国家互联网信息办公室令

第13号

　　《个人信息出境标准合同办法》已经2023年2月3日国家互联网信息办公室2023年第2次室务会议审议通过，现予公布，自2023年6月1日起施行。

　　国家互联网信息办公室主任　庄荣文

　　2023年2月22日

个人信息出境标准合同办法

　　第一条 为了保护个人信息权益，规范个人信息出境活动，根据《中华人民共和国个人信息保护法》等法律法规，制定本办法。

　　第二条 个人信息处理者通过与境外接收方订立个人信息出境标准合同（以下简称标准合同）的方式向中华人民共和国境外提供个人信息，适用本办法。

　　第三条 通过订立标准合同的方式开展个人信息出境活动，应当坚持自主缔约与备案管理相结合、保护权益与防范风险相结合，保障个人信息跨境安全、自由流动。

　　第四条 个人信息处理者通过订立标准合同的方式向境外提供个人信息的，应当同时符合下列情形：

　　（一）非关键信息基础设施运营者；

　　（二）处理个人信息不满100万人的；

　　（三）自上年1月1日起累计向境外提供个人信息不满10万人的；

　　（四）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

　　法律、行政法规或者国家网信部门另有规定的，从其规定。

　　个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。

　　第五条 个人信息处理者向境外提供个人信息前，应当开展个人信息保护影响评估，重点评估以下内容：

　　（一）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；

　　（二）出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；

　　（三）境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；

　　（四）个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；

　　（五）境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；

　　（六）其他可能影响个人信息出境安全的事项。

　　第六条 标准合同应当严格按照本办法附件订立。国家网信部门可以根据实际情况对附件进行调整。

　　个人信息处理者可以与境外接收方约定其他条款，但不得与标准合同相冲突。

　　标准合同生效后方可开展个人信息出境活动。

　　第七条 个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案应当提交以下材料：

　　（一）标准合同；

　　（二）个人信息保护影响评估报告。

　　个人信息处理者应当对所备案材料的真实性负责。

　　第八条 在标准合同有效期内出现下列情形之一的，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行相应备案手续：

　　（一）向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；

　　（二）境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；

　　（三）可能影响个人信息权益的其他情形。

　　第九条 网信部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密，不得泄露或者非法向他人提供、非法使用。

　　第十条 任何组织和个人发现个人信息处理者违反本办法向境外提供个人信息的，可以向省级以上网信部门举报。

　　第十一条 省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的，可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改，消除隐患。

　　第十二条 违反本办法规定的，依据《中华人民共和国个人信息保护法》等法律法规处理；构成犯罪的，依法追究刑事责任。

　　第十三条 本办法自2023年6月1日起施行。本办法施行前已经开展的个人信息出境活动，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改。

　　个人信息出境标准合同（点击即可下载）

《个人信息出境标准合同办法》答记者问

2023年02月24日 15:00来源： 中国网信网

　　2月24日，国家互联网信息办公室公布《个人信息出境标准合同办法》（以下简称《办法》）。国家互联网信息办公室有关负责人就《办法》相关问题回答了记者提问。

　　问：请简要介绍《办法》出台的背景？

　　答：近年来，随着数字经济的蓬勃发展，个人信息出境需求快速增长，个人信息权益保护面临较大挑战。《个人信息保护法》对个人信息跨境提供规则作了基础性规定，按照国家网信部门制定的标准合同订立合同是向境外提供个人信息的法定途径之一。制定出台《办法》是落实法律规定的重要举措，目的是为了保护个人信息权益，规范个人信息出境活动。

　　问：哪些情形可以通过订立标准合同的方式向境外提供个人信息？

　　答：《办法》明确了个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合下列情形：一是非关键信息基础设施运营者；二是处理个人信息不满100万人的；三是自上年1月1日起累计向境外提供个人信息不满10万人的；四是自上年1月1日起累计向境外提供敏感个人信息不满1万人的。同时，《办法》明确，法律、行政法规或者国家网信部门另有规定的，从其规定。要求个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。

　　问：个人信息处理者如何开展个人信息保护影响评估？

　　答：《办法》要求个人信息处理者向境外提供个人信息前，应当开展个人信息保护影响评估，重点评估以下内容：一是个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；二是出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；三是境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；四是个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；五是境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；六是其他可能影响个人信息出境安全的事项。

　　问：个人信息处理者如何进行标准合同备案？

　　答：《办法》规定个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案需提交的材料包括标准合同和个人信息保护影响评估报告。

　　问：在标准合同有效期内出现哪些情形，个人信息处理者需要重新履行备案手续？

　　答：《办法》明确了在标准合同有效期内，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行备案手续的3种情形：一是向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；二是境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；三是可能影响个人信息权益的其他情形。

　　问：标准合同备案后如何保障个人信息处理者的商业秘密等合法权益？

　　答：《办法》规定了网信部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密，不得泄露或者非法向他人提供、非法使用。

　　问：标准合同范本包括哪些主要内容？

　　答：《办法》附件为标准合同范本，主要内容包括合同相关定义和基本要素、个人信息处理者和境外接收方的合同义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利和相关救济，以及合同解除、违约责任、争议解决等事项，并设计了个人信息出境说明、双方约定的其他条款等两个附录。

　　问：标准合同内容是否可以更改？订立标准合同后何时可以开展个人信息出境活动？

　　答：《办法》规定标准合同应当严格按照本办法附件的标准合同范本订立。国家网信部门可以根据实际情况对附件进行调整。个人信息处理者可以与境外接收方约定其他条款，但不得与标准合同相冲突。《办法》明确标准合同生效后方可开展个人信息出境活动。

　　问：违反《办法》如何追究法律责任？

　　答：《办法》提出个人信息处理者违反本办法规定的，依据《中华人民共和国个人信息保护法》等法律法规处理；构成犯罪的，依法追究刑事责任。

　　问：《办法》施行前已经开展的个人信息出境活动是否适用本办法？

　　答：《办法》明确本办法施行前已经开展的个人信息出境活动，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改。

专家解读｜出台标准合同规范 完善我国个人信息出境管理制度

2023年02月24日 17:35来源： 中国网信网

　　2023年2月24日，国家互联网信息办公室公布《个人信息出境标准合同办法》（以下简称《办法》）。《办法》对通过订立标准合同的方式开展个人信息出境的活动作出具体制度安排，细化落实了《个人信息保护法》第三十八条第一款第三项的规定。《个人信息保护法》对我国个人信息出境管理作出顶层设计，规定了国际条约或协定、安全评估、个人信息保护认证、标准合同四种个人信息出境方式。继《数据出境安全评估办法》《关于实施个人信息保护认证的公告》对安全评估、个人信息保护认证进行规范后，《办法》成为我国个人信息出境管理制度的重要组成部分。对于规范个人信息跨境流动、完善数据跨境管理制度和促进数据领域国际合作具有重大意义。

　　一、及时必要，规范个人信息有序高效跨境流动

　　出台《办法》是我国推动个人信息跨境流动、积极融入全球数字经济发展大势的重要举措。

　　（一）落实《个人信息保护法》要求，保护个人信息权益。出台《办法》是为了保护个人信息权益，规范个人信息出境活动。当前，数字经济蓬勃发展，数据跨境日益频繁，各国个人信息跨境流动需求也快速增长。但由于不同国家和地区的个人信息保护水平存在差异，个人信息出境的风险日渐凸显。《个人信息保护法》提供了高水平的个人信息保护标准，标准合同的适用有利于保障境外接收方处理个人信息的活动达到我国《个人信息保护法》规定的个人信息保护标准，确保个人信息出境后个人信息主体权益依然受到保护。

　　（二）促进数字经济发展，回应中小企业个人信息跨境需求。2022年《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出“构建数据安全合规有序跨境流通机制”“坚持开放发展，推动数据跨境双向有序流动，鼓励国内外企业及组织依法依规开展数据跨境流动业务合作”。作为一种个人信息出境方式，标准合同具有便捷化、成本低的特征。《办法》的出台积极回应了社会关切，在为中小企业个人信息跨境业务合作提供法治保障的同时，也减轻了中小企业负担，有利于进一步促进数据自由流通和数字经济发展。

　　（三）紧跟数字时代潮流，顺应国际通行做法。国际上，以欧盟针对四种不同个人数据传输场景的“标准合同条款”为典型代表，东盟、英国和中国香港等国家和地区分别出台了“标准合同条款”范本。在借鉴域外经验和立足我国实际的基础上，《办法》提出具备完整合同结构的“标准合同范本”。国家网信部门可以根据实际情况对附件标准合同范本进行调整，使其保持灵活性、实践性和国际性。《办法》的出台既符合国际通行做法又具有中国法治特色，对于促进数据领域国际合作意义重大。

　　二、定位清晰，健全个人信息出境管理制度体系

　　《办法》是继《数据出境安全评估办法》之后，第二部落实《个人信息保护法》个人信息出境管理规定的专门性部门规章，具有承前启后推动个人信息出境管理制度体系化的重要作用。

　　（一）完善个人信息出境管理的重要配套规章。《办法》的出台，细化了《个人信息保护法》“按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利义务”的要求，是对个人信息出境管理制度的重要补充。《个人信息保护法》第三十八条规定了“两类四种”个人信息出境方式：一类是个人信息处理者因业务等需要，确需向境外提供个人信息的，应该具备“安全评估”“个人信息保护认证”“标准合同”三种条件之一，并设置兜底条款“法律、行政法规或者国家网信部门规定的其他条件”；另一类是我国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的，可以按照其规定执行。《数据出境安全评估办法》明确了数据出境管理中的“安全评估”，《办法》与其共同作为《个人信息保护法》的配套规章，进一步落实了有关个人信息出境管理制度的顶层设计。

　　（二）丰富个人信息出境方式。《办法》通过划定个人信息出境标准合同的适用范围和情形，有效实现了标准合同和安全评估、个人信息保护认证的制度衔接，也为后续出台有关认证等其他个人信息出境方式的规则预留了制度接口。当个人信息处理者选择通过订立标准合同的方式向境外提供个人信息时，必须同时符合下列四种情形：（一）非关键信息基础设施运营者；（二）处理个人信息不满100万人的；（三）自上年1月1日起累计向境外提供个人信息不满10万人的；（四）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。实际上，《办法》给予个人信息处理者选择权，除必须申报安全评估的情形之外，个人信息处理者可以结合具体情况选择订立标准合同或者其他个人信息出境方式出境。

　　（三）结合政府监管手段与市场自主行为的新型管理规则。《办法》的正文和附件标准合同范本前后衔接，既明确了个人信息出境标准合同的监管要求，又保障了合同双方的意思自治和合同磋商空间。正文为行政监管意义上的部门规章，规定了个人信息出境标准合同的监管要求。附件实质上为民商事活动领域中的格式合同，相较于传统民事合同，其承载着意思自治、个人信息保护、国家安全和公共利益等多元价值。标准合同范本中的部分内容已被预先设定，当个人信息处理者自愿选择通过订立标准合同的方式向境外提供个人信息时，该部分内容不可更改。但合同双方可在附录二中约定附件标准合同范本未明确的事项。总之，将标准合同作为个人信息出境的方式，是我国网络立法上的创新举措，有利于积极应对互联网新业态新模式带来的风险挑战，为促进个人信息跨境流动提供法治保障。

　　三、守正创新，构建个人信息出境标准合同管理制度

　　《办法》立足我国立法现状和实践情况，对个人信息保护影响评估、标准合同备案管理、举报监督制度与法律责任等作出明确规定。

　　（一）个人信息保护影响自评估制度。《办法》第五条规定个人信息处理者向境外提供个人信息前，应当开展个人信息保护影响评估，其重点评估内容与《数据出境安全评估办法》中“数据出境风险自评估”的重点评估事项基本一致。但是，个人信息保护影响评估内容中增加了“境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响”。这一点具体体现在附件标准合同范本的第二条第八项和第四条，合同双方应结合个人信息出境的具体情况、境外政策法规、境外接收方的安全管理制度和技术手段保障能力等进行评估。

　　（二）个人信息出境标准合同备案管理制度。个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。从性质上看，《办法》设立的备案制度为事后监管，并不会产生功能性的效果。从内容上看，须备案的材料包括：（一）合同双方根据附件标准合同范本订立的个人信息出境标准合同，与之相关的独立商业合同并不需要备案；（二）个人信息保护影响评估报告。个人信息处理者应当对所备案材料的真实性负责。从结果上看，对于未履行备案程序或者提交虚假材料进行备案的违法行为，若由此导致个人信息出境活动存在较大风险或者发生个人信息安全事件，省级以上网信部门可以进行约谈，要求整改。

　　（三）保护个人信息主体权利的涉他合同。从主体上看，附件标准合同范本涉及三方主体，包括个人信息处理者、境外接收方和个人信息主体，在为个人信息处理者、境外接收方设立合同义务的同时，亦为第三人“个人信息主体”设立了合同权利。从内容上看，个人信息处理者应履行告知、提供副本、答复询问、个人信息保护影响评估等义务。境外接收方应履行提供合同副本、采取技术和管理措施、接受监督管理等义务；若进行“再传输”“转委托”“自动化决策”等处理行为需符合相关条件。个人信息主体对其个人信息的处理享有知情权、决定权等权利，并有权请求合同一方或双方履行标准合同项下与个人信息主体权利相关的条款。此外，个人信息处理者通过与境外接收方订立标准合同的方式向境外提供个人信息的，除遵守《办法》规定外，合同的成立、效力、履行、解释以及因本合同引起的双方争议还应适用《民法典》等中华人民共和国相关法律法规。

　　（四）举报监督制度与法律责任。一方面，任何组织和个人发现个人信息处理者违反《办法》规定向境外提供个人信息的，可以向省级以上网信部门举报。另一方面，当省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的，可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改，消除隐患。此外，还规定了违反《办法》规定的应当依据《个人信息保护法》等法律法规处理，构成犯罪的依法追究刑事责任。

　　四、小结

　　《办法》以标准合同为抓手规范我国个人信息出境管理制度，是我国深化开放合作、探索个人信息跨境流动与治理的新举措。出台《办法》不仅补充完善了我国数据跨境监管制度体系，体现了我国网络立法的系统性、整体性、协同性、时效性，更为数字经济浪潮中的中国企业提供了法治保障和具体指引。（作者：方禹 中国信通院互联网法律研究中心主任）