数据出境合规100问 | Part 2：《个人信息出境标准合同规定（征求意见稿）》高频问题与适用解读

数据出境合规100问

《数据出境安全评估办法》与

《个人信息出境标准合同规定（征求意见稿）》

剖析与解读

本系列文章将分为以下四部分

第一部分：初阶--数据出境关键概念剖析

第二部分：进阶--《个人信息出境标准合同规定》高频问题与适用解读

第三部分：进阶--《数据出境安全评估办法》高频问题与适用解读

第四部分：高阶--数据出海实践关键问题与海外SCC要点对比

在认识清楚数据出境相关的基本概念后，后续的内容将开始对数据出境的两部重要的法规进行分析，本篇是第二部分进阶篇，主要就个人信息出境标准合同规定（征求意见稿）》的高频问题与适用进行解读。

文 / 王捷律师团队

第二部分上篇：

《个人信息出境标准合同规定》高频问题与适用解读

本部分上篇将回答以下问题：

Q17.如何准确理解何谓“标准合同条款”？

Q18.企业如何识别是否落入我国《规定》的适用范围？

Q19.什么类型的企业可能符合签署《标准合同》的情形？

Q20.通过“申报网信部门安全评估”路径而实现数据出境的企业，是否还需要签署《标准合同》？

Q21.发起《标准合同》签署的个人信息处理者是否必须是中国境内的注册企业？

Q22.如果是境外主体直接收集了境内个人信息的情况下，是否需要签署《标准合同》？

Q23.《标准合同》签订前已经签定的数据处理相关合同的效力如何？

Q24.企业何种情形下需要签订补充条款？

Q25.企业何种情形下需要重新签订《标准合同》？

Q26.延伸问题—如果出现需重新签订《标准合同》的情形，企业需要在多长时间内进行重新签订以及备案？

Q27.如何理解境内个人信息处理者与境外接收方在《标准合同》中承担的责任与义务？在多长时间内进行重新签订以及备案？

Q28.如何理解《标准合同》中的第三方受益人？

Q29.如何理解“自主缔约与备案管理相结合”？

Q30.进行《标准合同》备案时需要注意哪些事项？

Q31.《标准合同》的备案是否是《标准合同》的生效要件？

Q32.“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”的起算时间是什么？

本次《规定》的发布一共包括两个部分。

第一部分为个人信息出境的标准合同法律规定，阐明了《规定》附件中的合同模板（以下简称《标准合同》或中国版SCC）的适用范围，适用要求，责任承担等基本问题。

第二部分为国家网信办制定的《标准合同》，共包括9项合同条款，涉及个人信息处理者与境外接收方的权利义务以及第三方受益主体的权利及救济内容。《标准合同》中包含两份附录，供出境双方填写个人信息出境说明以及补充条款。

本文将会总结《规定》中在业内以及企业实务方面常见的关注点以及困惑的内容并进行整理及解答。

Q17.如何准确理解何谓“标准合同条款”？

根据我国《个人信息保护法》在第三章关于个人信息跨境传输的规定内容，我们知道，我国提供了三种个人信息跨境传输的机制：

数据出境安全评估，属于法定适用情况，即只要达到法律规定的条件，企业就必须申报数据出境安全评估。

认证机制，属于国家推荐的自愿性的认证情况，主要适用在跨国集团与关联公司之间的个人信息跨境传输活动。

标准合同条款，考虑到境外接收方所在国家或地区在个人信息保护立法或执法保护水平上存在的不足，通过境内的个人信息处理者与境外的接收方签署标准合同条款，将我国法律法规所确立的个人信息保护要求转化为对境外接收方具有法律约束力和可执行的合同条款。因此，其实质上是我国《个人信息保护法》中确立的同等保护原则的一种跨境传输机制。

可见，标准合同条款是个人信息跨境处理活动中可以采用的其中一种合法路径。

标准合同条款虽然是合同性质，但并不是说双方完成了签署就完事，它仍然会涉及到我国法律及原则的适用，以及我国的个人信息监管机构也会对标准合同条款的实施实施了对应的监管要求，例如要求进行事前的个人信息影响保护评估、采取保护措施，要求进行备案等。

Q18.企业如何识别是否落入我国《规定》的适用范围？

该问题的回应可以分成两个部分，一是确定适用场景，二是确定规定场景下的适用条件。

从适用场景上看，《个人信息保护法》第三十八条规定了我国个人信息处理者数据出境的四个路径，而双方订立标准合同约定权利义务是其中可选用的路径之一。

从适用条件上看，根据《规定》第四条规定：使用标准合同的企业（个人信息处理者）应当同时满足以下条件：

（一）非关键信息基础设施运营者；

（二）处理个人信息不满100万人的；

（三）自上年1月1日起累计向境外提供未达到10万人个人信息的；

（四）且自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。

故可知，以上四项条件是对通过签订标准合同进行数据出镜的个人信息处理者身份的限制，只有同时满足以上四项条件的个人信息处理者方可使用标准合同。

Q19.什么类型的企业可能符合签署《标准合同》的情形？

由上述问题可知，适用我国《标准合同》对企业自身情况有严格要求，前述4个需要同时满足的条件，已经将我国《个人信息保护法》以及《数据出境安全评估办法》中规定的必须向网信部门申请数据出境安全评估的情形都排除出去了。

即，可以通过签署中国版SCC而实现数据出境的适用主体需要是非关键信息基础设施运营者，且要求是处理个人信息人数或敏感信息数量较少的个人信息处理者，因此，在实务中多适用于用户量小，规模较小的企业主体。而大型公司或平台由于收集个人信息体量大，应用场景广泛，易于对个人信息主体的权利造成威胁，其选择签署《标准合同》作为数据出境路径的可能性一般较低。

Q20.通过“申报网信部门安全评估”路径而实现数据出境的企业，是否

还需要签署《标准合同》？

值得注意的是，这并不代表申报了网信部门数据出境安全评估的情况就不需要签署《标准合同》了，而只是说明了企业不能单单靠通过签署《标准合同》的路径来实现数据出境，企业仍然需要在签署《标准合同》的基础上，进行网信部门数据出境安全评估的申报。

Q21.发起《标准合同》签署的个人信息处理者是否必须是中国境内的注册企业？

中国版SCC的适用前提是个人信息处理者依据我国《个人信息保护法》第三十八条第一款第（三）项，发生了与境外接收方订立合同而向我国境外提供个人信息的情况；同时，在现在公布的《标准合同》开篇处双方主体中的表述也是使用了“个人信息处理者”，可见，不论是《规定》本身，还是在《标准合同》的表述，都是使用了“个人信息处理者”，并没有对该个人信息处理者是否必须是在境内注册的企业进行要求，结合我国《个人信息保护法》的要求，只要是在个人信息处理活动中可以自主决定处理目的、处理方式的组织和个人都将会被认定为个人信息处理者。

Q22.如果是境外主体直接收集了境内个人信息的情况下，是否需要签署《标准合同》？

判断这个问题，首先判分析境外主体直接收集境内自然人个人信息的情况，是否属于境内个人信息处理者向境外提供个人信息的情况。

从字面的意思来看，境内个人信息处理者向境外提供个人信息，是需要有一个在境内的个人信息处理者，该境内的主体向境外的主体（境外接收方）提供个人信息，此处会有一个境内向境外提供的过程。因此如果是境外主体收集了境内自然人的个人信息的情况的，并不属于境内个人信息处理者向境外提供个人信息的情况，即该情况不属于《个人信息保护法》第三十八条和《规定》意义上的“个人信息出境”行为。从这一点看，由于没有境内主体这个环节，因此难以适用签署《标准合同》的情形。

但需要注意的是，该情况下，如果该境外主体是以向境内自然人提供产品或提供服务为目的的，即当该境外主体落入了《个人信息保护法》第三条第二款的规定的，则该境外主体收集并处理境内自然人个人信息的行为仍然是属于“个人信息跨境处理活动”，可以参考《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》中的规定，由该境外主体在境内设置的专门机构或指定代表申请认证。

Q23.《标准合同》签订前已经签定的数据处理相关合同的效力如何？

首先，《标准合同》第二条第二款规定，个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同，不得与标准合同冲突，该法条说明了《标准合同》的优先效力。

其次，虽然《规定》的征求意见稿已经发布，但此时《标准合同》的正式稿尚未正式生效，此时开展数据出境的企业双方签订的合同条款效力仍然继续保持原有效力。

最后，当《标准合同》正式生效后，《标准合同》签订前已经签定的数据处理相关合同与《标准合同》冲突的条款，以《标准合同》为准，其他不冲突的条款依然有效，不会当然导致原有的合同失效。

Q24.企业何种情形下需要签订补充条款？

实务中常会出现数据出境的企业双方想要进行更细致的条款补充的情况，补充条款并不被《标准合同》所禁止，同时，也符合《规定》“自主缔约+备案管理”的目的精神，企业如果认为标准合同中已经规定的内容不足以满足双方的需要，可以通过《标准合同》附件2增加补充条款，但需要注意的是，企业增加的补充条款不能与标准合同条款本身相冲突，也不能通过增加补充条款来规避标准合同条款的实施，以及不能通过增加补充条款来限制和缩小数据主体本应享有的数据主体权利。

Q25.企业何种情形下需要重新签订《标准合同》？

总结《规定》内容来看，数据出境双方约定的个人信息各项内容、场景环境发生变化都有可能需要重新签订合同，依据《标准合同》第八条规定重新签订标准合同的情形有：

（一）向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；

（二）境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的；

（三）可能影响个人信息权益的其他情况。

在法律规定的基础上，以下两种情形也是实务中企业需要考虑到的情况。

向同一个境外接收方持续传输信息

在这种情形下，可能涉及传输的个人信息的数量变化和数据类型的变化，依据《规定》第八条，需要重新签订标准合同以及重新备案。考虑到企业的成本问题，建议在签署合同前，对协议内容所覆盖的范围和维度进行设计和细化，例如对需要传输的个人信息数量、类型、目的、方式、保存期限等维度进行有效预估，减少重复更新合同以及备案。

向不同的境外接收方传输信息

在这种情形下企业需要与不同的境外接收方分别签订数据传输协议。不管是只将数据传给单个境外数据接收方，还是需同时传给多个境外数据接收方，每多增加一个境外数据接收方，就需要单独签署一份合同，并作一次评估。所以，如果企业需要和多个境外接收方签署标准合同，可考虑合并同类数据出境的场景，一起进行评估与备案。

值得注意的是，当企业重新签署《标准合同》以及进行备案时，需要重新进行个人信息保护影响评估，并将评估结果和重新签署的《标准合同》提交网信办备案（至于是否可以仅对发生变化的部分进行评估，有待在实践中确认）。需要明确的是并非境外接收方所在国家或地区的数据保护政策有任何变化，企业就需要重新签订合同，还要看具体是否会对数据主体的权益造成影响，但这也是实务中较难判断的一点。

所谓牵一发而动全身，考虑到企业因为重新签署合同而投入的成本，企业在首次签订《标准合同》时，需要进行更精细化的设计与评估。

Q26.延伸问题—如果出现需重新签订《标准合同》的情形，企业需要

在多长时间内进行重新签订以及备案？

目前《规定》中尚未有确定重新签订的备案期限，但是对于符合条件的企业而言，签订《标准合同》及备案是企业开展数据出境活动的前提，且考虑到配合《规定》出境安全及保护个人信息权益的精神，为了降低企业风险，企业在得知已达到重签条件后，宜尽早进行重签。

Q27.如何理解境内个人信息处理者与境外接收方在《标准合同》中承担的

责任与义务？

《标准合同》第二条明确了个人信息处理者应当履行的义务，并特别要求个人信息处理者对境外接收方承担监督管理者责任。可见，在实务开展过程中，企业进行数据出境活动的时候，企业不仅是出境活动的主要责任方，更是监管机构的重点监督对象。而对于境外接收方而言，《标准合同》将我国数据保护法律法规的各种法律要求转化为境外接收方的合同义务，以使境外接收方可以达到我国法律所要求的保护水平，并特别规定了境外接收方需要配合境内企业接受我国监管机构检查的义务和责任，与前述境内企业需要承担监督与检查责任相呼应。

我们对境内个人信息处理者与境外接收方在责任与义务方面进行扼要对比：

Q28.如何理解《标准合同》中的第三方受益人？

除合同双方当事人即个人信息处理者与境外接收方外，《标准合同》还明确了保护第三方受益人权益的相关内容，这是需要注意的问题。根据《标准合同》的规定，企业需要向数据主体告知其与境外接收方通过标准合同约定数据主体为第三方受益人，如果数据主体没有在三十天内明确拒绝的，则可以依据标准合同享有第三方受益人的权利。

关于第三方受益人，该概念借鉴了欧盟《关于向第三国转移个人数据的标准合同条款》的内容，并首次在国内提出，《标准合同》中赋予个人信息主体相应的权利，即作为合同第三方受益人，有权向个人信息处理者、境外接收方任何一方主张并要求履行合同中规定的与个人信息主体权利相关的权利。同时还明确了个人信息主体在权利受到侵犯时，可以通过向监管机构提出投诉或根据管辖规则向相关法院提起诉讼的救济途径。

Q29.如何理解“自主缔约与备案管理相结合”？

备案制度体现了我国《规定》的监管规则，是指符合条件的个人信息处理者与境外接收方应当自行订立标准合同，并通过在监管部门备案的方式进行数据出境活动。

与欧盟的规定不同的是，欧盟允许数据进出双方在不抵触数据主体基本权利及自由的前提下修订SCC并由各欧盟成员国的监管机构局进行批准，我国《规定》中提及的“自主缔约与备案管理相结合”的模式则未对是否允许双方修改标准合同条款进行说明。

在实务中不建议修改标准合同，但可以约定在附录二中进行补充，并且不能与标准合同条款相冲突。关于备案的方式以及频率则在下面的问题中进行说明。

Q30.进行《标准合同》备案时需要注意哪些事项？

依据《规定》第七条，企业有3点需要注意的：

首先是在备案的时间上，应当在标准合同生效之日起10个工作日内进行。

其次是在备案机关上，应向所在地省级网信部门备案。

最后，是在备案的材料上，企业需要提交2份材料，包括签署的《标准合同》以及《个人信息保护影响评估报告》。

Q31.《标准合同》的备案是否是《标准合同》的生效要件？

请注意，备案并非是标准合同条款的生效要件。

《规定》第三条明确个人信息出境标准合同的使用规则是以“自主缔约与备案管理”相结合，企业不进行备案并不影响合同的效力，但是如果企业不完成备案，就会可能导致网信部门对企业进行责令改正、停止个人信息出境行为等情况，会对企业业务开展产生不良影响。因此，建议企业按要求进行备案。

Q32.“累计向境外提供超过十万人以上个人信息或者一万人以上

敏感个人信息”的起算时间是什么？

“累计”的起算时间点并非《规定》生效之日，而是在《规定》生效时间点上一年1月1日起开始计算累计向境外提供的个人信息人数。可见，“累计提供”的个人信息数量应该按年度进行计算，且最长跨度为2年。

因此，企业应该每年度至少进行一次审查，审查企业向境外提供的个人信息涉及的总人数是否超过/即将超过临界值，如果超过，则通过签订《标准合同》进行数据出境可能已经不能满足现有规定了，便需要进行安全评估。有关出境安全评估的内容将会在本专题第三部分进行详细解读。

第二部分下篇：

《个人信息出境标准合同规定》高频问题与适用解读

本部分下篇将回答以下问题：

Q33.《规定》第四条中的100万、10万、1万是指人数还是个人信息的条数？

Q34.个人信息的信息数量计算单位是什么？

Q35.个人信息保护影响评估是否是《规定》中的必备要求？

Q36.个人信息保护影响评估中的主要评估内容是什么？

Q37.延伸-《规定》中要求的个人信息保护影响评估的难点是什么？

Q38.如何理解“境外接收方处理个人信息的活动是否达到本法规定的个人信息保护标准”？

Q39.如何在实务中确定境外接收方的政策法规变化是否影响了个人信息权益？

Q40.延伸-《标准合同》模板中，技术水平、技术措施、进到最大努力、足够保护，这些不够精准的表达如何理解？

Q41.未履行备案程序需要承担相应法律责任，但是若因备案标准不清晰，难以落实，该如何处理？

Q42.在满足何种情况下，境外接收方可以再向境外第三方提供所接收的个人信息？

Q43.境外接收方向境外第三方再次提供所接收的个人信息，是否需要再次签署《标准合同》？

Q44.企业在何种情况下可以解除《标准合同》，以及需要注意的问题包括哪些？

Q45.《标准合同》的违约救济途径包括哪些？

Q46.企业是否需要向个人信息主体提供《标准合同》副本文件？在提供时有什么注意事项？

Q47.数据出境场景中，除“单独同意”外，企业还需告知用户哪些内容？

Q48.企业违反《标准合同》规定的，对企业出境活动有什么影响？

本次《规定》的发布一共包括两个部分。

本文将会总结《规定》中在业内以及企业实务方面常见的关注点以及困惑的内容并进行整理及解答。

Q33.《规定》第四条中的100万、10万、1万是指人数还是个人信息的条数？

本条中的3个数字均指的是人数，不是条数。举个极端的例子，从目前的规定来说，如果某企业的国内用户人数超过了100万，即便向境外接收方提供了一条个人信息，也需要按照《办法》的规定申报网信办安全评估。

Q34.个人信息的信息数量计算单位是什么？

《规定》中提及过“出境个人信息的数量”，并且出境个人信息的数量的变更将会触发重新签署《标准合同》的可能，因此，如何判断个人信息的“数量”非常重要，这一点也是笔者存疑并一直思考的地方。

实务中，一旦开启数据跨境传输的业务，境外接收方就会不断接收到来自境内的个人信息，如何在标准合同中确定出境个人信息的“数量”成为一个有待解决的问题。该“数量”是以条数、量级、范围计算不甚明确，以及企业在填写个人信息数量时是否可以填写具体的范围，而不是具体数字，仍然有待监管机关进一步明确。

Q35.个人信息保护影响评估是否是《规定》中的必备要求？

这个问题的结论是肯定的，符合条件的企业如果想要选用签署标准合同的方式完成数据出境就必须要进行个人信息保护影响评估，我国依据《标准合同》开展出境活动采用的是自主缔约和备案管理相结合的方法，签订标准合同的个人信息处理者必需要进行备案，个人信息保护影响评估报告就是备案材料之一。

Q36.个人信息保护影响评估中的主要评估内容是什么？

评估内容主要围绕可能产生个人信息安全风险的各事项进行展开，《标准合同》在其第五条有列明重点评估的内容：

结合王捷律师团队已为不同企业做过的个人信息保护影响评估，以及上述内容判断，评估主要从处理者及接收者双方的个体情况、合同内容、个人信息的数据状况、可能发生的安全事件情况以及目的国的法律环境五个维度进行评估，后续企业在进行评估活动时，可以依据上述五项维度分类，设计类型化的评估环节以及完成有针对性的材料准备。

Q37.延伸—《规定》中要求的个人信息保护影响评估的难点是什么？

个人信息保护影响评估要求企业对境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响进行评估，此为评估的难点。

在《出境安全评估办法》中，该项评估是由网信部门进行的。境外政策的变化，是否会影响合同履行，影响的程度如何，实务中由企业判断存在一定难度。企业可能需要境外律师协助评估才能满足相应的评估要求。此外，为了方便企业评估活动，可以在与数据接收方签订的合同中，约定数据接收方有义务协助提供当地的法律政策文本、协助企业进行评估以及在政策变动时及时告知等。

总之，基于此评估要求，企业需要密切关注数据接收方所在国/地区的法律动态。

Q38.如何理解“境外接收方处理个人信息的活动是否达到本法规定的个人信息保护标准”？

该问题的本质是要如何判断一个境外接收方整体上满足《标准合同》的要求，规定中对境外接收方的考虑主要包括三个方面：

第一是境外接收方的情况，包括技术、管理制度、应急处理能力等，需要确认境外接收方在技术以及制度上具有保护个人信息安全的能力；

第二是境外接收方与个人信息处理者的合同内容，确认双方与个人信息相关的责任要求符合规定标准；

第三是境外接收方所在的地区环境，主要考虑其所在的国家及地区的政策是否会影响个人信息权益。

王捷律师团队曾于2020年出具《全球数据合规观察报告》，里面有就不同国家与地区的数据保护法律环境情况进行介绍，以帮助企业客户更全面地了解目标国家与地区的数据保护动态。

Q39.如何在实务中确定境外接受方的政策法规变化是否影响了个人信息权益？

这是实务中企业完成个人信息影响保护评估的难点，受限于跨地域、跨法域会产生信息差的客观原因，企业在进行个人信息保护影响评估时要毫无疏漏地分析境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响颇为困难，实务中要求企业需要更有意识的使用全球法律视角来判断问题，有数据出境业务的企业要对出境国家及地区的法律规定、政策变化保持敏感度。

王捷律师团队曾于2021年出具的《中国与海外多国/地区数据保护及企业合规要点对比报告》，里面有就部分主流出海国家与地区的数据保护法律要点进行分析与比对，以帮助企业客户更全面地掌握出境目标国家及地区的合规要点。

Q40.延伸—《标准合同》模板中，技术水平、技术措施、尽到最大努力、足够保护，这些不够精准的表达如何理解？

这不仅是实务中企业常有的困惑，同时也是业界颇为关注的问题，对于该问题可以分两个层面进行回答。首先我们可以理解法律中的这些概念表述所希望追求的法律效果，达成的法律目的是什么，这样我们在完成评估的过程中许多内容就可以基于想要追求的效果作为行动标准进行判断，其次，我们可以进一步分析标准细化的规定与方法。

从《标准合同》的内容上判断，数据安全以及保护个人信息权益是重要的规范目标

这在《标准合同》的多项规定中都可以体现，比如《标准合同》第八条第（六）项规定尽管在境外处理者违反规定侵害个人权益的情形下，个人信息处理者也可能需要先向个人信息主体承担责任。因此，在判断自己的出境活动评估是否已经是尽到“最大努力”、并“足够保护”个人信息主体时，企业应保持一个严格的态度，并在评估的过程中增加“个人信息主体权益”的判断视角。

我国数据出境法律不断完善的过程实际也是出境标准细化的过程，《标准合同》中的许多技术指标，我国各部门机关是有提供细化规范参考的

如《信息安全技术—个人信息安全影响评估指南》提供的更细节的流程、事项指引，同时，实践中企业对自评估各事项的经验总结以及有关部门对各评估事项完成度的反馈也是细化这些概述表达的方法。

Q41.未履行备案程序需要承担相应法律责任，但是若因备案标准不清晰，难以落实，该如何处理？

回应该问题需先判断《标准合同》确认的备案适用标准，再进一步分析备案标准是否存在需要考虑适用范围不清晰的部分。

首先，问题中提及的备案制度作为《规定》中的要求，当然是在企业开展数据出境活动中适用，数据出境的判断标准我们在第一部分的基础概念解答中已经有详细的解答，标准相对清晰。

其次，判断数据出境中企业在何种条件下可以适用《规定》并进行备案，《规定》内容中有详细要求，前文也有进行列举。

从现阶段规定的适用标准来看，还是比较明确的，基于规定，企业适用不清晰的情况应该很少出现，但仍值得进一步分析:

第一，何为非关键信息基础设施运营者，这个标准我们第一部分也完成了详细解读；

第二，若企业现阶段尚符合备案标准，但可能日后有不符合的风险如何处理，由于此时不符合备案条件的情形尚未发生，我们认为该阶段企业仍然可以选用《标准合同》的路径，但是一般该情况可以在个人信息影响保护评估中体现，如确有超过条件风险的，企业宜提前做好准备，例如考虑落入安全评估范围时的数据出境规则。

Q42.在满足何种情况下，境外接收方可以再向境外第三方提供所接收的个人信息？

境外接收方原则上不应再向境外第三方提供所接收的个人信息，除非业务确有需要，并且满足特定的要求。具体而言，《标准合同》要求境外接收方将向个人信息提供给位于境外的第三方时需要同时满足以下要求：

明确有特定的业务需要而提供个人信息

告知个人信息主体境外第三方的具体信息（境外第三方身份、联系方式、处理目的、方式、个人信息种类及个人行使权利的方式和程序），并获取个人信息主体单独同意（但法律法规另有规定的除外）

涉及敏感个人信息的，则需要向个人信息主体告知传输敏感个人信息的必要性及对个人的影响。若难以告知或难以取得单独同意，则境外接收方应及时告知个人信息处理者并请求其协助告知个人信息主体或协助取得个人的单独同意

与境外第三方达成书面合同，确保境外第三方的保护水平不低于我国数据保护法律的标准

承担因再提供而可能导致的个人信息主体损害的连带责任

向个人信息处理者提供以上规定的合同副本

因此，企业在海外业务开展过程中，应首先判断是否确实有进行境外二次流转的必要，若确有必要的，不仅应获得个人信息主体的单独同意（但法律法规另有规定的除外），还应签订合同，以保障第三方对个人信息的保护水平不低于我国相关法律法规规定的个人信息保护标准，并承担因再提供而可能导致对个人信息主体造成损害的连带责任，此外，还应主动向中国境内的数据处理者提供以上合同的副本。

Q43.境外接收方向境外第三方再次提供所接收的个人信息，是否需要再次签署《标准合同》？

如果在部分业务场景中境外接收方确需将所接收的个人信息提供给境外第三方，在满足Q42中所列明的条件的同时，建议境内个人信息处理者在与境外数据接收方所签订的《标准合同》中以排他性列举的方式明确境内个人信息处理者所认可的境外第三方（即分处理者或次处理者）。

未经境内个人信息处理者同意，不得再向境外第三方提供个人信息，并要求境外数据接收方对第三方的过错承担连带责任。

综上所述，若存在境外接收方向境外第三方再次提供所接收的个人信息的情况，境内个人信息处理者可以直接在与境外接收方所签的《标准合同》中约定关于境外第三方的相关条款，比如在《标准合同》附录一的第（六）项中阐明境外接收方可能再向哪些第三方主体提供个人信息，避免重复签订《标准合同》或补充协议以及进行多次备案。

Q44.企业在何种情况下可以解除《标准合同》，以及需要注意的问题包括哪些？

当企业与境外接收方在履行《标准合同》的过程中，根据《标准合同》第七条的规定，企业可以在出现以下情况的时候与境外接收方解除合同：

（1）境外接收方严重或持续违反标准合同规定的义务；

（2）境外接收方遭遇了破产、解散或清算等情况。

如果出现以下情况，则企业和境外接收方任何一方都可以解除合同：

因境外接收方违反合同规定的义务，且企业暂停向境外接收方传输个人信息的时间超过一个月

境外接收方继续遵守标准合同将会违反其所在国家的法律规定

根据境外接收方的主管法院或监管机构作出的不能上诉的终局性决定，境外接收方或企业违反了标准合同的规定

在监管机构按照相关法律法规作出个人信息出境相关的决定导致标准合同无法执行的情况下

需要注意的是，标准合同的解除，并不能免除境外接收方在个人信息处理过程中的个人信息保护义务，境外接收方应当返还、销毀或匿名化处理接收的个人信息；并提供对应的审计报告。

Q45.《标准合同》的违约救济途径包括哪些？

发生违反《标准合同》的情形时，个人信息处理者、境外接收方、个人信息主体及有关部门都有可采取的救济措施：

01 个人信息处理者、境外接收方

对于数据出境相关的双方而言，任意一方出现违反合同义务情形的，另一方可以要求其承担违约责任，《标准合同》提供的合同模版中规定违约责任及于非违约方遭受的损失，在法定情形下或协商一致的情况下，双方亦可解除合同。

02 个人信息主体

对于个人信息主体，也即第三方受益人而言，合同任意一方侵害第三方受益人权益的，个人信息主体都有权获得赔偿。此外，《规定》还明确了任何组织和个人发现个人信息处理者违反《规定》的，都可以向省级以上网信部门投诉、举报。

03 监管部门

省级以上网信部门除通过接收备案进行监督外，也会对《标准合同》双方的实际处理过程进行主动监管。

Q46.企业是否需要向个人信息主体提供《标准合同》副本文件？在提供时有什么注意事项？

目前未见有规定强制要求企业需要主动向个人信息主体提供《标准合同》的副本文件，但考虑到这是企业的配合义务之一，因此仍然建议企业在签署《标准合同》后及时完成副本文件的准备，因为《标准合同》明确个人信息主体具有要求个人信息处理者提供其所签订的《标准合同》副本的权利，企业必须配合。在提供副本的过程中，企业可以着重考虑保密以及方便个人理解阅读的问题。

例如：

(1) 及时将《标准合同》进行适当处理，包括遮蔽机密信息（如有），避免商业秘密泄露；

(2) 提供便于个人信息主体理解合同的摘要内容；

(3) 在可行的情况下，提供《标准合同》副本公示入口或其他查看方式。

Q47.数据出境场景中，除“单独同意”外，企业还需告知用户哪些内容？

由于涉及数据的跨境传输，企业在进行数据出境时需符合《个人信息保护法》第三十九条规定的“单独同意”要求。此外，《标准合同》要求个人信息处理者与境外接收方依据《标准合同》附录一“个人信息出境说明” 所列约定开展与个人信息出境有关的活动，企业还需完成并向个人信息主体告知“个人信息出境说明”的相关情况，包括：

（1）传输的个人信息属于特定类别的个人信息主体，列出该特定类别的个人信息主体；

（2）传输的目的；

（3）传输个人信息的数量；

（4）出境个人信息类别；

（5）出境敏感个人信息类别；

（6）境外接收方传输的个人信息只向特定的接收方提供，列出该特定的接收方；

（7）传输的方式；

（8）出境后的存储时间；

（9）出境后的存储地点；

（10）其他事项。

Q48.企业违反《标准合同》规定的，对企业出境活动有什么影响？

风险承担是企业在开展数据出境活动之前必须要清楚考虑的问题，根据《标准合同》的内容来看，除承担违约责任或面临行政处罚外，省级以上网信部门有权要求个人信息处理者立即终止个人信息出境活动，由此可能会给企业产生较大损失，是企业在风险承担中需要考虑的事项。

本系列文章作者：

王捷肖锦豪夏律黄思妍刘玫君