2022年6月30日，中国网络空间管理局（“CAC”）发布了个人信息出口标准合同条款（征求意见稿）（“标准合同条款草案”）。标准合同条款草案旨在实施《个人信息保护法》（“PIPL”）第38（1）（3）条，并规定了在中国境外转让个人信息的合法方法之一。标准合同条款草案包含一份类似于标准合同条款（“SCC”）的标准合同，并规定了个人信息处理者和海外接收者的要求，特别是进行数据保护影响评估（“DPIA”）的义务。OneTrust数据指导研究对标准合同条款草案进行了分解，其中包括Fieldfisher中国法律顾问张德豪的专家见解。

介绍

标准合同条款草案旨在规范个人信息的对外传输，保护个人权益，并促进个人信息以安全和自由的方式跨境流动（第1条）。标准合同条款草案要求与海外接收人签订协议以在中华人民共和国（“PRC”）境外提供个人信息的个人信息处理人根据其条款签署个人信息出口标准合同（第2条）。

根据上述规定，个人信息处理者和海外接收者必须遵守与独立订约和记录管理相关的要求，以防止与国际转让相关的安全风险，并确保个人信息的合法、有序和自由流动（第3条）。个人信息处理者和签署其他与个人信息对外传输相关合同的海外接收者必须确保其不与CAC规定的标准合同相冲突（第2条）。

适用范围

标准合同条款草案规定，如果个人信息处理者满足以下要求（第4条），他们可以通过签署标准合同向海外提供个人信息：

• 他们是非关键信息基础设施（“CII”）的运营商；
• 他们处理不到100万人的个人信息；
• 自上一年1月1日起，境外提供的个人信息累计未达到10万人；和
• 自上一年1月1日起，海外提供的敏感个人信息累计不到1万人。

在这一点上,张指出,，“我们都知道，SCC将适用于未达到CAC标准的非CII运营商和组织（如上所述）。然而，CAC的标准仍需澄清，[例如，]处理100万个数据主体的个人信息，从上一年1月1日起传输10万个数据对象的个人信息或从上一年度1月1日向10000个数据主体传输敏感数据。不太清楚如何计算这个数字“。

个人信息处理者的义务

张特别强调，“如果标准合同条款草案生效，个人信息处理人应首先进行DPIA，并与数据接收方签署SCC”。

DPIAs

更具体地说，关于DPIA，标准合同条款草案规定，在向海外提供个人信息之前，个人信息处理者必须提前进行DPIA，重点关注以下方面（第5条）：

• 个人信息处理者和海外接收者处理的目的、范围和方法的合法性、合法性和必要性；
• 个人信息出国的数量、范围、类型和敏感程度，以及个人信息出口可能给个人权益带来的风险；
• 海外接收者的责任和义务，以及履行此类责任和义务的技术和组织措施，是否能够确保个人信息离开该国的安全；
• 个人信息离开后，个人信息的泄露、破坏、篡改、滥用等风险，以及个人保护个人信息权益的渠道是否开放；
• 海外收件人所在国家或地区的个人信息保护政策和法规对标准合同履行的影响；和
• 其他可能影响境外个人信息安全的事项。

DPIA报告必须保存至少三年。

向CAC备案

在备案时，张指出，“个人信息处理人应在个人信息处理方和数据接收方签署的SCC生效之日起十个工作日内，将SCC和DPIA提交给CAC当地省级分行。”。

在这一点上，标准合同条款草案规定个人信息处理者对记录材料的真实性负责，并指出，一旦标准合同生效，个人信息处理人就可以进行个人信息出口活动（第7条）。

重要的是，如果在标准合同有效期内出现以下任何情况，个人信息处理人员必须重新签署标准合同并记录（第8条）：

• 处理海外收件人个人信息的目的、范围、类型、敏感度、数量、方法、存储期限、存储位置、目的和方法发生变化，或个人信息的海外存储期限延长；
• 海外收件人所在国家或地区的个人信息保护政策和法规的变化可能影响个人信息的权益；和
• 其他可能影响个人权益的情形。

标准合同

在标准合同中，张详细说明，“中国SCC要求数据出口商为个人信息处理者，这意味着SCC仅适用于：

• 从个人信息处理器向中国境外的受托方传输的数据；
• 从个人信息处理器传输到中国境外另一独立个人信息处理器的数据；和
• 从个人信息处理器向中国境外的联合个人信息处理器传输的数据。

我认为[标准合同条款草案中的要求]中只有一项与其他SCC非常独特，即根据第7条进行的填充工作，我认为这将为CAC的当地分支机构增加大量工作”。

标准合同条款草案明确了标准合同必须包括以下主要内容（第6条）：

• 个人信息处理者和出站接收者的基本信息，包括但不限于姓名、地址、联系人姓名、联系信息等；
• 离开该国的个人信息的目的、范围、类型、敏感性、数量、方式、保留期和存储位置等；
• 个人信息的处理者和海外接收者在保护个人信息方面的责任和义务，以及为防止个人信息离开可能产生的安全风险而采取的技术和组织措施；
• 海外收件人所在国家或地区的个人信息保护政策和法规的影响；
• 数据主体的权利以及保护其权利的方式和方法；和
• 救济、合同终止、违约责任和争议解决等。

投诉和违规行为

发现个人信息处理人员违反标准合同条款草案的组织或个人有权向省级或省级以上的CAC提出投诉或报告（第10条）。

此外，如果省级或省级以上CAC在实际处理中发现基于标准合同进行的个人信息出口活动不再符合个人信息出口安全管理要求，CAC将书面通知个人信息处理方终止个人信息出口。一旦个人信息处理器收到通知，个人信息处理器必须立即终止个人信息的出站活动（第11条）。

处罚

下列情况被视为应受刑事责任的犯罪，即（第12条）：

• 不履行备案手续或者提交虚假材料备案的；
• 不履行标准合同规定的责任和义务，侵犯个人权益，造成损害的；和
• 其他影响个人权益的情形。

省级以上地方行政主管部门将按照PIPL的规定，责令限期改正。拒不改正或者损害个人权益的，责令停止个人信息出口活动，依法处罚。构成犯罪的，依法追究刑事责任（第12条）。

结论

关于公司应注意的条款，张强调，“标准合同条款草案第2条和第3条分别概述了公司必须注意的个人信息处理者和数据接收者的义务。此外，SCCs第4条是双方根据数据接收方国家/地区的法律法规做出的承诺，公司应注意其承诺。第5条[另一方面]保护数据主体的个人信息权利，这也是重要的。第7条是处理合同终止情况的终止条款，我认为这一点也应予以注意。[此外，]数据接收方应注意，SCC要求争议解决的适用法律为中国法律，这也可能影响一些公司。”。

最后，标准合同条款草案在2022年7月29日之前公开征求公众意见。

本文：https://cioctocdo.com/china-draft-standard-contract-provisions-operatio…