數(shù)據(jù)出境合同范本

數(shù)據(jù)出境合同范本第1篇數(shù)據(jù)出境合同范本第1篇《辦法》第四條規(guī)定，個(gè)人信息處理者通過(guò)訂立標(biāo)準(zhǔn)合同的方式向境外提供個(gè)人信息應(yīng)當(dāng)同時(shí)符合下列情形：

（一）非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者；

（二）處理個(gè)人信息不滿(mǎn)100萬(wàn)人的；

（三）自上年1月1日起累計(jì)向境外提供個(gè)人信息不滿(mǎn)10萬(wàn)人的；

（四）自上年1月1日起累計(jì)向境外提供敏感個(gè)人信息不滿(mǎn)1萬(wàn)人的。

可以看出，訂立標(biāo)準(zhǔn)合同的方式更適合規(guī)模較小、個(gè)人信息處理量較少的企業(yè)，業(yè)務(wù)量更大的企業(yè)可以通過(guò)數(shù)據(jù)出境安全評(píng)估申報(bào)的方式實(shí)現(xiàn)個(gè)人信息出境合規(guī)。

區(qū)別于去年6月30日發(fā)布的《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定(征求意見(jiàn)稿)》，《辦法》中表明，即使同時(shí)滿(mǎn)足以上四種情形，訂立標(biāo)準(zhǔn)合同也并非企業(yè)的唯一選擇，法律、行政法規(guī)或者國(guó)家網(wǎng)信部門(mén)另有規(guī)定的，從其規(guī)定。

《辦法》還特別指出，個(gè)人信息處理者不得采取數(shù)量拆分等手段，將依法應(yīng)當(dāng)通過(guò)出境安全評(píng)估的個(gè)人信息通過(guò)訂立標(biāo)準(zhǔn)合同的方式向境外提供。對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者或處理個(gè)人信息超過(guò)100萬(wàn)人的企業(yè)而言，數(shù)據(jù)出境安全評(píng)估仍是重要方式。

數(shù)據(jù)出境合同范本第2篇《辦法》指出，標(biāo)準(zhǔn)合同應(yīng)當(dāng)嚴(yán)格按照《辦法》附件中提供的標(biāo)準(zhǔn)合同范本訂立；個(gè)人信息處理者可以與境外接收方約定其他條款，但不得與標(biāo)準(zhǔn)合同相沖突。同時(shí)，標(biāo)準(zhǔn)合同范本中，指出“如本合同與雙方訂立的任何其他法律文件發(fā)生沖突，本合同的條款優(yōu)先適用”。

此前的征求意見(jiàn)稿則是以列舉的方式規(guī)定了標(biāo)準(zhǔn)合同的主要內(nèi)容，相較之下，《辦法》收窄了合同意思自治的范圍，這意味著相關(guān)機(jī)構(gòu)將以更嚴(yán)謹(jǐn)?shù)姆绞奖O(jiān)管個(gè)人信息出境。因此，企業(yè)應(yīng)重點(diǎn)關(guān)注境外法規(guī)是否與個(gè)人信息出境標(biāo)準(zhǔn)合同條款存在相悖的內(nèi)容，對(duì)于已與境外接收方簽署的個(gè)人信息處理相關(guān)合同，應(yīng)根據(jù)標(biāo)準(zhǔn)合同范本進(jìn)行修改、補(bǔ)充。

數(shù)據(jù)出境合同范本第3篇企業(yè)在開(kāi)展數(shù)據(jù)或個(gè)人信息出境工作時(shí)應(yīng)凝聚各方共識(shí)，在數(shù)據(jù)出境合規(guī)工作中建立標(biāo)準(zhǔn)化文件、工作方法以及標(biāo)準(zhǔn)化評(píng)估顆粒度，以便于企業(yè)能最大程度滿(mǎn)足監(jiān)管要求，實(shí)現(xiàn)合規(guī)出境。為此，我們整理了最新發(fā)布的《個(gè)人信息出境標(biāo)準(zhǔn)合同》供讀者朋友參考查閱，以及近50份《全球SCC標(biāo)準(zhǔn)合同匯總》，如有需要，可自行掃碼獲取。

THEEND.

Copyright?rightsreserved.

數(shù)據(jù)出境合同范本第4篇個(gè)人信息出境合規(guī)的關(guān)鍵在于事前防范，《辦法》中從目的、風(fēng)險(xiǎn)、義務(wù)、法律差異等角度明確了個(gè)人信息保護(hù)影響的評(píng)估重點(diǎn)，通過(guò)多個(gè)角度檢查其合規(guī)合法的程度，以預(yù)防、減小對(duì)個(gè)人信息主體的安全風(fēng)險(xiǎn)：

（一）個(gè)人信息處理者和境外接收方處理個(gè)人信息的目的、范圍、方式等的合法性、正當(dāng)性、必要性；

（二）出境個(gè)人信息的規(guī)模、范圍、種類(lèi)、敏感程度，個(gè)人信息出境可能對(duì)個(gè)人信息權(quán)益帶來(lái)的風(fēng)險(xiǎn)；

（三）境外接收方承諾承擔(dān)的義務(wù)，以及履行義務(wù)的管理和技術(shù)措施、能力等能否保障出境個(gè)人信息的安全；

（四）個(gè)人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風(fēng)險(xiǎn)，個(gè)人信息權(quán)益維護(hù)的渠道是否通暢等；

（五）境外接收方所在國(guó)家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)對(duì)標(biāo)準(zhǔn)合同履行的影響；

（六）其他可能影響個(gè)人信息出境安全的事項(xiàng)。

總體而言，做好個(gè)人信息保護(hù)影響評(píng)估有利于在早期發(fā)現(xiàn)識(shí)別風(fēng)險(xiǎn)，從而規(guī)范企業(yè)日常經(jīng)營(yíng)，降低潛在的公眾擔(dān)憂(yōu)，減小合規(guī)成本。

數(shù)據(jù)出境合同范本第5篇相較于之前發(fā)布的《辦法》及標(biāo)準(zhǔn)合同征求意見(jiàn)稿，此次正式頒布的版本對(duì)企業(yè)擬定標(biāo)準(zhǔn)合同在意思自治上更進(jìn)一步限縮，境內(nèi)個(gè)人信息處理者及境外接收方須嚴(yán)格按照國(guó)家網(wǎng)信部門(mén)提供的條款簽訂與履行，有權(quán)變更標(biāo)準(zhǔn)合同的主體為國(guó)家網(wǎng)信部門(mén)。該《辦法》附件標(biāo)準(zhǔn)合同內(nèi)容完整且詳盡，涉及基本信息、個(gè)人信息處理者及境外接收方義務(wù)、個(gè)人信息主體權(quán)利、接受地法律法規(guī)與合同履行的關(guān)系、救濟(jì)措施及違約責(zé)任等多個(gè)方面。此外，《辦法》明確規(guī)定規(guī)定企業(yè)在補(bǔ)充約定時(shí)不得與標(biāo)準(zhǔn)合同條款相沖突，合同雙方其他的“法律文件”也不得與合同條款相沖突。

數(shù)據(jù)出境合同范本第6篇《辦法》第三條指出“自主締約”，這意味著簽署標(biāo)準(zhǔn)合同并非強(qiáng)制性法律義務(wù)。依據(jù)《_個(gè)人信息保護(hù)法》第三十八條第一款，個(gè)人信息處理者因業(yè)務(wù)等需要，確需向_境外提供個(gè)人信息的，還可以通過(guò)以下方式：

1、經(jīng)專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證；

2、通過(guò)國(guó)家網(wǎng)信部門(mén)組織的數(shù)據(jù)出境安全評(píng)估申報(bào)；

3、依據(jù)法律、行政法規(guī)或者國(guó)家網(wǎng)信部門(mén)規(guī)定的其他條件自由流動(dòng)。

然而，如果企業(yè)未訂立標(biāo)準(zhǔn)合同，同時(shí)也未滿(mǎn)足其他合法的個(gè)人信息出境路徑要求，將可能因違反《個(gè)人信息保護(hù)法》而承擔(dān)法律責(zé)任。

數(shù)據(jù)出境合同范本第7篇通常個(gè)人信息出境行為表現(xiàn)為：

1、境外存儲(chǔ)：數(shù)據(jù)處理者將在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)、個(gè)人信息傳輸、存儲(chǔ)至境外；

2、境內(nèi)訪問(wèn)：境外的機(jī)構(gòu)、組織或者個(gè)人訪問(wèn)或者調(diào)用存儲(chǔ)在境內(nèi)的數(shù)據(jù)處理者收集和產(chǎn)生的個(gè)人信息。

《_出境入境管理法》第八十九條中明確了“出境”的定義，即“出境，是指由中國(guó)內(nèi)地前往其他國(guó)家或者地區(qū)，由中國(guó)內(nèi)地前往香港特別行政區(qū)、澳門(mén)特別行政區(qū)，由中國(guó)大陸前往臺(tái)灣地區(qū)?！币虼?，當(dāng)企業(yè)將中國(guó)大陸境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息傳輸至香港、澳門(mén)、臺(tái)灣地區(qū)，也屬于數(shù)據(jù)出境行為。

數(shù)據(jù)出境合同范本第8篇標(biāo)準(zhǔn)合同生效之日起10個(gè)工作日內(nèi)應(yīng)當(dāng)向所在地省級(jí)網(wǎng)信部門(mén)備案。

如果標(biāo)準(zhǔn)合同有效期出現(xiàn)以下情形之一，應(yīng)當(dāng)重新開(kāi)展個(gè)人信息保護(hù)影響評(píng)估，補(bǔ)充或者重新訂立標(biāo)準(zhǔn)合同，并履行備案手續(xù)：

一是向境外提供個(gè)人信息的目的、范圍、種類(lèi)、敏感程度、方式、保存地點(diǎn)或者境外接收方處理個(gè)人信息的用途、方式發(fā)生變化，或者延長(zhǎng)個(gè)人信息境外保存期限的；

二是境外接收方所在國(guó)家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)發(fā)生變化等可能影響個(gè)人信息權(quán)益的；

三是可能影響個(gè)人信息權(quán)益的其他情形。

與此同時(shí)，網(wǎng)信辦完善了違反個(gè)人信息出境規(guī)定的法律責(zé)任制度，將違反個(gè)人信息出境行為的法律責(zé)任進(jìn)行整合，從列舉違法情形改為兜底式的“違反本辦法規(guī)定的”，并對(duì)管理體制進(jìn)行了調(diào)整，刪除了“省級(jí)以上網(wǎng)信部門(mén)”進(jìn)行處罰的規(guī)定，為省級(jí)以下網(wǎng)信部門(mén)賦予了個(gè)人信息出境合規(guī)的管理職責(zé)，更加適應(yīng)個(gè)人信息出境合規(guī)的工作實(shí)際。

數(shù)據(jù)出境合同范本第9篇《個(gè)人信息出境標(biāo)準(zhǔn)合同》體現(xiàn)三方權(quán)利義務(wù)關(guān)系，即：境內(nèi)個(gè)人信息處理者、境外接收方以及個(gè)人信息主體。境內(nèi)個(gè)人信息處理者與境外接收方作為合同相對(duì)方簽訂并履行合同，勢(shì)必對(duì)個(gè)人信息主體的權(quán)利產(chǎn)生直接影響。然而標(biāo)準(zhǔn)合同將個(gè)人信息主體納入，作為受益人考慮，賦予個(gè)人信息主體直接起訴個(gè)人信息處理者與境外接收方的權(quán)利，并通過(guò)連帶責(zé)任條款，為個(gè)人信息主體提起訴訟和救濟(jì)提供了便利。

根據(jù)《辦法》第四條規(guī)定，個(gè)人信息處理者僅在同時(shí)符合下列情形下可以通過(guò)訂立標(biāo)準(zhǔn)合同的方式向境外提供個(gè)人信息：

（1）非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者；

（2）處理個(gè)人信息不滿(mǎn)100萬(wàn)人的；

（3）自上年1月1日起累計(jì)向境外提供個(gè)人信息不滿(mǎn)10萬(wàn)人的；

（4）自上年1月1日起累計(jì)向境外提供敏感個(gè)人信息不滿(mǎn)1萬(wàn)人的。

對(duì)比《數(shù)據(jù)出境安全評(píng)估辦法》的適用情形，我們發(fā)現(xiàn)國(guó)家互聯(lián)網(wǎng)信息辦公室依據(jù)二者在數(shù)據(jù)處理者特定身份和處理個(gè)人信息數(shù)量級(jí)別兩個(gè)方面對(duì)兩種出境機(jī)制的適用情形作出了明確的劃分。這為企業(yè)根據(jù)自身身份以及數(shù)據(jù)出境活動(dòng)具體情況判斷確定需要適用的路徑給出了明確參照，有利于企業(yè)進(jìn)行路徑選擇。

我們可以看出，通常標(biāo)準(zhǔn)合同適用于規(guī)模較小、對(duì)國(guó)家與公共利益影響較低的數(shù)據(jù)處理者及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者之外的普通數(shù)據(jù)處理主體。對(duì)于落入《數(shù)據(jù)出境安全評(píng)估辦法》適用范圍的個(gè)人信息處理者，則應(yīng)依法向網(wǎng)信部門(mén)申報(bào)數(shù)據(jù)出境安全評(píng)估，而不得采取數(shù)量拆分等手段將依法應(yīng)當(dāng)通過(guò)出境安全評(píng)估的個(gè)人信息選擇通過(guò)訂立標(biāo)準(zhǔn)合同的方式向境外提供。

無(wú)疑在實(shí)際個(gè)人信息出境活動(dòng)中，此種類(lèi)型的場(chǎng)景也是廣泛存在的，如跨國(guó)公司內(nèi)部的企業(yè)員工個(gè)人信息管理與傳輸，中國(guó)企業(yè)向境外購(gòu)買(mǎi)或提供服務(wù)中觸發(fā)的將個(gè)人信息傳輸至境外的情形，均可能屬于標(biāo)準(zhǔn)合同的適用場(chǎng)景。

若根據(jù)《辦法》規(guī)定，企業(yè)數(shù)據(jù)出境活動(dòng)符合適用標(biāo)準(zhǔn)合同的范圍，則該企業(yè)作為個(gè)人信息處理者訂立標(biāo)準(zhǔn)合同的一般流程為：

第一步：開(kāi)展個(gè)人信息保護(hù)影響評(píng)估；

第二步：依照標(biāo)準(zhǔn)合同范本訂立合同；

第三步：向所在地省級(jí)網(wǎng)信部門(mén)備案標(biāo)準(zhǔn)合同；備案材料包括：標(biāo)準(zhǔn)合同、個(gè)人信息保護(hù)影響評(píng)估報(bào)告；

第四步：網(wǎng)信部分向企業(yè)反饋需補(bǔ)充、重新訂立標(biāo)準(zhǔn)合同的情形或完成備案。

個(gè)人信息保護(hù)影響評(píng)估，旨在要求企業(yè)事先預(yù)見(jiàn)并預(yù)防、降低其數(shù)據(jù)出境活動(dòng)對(duì)個(gè)人信息主體帶來(lái)的安全風(fēng)險(xiǎn)，因此企業(yè)需要從自身個(gè)人信息數(shù)據(jù)出境目的、風(fēng)險(xiǎn)及義務(wù)設(shè)置等角度對(duì)其個(gè)人信息數(shù)據(jù)出境活動(dòng)開(kāi)展預(yù)評(píng)估并建立應(yīng)對(duì)的合規(guī)機(jī)制，《辦法》在以下方面要求企業(yè)重點(diǎn)分析和論述：

（1）個(gè)人信息處理者和境外接收方處理個(gè)人信息的目的、范圍、方式等的合法性、正當(dāng)性、必要性

（2）出境個(gè)人信息的規(guī)模、范圍、種類(lèi)、敏感程度，個(gè)人信息出境可能對(duì)個(gè)人信息權(quán)益帶來(lái)的風(fēng)險(xiǎn)；

（3）境外接收方承諾承擔(dān)的義務(wù)，以及履行義務(wù)的管理和技術(shù)措施、能力等能否保障出境個(gè)人信息的安全；

（4）個(gè)人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風(fēng)險(xiǎn)，個(gè)人信息權(quán)益維護(hù)的渠道是否通暢等；

（5）境外接收方所在國(guó)家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)對(duì)標(biāo)準(zhǔn)合同履行的影響；

（6）其他可能影響個(gè)人信息出境安全的事項(xiàng)。

企業(yè)應(yīng)當(dāng)嚴(yán)格按照《辦法》附件中提供的標(biāo)準(zhǔn)合同范本訂立其個(gè)人信息數(shù)據(jù)出境標(biāo)準(zhǔn)合同，《辦法》規(guī)定個(gè)人信息處理者可以與境外接收方約定其他條款，但不得與標(biāo)準(zhǔn)合同相沖突。

同時(shí)，如合同范本與雙方訂立的任何其他法律文件發(fā)生沖突，該合同的條款優(yōu)先適用，因此企業(yè)需關(guān)注相關(guān)境外法律法規(guī)以及此前已與境外信息接收方訂立的合同是否存在沖突，并進(jìn)行相應(yīng)的修改和增減。

如企業(yè)在標(biāo)準(zhǔn)合同履行期間出現(xiàn)《辦法》第八條明確規(guī)定的情勢(shì)變化的情形，需重新開(kāi)展個(gè)人信息保護(hù)影響評(píng)估，補(bǔ)充或重新訂立標(biāo)準(zhǔn)合同并向網(wǎng)信部門(mén)重新提交備案手續(xù)。

自標(biāo)準(zhǔn)合同生效之日起10個(gè)工作日內(nèi)企業(yè)應(yīng)當(dāng)向所在地省級(jí)網(wǎng)信部門(mén)備案。

對(duì)于在《辦法》施行前已經(jīng)開(kāi)展但不符合《辦法》規(guī)定的個(gè)人信息出境活動(dòng)，企業(yè)應(yīng)當(dāng)自6月1日《辦法》施行之日起6個(gè)月內(nèi)完成整改。

新頒布的《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》可謂國(guó)家網(wǎng)信部門(mén)針對(duì)企業(yè)數(shù)據(jù)出境活動(dòng)的又一重要監(jiān)管制度和舉措，尤其可見(jiàn)國(guó)家網(wǎng)信部門(mén)對(duì)個(gè)人信息數(shù)據(jù)的保護(hù)力度顯著加強(qiáng)，標(biāo)準(zhǔn)合同范本的正式使用也填補(bǔ)了各單位和企業(yè)在個(gè)人信息數(shù)據(jù)出境業(yè)務(wù)中實(shí)際可適用國(guó)家標(biāo)準(zhǔn)文件的空白。

在之后這段整改期內(nèi)，存在個(gè)人信息出境業(yè)務(wù)的企業(yè)仍需把握時(shí)間，梳理自身業(yè)務(wù)場(chǎng)景及數(shù)據(jù)流，制定相應(yīng)的合規(guī)制度、完成風(fēng)險(xiǎn)評(píng)估和整改工作，并在網(wǎng)信部門(mén)規(guī)定期限內(nèi)完成備案，以保證企業(yè)相關(guān)業(yè)務(wù)繼續(xù)順利開(kāi)展，及防范個(gè)人信息出境風(fēng)險(xiǎn)、避免信息安全事件的發(fā)生。我們也將從專(zhuān)業(yè)角度結(jié)合既往業(yè)務(wù)經(jīng)驗(yàn)，協(xié)助企業(yè)依據(jù)自身實(shí)際建立數(shù)據(jù)出境合規(guī)制度并進(jìn)行數(shù)據(jù)出境活動(dòng)各路徑的搭建、申報(bào)與備案。

馮超律師團(tuán)隊(duì)由十余名律師和專(zhuān)利代理人組成，可用中、英、日、法、馬來(lái)語(yǔ)等向客戶(hù)提供知識(shí)產(chǎn)權(quán)、數(shù)據(jù)保護(hù)、外商投資、民商事?tīng)?zhēng)議解決等領(lǐng)域的法律服務(wù)。

數(shù)據(jù)出境合同范本第10篇《辦法》出臺(tái)，數(shù)據(jù)出境安全評(píng)估進(jìn)入整改倒計(jì)時(shí)，監(jiān)管趨嚴(yán)的背景下，企業(yè)面臨的合規(guī)壓力越來(lái)越大。對(duì)此，企業(yè)加強(qiáng)對(duì)相關(guān)法律法規(guī)的學(xué)習(xí)，積極依法治企，防范個(gè)人信息出境活動(dòng)風(fēng)險(xiǎn)，避免發(fā)生個(gè)人信息安全事件。而在《辦法》施行前已經(jīng)開(kāi)展但不符合《辦法》的個(gè)人信息出境活動(dòng)，應(yīng)當(dāng)自6月1日施行之日起6個(gè)月內(nèi)完成整改，這意味著在年底之前，通過(guò)訂立標(biāo)準(zhǔn)合同實(shí)現(xiàn)個(gè)人信息出境的企業(yè)應(yīng)盡快完成備案。

數(shù)據(jù)出境合同范本第11篇相較于英國(guó)IDTA關(guān)注數(shù)據(jù)向英國(guó)國(guó)境之外的數(shù)據(jù)進(jìn)口方轉(zhuǎn)移數(shù)據(jù)，歐盟SCC則更重視數(shù)據(jù)的接受方是否不受歐盟GDPR管轄。

根據(jù)歐盟GDPR第條:數(shù)據(jù)控制者、數(shù)據(jù)處理者在歐盟有營(yíng)業(yè)場(chǎng)所的，不論數(shù)據(jù)處理行為發(fā)生在歐盟還是境外；第條：1.本法適用于設(shè)立在歐盟內(nèi)的控制者或處理者對(duì)個(gè)人數(shù)據(jù)的處理，無(wú)論其處理行為是否發(fā)生在歐盟內(nèi)。2.本法適用于對(duì)歐盟內(nèi)的數(shù)據(jù)主體的個(gè)人數(shù)據(jù)處理，即使控制者和處理者沒(méi)有設(shè)立在歐盟內(nèi)，其處理行為：(a)發(fā)生在向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)的過(guò)程中，無(wú)論此項(xiàng)商品或服務(wù)是否需要數(shù)據(jù)主體支付對(duì)價(jià)；或(b)是對(duì)數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進(jìn)行的控的。3.本法適用于設(shè)立在歐盟之外，但依據(jù)國(guó)際公法歐盟成員國(guó)法律可適用地的控制者對(duì)個(gè)人數(shù)據(jù)的處理?？梢悦鞔_該數(shù)據(jù)接受方是否屬于歐盟GDPR管轄，若符合不受歐盟GDPR管轄的條件，則歐盟SCC將需要被簽署。

網(wǎng)絡(luò)信息技術(shù)重塑了數(shù)據(jù)、信息和知識(shí)的商業(yè)價(jià)值和社會(huì)功能。審視國(guó)內(nèi)外近年來(lái)的立法趨勢(shì)，個(gè)人信息保護(hù)和數(shù)據(jù)安全評(píng)估顯然已經(jīng)成為各國(guó)立法者首要關(guān)注的規(guī)范議題。即便是以商業(yè)利益為優(yōu)先考慮的美國(guó)，在聯(lián)邦和州政府層面，也先后制定了有關(guān)個(gè)人信息、商業(yè)數(shù)據(jù)使用限定條件的規(guī)范性文件。雖然各國(guó)立法者對(duì)“數(shù)據(jù)安全”的概念和外延存在差異化認(rèn)知，但在具體的立法活動(dòng)中，歐盟《通用數(shù)據(jù)保護(hù)條例》(以下簡(jiǎn)稱(chēng)“GDPR”)《日本個(gè)人信息保護(hù)法》《巴西通用數(shù)據(jù)保護(hù)法》等規(guī)范性文件均是圍繞“數(shù)據(jù)安全”與“數(shù)據(jù)利用”兩種法益的平衡方案予以展開(kāi)。并且，在個(gè)人信息保護(hù)立法體系趨于成熟之后，數(shù)據(jù)安全立法的重心也在發(fā)生轉(zhuǎn)變，即從法律效力層級(jí)的制度框架轉(zhuǎn)向行政法規(guī)層級(jí)的具體機(jī)制細(xì)化。在這一轉(zhuǎn)變過(guò)程中，數(shù)據(jù)安全出境的立法問(wèn)題自然而然地呈現(xiàn)于立法者面前：既滿(mǎn)足我國(guó)“國(guó)家安全”和“數(shù)據(jù)安全”立法目標(biāo)，又不會(huì)對(duì)數(shù)據(jù)跨境傳輸?shù)纳虡I(yè)活動(dòng)造成非必要阻礙的數(shù)據(jù)跨境流動(dòng)監(jiān)管制度該如何建構(gòu)?

現(xiàn)階段，學(xué)界有關(guān)數(shù)據(jù)跨境流動(dòng)制度的理論探討主要聚焦于兩個(gè)層面：一是在制度設(shè)計(jì)層面，我國(guó)數(shù)據(jù)跨境流動(dòng)監(jiān)管體系結(jié)構(gòu)的建構(gòu)多以歐盟GDPR中規(guī)定的“充分性保護(hù)”認(rèn)定機(jī)制為基礎(chǔ)，主張我國(guó)應(yīng)當(dāng)借鑒歐盟模式，建立數(shù)據(jù)出境安全評(píng)估制度、數(shù)據(jù)跨境傳輸合同標(biāo)準(zhǔn)化等具體制度；二是在國(guó)際法層面，探討我國(guó)數(shù)據(jù)跨境傳輸監(jiān)管制度的對(duì)外效力，以及我國(guó)如何在國(guó)際數(shù)據(jù)跨境傳輸規(guī)則制定過(guò)程中爭(zhēng)奪話語(yǔ)權(quán)，包括我國(guó)應(yīng)當(dāng)如何充分銜接國(guó)內(nèi)法與國(guó)際法規(guī)則，避免外國(guó)以“長(zhǎng)臂管轄”規(guī)則為由指責(zé)和干涉我國(guó)數(shù)據(jù)安全監(jiān)管活動(dòng)。不難發(fā)現(xiàn)，這兩種研究趨勢(shì)的重心均集中于具體制度建構(gòu)，其原因在于數(shù)據(jù)跨境傳輸監(jiān)管問(wèn)題在很大程度上是有關(guān)數(shù)據(jù)如何安全地傳輸以及將數(shù)據(jù)傳輸過(guò)程如何納入有效的行政監(jiān)管框架內(nèi)。然而，具體制度的建構(gòu)依然需要在理論層面回應(yīng)這些制度模式的選擇依據(jù)和正當(dāng)性基礎(chǔ)。

我國(guó)《數(shù)據(jù)出境安全評(píng)估辦法(《征求意見(jiàn)稿》)》(以下簡(jiǎn)稱(chēng)《征求意見(jiàn)稿》)已于近期公布?！墩髑笠庖?jiàn)稿》第8條規(guī)定了我國(guó)數(shù)據(jù)出境安全評(píng)估的重點(diǎn)事項(xiàng)，即在跨境數(shù)據(jù)傳輸時(shí)，要求數(shù)據(jù)處理者與境外接收方就訂立合同是否充分約定了數(shù)據(jù)安全保護(hù)義務(wù)進(jìn)行說(shuō)明。第9條更是細(xì)化了“充分約定”的判斷標(biāo)準(zhǔn)，對(duì)合同應(yīng)當(dāng)約定的必要事項(xiàng)進(jìn)行列舉。合同條款標(biāo)準(zhǔn)化一直被認(rèn)為是數(shù)據(jù)跨境傳輸領(lǐng)域的有效監(jiān)管工具，歐盟GDPR將標(biāo)準(zhǔn)化合同條款(SCC)嵌入了跨境數(shù)據(jù)流動(dòng)的全過(guò)程，原因在于該項(xiàng)機(jī)制既能實(shí)現(xiàn)監(jiān)管者對(duì)于數(shù)據(jù)跨境傳輸重要事項(xiàng)的直接審核，也能基于違約責(zé)任督促數(shù)據(jù)處理者積極履行數(shù)據(jù)安全保護(hù)義務(wù)。當(dāng)然，先前提及的如何建構(gòu)滿(mǎn)足安全立法目標(biāo)且實(shí)現(xiàn)數(shù)據(jù)充分流動(dòng)的制度建構(gòu)問(wèn)題仍然存在于該領(lǐng)域，其在理論層面有三類(lèi)問(wèn)題需要予以闡明。

第一，歐盟模式與我國(guó)合同“充分約定”模式之間存在何種關(guān)聯(lián)性?從現(xiàn)有條款來(lái)看，我國(guó)僅對(duì)合同內(nèi)容約定事項(xiàng)作出強(qiáng)制性要求，并沒(méi)有對(duì)具體的合同條款作出限定。結(jié)合《征求意見(jiàn)稿》第8條內(nèi)容來(lái)看，數(shù)據(jù)處理者與境外接收方訂立的合同僅是數(shù)據(jù)出境安全評(píng)估的評(píng)估對(duì)象。而歐盟模式所建構(gòu)的標(biāo)準(zhǔn)化合同條款(SCC)則是在“數(shù)據(jù)接收方在不滿(mǎn)足GDPR要求的‘能夠提供與歐盟同等保護(hù)水平’”情形時(shí)，數(shù)據(jù)處理者與數(shù)據(jù)控制者可以選擇的“替代方案”。兩相比較，無(wú)論是在數(shù)據(jù)跨境傳輸制度的體系結(jié)構(gòu)層面，還是在合同內(nèi)容限定層面，兩種合同標(biāo)準(zhǔn)化模式特征差異明顯，這是否意味著我國(guó)的數(shù)據(jù)跨境傳輸合同監(jiān)管模式需要遵循另一套理論邏輯?

第二，《征求意見(jiàn)稿》第8條、第9條的“充分約定”應(yīng)如何理解?這究竟是有別于歐盟模式的中國(guó)數(shù)據(jù)安全立法邏輯之特點(diǎn)，還是需要在解釋論和制度論層面對(duì)標(biāo)準(zhǔn)化合同機(jī)制予以進(jìn)一步明確?雖然《征求意見(jiàn)稿》言明了數(shù)據(jù)跨境傳輸合同標(biāo)準(zhǔn)化的制度路徑以及合同內(nèi)容的類(lèi)型化，但在實(shí)施層面，數(shù)據(jù)處理者在合同中約定了諸如“數(shù)據(jù)出境目的、方式和傳輸范圍”“數(shù)據(jù)境外保存地點(diǎn)、期限”“限制再傳輸?shù)募s束條款”等內(nèi)容，但這不等于數(shù)據(jù)處理者符合這些要求就已經(jīng)滿(mǎn)足了數(shù)據(jù)出境安全評(píng)估所要求的數(shù)據(jù)安全風(fēng)險(xiǎn)防范標(biāo)準(zhǔn)。事實(shí)上，《征求意見(jiàn)稿》第8條、第9條提供的僅是合同標(biāo)準(zhǔn)化的基本路徑，監(jiān)管機(jī)構(gòu)仍然需要提供一套類(lèi)似政府采購(gòu)合同、保單標(biāo)準(zhǔn)化模式的類(lèi)型化數(shù)據(jù)跨境傳輸合同范本，并且要能夠與《數(shù)據(jù)安全法》第21條規(guī)定的重點(diǎn)數(shù)據(jù)目錄和數(shù)據(jù)分類(lèi)分級(jí)制度銜接。

第三，我國(guó)數(shù)據(jù)跨境傳輸合同標(biāo)準(zhǔn)化機(jī)制的調(diào)整范圍和體系定位究竟如何解釋?我國(guó)現(xiàn)行立法有關(guān)數(shù)據(jù)安全評(píng)估的制度內(nèi)容包括業(yè)務(wù)評(píng)估、出境評(píng)估、事件評(píng)估、自評(píng)估、年度評(píng)估等內(nèi)容，在這些評(píng)估機(jī)制尚未體系化之前，是應(yīng)當(dāng)按照《征求意見(jiàn)稿》的第8條的規(guī)定將數(shù)據(jù)跨境傳輸合同標(biāo)準(zhǔn)化機(jī)制視為出境評(píng)估的事項(xiàng)之一，還是應(yīng)當(dāng)將合同標(biāo)準(zhǔn)化機(jī)制置于所有類(lèi)型的數(shù)據(jù)出境制度背景下，將其上升至與安全評(píng)估機(jī)制相平行的監(jiān)管制度?

面對(duì)新的認(rèn)證規(guī)則，企業(yè)該如何應(yīng)對(duì)？

周亞超向財(cái)經(jīng)E法透露，《認(rèn)證規(guī)則》出臺(tái)后，安恒信息已接到不少客戶(hù)的咨詢(xún)，包括適不適合做認(rèn)證、怎么做認(rèn)證，以及認(rèn)證的價(jià)值等問(wèn)題。周亞超發(fā)現(xiàn)，很多企業(yè)想通過(guò)認(rèn)證來(lái)證明或提升自身的個(gè)人信息保護(hù)能力。此外，大型企業(yè)會(huì)比中小型企業(yè)意愿更強(qiáng)烈，因?yàn)檎J(rèn)證是有成本的，不僅需要整改，且滿(mǎn)足認(rèn)證當(dāng)中所規(guī)定的相關(guān)制度、技術(shù)以及和相應(yīng)的安全措施，甚至還要配備專(zhuān)業(yè)人員等。

“這對(duì)于中小型企業(yè)來(lái)說(shuō)可能負(fù)擔(dān)較重?！敝軄喅f(shuō)。

不過(guò)從企業(yè)角度，周亞超希望看到實(shí)際案例和激勵(lì)措施落地。比如，企業(yè)如果做到了自證合規(guī)，并具備安全保障措施，但依然沒(méi)有避免安全事件和風(fēng)險(xiǎn)，“是否能有一定程度的減輕或者豁免安全責(zé)任等？”

吳衛(wèi)明認(rèn)為，《認(rèn)證規(guī)則》可以為產(chǎn)業(yè)界提供更明確的合規(guī)指導(dǎo)，同時(shí)也能帶動(dòng)個(gè)人信息安全咨詢(xún)和相關(guān)合規(guī)工具的發(fā)展，進(jìn)而推動(dòng)建立更好的產(chǎn)業(yè)生態(tài)，并引導(dǎo)好的企業(yè)脫穎而出?！捌髽I(yè)應(yīng)該積極響應(yīng)監(jiān)管要求做到自證合規(guī)，“吳衛(wèi)明說(shuō)。“也會(huì)促進(jìn)企業(yè)更好的發(fā)展”。

左曉棟援引數(shù)據(jù)出境安全的例子稱(chēng)，傳統(tǒng)產(chǎn)品和服務(wù)解決不了企業(yè)的如下問(wèn)題：如何證明實(shí)際出境的數(shù)據(jù)是合規(guī)的，沒(méi)有境外業(yè)務(wù)是否會(huì)發(fā)生數(shù)據(jù)出境，以及如何監(jiān)測(cè)出境數(shù)據(jù)等等。他指出，包括個(gè)人信息保護(hù)認(rèn)證在內(nèi)的數(shù)據(jù)安全評(píng)定將直接催生大量數(shù)據(jù)安全咨詢(xún)需求，且各類(lèi)機(jī)構(gòu)亟需數(shù)據(jù)安全合規(guī)工具的支持，這都將成為企業(yè)新的業(yè)務(wù)增長(zhǎng)點(diǎn)。

在此基礎(chǔ)上，標(biāo)準(zhǔn)合同一共包含定義、個(gè)人信息處理者的義務(wù)、境外接收方的義務(wù)、當(dāng)?shù)貍€(gè)人信息保護(hù)政策法規(guī)對(duì)遵守本合同條款的影響、個(gè)人信息主體的權(quán)利、救濟(jì)、合同解除、違約責(zé)任和其他九條內(nèi)容，分別可以依次與上圖中的主要內(nèi)容對(duì)應(yīng)。下文將對(duì)上述主要內(nèi)容中的重點(diǎn)依次予以介紹和分析。

標(biāo)準(zhǔn)合同明確適用于個(gè)人信息處理者向境外接收方傳輸個(gè)人信息的情形。

對(duì)于“個(gè)人信息處理者”，標(biāo)準(zhǔn)合同采用與《個(gè)人信息保護(hù)法》下相同的含義。與歐盟GDPR不同的是，我國(guó)《個(gè)人信息保護(hù)法》將“個(gè)人信息處理者”定義為“在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人”，基本可以類(lèi)比于歐盟GDPR下的控制者（Controller）而非處理者（Processor）的概念。據(jù)此，標(biāo)準(zhǔn)合同排除了受委托處理個(gè)人信息的主體向境外傳輸個(gè)人信息的情形，對(duì)于此類(lèi)情形而言，應(yīng)當(dāng)由相應(yīng)的個(gè)人信息處理者與境外接收方簽訂合同。較為典型的場(chǎng)景為，云服務(wù)提供商接受云租戶(hù)的指示向境外主體傳輸個(gè)人信息，應(yīng)由云租戶(hù)與境外主體簽訂標(biāo)準(zhǔn)合同，而云服務(wù)商無(wú)需簽訂。

對(duì)于“境外接收方”，標(biāo)準(zhǔn)合同將其定義為“位于_境外并自個(gè)人信息處理者處接收個(gè)人信息的組織或個(gè)人”，并未對(duì)其是否屬于《個(gè)人信息保護(hù)法》下的“個(gè)人信息處理者”做出限定。因此，可以理解為，該“境外接收方”既可能是我國(guó)《個(gè)人信息保護(hù)法》下的個(gè)人信息處理者，也有可能是受上述個(gè)人信息處理者委托處理個(gè)人信息的受委托處理者。但是，從雙方責(zé)任義務(wù)的描述（見(jiàn)下文“3.標(biāo)準(zhǔn)合同雙方責(zé)任義務(wù)”）來(lái)看，標(biāo)準(zhǔn)合同特別對(duì)境外接收方屬于受個(gè)人信息處理者委托處理個(gè)人信息時(shí)應(yīng)滿(mǎn)足的義務(wù)做出單獨(dú)規(guī)定，