首页
关于我们
专业领域
- 服务范围
- 行业经验
投资全球
新闻中心
- 新闻
- 出版物
活动
联系我们

《个人信息出境标准合同办法》概述及其适用

新闻 / 2023-04-04 18:01:05 个人信息

2023年2月24日，国家互联网信息办公室公布了《个人信息出境标准合同办法》（“《标准合同办法》”），自2023年6月1日起施行。《标准合同办法》是继去年7月《数据出境安全评估办法》正式发布之后，又一项数据出境重要法规的落地。为帮助企业更好地理解个人信息出境的最新监管规定，本文将简要介绍《标准合同办法》的适用和重点。

1. 《标准合同办法》出台背景

《中华人民共和国个人信息保护法》第三十八条规定了向中国境外提供个人信息的三条主要合规路径，即“通过国家网信部门组织的安全评估”、“按照国家网信部门的规定经专业机构进行个人信息保护认证”、“按照国家网信部门制定的标准合同与境外接收方订立合同” （以下简称“标准合同合规路径”）。与前两种方式相比，签署标准合同通常被认为是个人信息出境机制中目前较为便捷的路径。

2.标准合同的适用场景

标准合同仅适用于个人信息跨境传输，若涉及重要数据的出境，则应当进行安全评估。根据《标准合同办法》第四条，一般情况下，个人信息处理者通过订立标准合同的方式向境外提供个人信息的，应当同时符合下列情形：（一）非关键信息基础设施运营者；（二）处理个人信息不满100万人的；（三）自上年1月1日起累计向境外提供个人信息不满10万人的；（四）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。因此，企业存在跨境传输个人信息的行为，又没有达到安全评估标准的，应当关注标准合同合规路径。

3. 标准合同签署的一般步骤

根据《标准合同办法》规定，个人信息处理者采用标准合同合规路径的，应当根据以下步骤进行：

（1）影响评估：个人信息处理者在向境外提供个人信息前，应当开展个人信息保护影响评估，评估内容包括出境个人信息的规模、范围、种类、敏感程度等；

（2）签署合同：由个人信息处理者及境外接收方就合同条款进行补充、沟通，在双方达成一致的基础上进行签署。

（3）监管备案：个人信息处理者在标准合同生效之日起10个工作日内，应当向所在地省级网信部门备案。备案时应提交签署后的标准合同以及个人信息保护影响评估报告。

（4）事后跟进：当出现个人信息出境情况、境外接收方所在国家/地区的个人信息保护政策法规变化等情形时，个人信息处理者应当重新开展个人信息保护影响评估，补充或重新订立标准合同，并履行相应备案手续。

随着大数据时代的来临和数字经济的蓬勃发展，个人信息跨境传输在所难免。《标准合同办法》的出台进一步规范了个人信息出境活动，并提供了细化的监管要求，企业应结合自身业务需求，明确个人信息跨境流动的场景，并根据监管部门的要求，做好个人信息跨境传输的合规工作。

如果您对个人信息出境标准合同有兴趣，欢迎联系我们info@dandreapartners.com.