中问｜数据合规合辑之（三）----个人信息出境合规路径之安全认证、标准合同的初步解读

自2021年11月《中华人民共和国个人信息保护法》实施以来，就该法第三十八条规定的个人信息出境三种合规路径——安全评估、安全认证、标准合同，网信办等有关部门已陆续出台有关配套细则进行了具体落实。截至本文撰稿日，《数据出境安全评估办法》等安全评估相关规定基本已生效实施，而《个人信息跨境处理活动安全认证规范》、《个人信息出境标准合同规定》等安全认证、标准合同部分相关规定仍处于征求意见稿阶段，尚待正式出台。

继本合辑前期专辑重点评析的申报安全评估，本专辑针对安全认证、标准合同路径展开，基于近期出台的包括征求意见稿在内的规定等，对该等路径进行初步的要点解读，以助于读者对个人信息跨境处理有更进一步的了解。

一、 合规路径之安全认证

（一）适用情形

2022年6月全国信息安全标准化技术委员会秘书处（以下称“信安标委“）发布的《网络安全标准实践指南-个人信息跨境处理活动安全认证规范（v1.0-202206）》（以下称《安全认证规范v1.0》）第1条规定了安全认证在个人信息跨境处理活动中具体适用的情形：

1)跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动；

2)《个人信息保护法》第三条第二款适用的个人信息处理活动，即符合下列情形之一在境外处理境内自然人个人信息活动：以向境内自然人提供产品或者服务为目的；分析、评估境内自然人的行为；或法律行政法规规定的其他情形。

（二）要点解析

1．认证主体

2022年11月信安标委发布的《安全认证规范（v2.0-征求意见稿）》第二条明确了安全认证的认证主体：

1)跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可由境内一方申请认证；

2)《个人信息保护法》第三条第二款规定的境外个人信息处理者，可由其在境内设置的专门机构或指定代表申请认证。

2．有关认证程序

依据2022年11月实施的《个人信息保护认证实施规则》的规定，下述认证程序有关要点值得关注：

1）安全认证适用情形中的个人信息处理者应当在个人信息出境前向享有认证资质的机构递交认证委托申请，认证机构按照有关技术规范进行认证；

2）认证证书有效期为3年，到期需延续使用的，个人信息处理者应当在有效期届满前6个月提出认证委托；

3）认证机构应当在认证有效期内，对获得认证的个人信息处理者进行持续监督，确保获得认证的个人信息处理者持续符合认证要求，不符合要求的，认证机构应当作出暂停直至撤销认证证书的处理。

3．侵害个人信息主体权益的法律责任承担

依据《安全认证规范（v2.0-征求意见稿）》中的规定：

1）个人信息处理者和境外接收方应指定境内一方、多方或者境外接收方在境内设置的机构对境外接收方的个人信息违规处理活动承担法律责任，并在双方签订的法律文件中明确境内承担法律责任的组织；

2）因侵害个人信息权益行为须承担法律责任，但法律责任不明确的，由个人信息处理者承担法律责任。

4．指定个人信息保护负责人、设立个人信息保护机构

依据《安全认证规范（V2.0征求意见稿）》的规定，个人信息处理者和境外接收方均应指定个人信息保护负责人并设立个人信息保护机构，按规定承担有关职责。

二、 合规路径之标准合同

（一）适用情形

依据2022年6月国家互联网信息办公室发布的《个人信息出境标准合同规定（征求意见稿）》（以下称《标准合同规定》）的相关规定，同时符合以下情形的，可以通过签订标准合同的方式向境外提供个人信息：（一）非关键信息基础设施运营者；（二）处理个人信息不满100万人的；（三）自上年1月1日起累计向境外提供未达到10万人个人信息的；（四）自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。

（二）要点解析

1.有关备案程序

依据《标准合同规定》的有关规定，下述备案程序相关要点值得关注：

1)依据标准合同开展个人信息出境活动，坚持自主缔约与备案管理相结合原则。个人信息者应当在标准合同生效之日起10个工作日内，向所在地省级网信部门备案；

2)标准合同有效期内出现诸如向境外提供个人信息的目的、范围、类型、数量、存储地点等发生变化，或境外接收方国家个人信息保护政策法规发生变化等可能影响个人信息权益等情况，个人信息处理者应当重新签订标准合同并备案；

3)个人信息处理者应承担标准合同义务已履行的举证责任，并应向监管机构提供境外接收方证明其已遵守合同规定义务所提供的所有信息等，包括所有审计结果；

4)网信部门发现个人信息处理活动不再符合个人信息出境安全管理要求的，将书面通知终止出境活动，个人信息处理者收到通知后立即终止个人信息出境活动。

2.侵害个人信息主体权益的法律责任承担

依据《标准合同规定》的有关规定，提请关注下述法律责任承担方面的要点：

1）个人信息处理者和境外接收方因违反合同侵害个人信息主体权益，应当对个人信息主体承担责任；共同对个人信息主体造成损害的，二者承担连带责任，承担连带责任超过责任份额的一方享有追偿权；

2）尽管有前述规定，个人信息处理者应就境外接收方因违反合同而对个人信息主体造成的损失向个人信息主体负责，个人信息主体有权向其主张损害赔偿责任；个人信息处理者因境外接收方造成损害承担责任的，有权向境外接收方追偿。

三、 不同合规路径相关共性要求

（一）出境前开展个人信息保护影响评估

依据《个人信息保护法》第五十五条的规定，个人信息处理者向境外提供个人信息的，应当事前进行个人信息保护影响评估。因此，无论采何种个人信息出境合规路径，均应事先进行个人信息保护影响评估。安全认证和标准合同的有关规定均就评估内容作了进一步的明确和细化，且均要求评估报告至少保存3年。

【注：该个人信息保护影响评估，区别于《个人信息保护法》第三十八条第一款第（一）项中规定的网信办安全评估及相应的个人信息处理者自评估】

（二）出境前签订法律文件

依据相关规定，《个人信息保护法》第三十八条规定的三种个人信息出境路径均要求个人信息处理者与境外接收方签订有法律约束力的法律文件，并按有关规定在文件中明确相关内容，以确保个人信息主体权益得到充分的保障。

（三）告知并获得个人信息主体的单独同意

《个人信息保护法》第三十九条规定，个人信息处理者向境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使《个人信息保护法》规定权利的方式和程序等事项，并取得个人的单独同意。

特别提示：

本文观点基于个人对截至撰稿日的法律规定的理解和把握，仅供参考，不作为处理具体案件的法律意见。具体到个案，应根据个案实际情况进行专业研判，建议必要时征询专业法律人员出具专项法律意见。