适用场景
计划或正在进行个人信息跨境传输的中国出海企业,特别是处理数据量未达到安全评估强制门槛的非关键信息基础设施运营者。
核心要点
1. 核心目标:实现同等保护
标准合同条款的核心目标是通过合同形式,确保境外接收方的个人信息处理活动达到中国法律法规的保护标准。它实质上是将国内法定义务转化为对境外方的合同约束,以实现‘同等保护’原则。合同条款具有优先性,限制了双方的意思自治空间。
2. 适用场景:与安全评估构成双层机制
标准合同与安全评估构成个人信息出境的两层规则。标准合同适用于同时满足四个条件的场景:非关键信息基础设施运营者、处理个人信息不满100万人、过去一年累计出境个人信息不满10万人、累计出境敏感个人信息不满1万人。任一条件不满足,则必须申报安全评估。
3. 监管抓手:备案与合同义务延伸
标准合同虽为民事合同,但被纳入强监管。企业需在合同生效后10个工作日内向省级网信部门备案。合同条款本身设定了境外接收方必须接受中国监管机构监督管理的义务,并将个人信息处理者的配合监管及举证责任明确写入合同。
4. 与国际规则(GDPR SCCs)的异同
中国版标准合同与欧盟GDPR下的标准合同条款(SCCs)机制目标相似,均为跨境传输提供合同工具。但两者在适用前提、监管侧重点(如中国更强调事前备案)、合同模块设计(如中国为单一固定模块)及争议解决法律适用(中国版强制适用中国法)等方面存在显著差异。
实务建议
- 第一步是进行数据出境自评估:准确统计企业处理的个人信息总人数、计划出境的人数及敏感个人信息数量,对照标准合同的四个适用条件进行判断。
- 若适用标准合同,需同步准备两份文件:一是签署《个人信息出境标准合同》草案,二是完成个人信息保护影响评估(PIA)报告。
- 务必在标准合同正式生效之日起的10个工作日内,向所在地的省级网信部门提交合同及PIA报告进行备案。
- 在合同谈判与履行中,确保境外接收方理解并同意接受中国监管机构的监督管理,并建立内部记录机制,保存处理记录至少三年以备核查。
- 密切关注业务发展动态,若在合同有效期内处理或出境的数据量超过适用门槛,需立即启动向安全评估机制的转换流程。
风险提示
- 切勿混淆适用条件:标准合同的四个条件是‘且’的关系,必须同时满足,任一超标都将强制触发安全评估,误用将导致合规风险。
- 避免合同冲突:与境外接收方签订的其他协议不得与标准合同条款相冲突,标准合同条款具有优先效力。
- 备案不是可有可无:未按时备案或提交虚假备案材料将面临行政处罚,尽管不影响合同本身效力。
- 举证责任在企业方:监管程序中,个人信息处理者(即境内企业)需承担证明合同义务已履行的举证责任,务必做好全流程留痕。
- 法律适用不可选择:标准合同争议解决必须适用中国法律,诉讼管辖法院为中国法院,仲裁机构也有特定范围,不能随意约定境外法律和仲裁。