2023年2月24日，國家互聯(lián)網(wǎng)信息辦公室公布《個人信息出境標準合同辦法》（以下簡稱《辦法》）?！掇k法》對通過訂立標準合同的方式開展個人信息出境的活動作出具體制度安排，細化落實了《個人信息保護法》第三十八條第一款第三項的規(guī)定?！秱€人信息保護法》對我國個人信息出境管理作出頂層設計，規(guī)定了國際條約或協(xié)定、安全評估、個人信息保護認證、標準合同四種個人信息出境方式。繼《數(shù)據(jù)出境安全評估辦法》《關于實施個人信息保護認證的公告》對安全評估、個人信息保護認證進行規(guī)范后，《辦法》成為我國個人信息出境管理制度的重要組成部分。對于規(guī)范個人信息跨境流動、完善數(shù)據(jù)跨境管理制度和促進數(shù)據(jù)領域國際合作具有重大意義。

一、及時必要，規(guī)范個人信息有序高效跨境流動

出臺《辦法》是我國推動個人信息跨境流動、積極融入全球數(shù)字經(jīng)濟發(fā)展大勢的重要舉措。

（一）落實《個人信息保護法》要求，保護個人信息權益。出臺《辦法》是為了保護個人信息權益，規(guī)范個人信息出境活動。當前，數(shù)字經(jīng)濟蓬勃發(fā)展，數(shù)據(jù)跨境日益頻繁，各國個人信息跨境流動需求也快速增長。但由于不同國家和地區(qū)的個人信息保護水平存在差異，個人信息出境的風險日漸凸顯?！秱€人信息保護法》提供了高水平的個人信息保護標準，標準合同的適用有利于保障境外接收方處理個人信息的活動達到我國《個人信息保護法》規(guī)定的個人信息保護標準，確保個人信息出境后個人信息主體權益依然受到保護。

（二）促進數(shù)字經(jīng)濟發(fā)展，回應中小企業(yè)個人信息跨境需求。2022年《中共中央 國務院關于構(gòu)建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見》提出“構(gòu)建數(shù)據(jù)安全合規(guī)有序跨境流通機制”“堅持開放發(fā)展，推動數(shù)據(jù)跨境雙向有序流動，鼓勵國內(nèi)外企業(yè)及組織依法依規(guī)開展數(shù)據(jù)跨境流動業(yè)務合作”。作為一種個人信息出境方式，標準合同具有便捷化、成本低的特征?！掇k法》的出臺積極回應了社會關切，在為中小企業(yè)個人信息跨境業(yè)務合作提供法治保障的同時，也減輕了中小企業(yè)負擔，有利于進一步促進數(shù)據(jù)自由流通和數(shù)字經(jīng)濟發(fā)展。

（三）緊跟數(shù)字時代潮流，順應國際通行做法。國際上，以歐盟針對四種不同個人數(shù)據(jù)傳輸場景的“標準合同條款”為典型代表，東盟、英國和中國香港等國家和地區(qū)分別出臺了“標準合同條款”范本。在借鑒域外經(jīng)驗和立足我國實際的基礎上，《辦法》提出具備完整合同結(jié)構(gòu)的“標準合同范本”。國家網(wǎng)信部門可以根據(jù)實際情況對附件標準合同范本進行調(diào)整，使其保持靈活性、實踐性和國際性?！掇k法》的出臺既符合國際通行做法又具有中國法治特色，對于促進數(shù)據(jù)領域國際合作意義重大。

二、定位清晰，健全個人信息出境管理制度體系

《辦法》是繼《數(shù)據(jù)出境安全評估辦法》之后，第二部落實《個人信息保護法》個人信息出境管理規(guī)定的專門性部門規(guī)章，具有承前啟后推動個人信息出境管理制度體系化的重要作用。

（一）完善個人信息出境管理的重要配套規(guī)章。《辦法》的出臺，細化了《個人信息保護法》“按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利義務”的要求，是對個人信息出境管理制度的重要補充?！秱€人信息保護法》第三十八條規(guī)定了“兩類四種”個人信息出境方式：一類是個人信息處理者因業(yè)務等需要，確需向境外提供個人信息的，應該具備“安全評估”“個人信息保護認證”“標準合同”三種條件之一，并設置兜底條款“法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件”；另一類是我國締結(jié)或者參加的國際條約、協(xié)定對向境外提供個人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行?！稊?shù)據(jù)出境安全評估辦法》明確了數(shù)據(jù)出境管理中的“安全評估”，《辦法》與其共同作為《個人信息保護法》的配套規(guī)章，進一步落實了有關個人信息出境管理制度的頂層設計。

（二）豐富個人信息出境方式。《辦法》通過劃定個人信息出境標準合同的適用范圍和情形，有效實現(xiàn)了標準合同和安全評估、個人信息保護認證的制度銜接，也為后續(xù)出臺有關認證等其他個人信息出境方式的規(guī)則預留了制度接口。當個人信息處理者選擇通過訂立標準合同的方式向境外提供個人信息時，必須同時符合下列四種情形：（一）非關鍵信息基礎設施運營者；（二）處理個人信息不滿100萬人的；（三）自上年1月1日起累計向境外提供個人信息不滿10萬人的；（四）自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的。實際上，《辦法》給予個人信息處理者選擇權，除必須申報安全評估的情形之外，個人信息處理者可以結(jié)合具體情況選擇訂立標準合同或者其他個人信息出境方式出境。

（三）結(jié)合政府監(jiān)管手段與市場自主行為的新型管理規(guī)則。《辦法》的正文和附件標準合同范本前后銜接，既明確了個人信息出境標準合同的監(jiān)管要求，又保障了合同雙方的意思自治和合同磋商空間。正文為行政監(jiān)管意義上的部門規(guī)章，規(guī)定了個人信息出境標準合同的監(jiān)管要求。附件實質(zhì)上為民商事活動領域中的格式合同，相較于傳統(tǒng)民事合同，其承載著意思自治、個人信息保護、國家安全和公共利益等多元價值。標準合同范本中的部分內(nèi)容已被預先設定，當個人信息處理者自愿選擇通過訂立標準合同的方式向境外提供個人信息時，該部分內(nèi)容不可更改。但合同雙方可在附錄二中約定附件標準合同范本未明確的事項?？傊?，將標準合同作為個人信息出境的方式，是我國網(wǎng)絡立法上的創(chuàng)新舉措，有利于積極應對互聯(lián)網(wǎng)新業(yè)態(tài)新模式帶來的風險挑戰(zhàn)，為促進個人信息跨境流動提供法治保障。

三、守正創(chuàng)新，構(gòu)建個人信息出境標準合同管理制度

《辦法》立足我國立法現(xiàn)狀和實踐情況，對個人信息保護影響評估、標準合同備案管理、舉報監(jiān)督制度與法律責任等作出明確規(guī)定。

（一）個人信息保護影響自評估制度。《辦法》第五條規(guī)定個人信息處理者向境外提供個人信息前，應當開展個人信息保護影響評估，其重點評估內(nèi)容與《數(shù)據(jù)出境安全評估辦法》中“數(shù)據(jù)出境風險自評估”的重點評估事項基本一致。但是，個人信息保護影響評估內(nèi)容中增加了“境外接收方所在國家或者地區(qū)的個人信息保護政策和法規(guī)對標準合同履行的影響”。這一點具體體現(xiàn)在附件標準合同范本的第二條第八項和第四條，合同雙方應結(jié)合個人信息出境的具體情況、境外政策法規(guī)、境外接收方的安全管理制度和技術手段保障能力等進行評估。

（二）個人信息出境標準合同備案管理制度。個人信息處理者應當在標準合同生效之日起10個工作日內(nèi)向所在地省級網(wǎng)信部門備案。從性質(zhì)上看，《辦法》設立的備案制度為事后監(jiān)管，并不會產(chǎn)生功能性的效果。從內(nèi)容上看，須備案的材料包括：（一）合同雙方根據(jù)附件標準合同范本訂立的個人信息出境標準合同，與之相關的獨立商業(yè)合同并不需要備案；（二）個人信息保護影響評估報告。個人信息處理者應當對所備案材料的真實性負責。從結(jié)果上看，對于未履行備案程序或者提交虛假材料進行備案的違法行為，若由此導致個人信息出境活動存在較大風險或者發(fā)生個人信息安全事件，省級以上網(wǎng)信部門可以進行約談，要求整改。

（三）保護個人信息主體權利的涉他合同。從主體上看，附件標準合同范本涉及三方主體，包括個人信息處理者、境外接收方和個人信息主體，在為個人信息處理者、境外接收方設立合同義務的同時，亦為第三人“個人信息主體”設立了合同權利。從內(nèi)容上看，個人信息處理者應履行告知、提供副本、答復詢問、個人信息保護影響評估等義務。境外接收方應履行提供合同副本、采取技術和管理措施、接受監(jiān)督管理等義務；若進行“再傳輸”“轉(zhuǎn)委托”“自動化決策”等處理行為需符合相關條件。個人信息主體對其個人信息的處理享有知情權、決定權等權利，并有權請求合同一方或雙方履行標準合同項下與個人信息主體權利相關的條款。此外，個人信息處理者通過與境外接收方訂立標準合同的方式向境外提供個人信息的，除遵守《辦法》規(guī)定外，合同的成立、效力、履行、解釋以及因本合同引起的雙方爭議還應適用《民法典》等中華人民共和國相關法律法規(guī)。

（四）舉報監(jiān)督制度與法律責任。一方面，任何組織和個人發(fā)現(xiàn)個人信息處理者違反《辦法》規(guī)定向境外提供個人信息的，可以向省級以上網(wǎng)信部門舉報。另一方面，當省級以上網(wǎng)信部門發(fā)現(xiàn)個人信息出境活動存在較大風險或者發(fā)生個人信息安全事件的，可以依法對個人信息處理者進行約談。個人信息處理者應當按照要求整改，消除隱患。此外，還規(guī)定了違反《辦法》規(guī)定的應當依據(jù)《個人信息保護法》等法律法規(guī)處理，構(gòu)成犯罪的依法追究刑事責任。

四、小結(jié)

《辦法》以標準合同為抓手規(guī)范我國個人信息出境管理制度，是我國深化開放合作、探索個人信息跨境流動與治理的新舉措。出臺《辦法》不僅補充完善了我國數(shù)據(jù)跨境監(jiān)管制度體系，體現(xiàn)了我國網(wǎng)絡立法的系統(tǒng)性、整體性、協(xié)同性、時效性，更為數(shù)字經(jīng)濟浪潮中的中國企業(yè)提供了法治保障和具體指引。（作者：方禹 中國信通院互聯(lián)網(wǎng)法律研究中心主任）