作者：金茂律师事务所  万波 律师

一、 问题的提出

6月30日，国家网信办公布《个人信息出境标准合同规定（征求意见稿）》（以下简称《征求意见稿》），向社会公开征求意见。《征求意见稿》提出，个人信息处理者依据《中华人民共和国个人信息保护法》第三十八条第一款第（三）项，与境外接收方订立合同向中华人民共和国境外提供个人信息的，应当按照本规定签订个人信息出境标准合同（以下简称标准合同）。个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同，不得与标准合同相冲突。也就是说，使用标准合同作为数据出境传输工具的，必须使用网信办制定的标准合同，并且标准合同的条款对双方签订的其他协议都有优先效力。

同时，《征求意见稿》明确，个人信息处理者同时符合下列情形的，可以通过签订标准合同的方式向境外提供个人信息：（一）非关键信息基础设施运营者；（二）处理个人信息不满100万人的；（三）自上年1月1日起累计向境外提供未达到10万人个人信息的；（四）自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。

也就是说，网信办基本把标准合同的适用范围限定在规模较小、非重要数据的出境场景中，而非适用于数据出境的全部场景。这也符合个保法第三十八条规定的，较为大规模、重要的个人信息出境，应该使用“通过政府组织的安全评估”和“获得由中央网信办认可的机构颁发的个人信息保护认证”这两项数据出境传输工具。

《征求意见稿》的出台标志着境内个人信息出境业务的实践终于有了执行细则可供参考。《个人信息保护法》生效实行后，在个人信息跨境传输的问题上，一直只有框架性规定，但大量企业的数据跨境业务并未停滞。《个保法》虽然规定了个人信息处理者将个人信息合法出境的三种途径，即“通过政府组织的安全评估”、“获得由中央网信办认可的机构颁发的个人信息保护认证”和“与境外接收方签订标准合同”，但这三个途径截至目前均无实际操作规范。《数据出境安全评估办法》依然在征求意见，个人信息保护认证也尚未见有所启动。而最后的标准合同，终于在数据合规领域实务界翘首以盼之中迎来了征求意见稿，为企业基于正当理由进行数据跨境传输提供了可参考的操作规范。

纵观《个人信息出境标准合同（征求意见稿）》（以下简称《标准合同》），内容包含了“释义”、“个人信息处理者的义务”，“境外接收方的义务”，“当地个人信息保护政策法规对遵守本合同条款的影响”、“个人信息主体的权利”、“救济”、“合同解除”、“违约责任”、“其他”共九大板块。合同条款在内容上与2021年6月4日欧盟委员会通过的最新版的数据跨境标准合同条款（以下简称“SCCs”）有异曲同工之妙，同时在条款结构的设置上进行了调整，更符合中国法语境下的传统合同结构。

下文就将通过《标准合同》与SCCs的横向对比，探讨《标准合同》可能值得商榷之处。

二、 《个人信息出境标准合同（征求意见稿）》合同条款对比梳理

如上文所属，《标准合同》在内容上很大程度借鉴了SCCs，在此对SCCs做一个简要介绍。

迄今为止，欧盟委员会已在GDPR项下批准了四套SCCs，分别是：

1) 2001年，欧盟委员会通过了适用于欧盟境内数据控制者与非欧盟境内数据控制者之间的传输的标准合同条款（简称“SCCs2001-C2C”），和适用于欧盟境内数据控制者与非欧盟境内数据处理者之间的传输的标准合同条款（简称“SCCs2001-C2P”）。

2) 2004年，欧盟委员会新增了一套适用于欧盟境内数据控制者与非欧盟境内数据控制者之间的传输的标准合同条款（简称“SCCs2004-C2C”），SCCs2004-C2C并不替代SCCs2001-C2C，企业可以自行选用。

3) 2010年，欧盟委员会更新了适用于欧盟境内数据控制者与非欧盟境内数据处理者之间的传输的标准合同条款（简称“SCCs2010-C2P”），取代了2001年颁布的SCCs2001-C2P。

4) 原有SCCs都是Directive 95/46/EC制度下起草的，为与GDPR保持一致，2021年6月4日，欧盟委员会通过了最新版的标准合同条款（简称“SCCs2021”），并于2021年6月27日生效，并取代了全部原有SCCs。

SCCs2021体例上的最大特点是采取了“一般条款+特别条款”的创新模式，囊括了下述四类数据跨境场景，并以不同的“特别条款”模块分别对应。SCCs2021共有18个条款和3个附件，其合同结构如下：

下面以欧盟境内控制者发送给欧盟境外控制者（“欧盟内C→欧盟外C”）和欧盟境内控制者发送给欧盟境外处理者（“欧盟内C欧盟外P”）这2种情形为例，归纳SCCs的核心条款，同时标注出《标准合同》中对应的条款。

同时，《标准合同》也基于《个人信息保护法》的规定，设置了数个条款以符合《个保法》的特殊要求：

第二条（七）规定了个人信息处理者应当履行个保法项下的个人信息出境保护影响评估；第二条（九）要求个人信息处理者应当承担本合同义务已履行的举证责任；第三条（九）则对境外接收方在利用个人信息进行自动化决策场景下的义务作出了相应要求。

三、 《标准合同》中值得斟酌的条款探讨

1. 《标准合同》的体例问题

通过上文的对比可以发现，SCCs采用了“一般条款+特别条款”的体例，特别条款分为控制者到控制者，控制者到处理者，处理者到处理者，处理者到控制者，这四种不同类型的数据跨境场景。针对不同场景下的实质性数据保护义务、救济、责任、赔偿、监督等条款，SCCs做了细致的区分。而《标准合同》则并未区分不同的数据出境场景，从内容上看似乎也有将不同的数据出境场景都囊括进此份标准文本之中的倾向。

究其原因，《标准合同》与SCCs在体例上的区别沿袭于《个人信息保护法》与GDPR中“个人信息处理者”与“controller”、“processor”等主体概念上的差别。

依照《个保法》的规定，个人信息处理者能够自主决定个人信息处理的目的及方式，可以是组织或个人。该定义对“组织”一词的含义未作阐明，应是包括但不限于法人机构等。就GDPR而言，与个人信息处理者相对应的用语是controller (控制者)，定义见诸GDPR第4条第7款，同样强调了相关行为人能对个人数据处理的目的与手段加以控制。GDPR中与controller有关联的用语是processor (处理者)，即代表前者进行数据处理活动的人。Processor在GDPR第4条第8款中被专门定义。

相较而言，《个保法》中仅定义了个人信息处理者，在第21条中数次出现的个人信息处理者的受托人的说法，则对应着GDPR所称的“processor”。《个保法》的此类规定见仁见智。实际上，《个保法》将绝大部分的合规义务施加给个人信息处理者，对受托人的责任规定则明显偏少。这一点也体现在《标准合同》中，第二条（九）特别规定，要求个人信息处理者应当承担本合同义务已履行的举证责任。

再回头看《标准合同》的体例问题。可以理解，《标准合同》起草的过程中受到个保法体系的掣肘，采用的是“个人信息处理者”及“境外接收方”的概念。但是在合同条款中也多次提及“委托处理”，例如第三条【境外接收方的义务】（一）境外接收方保证按照附录一“个人信息出境说明”所列约定处理个人信息；又如第三条【境外接收方的义务】（八）受个人信息处理者委托处理，转委托第三方处理时，事先征得个人信息处理者同意……。

因此，《标准合同》拟规范的究竟是中国法中个人信息处理者与诸如GDPR立法中“processor”的权责关系，抑或是意图将SCCs所区分的四种数据出境场景整合到同一份标准合同中，还有待进一步澄清。同时，若《标准合同》正式稿中考虑模仿SCCs，设定个人信息处理者分别向不同主体跨境传输个人信息的情形，是否有必要区分四种不同的情形，抑或是遵循个保法的脚步，同时借鉴SCCs的体例，将标准合同分为委托处理及共同处理两种场景？这些问题都还值得深入探讨。

2. 违约责任条款的设置问题

《标准合同》中另一个比较显眼的问题就是第八条【违约责任】的设置。第八条的条文内容如下：

第八条 违约责任

（一）双方应就其因违反本合同而给对方造成的任何损害向另一方承担责任。

（二）双方之间的责任限于非违约方所遭受的损失。

（三）每一方因违反本合同而侵害个人信息主体作为第三方受益人而享有的权利，应当对个人信息主体承担责任；个人信息主体有权获得赔偿。这不影响个人信息处理者在相关法律法规项下应承担的责任。

（四）个人信息处理者和境外接收方对因违反本合同而共同对个人信息主体造成的任何物质或非物质损害负责的，个人信息处理者和境外接收方应对个人信息主体承担连带责任。

（五）双方同意，如果一方（“赔偿方”）因另一方（“被追偿方”）对违反本合同的行为对个人信息主体承担连带责任且赔偿方承担的连带责任超过其应承担的责任份额，则赔偿方有权向被追偿方追偿。

（六）尽管有第八条第（三）款和第八条第（四）款的规定，个人信息处理者应就境外接收方因违反本合同而对个人信息主体造成的任何物质和非物质损失向个人信息主体负责，个人信息主体有权向其主张损害赔偿责任。

（七）双方同意，个人信息处理者根据第八条第（六）款因境外接收方造成的损害承担责任的，有权向境外接收方追偿。

再以SCCs 控制者→处理者模块对责任的规定为例，如上文表格中所列，SCCs第12条规定，双方应就自身违反本条款而给数据主体造成的物质或精神损失负责和承担赔偿责任。如数据进口方违反本条款而需对数据主体负责的，数据出口方也需要承担责任。如数据出口方为数据进口方的行为向护具主体承担了责任，则数据出口方有权向数据进口方追偿。如双方都对违反本条款而需对数据主体负责，双方承担连带责任，此时承担了责任的一方有权向另一方追偿。数据进口方不得以次级处理者的行为为由逃避自己的责任。

由此可见，《标准合同》在违约责任的设置上基本对标了SCCs依据GDPR第82条设置的赔偿责任。然而如上文所述的，不论《标准合同》意欲涵盖所有的数据出境类型，还是仅针对境内个人信息处理者委托境外接收方处理个人信息的委托处理场景，《标准合同》的此种设置都是缺乏上位法依据的。

首先来看《个保法》对委托处理的规定。

《个人信息保护法》第二十一条对“委托处理”作了专条规定：“个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。未经个人信息处理者同意，受托人不得转委托他人处理个人信息。”

最高人民法院在《中华人民共和国个人信息保护法条文理解与适用》指出：“由于委托人和受托人之间仅仅是委托合同关系，受托人并非委托人的雇员或工作人员，并不受委托人的控制，所以，由此产生的侵权责任属于定作人责任。《民法典》第1193条规定‘承揽人在完成工作过程中造成第三人损害或者自己损害的，定作人不承担侵权责任。但是，定作人对定作、指示或者选任有过错的，应当承担相应的责任。’具体到委托处理个人信息中，所谓定作人就是委托人，承揽人就是受托人。只有当定作人就个人信息处理存在定作、指示、选任的过错的，才需要承担相应的责任。”

其次再看《个保法》对共同处理的规定。

《个人信息保护法》第二十条对“共同处理”作了专条规定：“两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。但是，该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。” 此规定与GDPR地4条第7款“共同控制者”的定义类似，都是以是否“共同决定个人信息的处理目的和处理方式”作为标准。

构成共同处理后的具体责任形态，依据《个人信息保护法》的规定，是“依法承担连带责任”。我国学者通过对“依法承担连带责任”和“应当承担连带责任”的立法变更及其区别作了深入分析后，也认为法院在认定共同处理者的连带责任时，必须依据《民法典》第1168条至第1172条区分不同情况（如共同危险行为、无意思联络的数人侵权、多人共同处理部分侵权）分配不同的责任比例。

而《标准合同》第八条第四款中的“共同”是否严格等同于《个人信息保护法》第二十条规定的“共同处理”有待商榷。

也就是说，《个保法》仅对共同处理的情形规定了连带责任。而考虑到《标准合同》适用的范围不限于共同处理的场景，且其条款有优先且不可更改的效力，作为有一定强制性效力的文件，其违约责任条款不分场景统一对合同主体施以连带责任，在没有明确上位法依据的情形下，显然是不合理地加重了合同主体的义务，与上文所述《个保法》和《民法典》的相关规定、最高院的司法解释都背道而驰。

四、 小结

随着个人信息出境相关法律法规及配套文件的逐步出台，对于个人信息出境的合规要求和合规路径也日渐明晰，此次网信办公布的《标准合同》无疑具有里程碑意义。但与欧盟SCCs的条文相比，《标准合同》最大的区别是并未区分境内外主体在数据出境的场景中的不同法律关系，呈现出的问题就在于体例上的不清晰。其次，无论是境内主体还是境外主体，标准合同均要求对个人信息处理活动承担较重的连带责任，有超出上位法规定之嫌疑。

实习生张月勤对本文亦有贡献