提供个人信息的，需要事前进行个人信息保护影响评估。《标准合同办法》中规定了评估的重点内容：

1.个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；

2.出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；

3.境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；

4.个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；

5.境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；

6.其他可能影响个人信息出境安全的事项。

完成个人信息保护影响评估后，应形成报告，并作为备案材料之一向所在地省级网信办备案。《标准合同备案指南》中同时也发布了《个人信息保护影响评估报告（模板）》，其中包括评估工作简述、出境活动整体情况、拟出境活动的影响评估情况、出境活动影响评估结论四个部分。当然，具体评估和报告撰写过程中也可能会涉及到其他内容，因此最终报告并不需要拘泥于这四个部分，可以根据具体情况进行调整。

评估的目的是“发现问题、提前解决问题”，因此企业有必要重视评估，在全面、客观、真实评估的基础上，充分摸清业务需求和必要性。因此，委托第三人专业机构，有助于企业高效完成评估。对于评估中发现的问题，企业有必要及时整改，我们建议企业在完成整改、确认出境业务合法、合规的基础上再签订标准合同，避免法律风险。

四、备案的程序以及个人信息可以出境的时点

《标准合同办法》第7条规定，个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。

备案所需提交的资料包括，个人信息处理者的主体材料和授权材料，以及承诺书、标准合同和个人信息保护影响评估报告。备案材料通过线下提交，省级网信办将在收到材料后的15个工作日内完成查验，并通知个人信息处理者备案结果。如果备案不通过，要求补充完善材料的，个人信息处理者应当补充材料并于10个工作日内再次提交。

需要注意的是，如果标准合同有效期内，相关情况发生变化的，可能需要重新开展个人信息保护影响评估，补充或重新订立标准合同，并履行相应备案手续。

关于个人信息可以出境的时点，根据《标准合同办法》第6条的规定，标准合同生效后即可开展出境活动，并不需要待完成备案后再出境（因此并不是“审批”或“许可”）。

五、不订立标准合同、不办理备案、不如实开展个人信息保护影响评估的法律责任

（一）不订立标准合同、不办理备案的法律责任

根据《个人信息保护法》第66条的规定，处理个人信息未履行该法规定的个人信息保护义务的，主要有如下法律责任：

1.责令改正，警告；

2.没收违法所得；

3.对违法处理个人信息的应用程序，责令暂停或终止提供服务；

4.拒不改正的，并处100万元以下罚款；

5.对直接负责的主管人员和其他直接责任人员，处1万元以上10万元以下罚款。

违法情节严重的，罚款提高为5000万元以下或上一年度营业额5%以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

除此之外，根据《个人信息保护法》第67条的规定，相关违法行为也会被计入信用档案，并予以公示。

（二）不如实开展个人信息保护影响评估的法律责任

个人信息处理者应当依照《个人信息保护法》《标准合同办法》《GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南》开展个人信息保护影响评估。如未能全面、客观、真实评估，则属于提交虚假材料办理备案。根据《标准合同办法》中的规定，个人信息处理者应当对所备案材料的真实性负责，提交虚假材料可能无法通过备案，甚至被行政处罚。

（三）宽限期的特别安排

《标准合同办法》自2023年6月1日起施行，因此施行前已经开展的个人信息出境活动，办法特别规定了6个月的宽限期，即个人信息处理者应当在办法施行之日起6个月内完成整改，订立合同并办理备案。

六、结语

《标准合同办法》自6月1日起施行，对于需要向境外提供个人信息的个人信息处理者，增加了一项新的备案义务。目前，我国正深入推进个人信息保护工作，逐步制定政策法规完善个人信息保护监管，个人信息保护以及数据合规工作也逐步与国际接轨。在这种大环境下，企业有必要充分了解个人信息出境的监管要求，合法合规完成企业业务。对于相关监管要求有不明之处，欢迎与我们进一步交流。