作者：金茂律师事务所  万波 律师  张月勤 律师助理 

前言

2023年6月1日，《个人信息出境标准合同办法》（以下简称“《办法》”）正式开始生效，为明确标准合同的备案要求，为6月1日起开始执行的标准合同备案工作提供指引，2023年5月30日，国家互联网信息办公室公布正式公布《个人信息出境标准合同备案指南（第一版）》（以下简称“《备案指南》”）。

随着《办法》的生效，2023年6月1日前开始的个人信息出境活动将迎来6个月整改期的倒计时，满足《办法》要求且希望通过标准合同备案进行个人信息出境的企业，包括个人信息保护影响评估、标准合同的订立以及备案的相关整改工作，均应于 2023年12月1日前完成。而6月1日后开始的个人信息出境活动也要尽早做好备案的准备。《备案指南》的出台为标准合同备案落地工作提供了一定程度的指引，也存在一些尚未解决、需要在实务中逐步明晰的难点，本文将通过《备案指南》的要点简析、重点提示以及实务难点对《备案指南》进行初步探讨。

一、《备案指南》要点简析

1. 个人信息出境场景

《备案指南》指出：“以下情形属于个人信息出境行为：（一）个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外；（二）个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；（三）国家网信办规定的其他个人信息出境行为。”《备案指南》对出境行为的描述与《数据出境安全评估申报指南（第一版）》（以下简称“《申报指南》”）保持了一致。也就是说，即使企业根据业务实际情况并未与境外个人信息接收方有直接联系，但如果使用了部署在境外的工具，如SAP系统等，仍有可能涉及个人信息的跨境传输，并需要履行备案流程。

另外，根据《备案指南》的要求，企业需要对个人信息出境业务和信息系统情况进行描述。因此，企业需要按照《备案指南》中确定的逻辑顺序，即“业务基本情况-数据资产情况-信息系统情况-数据中心（云服务）情况-数据出境链路情况”，对其个人信息出境场景进行详细盘点。

2. 备案结果并非“逢备必备”

根据《备案指南》，备案结果分为通过、不通过。这意味着即使企业选择了通过标准合同备案路径进行个人信息跨境传输，并不意味着只需提交相关材料即可满足合规要求，企业仍面临备案材料不符合规定而无法通过备案的风险。据本所律师目前了解的情况，已经有企业提供的备案材料不符合省级网信办的要求，而被要求补充和修订备案材料的先例。

同时，《备案指南》使用了“材料查验”这一表述，目前我们倾向于认为省级网信办将对备案材料进行实质审查，而非我们通常理解的“备案”中的形式审查。因此，准备开展标准合同备案工作的企业应当对实质审查导致的备案难度提升有一定的心理预期。

3. 个人信息保护影响评估模板

《个人信息保护影响评估报告》（PIA报告）作为标准合同机制下最核心的工作之一，《备案指南》出台之前业界对PIA报告的颗粒度众说纷纭。《备案指南》附件5提供的PIA报告模板一锤定音，对标准合同场景下的PIA有重要的指导意义。

此次发布的PIA报告模板主要包括以下板块：

（1）评估工作简述；

（2）出境活动整体情况；

• 个人信息处理者基本情况；

• 个人信息出境涉及业务和信息系统情况；

• 拟出境个人信息情况；

• 个人信息处理者个人信息保护能力情况；

• 境外接收方情况；

• 个人信息处理者认为需要说明的其他情况。

（3）拟出境活动的影响评估情况；

（4）出境活动影响评估结论。

二、《备案指南》重点提示

1. 标准合同路径并不比安全评估路径“轻松”，企业应当做好充分准备

如前文所述，标准合同备案并非“逢备必备”，网信办将对企业提交的备案材料进行实质审查。除此之外，此次发布的PIA报告模板基本对标《申报指南》发布的《数据出境风险自评估报告》模板，在评估内容的颗粒度和要求方面，对企业提出了较高的标准。

下表为笔者梳理的PIA报告模板与自评估报告模板对比：

根据数据出境安全评估的相关经验来看，自评估工作面临的主要挑战和困难在于《申报指南》中提出的大量评估要求对企业梳理数据合规情况带来了巨大的压力。同样地，根据《备案指南》的发布可以看出，其中所涉及的材料评估要求并不比《数据出境安全评估》的要求少。

一方面，PIA报告需要包含大量详细的内容，包括境外接收方信息的收集和编写，信息系统的调查和说明等，这给企业的材料组织能力提出了重要挑战。另一方面，详细的内容要求意味着PIA工作不能仅仅是形式上的，而应该进行深入的合规性和技术性分析；如果发现任何问题，应在个人信息出境之前积极进行整改。

但是，对PIA的严格要求也有其积极的一面。考虑到《备案指南》和《申报指南》对于PIA报告和自评估报告的要求高度相似，即便未来企业的数据出境行为出发了数据出境安全评估的工作，对完成了标准合同备案的企业来说，可以基于现有备案的基础上，采用类似的方法快速完成数据出境安全自评估工作和相关材料的准备。PIA的高要求可以为预期扩大未来数据出境规模的企业通过标准合同备案工作提前积累大量且细致的实践经验。

2. 企业应当积极建立个人信息出境的全流程监测和预警机制

备案前，企业应当建立完整的数据合规体系，夯实自身数据安全能力。由于PIA高度关注企业的数据安全能力，如果企业存在处罚记录，则有着备案无法通过风险。为此，企业需要不断夯实自身数据安全能力，建立全流程的数据合规体系，在开展备案工作前尽可能地消除数据安全隐患。

此外，PIA其中一条要求企业披露个人信息保护机构。根据《个人信息保护法》，当处理的个人信息达到网信办规定的数量时，应指定个人信息保护负责人。虽然目前网信办尚未明确对数量的具体规定，但这一要求传递了一个重要信号，即在数据出境监管领域，企业需要设立“DPO”（数据保护官）岗位。企业应尽快建立并完善内部数据治理架构，以应对这一要求。目前，上海市通信管理局已于5月31日出台了《上海市电信和互联网行业首席数据官制度建设指南（试行）》，企业建立DPO机构时可以作为参照。

备案中，企业需要整合汇总出境详细信息，并且在评估中提出整改措施和效果。PIA对出境方式、出境链路、出境个人信息情况（包括规模、种类、敏感程度等）等进行了详细要求，同时要求明确数据出境的目的，不能简单地概括处理。这意味着企业需要整合内部资源，协调沟通各个业务部门，汇总与数据出境相关的具体详细信息，以满足PIA的要求。同时，企业需要重点强调在PIA中发现的问题和风险隐患，并详细描述采取的整改措施及其效果。满足此点要求需要将所有信息披露给监管机构，以消除数据安全方面的顾虑。这不仅非常重要，也是实践中的难点。对于整改措施是否能够得到监管机构的认可以及具体的监管标准如何，有待在标准合同备案实务工作中与监管部门积极沟通，长期跟踪了解。

备案完成后，企业还需要实时关注个人信息出境情况，以满足补充/重新备案的要求。《备案指南》要求，在标准合同有效期内出现下列情形之一的，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行相应备案手续：（1）向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；（2）境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；（3）可能影响个人信息权益的其他情形。因此，建议企业建立个人信息出境的监测和预警机制，以跟踪个人信息的出境情况。包括实时关注向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点和期限，或者境外接收方处理个人信息的用途和方式等情况。同时，还需要密切关注境外接收方所在国家或地区的个人信息保护政策和法规。如果上述情况发生变化，可能需要重新评估或补充订立/备案要求，企业应及时采取相应的措施。

三、《备案指南》尚未解决的实务难点

尽管《备案》指南为即将开展的标准合同备案工作提供了重要指引，但仍有一些疑问尚未解答，亟待在推进备案工作中逐个澄清。

1. 关于集团化管理下的数据出境路径选择

在集团化管理下，同一个关联公司之间必然面临着不同的情况，包括业务类型、所掌握的个人信息量以及个人信息的敏感程度等方面的差异。这可能会影响到标准合同和数据出境安全评估的适用。举例来说，假设A公司是一家大型跨境电商集团，每年处理百万级别的个人信息，并需要频繁进行个人信息的跨境传输。而B公司则是集团下的运营公司，每年只有少量个人信息跨境传输，并且不存在其他触发安全评估申报的情况。尽管A公司显然需要申报数据出境安全评估，但对于B公司是否可以选择标准合同备案路径来说，答案可能并不简单。

在集团化管理的环境中，各个子公司之间可能存在密切的联系。因此，在考虑数据出境时，不能仅仅根据各个公司自身的情况来判断。是否允许B公司选择《标准合同》备案，还需要从其他角度来评估B公司是否真正被视为“独立的数据处理者”。例如，B公司的法定代表人是否与A公司的法定代表人相同？若是，B公司可能无法被视为独立的数据处理者，而需要与A公司一同申报数据出境安全评估。另外，B公司是否与A公司共享同一集团的数据处理系统环境，以至于A公司本地化的数据可能被B公司的境外接收方访问？如果是这样，那么B公司也可能无法被视为独立的数据处理者，而应与A公司一同申报数据出境安全评估。

2. 关于集团化管理下的标准合同备案主体

如果经评估，确定集团适用标准合同备案路径，则根据《备案指南》附件2提供的《经办人授权委托书（模板）》，标准合同备案的经办人应该是个人信息处理者单位内部的工作人员。这一规定与数据出境安全评估的实践经验相符，即网信部门更倾向于与企业内部的人员直接进行联系，推进相关的数据出境合规工作。然而，在实践中，常常存在跨境传输活动涉及集团内多家关联公司的情况。对于这类数据出境活动的标准合同备案应如何处理，能否进行由集团或集团内的某一公司进行合并办理？

举例来说，A集团在北京、上海、广州等地设有多家分子公司，这些分子公司使用相同的信息系统，并且个人信息跨境传输的场景完全一致，仅涉及向同一境外接收方（即境外母公司）提供员工个人信息，用于人力资源管理目的。在这种情况下，标准合同备案工作中很可能会遇到以下问题：（1）这些子公司是否需要分别办理标准合同备案，还是可以由其中一家公司代表进行合并备案？（2）如果需要分别备案，但由于出境场景完全一致，这些子公司是否可以依赖同一份合并签署的标准合同和一份统一出具的个人信息保护影响评估报告进行备案？

尽管数据出境安全评估实践中已有关联实体合并申报的先例，但该等先例是否当然适用于标准合同备案，也存在一定的不确定性，建议企业密切关注监管动向。若确需合并申报的，需要获得属地网信部门的明确意见。笔者倾向于认为，不同于数据出境安全评估的主管机构为国家网信办，标准合同备案是由省级网信办负责的，因而由于这些子公司位于不同的省市，应该分别向当地的省级网信办办理标准合同备案。但由于出境场景完全一致，如果这些子公司可以共同签署一份标准合同，并进行合并的个人信息保护影响评估，并出具一份统一的报告，可能可以根据同一份标准合同和报告进行备案。同时，在这种情况下，如果多家子公司提交相同的材料进行备案，但由于不同省级网信办的处理标准可能不同，是否可能出现不同的备案结果等等。以上疑问均需要在实践中进行观察和验证。

3. 关于标准合同的签署主体及签署场景

在前述备案主体的问题中，我们探讨了集团化管理场景下，同一集团内有多个有出境需求的个人信息处理者，备案以谁为主的问题尚待实践检验。

而在签署标准合同的过程中，若同一个个人信息处理者欲将个人信息传输至多个位于同一/不同法域的境外接收方，是否需要签署多份标准合同，并分别进行备案？即标准合同的签署方式能否 “1 to N”？一般来说，企业在签署标准和同时应当考虑单个国家标准合同所能够涵盖的范围的颗粒度，避免境外多个接收者、境内基于不同目的的出境，均需要反复签署、评估、备案等系列流程。但由于《备案指南》只是要求签署合同，仍然没有解答签署协议的颗粒度问题，这点可能仍然需要企业自己进行评估和设计，并在签署合同阶段就与网信办积极沟通备案事宜，避免做无用功。

另外，对于有多个境外接收方及可能存在的未来其他接收方，是否可以参照欧盟SCCs同意新的缔约方通过“对接”（docking）条款，便捷地加入已签署的SCCs，而非新加入缔约方时都要再新签署标准合同？该等对接条款是否可以加入标准合同的附录中，是否与标准合同文本相冲突，对接后的合同备案如何操作等问题，都需要企业仔细斟酌，并与监管部门积极沟通。

4. 备案的时间节点尚存模糊地带

根据《办法》及《备案指南》，6月1日前开始的数据出境活动，企业有6个月的整改期，但对于6月1日开始的出境活动，并未明确也可以适用整改期，由于《备案指南》5月30日才出炉，6月1日开始的出境活动是否可以在开展备案工作的同时进行数据传输？抑或是严格要求企业暂停所有未备案的出境活动？另外，6月1日前的出境活动整改，此“整改”是否包含前述补充备案，如含，追溯到什么起始时间点？

四、总结

《备案指南》的出台，为标准合同备案的落地工作提供了重要的指导，但仍有一些不明确的问题有待实践中进行澄清。如前所述，《备案指南》的PIA模板对评估内容对标数据出境安全评估，对企业的备案前置工作提出了相当高的要求，企业不能因为标准合同是三大数据出境机制中目前来看监管口径最为宽松的路径，就对标准合同的备案工作掉以轻心，防止出现备案不成功的情形。由于PIA需要精准识别出境数据，并对数据出境的场景、链路进行全面细致的梳理，也要求详细评估境外接收方的数据安全保障机制和接收方所在国的法律环境，还要求在不同场景下针对不同的颗粒度决定签署标准合同的主体及进行备案的主体，可见备案工作的难度及工作量都十分庞杂。建议企业尽早引入有相关经验的第三方，如律师事务所及大数据技术公司为企业的数据出境提供跨行业、全方位的专业服务，并且积极寻求与监管部门的沟通，为企业的数据流通保驾护航。