解读《个人信息出境标准合同备案指南（第一版）》

背景

在《个人信息出境标准合同办法》6月1日正式实施前两天，国家互联网信息办公室编制了《个人信息出境标准合同备案指南（第一版）》（“SCC指南”），对个人信息出境标准合同备案方式、备案流程、备案材料等具体要求作出了说明。

走出去智库 (CGGT) 特约法律专家、北京德恒律师事务所合伙人王一楠认为，《SSC指南》的出台为相关企业的备案工作提供了有力的实践指引，也标志着个人信息出境备案工作无论是从网信部门还是从备案主体角度均已正式进入实际操作阶段。同时，《SCC指南》的诸多细节也体现出网信部门对于备案材料的较高期待和要求。

《SSC指南》有哪些具体操作要求？

 

 

要点

1、与数据出境安全评估同时针对重要数据和个人信息出境两种情形所不同的，SCC备案仅适用个人信息出境。

2、有些企业的信息技术团队部署在境外，该团队通过互联网访问并处理境内服务器上的数据来提供技术服务。鉴于该情形也会对境内存储的数据构成一定风险威胁，从数据跨境流动安全管理的角度来看，也应被认定为“数据出境”。

3、针对备案“不通过”个人信息处理者，《SCC指南》仅要求其补充完善材料后重新提交，但未明确其实质法律后果。

 

正文

2023年5月30日，在《个人信息出境标准合同办法》（“SCC办法”）正式实施的前两天，国家互联网信息办公室（“国家网信办”）出台了《个人信息出境标准合同备案指南（第一版）》（“SCC指南”），对个人信息出境标准合同（“SCC”）的备案方式、备案流程、备案材料等方面做出了具体说明。

总体上《SCC指南》沿用了《数据出境安全评估申报指南（第一版）》（“安评指南”）的体例，并为其中的重要文件《个人信息保护影响评估报告》（“PIA”）给出了相应的模板。该模板与《安评指南》中的《数据出境风险自评估报告（模板）》的行文结构几乎雷同，因此可以在某种程度上将SCC备案视为一个“迷你版”的数据出境安全评估。

《SSC指南》的出台为相关企业的备案工作提供了有力的实践指引。为了方便企业更好地从实务方面理解该文件，笔者将结合正在协助企业进行SCC备案的工作实践予以解读并对部分问题提出一些思考。。

 

一、SCC备案的适用范围

 

与《安评指南》类似，《SCC指南》分别从备案门槛和出境行为两个方面进一步解释《SCC办法》第二条和第四条的适用范围。

 

1.重申备案门槛

首先，与数据出境安全评估同时针对重要数据和个人信息出境两种情形所不同的，SCC备案仅适用个人信息出境。

其次，《SCC指南》第1条重申了《SCC办法》第2条与第4条中关于适用范围的规定，即SCC仅适用于在数据出境安全评估适用范围之外的个人信息出境情形，即非关键性信息基础设施运营者；处理个人信息不满100万人；自上年1月1日起累计出境个人信息不满10万人或敏感个人信息不满1万人。当然，根据《个人信息保护法》第38条，这类个人信息也可以通过“认证”的路径出境。

《SCC指南》重申了《SCC办法》中关于“个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供”的规定。如果个人信息处理者本应适用出境安全评估情形但采取“化整为零”规避手段进行SCC备案的，可能会导致备案不通过，并引发相关监管调查。

 

2.分解出境行为

《SCC指南》沿用了《安评指南》的统一口径，明确了“直接传输”和“境外访问”均属于数据出境行为，两种情形即指：个人信息处理者将在境内运营中收集和产生的数据“传输、存储至境外”和“个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出”。特别是后者，在实践中较为容易忽视。例如，有些企业的信息技术团队部署在境外，该团队通过互联网访问并处理境内服务器上的数据来提供技术服务。鉴于该情形也会对境内存储的数据构成一定风险威胁，从数据跨境流动安全管理的角度来看，也应被认定为“数据出境”。

 

3.关于“分公司或代表处”作为签约主体的思考

在绝大部分情况下，境内个人信息处理者与境外接收方分属两个法律实体，即境内A公司传到境外B公司。但是实践中还存在数据在境内外同一个法律实体之间传输的情况，即境内A公司传到其境外的分公司或代表处，或者境外B公司从其境内的分公司或代表处接收数据。在这种情况下，境内个人信息处理者与境外接收方签署SCC是否构成一个有效的个人信息出境方式？

该问题的解答取决于分支机构与其法人本身相互签订的合同是否有效。虽然《民法典》74条、《公司法》第14条和《市场主体登记条例也》第2条均明确，分公司和代表处等分支机构同样可以从事民事活动，属于非法人组织，但分支机构的民事责任均由法人承担。从逻辑上而言，分支机构只能对外产生民事责任之后，将此民事责任归于法人承担，而不可能与法人本身产生具有相互可执行力的民事责任。司法实践中，此类法人与分支机构之间签订的文件通常被视为内部管理关系的体现，并无法律效果。

当然，在这种情况下SCC并非完全没有意义。由于SCC以及SCC备案均要求履行向个人信息主体的告知义务，其中包括个人信息主体享有的第三方受益人权利。因此，SCC在某种程度上视为该个人信息处理者向个人信息主体所作出的单方允诺，其允诺内容为SCC文本。虽然单方允诺在《民法典》中并未得到明确规定，但《民法典》生效后已有多个司法案例承认了单方允诺的效力和可执行性。至于个人信息主体能否借此行使其SCC中规定的权利、行使的范围如何以及能否请求赔偿等问题，尚待实践以及司法的检验。

 

二、SCC备案的方式和流程

 

《SCC指南》第2条和第3条明晰了备案方式及流程中的具体要求，例如，个人信息处理者应当在SCC生效之日起10个工作日内向所在地省级互联网信息办公室（“省级网信办”）备案，方式为送达书面材料并附带材料电子版。

1.备案流程

根据《SCC指南》，备案结果分为“通过”或“不通过”。通过备案的，省级网信办向个人信息处理者发放备案编号；不通过备案的，个人信息处理者将收到备案未成功通知及原因，要求补充完善材料的，个人信息处理者应当补充完善材料并于10个工作日内再次提交。笔者结合实务经验将备案流程总结如下图：

 

△图1 SCC备案流程（图中的日期为期限上限）

 

 

 

2.关于备案性质的思考

“备案”在法律法规中一般是指“把情况用书面形式报告给主管部门，供存档备查”的行为，不涉及对其内容进行前置实质性审查，也不构成对相关行为有效性进行认定，否则一般会采用“审批”或“核准”等字样。而《SCC指南》使用了后果较为严重的“通过”或“不通过”来描述备案结果，未使用常见匹配备案的词汇，如“完成”、“予以备案”或“即为备案”等。类似“通过”或“不通过”的词汇在《数据出境安全评估办法》和《安评指南》中被用于描述国家网信办对安全评估申报进行实质性审查后的结果。因此，这引发了对于SCC备案性质的思考，即其是否如某些规章一样，在某种程度上构成了实际上的“审批”行为？

值得注意的是，SCC备案中省级网信办收到材料后的审理期限是15个工作日，而安全评估中省级网信办的完备性查验工作期限是5个工作日。鉴于SCC备案材料理论上应比数据出境安全评估申报材料简单，而前者在期限上预留出后者三倍的工作时间是否是因为前者在完备性查验基础上，增加了一定实质性审查工作？如果的确涉及实质性审查，其在实践中的颗粒度有待观察（即是否包括合法性基础、境外接收方国别风险、个人信息处理者或境外接收方数据安全保护能力、数据链路等内容）。

此外，针对备案“不通过”个人信息处理者，《SCC指南》仅要求其补充完善材料后重新提交，但未明确其实质法律后果。相对于安全评估申报来说，SCC备案并非数据出境活动的前置要求（标准合同生效后即可个人信息出境活动），而是后置程序（标准合同生效之日起10个工作日内完成备案）。那么如果备案最终“不通过”（包括补充完善材料后仍未通过的情况），处理者是否被要求暂停或终止个人信息出境活动？如果并不要求暂停或终止，那么“不通过“的具体法律后果是什么；如果要求暂停或终止，处理者则可能会面临境外接收方的挑战，因为《个人信息出境标准合同》的模板条款中并未明确赋予处理者在这种情况下的合同解除权。

 

3.补充或者重新备案

有关补充或者重新备案，《SCC指南》提到了在几种情势变更情形下（即出境个人信息本身情形变更、境外接收方法律变更可能影响个人信息权益的、可能影响个人信息权益的其他情形），个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立SCC，并履行相应备案手续。相对于安全评估的2年有效期，SCC备案并未明确具体有效期限，因此我们理解只要在合同期限内未发生上述情形变更情形，则不会触发补充或者重新备案程序。

 

三、《SCC指南》细化了备案材料

相较于《SCC办法》第7条规定的两项申报材料，《SCC指南》第三章第（一）节将备案材料细化为七项。鉴于其中PIA需要处理者投入较大精力准备，下面将重点介绍。

《SCC办法》第五条已经列举了PIA的六项重点内容，《SCC指南》则通过PIA模板将评估内容进一步细化。如上文所述，PIA模板与《安评指南》中的自评估报告模板非常相似，而其中的少量差异总结如下：

（1）由于法律文件已经确定为SCC，删除了自评估报告模板中法律文件的相关内容，改为“如何确保SCC条款落实”的评估总要求。

（2）第二章第二节第2项从“数据资产情况”变为“个人信息收集使用情况”；

（3）添加了说明“处理敏感个人信息和利用个人信息进行自动化决策情况”的内容；

（4）删除了数据分类分级的内容；

（5）不再需要描述境外接收方所在国家的网络安全环境；

（6）不再需要评估“对国家安全、公共利益、个人或者组织合法权益带来的风险”，仅需评估“对个人信息权益带来的风险”。

 

四、结语

作为《SCC办法》首个配套性文件，《SCC指南》的出台标志着个人信息出境备案工作无论是从网信部门还是从备案主体角度均已正式进入实际操作阶段。同时，《SCC指南》的诸多细节也体现出网信部门对于备案材料的较高期待和要求。基于已经开展数据出境安全评估工作的实践经验，SCC备案材料的准备工作也将面临部门多、头绪杂、时间紧、任务重等挑战。建议企业不要掉以轻心，尽早着手，统筹安排，以免引发合规风险。

 

（文章来源：走出去智库）

 

 

律回网（www.lawback.com）是专注于为企业提供专业、便捷、高效、智能的涉外法律服务平台。

同时，作为国际商事法律合作论坛的配套服务平台，目前已与美国、英国、俄罗斯、法国、德国、波兰、日本、韩国、澳大利亚、马来西亚、新加坡、越南、墨西哥、埃及、黑山、乌干达、坦桑尼亚等120个国家和地区的知名法律服务、商事服务等机构建立良好的长期合作伙伴关系，其中包含了40余个国家使领馆。

作为国内首家专注于为企业走出去提供涉外法律服务的平台，律回网立足中国，面向世界，通过涉外法律服务，助力企业做好事前风险防控，高效解决跨境纠纷；通过涉外法律培训，帮助企业提高企业的风险意识；通过持续承办涉外商事法律活动，使境内外商事机构、法律服务机构互联互通，构建商事法律生态圈。

企业如需要涉外法律问题全套解决方案，或专业的涉外法律咨询，欢迎注册律回网会员，享专业涉外法律服务。