个人信息出境标准合同办法和备案指南解读

2023 06/27

2023年6月1日《个人信息出境标准合同办法》(以下简称《办法》)正式生效实施。2023年5月30日国家网信办发布《个人信息出境标准合同备案指南(第一版)》(以下简称《指南》)。《办法》和《指南》为个人信息处理者通过签订标准合同向境外提供个人信息提供了明确的指引。


目前个人信息处理者向境外提供个人信息有三种路径:(1)通过国家网信部门组织的安全评估;(2)经过专业机构的个人信息保护认证;(3)按照国家网信部门制定的标准合同与接收方订立合同。三种个人信息出境路径有不同的适用条件,通过签订标准合同向境外提供个人信息须同时符合“主体+数量”条件,即个人信息处理者非关键信息基础设施运营者,处理个人信息不满100万人,自上年1月1日起累计向境外提供个人信息不满10万人,自上年1月1日起累计向境外提供敏感个人信息不满1万人。同时应注意不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。


根据《办法》及《指南》的规定,个人信息处理者通过签订标准合同向境外提供个人信息的,首先应根据“主体+数量”条件判断是否可适用该出境路径;其次,开展个人信息保护影响评估,包括风险源识别与安全事件发生可能性评估、个人权益影响分析与影响程度判定、个人信息保护风险综合评估,最终得出出境活动影响评估结论,形成个人信息保护影响评估报告;再次,严格按照网信部门制定的标准合同与境外接收方订立合同;最后,标准合同生效之日起10日内,将标准合同与个人信息保护影响评估报告报网信部门备案,备案通过后实施个人信息出境活动。


《指南》规定了备案的两种结果:通过和不通过,这就意味着除了形式审查之外,监管部门可能会对标准合同和个人信息保护影响评估报告进行实质审查。个人信息处理者应尽量避免“抢跑行为”,应在标准合同生效并通过备案后开展个人信息出境活动。《办法》生效前已开展的个人信息出境活动,不符合《办法》规定的,应在2023年12月31前完成整改。如因未妥善履行《个人信息保护法》规定的各项义务导致个人信息保护事件发生或监管部门认为相关个人信息出境活动存在较大风险的,企业除可能被相关部门约谈外,甚至还需要承担《个人信息保护法》等法律法规规定的各项责任。