适用场景
本指南适用于计划或正在向境外传输个人信息的中国企业,特别是那些不属于关键信息基础设施运营者(CIIO),且个人信息处理量和出境量未达到国家网信部门安全评估阈值的企业。企业在进行国际业务拓展、数据跨境协作等阶段需重点关注。
核心要点
1. 中国SCC的法律基础与适用条件
中国《个人信息保护法》(PIPL)规定了个人信息出境的三种合法途径,其中之一是与境外接收方签署由国家网信部门制定的标准合同(即中国SCC)。企业需满足非CIIO、处理个人信息数量少于100万人、自上年1月1日起累计向境外提供个人信息少于10万人、累计提供敏感个人信息少于1万人等条件方可适用SCC。
2. 境内传输方(中国企业)的核心义务
作为个人信息出境的主要责任方,境内传输方需遵循最小化原则,履行告知同意义务,并进行个人信息保护影响评估(PIPIA)。同时,境内方还需确保境外接收方具备履约能力,并承担向监管机构提供信息、证明合规性及对个人信息主体承担首要赔偿责任的义务。
3. 境外接收方的合规要求
境外接收方必须严格按照标准合同附件中的出境说明处理个人信息,遵守最小化原则,采取充分的安全保护措施,并在数据泄露时及时采取补救措施并通知境内传输方。未经境内传输方事先批准,境外接收方不得将个人信息进一步转让给第三方,且需配合监管机构的检查。
4. 个人信息主体权利与责任承担
个人信息主体被视为标准合同的第三方受益人,有权向境内传输方或境外接收方行使《个人信息保护法》规定的各项权利。若因违约造成损害,双方对个人信息主体可能承担连带责任,且境内传输方对境外接收方违约造成的损害负有先行赔付的责任。
5. 合同效力与争议解决机制
中国法律是标准合同的适用法律,且标准合同条款对双方现有合同具有最高效力,任何冲突条款将自动失效。争议解决方式可选择中国境内的仲裁机构或法院诉讼,或选择符合《纽约公约》的境外仲裁机构进行仲裁。
实务建议
- 在签署SCC前,企业需仔细评估自身是否符合适用条件,若不符合则应准备进行网信部门安全评估。
- 全面开展个人信息保护影响评估(PIPIA),评估内容应涵盖出境目的、类型、敏感度、境外接收方的保护能力、当地法律环境及可能风险,并形成报告留存。
- 在SCC签署后的10个工作日内,将已签署的合同文本和PIPIA报告一并提交至企业所在地的省级网信部门备案。
- 持续监控个人信息出境活动状态及境外接收方所在地的法律法规变化。若出境目的、类型、数量、方式、存储期限、存储地点或境外接收方处理目的/方式发生重大变化,或境外法律环境可能对个人信息主体权益产生重大影响时,需重新签署并备案新的标准合同。
- 积极配合网信部门对个人信息出境活动的问询和检查,确保提供必要的信息和协助。
风险提示
- 若企业不符合SCC适用条件而错误选择SCC路径,将面临监管部门的处罚风险,并可能被要求进行安全评估。
- 境内传输方承担个人信息出境合规的首要责任,即使境外接收方违约,境内方也可能需先行赔付个人信息主体。
- 境内外双方对个人信息主体可能承担连带赔偿责任,增加了法律风险。
- SCC并非一劳永逸,企业需建立持续的监控机制,若未能及时更新或重新备案,可能导致合规失效。
- 标准合同具有最高效力,企业在签署其他与个人信息出境相关的协议时,需确保其条款与SCC不冲突,避免法律适用上的不确定性。