《个人信息出境标准合同备案指南（第一版）》的十个关键问题

随着《个人信息出境标准合同办法》（简称"《标准合同办法》"）即将于2023年6月1日生效，为协助适用《标准合同办法》的个人信息处理者完成《个人信息出境标准合同》（简称"《标准合同》"）的备案工作，国家网信办于2023年5月29日发布了《个人信息出境标准合同备案指南（第一版）》（简称"《标准合同指南》"）。该指南详尽阐述了从备案材料清单的准备，备案流程的推进，到备案核心文本的内容等方面。为更好地帮助企业理解并运用《标准合同指南》，我们针对其中十个具有实质意义的问题进行了深入解答,以帮助企业更好的开展标准合同准备工作。

• 企业在准备《标准合同》的过程中，如何使用《标准合同指南》？

总结来看，《标准合同指南》为企业在准备《标准合同》备案过程中提供了一份全面且详尽的" 操作指南"。该指南明确了适用范围、备案方式、备案流程、所需材料以及个人信息保护影响评估（简称"PIA"）等各个方面的具体要求。依据我们的实践经验，企业在准备《标准合同》备案时，必须严格遵循《标准合同指南》的要求，逐一满足各项规定。值得注意的是，《标准合同指南》将作为地方网信部门进行备案审核的主要参考标准。举例说明，对于《标准合同》中要求提供原件的部分，如《经办人授权委托书》、《承诺书》及《个人信息出境标准合同》等，企业不应提供影印件，否则将被地方网信办要求重新提交备案材料。

• 如何准备《标准合同指南》要求的授权材料？

与《数据出境安全评估指南（第一版）》（以下简称"《自评估指南》"）要求一样，《标准合同指南》要求备案个人信息处理者准备以下五份授权材料：

除形式要求外，根据我们的项目经验，企业在准备授权材料的过程中还需特别关注以下几个关键问题：

• 确保授权材料的一致性。例如，经办人委托书与承诺书都需由法人签字，两份文件中法人签字的样式应保持一致，以避免在审查过程中引起网信部门对相关材料真实性的疑虑，导致材料被退回。
• 经办人的授权期应覆盖整个合同备案期。由于备案经办人将代表个人信息处理者负责标准合同的各项事宜，包括但不限于材料准备、解答监管问询、接收监管指导意见等，对于企业的《标准合同》备案工作至关重要。因此，为保证委托期限能覆盖整个《标准合同》的备案周期，我们建议企业授权经办人的委托期限不应少于《标准合同》约定的有效期。
• 承诺在备案之日前3个月内完成PIA。与《自评估指南》相比，《标准合同指南》同样要求企业在提交备案材料之日前3个月内完成评估工作，并保证至备案之日无重大变化。这样可防止评估周期与备案提交之日相隔过远，以免前期评估工作无法准确反映企业最新的出境业务状况的情形。
• 企业如何按照《标准合同指南》的要求准备《标准合同》模板？

作为《标准合同指南》所要求的备案材料的一部分，企业必须严格依照《标准合同办法》的规定，采用《标准合同》的模板，对处理目的、处理方式、以及出境个人信息的规模等内容进行详细填充和说明。关于此部分的详细内容，我们建议您参阅我们团队先前发布的分析文章：数据与电商每周监管要点 | 国家网信办公布《个人信息出境标准合同办法》。

• 企业如何理解出境版 PIA报告？

《标准合同指南》为企业制作出境版PIA报告提供了详细模板，涵盖了自评估工作简述、出境活动整体情况、拟出境活动影响评估情况以及出境活动影响评估结论四个章节，并具体阐述了企业需进行评估的各项内容。从出境版PIA报告的内容看，它与《自评估指南》中要求的风险自评估报告在内容上有很大相似性。依据我们的过往项目经验，在编制出境版PIA报告时，企业应注意以下几点：

• 在编写出境版PIA报告时，企业必须确保覆盖了《标准合同指南》所要求的所有内容，并且 不得擅自修改或删除任何评估项。举例来说，企业在编制PIA报告时，应依照《标准合同指南》的要求，完整地罗列出所有涉及个人信息出境的数据中心（包括云服务）的相关信息，如数据中心的名称、详细地址及对应系统等。在我们过往的项目经验中，我们发现企业在梳理数据中心时，常因认为自己使用的SaaS服务等由第三方提供，因此在描述自身的数据中心情况时无需填写。然而，这种认识并不符合《标准合同指南》的要求，企业需要避免此类误解。
• 在遵循同等保护原则和监管意图的一致性基础上，为准确理解出境版PIA报告模板中的各项具体要求，企业或可参考《自评估指南》中的相关说明。例如，《标准合同模板》在要求企业进行出境版PIA时，提出了需要梳理个人信息出境链路相关情况的要求，但并未明确说明"链路"所应包含的具体内容。而在这一点上，《自评估指南》的填写说明或许能为企业提供一些指导：" 描述数据出境的链路，包括链路提供商、链路数量及带宽、境内外落地数据中心的名称和物理位置、 IP地址等"。
• 如理理解《标准合同指南》当中的各项时间节点？

《标准合同指南》对《标准合同》的准备与备案过程设定了一些关键的时间节点，企业需予以重点关注：

• PIA 完成日期。PIA应在备案日期前 3个月内完成，并且在备案日期前无重大变化。对于该评估期限的理解，详见前文的讨论。
• 备案日期。个人信息处理者应在《标准合同》生效后的 10个工作日内向其所在地的省级网信办提交备案材料。值得一提的是，《标准合同》模板并未规定具体的合同生效方式。在没有特别约定的情况下，合同通常在双方签字后生效。如果企业和境外接收方希望尽快签订《标准合同》，并为备案材料的准备留出更多时间，可以考虑在附录中增加其他生效条件的约定，以避免不能按照 10个工作日的期限要求提交备案材料。
• 材料查验期。与数据出境安全评估的申报要求不同，《标准合同》作为备案管理，省级网信办在审查过程中并无"完备性查验"这一前置审核流程。相反，其应在接到企业备案材料后的 15个工作日内完成备案材料查验。如果备案未通过，个人信息处理者将有 10个工作日的时间来补充材料并重新提交相关材料。
• 特殊情况引发的补充或重新备案期限。对于已通过《标准合同》备案的企业，如果出现如境外接收方所在国家或地区的个人信息保护政策或法规发生变化且可能影响个人信息权益的特殊情况，企业应补充或重新提交备案材料。地方网信办对补充或重新提交的材料的审核期限为 15个工作日。
• 如何理解《标准合同》备案与《数据出境安全评估》备案之间的衔接关系？

企业是否选择《标准合同》路径进行数据出境，还是应进行《数据出境安全评估》的申报，取决于以下四个标准：（1）企业是否处理超过100万人的个人信息并向境外提供；（2）企业是否为关键信息基础设施运营者（CIIO），并向境外提供个人信息；（3）企业是否在两年内向境外提供10万人次以上的个人信息，或者向境外提供1万人次以上的敏感个人信息；（4）企业是否向境外提供重要数据。值得注意的是，企业的商业运营模式可能会发生变化，满足《标准合同办法》并完成《标准合同》备案的企业，未来在业务发展过程中可能会触及《数据出境安全评估》的申报义务。然而，鉴于《标准合同指南》对出境版PIA报告的要求与《自评估指南》对风险自评估报告的要求高度相似，即使未来业务触发了《数据出境安全评估》的要求，已完成《标准合同》备案的企业也能基于原有备案，以类似的方法快速完成数据出境安全自评估工作及材料准备。

• 根据《标准合同指南》，企业准备《标准合同》是否比准备《数据出境安全评估》更为轻松？

从企业准备工作的视角来看，事情并不那么简单。任何拥有《数据出境安全评估》经验的企业都会明白，安全自评估工作的主要挑战和困难在于，《自评估指南》提出的数百项评估要求对企业梳理数据合规事实带来了巨大的挑战。同样，《标准合同指南》颁布后可以看出，其中涉及的材料评估要求并不比《数据出境安全评估》的要求少。因此，我们建议企业尽早引入专业人员，开始进行《标准合同》合规事实的尽职调查和梳理工作。

• 《标准合同》的备案是否为"真实备案"？

通常来说，主管部门在备案过程中审核企业的备案材料时，所开展的是形式审查而非实质审查。然而实践过程当中，少数监管部门在特定备案程序中会以"备案"之名行"许可"之实。因此，企业在按照《标准合同指南》准备《标准合同》的备案过程中，可能存在相关疑虑。我们认为，网络信息部门在审核《标准合同》相关材料时，可能仅进行形式审查。这一观点的理由是，在制定《标准合同指南》时，网信部门取消了《自评估指南》中"提交其他证明材料"的要求。这一变动意味着，企业只需要按照《标准合同指南》完成相关材料的准备，不需要从实质上提交其他证明其个人信息保护能力的材料。同时，这些材料也不在网络信息部门的审核范围内。因此，我们相信，《标准合同》备案下的监管机构审核主要为形式审查。尽管如此，企业应当严格遵循法律规定，不得在标准合同中进行任意约定，从而与标准合同格式条款存在抵触。

• 集团化管理下，各关联公司如何取舍《标准合同》与《数据出境安全评估》？

在集团化管理下，不同关联公司由于业务类型、所掌握的个人信息量以及个人信息的敏感程度等因素，对《标准合同》和《数据出境安全评估》的适用可能存在差异。例如，假设A公司是集团的快消产品公司，掌握百万级别的个人信息，每年都有跨境传输个人信息的行为。而B公司是集团的大型设备销售公司，每年仅有少量个人信息跨境传输，且不存在其他触发安全评估申报的情况。虽然A公司显然应当申报数据出境安全评估，但B公司是否可以直接选择《标准合同》备案路径呢？答案可能并不那么简单。

在集团化管理的环境中，各个子公司之间可能存在密切的联系，因此，从数据出境角度看，我们不能仅仅根据各个公司自身的情况进行判定。根据我们对监管机构的咨询，是否允许B公司选择《标准合同》备案，还需要从以下几个角度判断B公司是否真正作为独立的数据处理者：

• B公司的法定代表人和A公司的法定代表人是否为同一人？若是，B公司可能无法作为独立的数据处理者，而需要与A公司一同申报数据出境安全评估。
• B公司是否与A公司共享同一集团的IT系统环境，从而使A公司本地化后的数据可能被B公司的境外接收方访问？如果是，那么B公司也可能无法作为独立的数据处理者，而应当与A公司一同申报数据出境安全评估。
• 是否需要评估再转移接收方所在国家的法律法规？

根据我们从网信办获得的答复，再转移接收方并不需要按照《标准合同指南》对境外接收方的要求，提供并描述 再专业接收方所在国家或地区的数据安全保护政策法规和网络安全环境分析。此外，在评估境外接收方所在国家的法律环境时，个人信息处理者及其雇佣的外部专家只需如实评估，无需聘请具有该国家法律从业资质的专业人员出具专项意见。

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.