适用场景
计划或正在向境外提供个人信息(如用户数据、员工信息)的中国出海企业,尤其是处理个人信息未达百万级、年累计出境未超10万条(或1万条敏感信息)的中小企业。
核心要点
1. 标准合同的适用范围与门槛
标准合同是《个人信息保护法》下三种合规出境路径之一,主要适用于非关键信息基础设施运营者,且处理个人信息未达100万人、年累计向境外提供个人信息未超10万人(及敏感信息未超1万人)的企业。它与更严格的安全评估路径形成互补,为中小企业提供了相对简便的合规选项。
2. 核心流程:评估、签约与备案
采用标准合同路径需遵循三步流程:首先,在出境前必须完成个人信息保护影响评估(PIA);其次,与境外接收方签订网信部门制定的标准合同;最后,在合同生效后10个工作日内,向所在地省级网信部门提交合同及PIA报告进行备案。备案后即可开展出境活动。
3. 合同条款的灵活性与限制
标准合同范本的核心条款(如双方权利义务)原则上不可修改,以确保对个人信息的保护水平。但企业可在合同附录中约定与自身商业安排相关的补充条款。需注意,任何其他与出境相关的协议均不得与标准合同内容相冲突,否则以标准合同为准。
4. 动态合规与合同有效期管理
标准合同并非一劳永逸。若出境目的、数据类型、数量、境外接收方所在国法律等发生重大变化,或网信部门发现出境活动不合规时,企业需重新签订合同并备案,甚至可能被要求终止出境。这要求企业建立持续的监控机制。
实务建议
- 立即自查:评估自身是否属于“非关键信息基础设施运营者”,并核算上一年度1月1日至今累计出境个人信息的数量(区分一般与敏感信息),以判断是否适用标准合同路径。
- 提前开展PIA:按照法规要求,系统评估出境目的合法性、数据规模、境外接收方保护能力、目的地法律环境及潜在风险,并保存评估报告至少三年。
- 规范合同签署:使用官方标准合同范本,核心条款勿修改。商业特殊安排可在附录中谨慎添加,并确保不与主合同冲突。
- 及时完成备案:合同生效后10个工作日内,务必向省级网信部门备案,提交标准合同和个人信息保护影响评估报告。
- 建立持续跟踪机制:指定专人监控出境业务变化、境外法律政策更新,定期核查,确保在发生需重新签约的情形时能及时应对。
风险提示
- 切勿误判门槛:务必准确理解“上年1月1日起累计”的计算口径,并动态监控数据量。一旦接近或超过10万人/1万敏感信息的阈值,可能需转为更严格的安全评估路径。
- 禁止规避核心义务:PIA和备案是法定前置及事后义务,不能因流程相对简便而省略或敷衍,否则将面临合规风险。
- 避免合同冲突:与境外接收方签署的任何其他协议(如数据处理协议)都不得实质性修改或削弱标准合同中的保护责任,否则相关条款可能无效。
- 警惕动态变化:业务模式、数据范围或境外法律的变化可能触发重签合同义务,若忽视可能导致出境活动被叫停。