适用场景
涉及向欧盟或其他境外地区传输个人信息的中国出海企业,尤其是在业务运营、客户管理、跨境协作中需要处理用户或员工个人数据的公司。
核心要点
1. 合规路径选择:先评估,后定策
企业首先需判断自身是否触发强制安全评估(如处理超100万人信息、关键信息基础设施运营者等)。若未触发,方可在标准合同与保护认证中择一。欧盟路径则更关注目的地保护水平是否获“充分性认定”。
2. 合同核心:文本不可修改,但可补充
中欧两套标准合同条款均不允许直接修改核心文本,但允许在不冲突的前提下添加附录或额外条款。需注意两者在管辖法律等条款上存在根本冲突,无法用一份合同同时满足双向传输需求。
3. 关键义务:开展目的地法律影响评估
企业必须评估境外接收方所在地的法律政策是否会阻碍合同履行。中国要求提交个人信息保护影响评估报告备案,欧盟则受Schrems II案影响,强调需逐案审查确保保护水平与欧盟相当。
4. 主体与场景:适用范围存在差异
欧盟标准合同覆盖控制者至控制者、控制者至处理者等四种场景。中国标准合同目前主要明确涵盖境内处理者向境外处理者或受托方传输两种关系,其他场景有待监管进一步明确。
5. 监管与执行:备案要求与长臂管辖
中国标准合同要求生效后10个工作日内向省级网信部门备案,且情况变化需重签重备。中欧标准合同均通过合同条款使境外接收方接受本国监管机构的长臂管辖,并明确约定适用法律与争议解决机制。
实务建议
- 第一步自检:立即核对自身数据处理量(是否超100万人/10万人/1万敏感信息)及是否属于关键信息基础设施运营者,以确定能否采用标准合同路径。
- 路径规划:若业务涉及中国与欧盟双向数据出境,应分别准备中国标准合同与欧盟标准合同,不可混用。
- 开展评估:在签署合同前,务必对境外接收方所在国家/地区的法律法规进行调研,完成并妥善保存个人信息保护影响评估报告。
- 合同签署:使用官方不可修改的标准文本,补充条款仅能置于附录且不得冲突。涉及多方传输时,中国目前需分别签署备案。
- 履行备案:若走中国标准合同路径,切记在合同生效后10个工作日内向所在地省级网信部门提交合同及评估报告备案。
- 持续监控:建立机制监控境外接收方所在地法律政策变化及自身数据处理情况变化,一旦触发重新评估或备案条件,需立即行动。
风险提示
- 误区:认为标准合同可以自由修改或一份合同能通用于中欧双向传输。正确做法是严格使用官方文本,并针对不同法域准备独立合同。
- 误区:忽视备案义务或认为备案只是形式。未按时备案或备案材料不实,将面临监管约谈、责令整改乃至处罚的风险。
- 注意事项:第三方受益人条款使个人信息主体可直接向企业索赔,需在合同中明确向个人告知此权利,并确保合同义务能切实履行以降低风险。
- 注意事项:中国标准合同目前未明确覆盖“处理者至处理者”等复杂场景,在此类场景下应用需格外谨慎,建议咨询专业意见。
- 注意事项:选择仲裁作为争议解决方式时,需确保仲裁机构所在国是《纽约公约》成员国,否则裁决可能无法被承认和执行。