适用场景
计划或正在向境外传输个人信息的中国出海企业,特别是处理数据量未达到安全评估强制门槛的中小企业或非关键信息基础设施运营者。
核心要点
1. 核心目标:实现同等保护
标准合同条款的核心目标是确保境外接收方对个人信息的处理达到中国法律法规的保护标准。它通过合同形式,将中国的个人信息保护要求转化为对境外接收方具有法律约束力的义务,是实现《个人信息保护法》同等保护原则的关键工具。
2. 适用场景:与安全评估构成双层机制
标准合同条款与安全评估构成个人信息跨境传输的两层规则。标准合同适用于同时满足以下条件的企业:非关键信息基础设施运营者、处理个人信息不满100万人、过去一年累计向境外提供个人信息未达10万人、累计向境外提供敏感个人信息未达1万人。任一条件不满足,则必须申报安全评估。
3. 监管抓手:备案与合同义务
标准合同虽为民事合同,但被纳入强监管。企业需在合同生效后10个工作日内向省级网信部门备案。合同条款本身设定了境外接收方必须接受中国监管机构监督的义务,并将配合监管、保存记录等责任通过合同延伸至境外。
4. 合同性质:强监管下的有限自治
标准合同极大地限制了合同双方的意思自治,其条款效力优先于双方其他相关协议。虽然允许附加条款,但不得与标准合同冲突或削弱对个人信息主体的保护。争议解决通常需在中国法院诉讼,或选择特定的仲裁机构。
5. 国际视野:与欧盟SCCs的异同
中国版标准合同与欧盟GDPR下的标准合同条款(SCCs)机制类似,都是通过标准化合同保障跨境数据保护水平。但两者在适用前提、监管侧重点(如中国更强调事前备案)和具体条款设计上存在差异,同时满足中欧业务需求的企业需分别遵循。
6. 动态合规:数量超标后的路径转换
企业需动态监控自身数据处理量。如果在标准合同有效期内,处理的个人信息总数或跨境传输累计人数超过适用门槛,则必须停止依赖标准合同,并依法转为申报数据出境安全评估,否则将面临合规风险。
实务建议
- 立即进行数据盘点:准确统计企业处理的个人信息总人数、上年度跨境传输的个人信息及敏感个人信息人数,以判断适用路径。
- 提前准备个人信息保护影响评估(PIA):签署标准合同前必须完成PIA,这是备案的必备材料。
- 严格遵循备案时限:合同生效后10个工作日内,向所在地省级网信部门完成备案。
- 确保合同文本的完整性:使用官方标准合同范本,避免擅自修改核心条款,附加条款需审慎评估其合规性。
- 建立数据出境记录与审计机制:为满足监管举证要求,需系统记录跨境传输活动,并确保境外接收方同步保存至少三年。
- 制定动态监控与预案:建立定期复核机制,监控数据处理量变化,并预先规划一旦超标如何转向安全评估流程。
- 对境外接收方进行合规约束与培训:通过合同明确其义务,并确保其理解并承诺接受中国监管机构的监督。
风险提示
- 切勿混淆适用门槛:必须同时满足四个条件才能使用标准合同,任一超标即触发安全评估,误判将导致根本性违规。
- 避免“签而备”:签署合同后务必按时备案,未备案或提交虚假材料将承担法律责任。
- 警惕合同冲突风险:标准合同条款效力优先,企业需审查并调整与境外接收方已有的相关协议,避免冲突。
- 数量计算需准确:处理人数按独立法人实体计算,跨境传输人数按自然人数(非条数)并采用两年滚动累计计算,理解错误会导致误判。
- 不要忽视境外接收方的配合度:必须确保境外接收方书面同意接受中国监管,否则合同难以有效执行,合规责任仍在境内企业。
- 动态合规非一劳永逸:业务增长可能导致适用条件变化,企业需持续监控,不能认为签署合同后就万事大吉。