国家互联网信息办公室于2023年2月3日通过了《个人信息出境标准合同办法》（以下简称“办法”），同时以《个人信息出境标准合同》（以下简称“标准合同”）作为附件公布，自2023年6月1日起开始实施。近日，网信办又发布了《个人信息出境标准合同备案指南（第一版）》（以下简称“备案指南”），旨在为《办法》中规定的个人信息处理者规范、有序进行个人信息出境标准合同的备案提供指导和帮助。本文将结合《标准合同》的条文与《备案指南》的规定，就《办法》进行逐条解读，意在为有数据出境需求的个人信息处理者提供有益借鉴。

第一条 为了保护个人信息权益，规范个人信息出境活动，根据《中华人民共和国个人信息保护法》等法律法规，制定本办法。

数据治理宜疏不宜堵，本《办法》为适应当前数据跨境流动情景多发的大环境而产生，本条开宗明义，表明了本办法的制定目的及依据。其依据除《个人信息保护法》外，还包括《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国民法典》《数据出境安全评估办法》等法律法规。考虑到境外接收方所在国家或地区在个人信息保护立法或执法保护水平上存在的不足或差异，通过境内的个人信息处理者与境外的接收方签署标准合同条款，将我国法律法规所确立的个人信息保护要求转化为对境外接收方具有法律约束力和可执行的合同条款，其实质上是我国《个人信息保护法》中确立的同等保护原则下的跨境传输机制。

第二条 个人信息处理者通过与境外接收方订立个人信息出境标准合同（以下简称标准合同）的方式向中华人民共和国境外提供个人信息，适用本办法。

随着《办法》的公布及实施，《个人信息保护法》第三十八条下的三种个人信息出境路径皆已明晰：（一）通过国家网信部门组织的出境安全评估；（二）经专业机构进行个人信息保护认证；（三）与境外接收方订立标准合同。

本条明确了《办法》适用情形，即个人信息处理者与接收方采取订立标准合同的方式进行数据出境时受本《办法》规制。数据出境安全评估由于具有法定强制性，因此只要触发相关条件则应优先适用，在未触发安全评估的情况下，则可根据自身情况选择保护认证或标准合同作为出境的合法依据。总体而言，“标准合同路径”较之“保护认证路径”具有时效快、成本低的优点，适合单次、偶发数据出境业务的个人信息处理者；而后者一经认证有效期则为三年，且需向认证机构缴纳认证费用，更适合跨国集团或关联实体长期、频发的数据出境业务。

第三条 通过订立标准合同的方式开展个人信息出境活动，应当坚持自主缔约与备案管理相结合、保护权益与防范风险相结合，保障个人信息跨境安全、自由流动。

相较于传统民商事合同，个人信息出境标准合同体现的不仅仅是契约自由这一价值，同时更承载了个人信息保护、国家安全与公共利益的维护。当事人需将订立个人信息出境标准合同的行为置于国家相关部门的监管之下，采取官方规定的“格式合同”。因此，个人信息处理者与境外个人信息接收者签订《标准合同》时，应保证备案合同与实际履行合同相一致，切忌采取“阴阳合同”模式，否则不仅可能导致争讼发生，也容易招致行政处罚，甚至承担刑事责任。质言之，《办法》对待个人信息出境采取了审慎的态度，力求保障境内个人信息主体权益、防范风险发生。

第四条 个人信息处理者通过订立标准合同的方式向境外提供个人信息的，应当同时符合下列情形：

（一）非关键信息基础设施运营者；

（二）处理个人信息不满100万人的；

（三）自上年1月1日起累计向境外提供个人信息不满10万人的；

（四） 自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

法律、行政法规或者国家网信部门另有规定的，从其规定。

个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。

第四条 个人信息处理者通过订立标准合同的方式向境外提供个人信息的，应当同时符合下列情形：

（一）非关键信息基础设施运营者；

（二）处理个人信息不满100万人的；

（三）自上年1月1日起累计向境外提供个人信息不满10万人的；

（四） 自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

法律、行政法规或者国家网信部门另有规定的，从其规定。

个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。

第五条 个人信息处理者向境外提供个人信息前，应当开展个人信息保护影响评估，重点评估以下内容：

（一）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；

（二）出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；

（三）境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；

（四）个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；

（五）境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；

（六）其他可能影响个人信息出境安全的事项。

个人信息保护影响评估是企业对其个人信息处理活动进行合法合规程度检查、判断企业的个人信息处理活动是否对个人信息主体合法权益造成损害及相关风险、以及评估保护个人信息主体的各项措施有效性的过程。本条对影响评估的适用条件，程序，内容进行了细化扩充，同时，依照《个人信息保护法》及《办法》的规定，影响评估报告应当至少保存三年，以备个人信息主体或监管机构提出要求时查阅。

《备案指南》给出了《个人信息保护影响评估报告》的模板。根据该模板要求，评估报告应包括评估工作简述、出境活动整体情况、拟出境活动的影响评估情况及出境活动影响评估结论等四部分，其内容基本囊括了出境活动中可能引发个人信息保护风险的所有重要信息。

第六条 标准合同应当严格按照本办法附件订立。国家网信部门可以根据实际情况对附件进行调整。

个人信息处理者可以与境外接收方约定其他条款，但不得与标准合同相冲突。

标准合同生效后方可开展个人信息出境活动。

依据本条规定，满足《办法》规定的个人信息处理者在与境外个人信息接收方订立标准合同时必须严格依照附件模板，虽可另外约定其他条款作为附录，但与正文冲突时以正文约定优先适用。

附件的标准合同的主要内容包括：合同相关定义、基本要素、个人信息处理者和境外接收方的合同义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利和相关救济，以及合同解除、违约责任、争议解决等事项，并设计了个人信息出境说明、双方约定的其他条款等两个附录。

值得注意的是，在部委规章层面，鲜见“预留修订空间”的情况，本《办法》如此规定，主要是当前数据出境业务仍为初生阶段，当实际情况发生变更，自应对原合同条款进行相应调整。因此，企业应随时留意国家网信部门的最新动态，以便做好合同换签工作。

第七条 个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案应当提交以下材料：

（一）标准合同；

（二）个人信息保护影响评估报告。

个人信息处理者应当对所备案材料的真实性负责。

标准合同生效虽然不依赖于备案，但根据本条规定不难看出，备案是采取订立标准合同的方式开展个人信息出境活动的前置条件。

《备案指南》对《办法》中的备案流程及所需材料进行了补充，即个人信息处理者需要通过送达书面材料（包括：1.统一社会信用代码证件影印件；2.法定代表人身份证件影印件；3.经办人身份证件影印件；4.经办人授权委托书；5.承诺书；6.标准合同；7.《个人信息保护影响评估报告》）并附带材料电子版的方式进行备案。从表述来看，我们理解可能是需要通过线下窗口进行提交，或者通过邮寄送达方式，具体可能有赖于各省级网信部门的进一步实践。此外，根据《备案指南》的规定，省级网信办在收到材料后，应于15个工作日内完成材料完备性查验，并通知个人信息处理者备案结果。

第八条 在标准合同有效期内出现下列情形之一的，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行相应备案手续：

（一）向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；

（二）境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；

（三）可能影响个人信息权益的其他情形。

备案完成后，个人信息处理者及境外接收方需严格履行已签署生效的标准合同，如出现影响个人信息权益的情形，则须重新开展个人信息保护影响评估、补充或者重新订立标准合同，并履行相应备案手续。

我们理解，此处的要求一方面是与前述个人信息保护影响评估的有效性所对应，订立标准合同是基于个人信息保护影响评估报告对该次个人信息出境活动作出正向结论的基础之上。而如果作为标准合同订立的基石，个人信息保护影响评估的要素依据发生了重大变化，如向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者境外接收方所在国家或者地区的个人信息保护政策和法规发生变化的，则该次个人信息出境活动的合规性根基将不再有效，需要基于新的情况重新评估、订立合同后方可保证个人信息主体的权益得到了充分的保护；另一方面，标准合同的重点条款在于拟出境的个人信息以及该等个人信息的处理目的、处理方式、保护措施等，上述内容发生变化，则标准合同自然需要重新评估、签署。

第九条 网信部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密，不得泄露或者非法向他人提供、非法使用。

本条规定了网信部门及其工作人员的保密责任，违反保密义务或承担行政、民事责任，严重的情形下还可能触犯如侵犯公民个人信息罪、侵犯商业秘密罪等，力求网信部门及其工作人员权责一致。

第十条 任何组织和个人发现个人信息处理者违反本办法向境外提供个人信息的，可以向省级以上网信部门举报。

根据本条规定，对于违反本办法向境外提供个人信息的，应向省级以上网信部门举报。《办法》并未对举报主体的资格作出限制，包括但不限于个人信息处理者的内部员工、个人信息相关主体、标准合同中相关主体及其他一切可能知情的主体。《备案指南》与《办法》中的监管机制（举报监督机制+主动发现机制）相呼应，明确了有关标准合同咨询的联系方式亦为举报的联系方式。

第十一条 省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的，可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改，消除隐患。

本条规定在出现“个人信息出境活动存在较大风险”或“发生个人信息安全事件”两种情形时，由省级以上的网信部门作为权力主体对相关个人信息处理者进行约谈，避免九龙治水之困。未来个人信息出境活动或将需要更多合规指导。

第十二条 违反本办法规定的，依据《中华人民共和国个人信息保护法》等法律法规处理；构成犯罪的，依法追究刑事责任。

本条明确了个人信息处理者、网信部门及其工作人员等在违反《办法》规定的情况下承担责任的法定依据，再次强调犯罪行为将被追究刑事责任，体现了国家层面进行数据治理的决心。

第十三条 本办法自2023年6月1日起施行。本办法施行前已经开展的个人信息出境活动，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改。

《办法》要求个人信息保护影响评估及签署标准合同均应在个人信息出境活动之前完成。也即是说，只有在2023年6月1日之前的个人信息出境行为，选择通过标准合同办法完成合规动作的，有机会在2023年11月31日之前进行整改，补充完成个人信息保护影响评估、签署标准合同、备案三步走的流程。而2023年6月1日之后的个人信息出境活动，不再有整改期限，而是应当在完成全部合规步骤之后方可进行。