進一步規范我國個人信息出境管理制度

近日，國家互聯網信息辦公室公布《個人信息出境標準合同辦法》（以下簡稱《辦法》），自2023年6月1日起施行。國家互聯網信息辦公室有關負責人表示，出臺《辦法》旨在落實《個人信息保護法》的規定，保護個人信息權益，規范個人信息出境活動。

近年來，隨著數字經濟的蓬勃發展，個人信息出境需求快速增長。為滿足日益增長的個人信息出境需要，保護個人信息權益，《辦法》規定了個人信息出境標準合同（以下簡稱“標準合同”）的適用范圍、訂立條件和備案要求，明確了標準合同范本，為向境外提供個人信息提供了具體指引。

《辦法》明確了個人信息處理者通過訂立標準合同的方式向境外提供個人信息應當同時符合下列情形：一是非關鍵信息基礎設施運營者；二是處理個人信息不滿100萬人的；三是自上年1月1日起累計向境外提供個人信息不滿10萬人的；四是自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的。

《辦法》要求，個人信息處理者向境外提供個人信息前，應當開展個人信息保護影響評估并明確重點評估內容。規定個人信息處理者應當在標準合同生效之日起10個工作日內向所在地省級網信部門備案。提出在標準合同有效期內個人信息處理者應當重新開展個人信息保護影響評估，補充或者重新訂立標準合同，并履行相應備案手續的具體情形。《辦法》還對監督管理、法律責任、合規整改要求等作出了規定。

“《個人信息保護法》提供了高水平的個人信息保護標準，標準合同的適用有利于保障境外接收方處理個人信息的活動達到我國《個人信息保護法》規定的個人信息保護標準，確保個人信息出境后個人信息主體權益依然受到保護。”中國信通院互聯網法律研究中心主任方禹表示。同時，《辦法》的出臺積極回應了社會關切，在為中小企業個人信息跨境業務合作提供法治保障的同時，減輕了中小企業負擔，有利于進一步促進數據自由流通和數字經濟發展。

《辦法》是繼《數據出境安全評估辦法》之后，第二部落實《個人信息保護法》個人信息出境管理規定的專門性部門規章，具有承前啟后推動個人信息出境管理制度體系化的重要作用。《數據出境安全評估辦法》明確了數據出境管理中的“安全評估”，《辦法》與其共同作為《個人信息保護法》的配套規章，進一步落實了有關個人信息出境管理制度的頂層設計。

方禹認為，《辦法》的正文和附件標準合同范本前后銜接，既明確了個人信息出境標準合同的監管要求，又保障了合同雙方的意思自治和合同磋商空間。總之，將標準合同作為個人信息出境的方式，是我國網絡立法上的創新舉措，有利于積極應對互聯網新業態新模式帶來的風險挑戰，為促進個人信息跨境流動提供法治保障。

此外，《辦法》細化了風險管理，在《個人信息保護法》第五十五條提出個人信息保護影響評估后，進一步針對出境場景細化了影響評估的評估項，比如境外接收方承諾履行的個人信息保護義務、措施和能力，個人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風險。

“個人信息處理者在選定標準合同作為個人信息跨境傳輸合規路徑的情況下，需要在向境外提供個人信息前進行影響評估，此為對《個人信息保護法》的落實。”北京理工大學教授洪延青表示。同時，我國標準合同的主要內容，如個人信息在提供、處理安全、自動化決策處理等方面借鑒了有關國家和地區的有益做法，為數據跨境流動制度的國際合作奠定了基礎，爭取與更多的國家和地區建立穩定可行的數據流通雙多邊機制。

總的來說，《辦法》體現了四方面鮮明導向：一是以人民為中心，把維護個人信息主體合法權益放在首要位置；二是堅持一致性，《辦法》與我國《個人信息保護法》等法律法規要求保持一致；三是突出簡明性，標準合同范本內容注重易于企業理解、實踐和應用；四是強調開放性，標準合同范本內容與國際通用規則的理念相兼容，便于企業對外開展對等的商業合作。相信《辦法》能夠為我國加大對外開放合作提供重要的制度保障。

可見，《辦法》以標準合同為抓手規范我國個人信息出境管理制度，是我國深化開放合作、探索個人信息跨境流動與治理的新舉措。方禹表示，出臺《辦法》不僅補充完善了我國數據跨境監管制度體系，體現了我國網絡立法的系統性、整體性、協同性、時效性，更為數字經濟浪潮中的中國企業提供了法治保障和具體指引。