《个人信息出境标准合同办法》出台 个人信息出境不再“裸奔”

2023年2月24日，国家互联网信息办公室公布《个人信息出境标准合同办法》（以下简称《办法》），《办法》自2023年6月1日起施行，其明确了个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合的情形。

中国信通院互联网法律研究中心主任方禹表示，《办法》对通过订立标准合同的方式开展个人信息出境的活动作出具体制度安排，细化落实了《个人信息保护法》第三十八条第一款第三项的规定，对于规范个人信息跨境流动、完善数据跨境管理制度和促进数据领域国际合作具有重大意义。

奇安信集团数据安全PBU副总经理刘洪亮对新京报贝壳财经记者表示，个人信息是数据资源中非常重要的组成部分，该《办法》是继去年7月《数据出境安全评估办法》正式发布之后，又一项数据出境重要法规的落地。《办法》进一步完善了《网络安全法》《数据安全法》《个人信息保护法》规定的数据出境安全评估制度，尤其从个人信息方面对数据出境监管进行了细化和加强。

个人信息出境不再裸奔，《办法》堵住了哪些漏洞？

方禹表示，《办法》的出台，细化了《个人信息保护法》“按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利义务”的要求，是对个人信息出境管理制度的重要补充。

新京报贝壳财经浏览《办法》发现，其明确个人信息处理者同时符合下列情形的，可以通过签订标准合同的方式向境外提供个人信息，包括：非关键信息基础设施运营者；处理个人信息不满100万人的；自上年1月1日起累计向境外提供个人信息不满10万人的；自上年1月1日起累计向境外提供敏感个人信息不满1万人的。法律、行政法规或者国家网信部门另有规定的，从其规定。

同时，《办法》要求个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供，从而堵住了可能绕过制度的漏洞。

方禹认为，《办法》丰富个人信息出境方式，通过划定个人信息出境标准合同的适用范围和情形，有效实现了标准合同和安全评估、个人信息保护认证的制度衔接，也为后续出台有关认证等其他个人信息出境方式的规则预留了制度接口。

他表示，《办法》立足我国立法现状和实践情况，对个人信息保护影响评估、标准合同备案管理、举报监督制度与法律责任等作出明确规定。

新京报贝壳财经记者注意到，《办法》明确了违反规定的处罚措施，包括刑事责任等。《办法》提出个人信息处理者违反本办法规定的，依据《中华人民共和国个人信息保护法》等法律法规处理；构成犯罪的，依法追究刑事责任。此外，《办法》明确本办法施行前已经开展的个人信息出境活动，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改。

《办法》平衡发展和监管双重需要

 刘洪亮认为，《办法》顺应了个人信息出境快速增长的趋势，平衡了发展和监管双重需要，“本次《办法》发布的重要目的，是针对具有个人信息出境需求且不满足数据出境安全评估办法申报条件的企业，开放了一条出境通道。《办法》既满足了日益增长的个人信息出境需要，又通过明确标准合同范本等措施，最大程度保护个人信息权益，为向境外提供个人信息提供了具体指引。”

据了解，《办法》对企业持续的合规能力提出更高要求。《办法》明确，如果在标准合同有效期内出现向境外提供个人信息的目的、方式、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的需要重新开展个人信息保护影响评估，补充或者重新订立标准合同，并向省级网信办重新进行申报备案。

“个人信息出境申报备案仅仅只是开始，持续合规才是关键，出境企业应当具备数据出境持续监测和持续自运营的能力。”刘洪亮称。

根据公告，《办法》自2023年6月1日起施行，因此，具有个人信息出境需求的企业，亟待在实施之日前，完成合规建设。刘洪亮认为，对于企业来说，确保个人信息能满足《数据安全法》《个人信息保护法》《办法》等法规的合规要求，需要能清晰掌握个人信息等敏感数据的跨境流动情况——在看清数据流向的同时，能清晰、直观的看到带有个人信息的敏感数据是通过什么人、在什么时间、在什么地点、通过什么方式发送到哪里。

因此，涉及个人信息出境的企业，通常需要解决三个难题：第一个难题是如何厘清个人信息资产，明确自己个人信息资产的属性、量级；第二个难题是如何明晰个人信息流向；第三个难题是对网络上流动的个人信息如何持续监测，同时避免个人信息被动出境。

刘洪亮表示，要解决这些问题，确保企业合规，无论是风险自评估阶段，还是持续监督阶段，都需要有技术手段进行支撑，否则企业就无法在事前了解现状，日常运行中由于业务变化导致出境数据发生变化也无法及时掌握。

方禹表示，《办法》以标准合同为抓手规范我国个人信息出境管理制度，是我国深化开放合作、探索个人信息跨境流动与治理的新举措。出台《办法》不仅补充完善了我国数据跨境监管制度体系，体现了我国网络立法的系统性、整体性、协同性、时效性，更为数字经济浪潮中的中国企业提供了法治保障和具体指引。

新京报贝壳财经记者 罗亦丹 编辑 岳彩周 校对 吴兴发