数据前沿｜中国版SCC：《个人信息出境标准合同办法》即于明日生效

2023年2月3日，国家互联网信息办公室（下称“国家网信办”）2023年第2次室务会议审议通过《个人信息出境标准合同办法》（下称“《办法》”），随附《个人信息出境标准合同》（下称“SCC”），自2023年6月1日起施行，施行前已经开展的个人信息出境活动，不符合本办法规定的，应当自本办法施行之日起6个月（即2023年11月30日）内完成整改。

2022年9月1日起实施的《数据出境安全评估办法》，规定了应当申报数据出境安全评估的情形并提出了数据出境安全评估的具体要求。

2022年11月4日起实施的《关于实施个人信息保护认证的公告》，明确了个人信息保护认证的实施规则。 

2023年6月1日起实施的《个人信息出境标准合同办法》，明确了标准合同范本，为向境外提供个人信息提供了具体指引。

至此，《中华人民共和国个人信息保护法》第三十八条规定的“个人信息出境三大合规路径（安全评估、认证、标准合同）”具已明确。《办法》的出台是落实法律规定的重要举措，是保护个人信息权益、规范个人信息出境活动的重要依据。

《办法》全篇共十三条，规定了“SCC”的适用范围、订立条件和备案要求等，明确了标准合同范本，为向境外提供个人信息提供了具体指引。

（一）适用范围

《办法》第二条规定，个人信息处理者通过与境外接收方订立“SCC”的方式向中华人民共和国境外提供个人信息，适用本办法。

（二）订立条件

1、《办法》第四条规定，个人信息处理者通过订立“SCC”的方式向境外提供个人信息应当同时符合下列情形：

（1）非关键信息基础设施运营者；

（2）处理个人信息不满100万人的；

（3）自上年1月1日起累计向境外提供个人信息不满10万人的；

（4）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

同时，要求个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。

（三）个人信息保护影响评估（下称“PIPIA”）

《办法》第五条规定，个人信息处理者向境外提供个人信息前，应当开展PIPIA，重点评估以下内容：

（1）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；

（2）出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；

（3）境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；

（4）个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；

（5）境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；

（6）其他可能影响个人信息出境安全的事项。

（四）不得冲突性

《办法》第六条规定，标准合同应当严格按照本《办法》附件的标准合同范本订立，个人信息处理者可与境外接收方约定其他条款，但不得与标准合同相冲突。

（五）备案要求

《办法》第七条规定，个人信息处理者应当在“SCC”生效之日起10个工作日内向所在地省级网信部门备案。备案需提交的材料包括：

（1）标准合同；

（2）个人信息保护影响评估报告。

同时《办法》第八条明确，在“SCC”有效期内，个人信息处理者应当重新开展“PIA”，补充或者重新订立“SCC”，并履行备案手续的3种情形：

（1）向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；

（2）境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；

（3）可能影响个人信息权益的其他情形。

（六）整改期限

《办法》第十三条明确，在本《办法》施行前已经开展的个人信息出境活动，不符合本办法规定的，应当自本《办法》施行之日起6个月内（即2023年11月30日）完成整改。

（七）“SCC”范本

《办法》最后将“SCC”范本作为附件，主要内容包括合同相关定义和基本要素、个人信息处理者和境外接收方的合同义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利和相关救济，以及合同解除、违约责任、争议解决等事项，并设计了个人信息出境说明、双方约定的其他条款等两个附录。

（一）合同订立前

1、处理者需先依据《办法》第四条判断：是否可通过订立“SCC”的方式向境外提供个人信息；

2、处理者应开展“PIPIA”：明确个人信息出境的目的、范围、方式；出境个人信息的规模、种类、敏感程度；出境后个人信息保存地点与期限；境外接收方是否有能力保障出境信息的安全；境外接收方所在国家或者地区的个人信息保护政策和法规对“SCC”履行的影响等事项。

（二）协商签约

1、完善“SCC”范本内容；

2、目前国家网信办尚未公布“SCC”的官方英文版，且其对“SCC”的条款有严苛限定，缔约双方需妥善协商合同中商业部分的条款内容，不得与标准合同相冲突。

3、处理者需注意，在配合境外接收方履行其所在国家或地区的个人信息保护政策和法规要求的义务时，应谨慎评估所签署的合同条款是否可能违反我国的相关规定。

（三）合同订立后

1、处理者需依据《办法》第七条之规定，在“SCC”生效之日起10个工作日内向所在地省级网信部门备案。

2、在合同履行期间，处理者应及时跟进、监督合同履行情况，当出现《办法》第八条规定的情形时，处理者应重新开展“PIPIA”，补充或者重新订立“SCC”，并履行相应备案手续。

3、除上述外，处理者还应持续跟进、监督境外接收方所在国家或者地区的个人信息保护政策和法规的变化；积极响应个人信息主体的权利请求；积极配合国家有关部门的监督，若存在隐患应及时按照要求整改等。

近年来，随着数字经济的蓬勃发展，个人信息出境需求快速增长，个人信息权益保护面临较大挑战。《个人信息保护法》对个人信息跨境提供规则作了基础性规定，国家网信办相继出台的规章文件亦使我国数据跨境制度的法律框架逐渐完善。企业通过进行“PIPIA”以及“SCC”的备案工作，不仅可以进一步提升企业数据治理水平，也是对过往数据合规工作的一次检验，是对企业数据治理工作提升的良好契机。