數據出境合規100問 | Part 2：《個人信息出境標準合同規定（征求意見稿）》高頻問題與適用解讀 - 網安

數據出境合規100問

《數據出境安全評估辦法》與

《個人信息出境標準合同規定（征求意見稿）》

剖析與解讀

本系列文章將分為以下四部分

第一部分：初階--數據出境關鍵概念剖析

第二部分：進階--《個人信息出境標準合同規定》高頻問題與適用解讀

第三部分：進階--《數據出境安全評估辦法》高頻問題與適用解讀

第四部分：高階--數據出海實踐關鍵問題與海外SCC要點對比

在認識清楚數據出境相關的基本概念后，后續的內容將開始對數據出境的兩部重要的法規進行分析，本篇是第二部分進階篇，主要就個人信息出境標準合同規定（征求意見稿）》的高頻問題與適用進行解讀。

文 / 王捷律師團隊

第二部分上篇：

《個人信息出境標準合同規定》高頻問題與適用解讀

本部分上篇將回答以下問題：

Q17.如何準確理解何謂“標準合同條款”？

Q18.企業如何識別是否落入我國《規定》的適用范圍？

Q19.什么類型的企業可能符合簽署《標準合同》的情形？

Q20.通過“申報網信部門安全評估”路徑而實現數據出境的企業，是否還需要簽署《標準合同》？

Q21.發起《標準合同》簽署的個人信息處理者是否必須是中國境內的注冊企業？

Q22.如果是境外主體直接收集了境內個人信息的情況下，是否需要簽署《標準合同》？

Q23.《標準合同》簽訂前已經簽定的數據處理相關合同的效力如何？

Q24.企業何種情形下需要簽訂補充條款？

Q25.企業何種情形下需要重新簽訂《標準合同》？

Q26.延伸問題—如果出現需重新簽訂《標準合同》的情形，企業需要在多長時間內進行重新簽訂以及備案？

Q27.如何理解境內個人信息處理者與境外接收方在《標準合同》中承擔的責任與義務？在多長時間內進行重新簽訂以及備案？

Q28.如何理解《標準合同》中的第三方受益人？

Q29.如何理解“自主締約與備案管理相結合”？

Q30.進行《標準合同》備案時需要注意哪些事項？

Q31.《標準合同》的備案是否是《標準合同》的生效要件？

Q32.“累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息”的起算時間是什么？

本次《規定》的發布一共包括兩個部分。

第一部分為個人信息出境的標準合同法律規定，闡明了《規定》附件中的合同模板（以下簡稱《標準合同》或中國版SCC）的適用范圍，適用要求，責任承擔等基本問題。

第二部分為國家網信辦制定的《標準合同》，共包括9項合同條款，涉及個人信息處理者與境外接收方的權利義務以及第三方受益主體的權利及救濟內容。《標準合同》中包含兩份附錄，供出境雙方填寫個人信息出境說明以及補充條款。

本文將會總結《規定》中在業內以及企業實務方面常見的關注點以及困惑的內容并進行整理及解答。

Q17.如何準確理解何謂“標準合同條款”？

根據我國《個人信息保護法》在第三章關于個人信息跨境傳輸的規定內容，我們知道，我國提供了三種個人信息跨境傳輸的機制：

數據出境安全評估，屬于法定適用情況，即只要達到法律規定的條件，企業就必須申報數據出境安全評估。

認證機制，屬于國家推薦的自愿性的認證情況，主要適用在跨國集團與關聯公司之間的個人信息跨境傳輸活動。

標準合同條款，考慮到境外接收方所在國家或地區在個人信息保護立法或執法保護水平上存在的不足，通過境內的個人信息處理者與境外的接收方簽署標準合同條款，將我國法律法規所確立的個人信息保護要求轉化為對境外接收方具有法律約束力和可執行的合同條款。因此，其實質上是我國《個人信息保護法》中確立的同等保護原則的一種跨境傳輸機制。

可見，標準合同條款是個人信息跨境處理活動中可以采用的其中一種合法路徑。

標準合同條款雖然是合同性質，但并不是說雙方完成了簽署就完事，它仍然會涉及到我國法律及原則的適用，以及我國的個人信息監管機構也會對標準合同條款的實施實施了對應的監管要求，例如要求進行事前的個人信息影響保護評估、采取保護措施，要求進行備案等。

Q18.企業如何識別是否落入我國《規定》的適用范圍？

該問題的回應可以分成兩個部分，一是確定適用場景，二是確定規定場景下的適用條件。

從適用場景上看，《個人信息保護法》第三十八條規定了我國個人信息處理者數據出境的四個路徑，而雙方訂立標準合同約定權利義務是其中可選用的路徑之一。

從適用條件上看，根據《規定》第四條規定：使用標準合同的企業（個人信息處理者）應當同時滿足以下條件：

（一）非關鍵信息基礎設施運營者；

（二）處理個人信息不滿100萬人的；

（三）自上年1月1日起累計向境外提供未達到10萬人個人信息的；

（四）且自上年1月1日起累計向境外提供未達到1萬人敏感個人信息的。

故可知，以上四項條件是對通過簽訂標準合同進行數據出鏡的個人信息處理者身份的限制，只有同時滿足以上四項條件的個人信息處理者方可使用標準合同。

Q19.什么類型的企業可能符合簽署《標準合同》的情形？

由上述問題可知，適用我國《標準合同》對企業自身情況有嚴格要求，前述4個需要同時滿足的條件，已經將我國《個人信息保護法》以及《數據出境安全評估辦法》中規定的必須向網信部門申請數據出境安全評估的情形都排除出去了。

即，可以通過簽署中國版SCC而實現數據出境的適用主體需要是非關鍵信息基礎設施運營者，且要求是處理個人信息人數或敏感信息數量較少的個人信息處理者，因此，在實務中多適用于用戶量小，規模較小的企業主體。而大型公司或平臺由于收集個人信息體量大，應用場景廣泛，易于對個人信息主體的權利造成威脅，其選擇簽署《標準合同》作為數據出境路徑的可能性一般較低。

Q20.通過“申報網信部門安全評估”路徑而實現數據出境的企業，是否

還需要簽署《標準合同》？

值得注意的是，這并不代表申報了網信部門數據出境安全評估的情況就不需要簽署《標準合同》了，而只是說明了企業不能單單靠通過簽署《標準合同》的路徑來實現數據出境，企業仍然需要在簽署《標準合同》的基礎上，進行網信部門數據出境安全評估的申報。

Q21.發起《標準合同》簽署的個人信息處理者是否必須是中國境內的注冊企業？

中國版SCC的適用前提是個人信息處理者依據我國《個人信息保護法》第三十八條第一款第（三）項，發生了與境外接收方訂立合同而向我國境外提供個人信息的情況；同時，在現在公布的《標準合同》開篇處雙方主體中的表述也是使用了“個人信息處理者”，可見，不論是《規定》本身，還是在《標準合同》的表述，都是使用了“個人信息處理者”，并沒有對該個人信息處理者是否必須是在境內注冊的企業進行要求，結合我國《個人信息保護法》的要求，只要是在個人信息處理活動中可以自主決定處理目的、處理方式的組織和個人都將會被認定為個人信息處理者。

Q22.如果是境外主體直接收集了境內個人信息的情況下，是否需要簽署《標準合同》？

判斷這個問題，首先判分析境外主體直接收集境內自然人個人信息的情況，是否屬于境內個人信息處理者向境外提供個人信息的情況。

從字面的意思來看，境內個人信息處理者向境外提供個人信息，是需要有一個在境內的個人信息處理者，該境內的主體向境外的主體（境外接收方）提供個人信息，此處會有一個境內向境外提供的過程。因此如果是境外主體收集了境內自然人的個人信息的情況的，并不屬于境內個人信息處理者向境外提供個人信息的情況，即該情況不屬于《個人信息保護法》第三十八條和《規定》意義上的“個人信息出境”行為。從這一點看，由于沒有境內主體這個環節，因此難以適用簽署《標準合同》的情形。

但需要注意的是，該情況下，如果該境外主體是以向境內自然人提供產品或提供服務為目的的，即當該境外主體落入了《個人信息保護法》第三條第二款的規定的，則該境外主體收集并處理境內自然人個人信息的行為仍然是屬于“個人信息跨境處理活動”，可以參考《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規范》中的規定，由該境外主體在境內設置的專門機構或指定代表申請認證。

Q23.《標準合同》簽訂前已經簽定的數據處理相關合同的效力如何？

首先，《標準合同》第二條第二款規定，個人信息處理者與境外接收方簽訂與個人信息出境活動相關的其他合同，不得與標準合同沖突，該法條說明了《標準合同》的優先效力。

其次，雖然《規定》的征求意見稿已經發布，但此時《標準合同》的正式稿尚未正式生效，此時開展數據出境的企業雙方簽訂的合同條款效力仍然繼續保持原有效力。

最后，當《標準合同》正式生效后，《標準合同》簽訂前已經簽定的數據處理相關合同與《標準合同》沖突的條款，以《標準合同》為準，其他不沖突的條款依然有效，不會當然導致原有的合同失效。

Q24.企業何種情形下需要簽訂補充條款？

實務中常會出現數據出境的企業雙方想要進行更細致的條款補充的情況，補充條款并不被《標準合同》所禁止，同時，也符合《規定》“自主締約+備案管理”的目的精神，企業如果認為標準合同中已經規定的內容不足以滿足雙方的需要，可以通過《標準合同》附件2增加補充條款，但需要注意的是，企業增加的補充條款不能與標準合同條款本身相沖突，也不能通過增加補充條款來規避標準合同條款的實施，以及不能通過增加補充條款來限制和縮小數據主體本應享有的數據主體權利。

Q25.企業何種情形下需要重新簽訂《標準合同》？

總結《規定》內容來看，數據出境雙方約定的個人信息各項內容、場景環境發生變化都有可能需要重新簽訂合同，依據《標準合同》第八條規定重新簽訂標準合同的情形有：

（一）向境外提供個人信息的目的、范圍、類型、敏感程度、數量、方式、保存期限、存儲地點和境外接收方處理個人信息的用途、方式發生變化，或者延長個人信息境外保存期限的；

（二）境外接收方所在國家或者地區的個人信息保護政策法規發生變化等可能影響個人信息權益的；

（三）可能影響個人信息權益的其他情況。

在法律規定的基礎上，以下兩種情形也是實務中企業需要考慮到的情況。

向同一個境外接收方持續傳輸信息

在這種情形下，可能涉及傳輸的個人信息的數量變化和數據類型的變化，依據《規定》第八條，需要重新簽訂標準合同以及重新備案。考慮到企業的成本問題，建議在簽署合同前，對協議內容所覆蓋的范圍和維度進行設計和細化，例如對需要傳輸的個人信息數量、類型、目的、方式、保存期限等維度進行有效預估，減少重復更新合同以及備案。

向不同的境外接收方傳輸信息

在這種情形下企業需要與不同的境外接收方分別簽訂數據傳輸協議。不管是只將數據傳給單個境外數據接收方，還是需同時傳給多個境外數據接收方，每多增加一個境外數據接收方，就需要單獨簽署一份合同，并作一次評估。所以，如果企業需要和多個境外接收方簽署標準合同，可考慮合并同類數據出境的場景，一起進行評估與備案。

值得注意的是，當企業重新簽署《標準合同》以及進行備案時，需要重新進行個人信息保護影響評估，并將評估結果和重新簽署的《標準合同》提交網信辦備案（至于是否可以僅對發生變化的部分進行評估，有待在實踐中確認）。需要明確的是并非境外接收方所在國家或地區的數據保護政策有任何變化，企業就需要重新簽訂合同，還要看具體是否會對數據主體的權益造成影響，但這也是實務中較難判斷的一點。

所謂牽一發而動全身，考慮到企業因為重新簽署合同而投入的成本，企業在首次簽訂《標準合同》時，需要進行更精細化的設計與評估。

Q26.延伸問題—如果出現需重新簽訂《標準合同》的情形，企業需要

在多長時間內進行重新簽訂以及備案？

目前《規定》中尚未有確定重新簽訂的備案期限，但是對于符合條件的企業而言，簽訂《標準合同》及備案是企業開展數據出境活動的前提，且考慮到配合《規定》出境安全及保護個人信息權益的精神，為了降低企業風險，企業在得知已達到重簽條件后，宜盡早進行重簽。

Q27.如何理解境內個人信息處理者與境外接收方在《標準合同》中承擔的

責任與義務？

《標準合同》第二條明確了個人信息處理者應當履行的義務，并特別要求個人信息處理者對境外接收方承擔監督管理者責任。可見，在實務開展過程中，企業進行數據出境活動的時候，企業不僅是出境活動的主要責任方，更是監管機構的重點監督對象。而對于境外接收方而言，《標準合同》將我國數據保護法律法規的各種法律要求轉化為境外接收方的合同義務，以使境外接收方可以達到我國法律所要求的保護水平，并特別規定了境外接收方需要配合境內企業接受我國監管機構檢查的義務和責任，與前述境內企業需要承擔監督與檢查責任相呼應。

我們對境內個人信息處理者與境外接收方在責任與義務方面進行扼要對比：

Q28.如何理解《標準合同》中的第三方受益人？

除合同雙方當事人即個人信息處理者與境外接收方外，《標準合同》還明確了保護第三方受益人權益的相關內容，這是需要注意的問題。根據《標準合同》的規定，企業需要向數據主體告知其與境外接收方通過標準合同約定數據主體為第三方受益人，如果數據主體沒有在三十天內明確拒絕的，則可以依據標準合同享有第三方受益人的權利。

關于第三方受益人，該概念借鑒了歐盟《關于向第三國轉移個人數據的標準合同條款》的內容，并首次在國內提出，《標準合同》中賦予個人信息主體相應的權利，即作為合同第三方受益人，有權向個人信息處理者、境外接收方任何一方主張并要求履行合同中規定的與個人信息主體權利相關的權利。同時還明確了個人信息主體在權利受到侵犯時，可以通過向監管機構提出投訴或根據管轄規則向相關法院提起訴訟的救濟途徑。

Q29.如何理解“自主締約與備案管理相結合”？

備案制度體現了我國《規定》的監管規則，是指符合條件的個人信息處理者與境外接收方應當自行訂立標準合同，并通過在監管部門備案的方式進行數據出境活動。

與歐盟的規定不同的是，歐盟允許數據進出雙方在不抵觸數據主體基本權利及自由的前提下修訂SCC并由各歐盟成員國的監管機構局進行批準，我國《規定》中提及的“自主締約與備案管理相結合”的模式則未對是否允許雙方修改標準合同條款進行說明。

在實務中不建議修改標準合同，但可以約定在附錄二中進行補充，并且不能與標準合同條款相沖突。關于備案的方式以及頻率則在下面的問題中進行說明。

Q30.進行《標準合同》備案時需要注意哪些事項？

依據《規定》第七條，企業有3點需要注意的：

首先是在備案的時間上，應當在標準合同生效之日起10個工作日內進行。

其次是在備案機關上，應向所在地省級網信部門備案。

最后，是在備案的材料上，企業需要提交2份材料，包括簽署的《標準合同》以及《個人信息保護影響評估報告》。

Q31.《標準合同》的備案是否是《標準合同》的生效要件？

請注意，備案并非是標準合同條款的生效要件。

《規定》第三條明確個人信息出境標準合同的使用規則是以“自主締約與備案管理”相結合，企業不進行備案并不影響合同的效力，但是如果企業不完成備案，就會可能導致網信部門對企業進行責令改正、停止個人信息出境行為等情況，會對企業業務開展產生不良影響。因此，建議企業按要求進行備案。

Q32.“累計向境外提供超過十萬人以上個人信息或者一萬人以上

敏感個人信息”的起算時間是什么？

“累計”的起算時間點并非《規定》生效之日，而是在《規定》生效時間點上一年1月1日起開始計算累計向境外提供的個人信息人數。可見，“累計提供”的個人信息數量應該按年度進行計算，且最長跨度為2年。

因此，企業應該每年度至少進行一次審查，審查企業向境外提供的個人信息涉及的總人數是否超過/即將超過臨界值，如果超過，則通過簽訂《標準合同》進行數據出境可能已經不能滿足現有規定了，便需要進行安全評估。有關出境安全評估的內容將會在本專題第三部分進行詳細解讀。

第二部分下篇：

《個人信息出境標準合同規定》高頻問題與適用解讀

本部分下篇將回答以下問題：

Q33.《規定》第四條中的100萬、10萬、1萬是指人數還是個人信息的條數？

Q34.個人信息的信息數量計算單位是什么？

Q35.個人信息保護影響評估是否是《規定》中的必備要求？

Q36.個人信息保護影響評估中的主要評估內容是什么？

Q37.延伸-《規定》中要求的個人信息保護影響評估的難點是什么？

Q38.如何理解“境外接收方處理個人信息的活動是否達到本法規定的個人信息保護標準”？

Q39.如何在實務中確定境外接收方的政策法規變化是否影響了個人信息權益？

Q40.延伸-《標準合同》模板中，技術水平、技術措施、進到最大努力、足夠保護，這些不夠精準的表達如何理解？

Q41.未履行備案程序需要承擔相應法律責任，但是若因備案標準不清晰，難以落實，該如何處理？

Q42.在滿足何種情況下，境外接收方可以再向境外第三方提供所接收的個人信息？

Q43.境外接收方向境外第三方再次提供所接收的個人信息，是否需要再次簽署《標準合同》？

Q44.企業在何種情況下可以解除《標準合同》，以及需要注意的問題包括哪些？

Q45.《標準合同》的違約救濟途徑包括哪些？

Q46.企業是否需要向個人信息主體提供《標準合同》副本文件？在提供時有什么注意事項？

Q47.數據出境場景中，除“單獨同意”外，企業還需告知用戶哪些內容？

Q48.企業違反《標準合同》規定的，對企業出境活動有什么影響？

本次《規定》的發布一共包括兩個部分。

本文將會總結《規定》中在業內以及企業實務方面常見的關注點以及困惑的內容并進行整理及解答。

Q33.《規定》第四條中的100萬、10萬、1萬是指人數還是個人信息的條數？

本條中的3個數字均指的是人數，不是條數。舉個極端的例子，從目前的規定來說，如果某企業的國內用戶人數超過了100萬，即便向境外接收方提供了一條個人信息，也需要按照《辦法》的規定申報網信辦安全評估。

Q34.個人信息的信息數量計算單位是什么？

《規定》中提及過“出境個人信息的數量”，并且出境個人信息的數量的變更將會觸發重新簽署《標準合同》的可能，因此，如何判斷個人信息的“數量”非常重要，這一點也是筆者存疑并一直思考的地方。

實務中，一旦開啟數據跨境傳輸的業務，境外接收方就會不斷接收到來自境內的個人信息，如何在標準合同中確定出境個人信息的“數量”成為一個有待解決的問題。該“數量”是以條數、量級、范圍計算不甚明確，以及企業在填寫個人信息數量時是否可以填寫具體的范圍，而不是具體數字，仍然有待監管機關進一步明確。

Q35.個人信息保護影響評估是否是《規定》中的必備要求？

這個問題的結論是肯定的，符合條件的企業如果想要選用簽署標準合同的方式完成數據出境就必須要進行個人信息保護影響評估，我國依據《標準合同》開展出境活動采用的是自主締約和備案管理相結合的方法，簽訂標準合同的個人信息處理者必需要進行備案，個人信息保護影響評估報告就是備案材料之一。

Q36.個人信息保護影響評估中的主要評估內容是什么？

評估內容主要圍繞可能產生個人信息安全風險的各事項進行展開，《標準合同》在其第五條有列明重點評估的內容：

結合王捷律師團隊已為不同企業做過的個人信息保護影響評估，以及上述內容判斷，評估主要從處理者及接收者雙方的個體情況、合同內容、個人信息的數據狀況、可能發生的安全事件情況以及目的國的法律環境五個維度進行評估，后續企業在進行評估活動時，可以依據上述五項維度分類，設計類型化的評估環節以及完成有針對性的材料準備。

Q37.延伸—《規定》中要求的個人信息保護影響評估的難點是什么？

個人信息保護影響評估要求企業對境外接收方所在國家或者地區的個人信息保護政策法規對標準合同履行的影響進行評估，此為評估的難點。

在《出境安全評估辦法》中，該項評估是由網信部門進行的。境外政策的變化，是否會影響合同履行，影響的程度如何，實務中由企業判斷存在一定難度。企業可能需要境外律師協助評估才能滿足相應的評估要求。此外，為了方便企業評估活動，可以在與數據接收方簽訂的合同中，約定數據接收方有義務協助提供當地的法律政策文本、協助企業進行評估以及在政策變動時及時告知等。

總之，基于此評估要求，企業需要密切關注數據接收方所在國/地區的法律動態。

Q38.如何理解“境外接收方處理個人信息的活動是否達到本法規定的個人信息保護標準”？

該問題的本質是要如何判斷一個境外接收方整體上滿足《標準合同》的要求，規定中對境外接收方的考慮主要包括三個方面：

第一是境外接收方的情況，包括技術、管理制度、應急處理能力等，需要確認境外接收方在技術以及制度上具有保護個人信息安全的能力；

第二是境外接收方與個人信息處理者的合同內容，確認雙方與個人信息相關的責任要求符合規定標準；

第三是境外接收方所在的地區環境，主要考慮其所在的國家及地區的政策是否會影響個人信息權益。

王捷律師團隊曾于2020年出具《全球數據合規觀察報告》，里面有就不同國家與地區的數據保護法律環境情況進行介紹，以幫助企業客戶更全面地了解目標國家與地區的數據保護動態。

Q39.如何在實務中確定境外接受方的政策法規變化是否影響了個人信息權益？

這是實務中企業完成個人信息影響保護評估的難點，受限于跨地域、跨法域會產生信息差的客觀原因，企業在進行個人信息保護影響評估時要毫無疏漏地分析境外接收方所在國家或者地區的個人信息保護政策法規對標準合同履行的影響頗為困難，實務中要求企業需要更有意識的使用全球法律視角來判斷問題，有數據出境業務的企業要對出境國家及地區的法律規定、政策變化保持敏感度。

王捷律師團隊曾于2021年出具的《中國與海外多國/地區數據保護及企業合規要點對比報告》，里面有就部分主流出海國家與地區的數據保護法律要點進行分析與比對，以幫助企業客戶更全面地掌握出境目標國家及地區的合規要點。

Q40.延伸—《標準合同》模板中，技術水平、技術措施、盡到最大努力、足夠保護，這些不夠精準的表達如何理解？

這不僅是實務中企業常有的困惑，同時也是業界頗為關注的問題，對于該問題可以分兩個層面進行回答。首先我們可以理解法律中的這些概念表述所希望追求的法律效果，達成的法律目的是什么，這樣我們在完成評估的過程中許多內容就可以基于想要追求的效果作為行動標準進行判斷，其次，我們可以進一步分析標準細化的規定與方法。

從《標準合同》的內容上判斷，數據安全以及保護個人信息權益是重要的規范目標

這在《標準合同》的多項規定中都可以體現，比如《標準合同》第八條第（六）項規定盡管在境外處理者違反規定侵害個人權益的情形下，個人信息處理者也可能需要先向個人信息主體承擔責任。因此，在判斷自己的出境活動評估是否已經是盡到“最大努力”、并“足夠保護”個人信息主體時，企業應保持一個嚴格的態度，并在評估的過程中增加“個人信息主體權益”的判斷視角。

我國數據出境法律不斷完善的過程實際也是出境標準細化的過程，《標準合同》中的許多技術指標，我國各部門機關是有提供細化規范參考的

如《信息安全技術—個人信息安全影響評估指南》提供的更細節的流程、事項指引，同時，實踐中企業對自評估各事項的經驗總結以及有關部門對各評估事項完成度的反饋也是細化這些概述表達的方法。

Q41.未履行備案程序需要承擔相應法律責任，但是若因備案標準不清晰，難以落實，該如何處理？

回應該問題需先判斷《標準合同》確認的備案適用標準，再進一步分析備案標準是否存在需要考慮適用范圍不清晰的部分。

首先，問題中提及的備案制度作為《規定》中的要求，當然是在企業開展數據出境活動中適用，數據出境的判斷標準我們在第一部分的基礎概念解答中已經有詳細的解答，標準相對清晰。

其次，判斷數據出境中企業在何種條件下可以適用《規定》并進行備案，《規定》內容中有詳細要求，前文也有進行列舉。

從現階段規定的適用標準來看，還是比較明確的，基于規定，企業適用不清晰的情況應該很少出現，但仍值得進一步分析:

第一，何為非關鍵信息基礎設施運營者，這個標準我們第一部分也完成了詳細解讀；

第二，若企業現階段尚符合備案標準，但可能日后有不符合的風險如何處理，由于此時不符合備案條件的情形尚未發生，我們認為該階段企業仍然可以選用《標準合同》的路徑，但是一般該情況可以在個人信息影響保護評估中體現，如確有超過條件風險的，企業宜提前做好準備，例如考慮落入安全評估范圍時的數據出境規則。

Q42.在滿足何種情況下，境外接收方可以再向境外第三方提供所接收的個人信息？

境外接收方原則上不應再向境外第三方提供所接收的個人信息，除非業務確有需要，并且滿足特定的要求。具體而言，《標準合同》要求境外接收方將向個人信息提供給位于境外的第三方時需要同時滿足以下要求：

明確有特定的業務需要而提供個人信息

告知個人信息主體境外第三方的具體信息（境外第三方身份、聯系方式、處理目的、方式、個人信息種類及個人行使權利的方式和程序），并獲取個人信息主體單獨同意（但法律法規另有規定的除外）

涉及敏感個人信息的，則需要向個人信息主體告知傳輸敏感個人信息的必要性及對個人的影響。若難以告知或難以取得單獨同意，則境外接收方應及時告知個人信息處理者并請求其協助告知個人信息主體或協助取得個人的單獨同意

與境外第三方達成書面合同，確保境外第三方的保護水平不低于我國數據保護法律的標準

承擔因再提供而可能導致的個人信息主體損害的連帶責任

向個人信息處理者提供以上規定的合同副本

因此，企業在海外業務開展過程中，應首先判斷是否確實有進行境外二次流轉的必要，若確有必要的，不僅應獲得個人信息主體的單獨同意（但法律法規另有規定的除外），還應簽訂合同，以保障第三方對個人信息的保護水平不低于我國相關法律法規規定的個人信息保護標準，并承擔因再提供而可能導致對個人信息主體造成損害的連帶責任，此外，還應主動向中國境內的數據處理者提供以上合同的副本。

Q43.境外接收方向境外第三方再次提供所接收的個人信息，是否需要再次簽署《標準合同》？

如果在部分業務場景中境外接收方確需將所接收的個人信息提供給境外第三方，在滿足Q42中所列明的條件的同時，建議境內個人信息處理者在與境外數據接收方所簽訂的《標準合同》中以排他性列舉的方式明確境內個人信息處理者所認可的境外第三方（即分處理者或次處理者）。

未經境內個人信息處理者同意，不得再向境外第三方提供個人信息，并要求境外數據接收方對第三方的過錯承擔連帶責任。

綜上所述，若存在境外接收方向境外第三方再次提供所接收的個人信息的情況，境內個人信息處理者可以直接在與境外接收方所簽的《標準合同》中約定關于境外第三方的相關條款，比如在《標準合同》附錄一的第（六）項中闡明境外接收方可能再向哪些第三方主體提供個人信息，避免重復簽訂《標準合同》或補充協議以及進行多次備案。

Q44.企業在何種情況下可以解除《標準合同》，以及需要注意的問題包括哪些？

當企業與境外接收方在履行《標準合同》的過程中，根據《標準合同》第七條的規定，企業可以在出現以下情況的時候與境外接收方解除合同：

（1）境外接收方嚴重或持續違反標準合同規定的義務；

（2）境外接收方遭遇了破產、解散或清算等情況。

如果出現以下情況，則企業和境外接收方任何一方都可以解除合同：

因境外接收方違反合同規定的義務，且企業暫停向境外接收方傳輸個人信息的時間超過一個月

境外接收方繼續遵守標準合同將會違反其所在國家的法律規定

根據境外接收方的主管法院或監管機構作出的不能上訴的終局性決定，境外接收方或企業違反了標準合同的規定

在監管機構按照相關法律法規作出個人信息出境相關的決定導致標準合同無法執行的情況下

需要注意的是，標準合同的解除，并不能免除境外接收方在個人信息處理過程中的個人信息保護義務，境外接收方應當返還、銷毀或匿名化處理接收的個人信息；并提供對應的審計報告。

Q45.《標準合同》的違約救濟途徑包括哪些？

發生違反《標準合同》的情形時，個人信息處理者、境外接收方、個人信息主體及有關部門都有可采取的救濟措施：

01 個人信息處理者、境外接收方

對于數據出境相關的雙方而言，任意一方出現違反合同義務情形的，另一方可以要求其承擔違約責任，《標準合同》提供的合同模版中規定違約責任及于非違約方遭受的損失，在法定情形下或協商一致的情況下，雙方亦可解除合同。

02 個人信息主體

對于個人信息主體，也即第三方受益人而言，合同任意一方侵害第三方受益人權益的，個人信息主體都有權獲得賠償。此外，《規定》還明確了任何組織和個人發現個人信息處理者違反《規定》的，都可以向省級以上網信部門投訴、舉報。

03 監管部門

省級以上網信部門除通過接收備案進行監督外，也會對《標準合同》雙方的實際處理過程進行主動監管。

Q46.企業是否需要向個人信息主體提供《標準合同》副本文件？在提供時有什么注意事項？

目前未見有規定強制要求企業需要主動向個人信息主體提供《標準合同》的副本文件，但考慮到這是企業的配合義務之一，因此仍然建議企業在簽署《標準合同》后及時完成副本文件的準備，因為《標準合同》明確個人信息主體具有要求個人信息處理者提供其所簽訂的《標準合同》副本的權利，企業必須配合。在提供副本的過程中，企業可以著重考慮保密以及方便個人理解閱讀的問題。

例如：

(1) 及時將《標準合同》進行適當處理，包括遮蔽機密信息（如有），避免商業秘密泄露；

(2) 提供便于個人信息主體理解合同的摘要內容；

(3) 在可行的情況下，提供《標準合同》副本公示入口或其他查看方式。

Q47.數據出境場景中，除“單獨同意”外，企業還需告知用戶哪些內容？

由于涉及數據的跨境傳輸，企業在進行數據出境時需符合《個人信息保護法》第三十九條規定的“單獨同意”要求。此外，《標準合同》要求個人信息處理者與境外接收方依據《標準合同》附錄一“個人信息出境說明” 所列約定開展與個人信息出境有關的活動，企業還需完成并向個人信息主體告知“個人信息出境說明”的相關情況，包括：

（1）傳輸的個人信息屬于特定類別的個人信息主體，列出該特定類別的個人信息主體；

（2）傳輸的目的；

（3）傳輸個人信息的數量；

（4）出境個人信息類別；

（5）出境敏感個人信息類別；

（6）境外接收方傳輸的個人信息只向特定的接收方提供，列出該特定的接收方；

（7）傳輸的方式；

（8）出境后的存儲時間；

（9）出境后的存儲地點；

（10）其他事項。

Q48.企業違反《標準合同》規定的，對企業出境活動有什么影響？

風險承擔是企業在開展數據出境活動之前必須要清楚考慮的問題，根據《標準合同》的內容來看，除承擔違約責任或面臨行政處罰外，省級以上網信部門有權要求個人信息處理者立即終止個人信息出境活動，由此可能會給企業產生較大損失，是企業在風險承擔中需要考慮的事項。

本系列文章作者：

王捷肖錦豪夏律黃思妍劉玫君