郭泉钧：小我信息出境原则合同——轻量小我信息跨境传输的高效处理计划

郭泉钧：小我信息出境原则合同——轻量小我信息跨境传输的高效处理计划

2023年2月24日，国度网信办正式发布了《小我信息出境原则合同办法》（下称《办法》）及其附件《小我信息出境原则合同》（下称《合同》），标记着我国小我信息出境监管标准的进一步完美，为轻量型跨境数据传输，供给了更为便当的处理计划。

该办法将自2023年6月1日正式生效施行，关于在该办法生效前已经出境的小我信息，如不克不及契合《办法》的要求，应当在《办法》生效之日起的六个月内完成合规整改。因而，小我信息处置者应该高度重视那一律例的施行，积极开展合规整改工做，确保本身合规运营，在促进小我信息自在活动的根底上，更好地保障小我信息权益。

01

《办法》重点内容解读

1、适用范畴与数据出境平安评估泾渭清楚

《办法》第四条明白了能够通过订立原则合同向境外供给小我信息的情形，需同时称心四类情形，包罗非关基运营者，处置小我信息不满100万人，自上年1月1日起累计向境外供给的小我信息不满10万人，以及自上年1月1日起累计向境外供给的灵敏小我信息不满1万人。

以上四类情形恰与需申报数据出境平安评估的情形相跟尾，在轨制设想层面使得原则合同愈加适用于轻量化、非重要的小我信息出境场景。别的，相较于此前发布的《小我信息出境原则合同规定（收罗定见稿）》（下称"收罗定见稿"），此次的《办法》特殊新增了" 制止小我信息处置者摘取数量拆分等手段，躲避数据出境平安评估" 的内容，旨在将订立原则合同与申报出境平安评估的两种出境道路泾渭清楚地域分隔来。

2、明白存案所需的小我信息影响评估要求

在"收罗定见稿"中即以明白的将小我信息影响评估做为《原则合同》存案的必备文件的要求，在《办法》的第五条中得到了更精准的修订。做为对《小我信息庇护法》的理论性标准，《办法》明白规定了在小我信息出境场景下，小我信息影响评估需包罗的评估项。该评估项与《数据出境平安评估办法》中规定的"数据出境风险自评估"内容根本一致，但新增了"境外领受方所在国度或者地域的小我信息庇护政策和律例瞄准则合同履行的影响"的内容。

展开全文

除此之外，《办法》还规定了假设《原则合同》在有效期内发作严重变动，不只需要从头履行存案手续，也需要从头开展小我信息影响评估。

3、《原则合同》发作严重变动需从头存案

《办法》第七条规定了《原则合同》生效后即可施行小我信息出境，固然无需颠末额外审批，但仍需在合同生效之日起10个工做日内向省级网信部分存案。需要重点存眷的是，《办法》第八条申了然三类需从头开展小我信息庇护影响评估、填补或从头订立原则合同及履行存案手续的情形，包罗：

（一）向境外供给小我信息的目标、范畴、品种、灵敏水平、体例、保留地点或者境外领受方处置小我信息的用处、体例发作改变，或者耽误小我信息境外保留期限的；

（二）境外领受方所在国度或者地域的小我信息庇护政策和律例发作改变等可能影响小我信息权益的；以及可能影响小我信息权益的其他情形。

存案轨制使得监管机构能够对数据跨境传输实行监视，简化了行政监管要求，关于小我信息处置者而言，抉择《原则合同》停止小我信息出境更随便实现贸易目标，差别行业的数据处置者也能够在订立《原则合同》的理论中，逐渐构成类型化的跨境传输合同原则或贸易老例，从而提拔数据活动效率。

4、已开展的小我信息出境活动可被逃溯

《办法》的第十三条表白，在《办法》施行前已经开展的小我信息出境活动亦适用此《办法》，假设已经在施行的小我信息出境不契合《办法》的规定，需要在《办法》施行之日起的六个月内完成整改。小我信息处置者若未能如期完成整改则可能触发《办法》第十一条的规定，被省级以上彀信部分约谈并整改，亦可能根据第十二条的规定参照适用《小我信息庇护法》等法令律例遭到响应惩罚。

5、《原则合同》内容不得更改

《办法》第五条明白了小我信息处置者与境外领受方不成更改《办法》所附的《原则合同》，仅有国度网信部分能够对《原则合同》的文本停止调整。不外，假设合同相对人的约定与《原则合同》的既有条目并没有抵触，能够在《原则合同》的根底长进行填补约定。

02

利用《原则合同》停止小我信息出境的流程

通过订立《原则合同》的体例将小我信息出境时，需确保原则合同的内容和签定体例契合《办法》的规定，以保障小我信息主体权益以及数据传输的平安。订立《原则合同》的次要流程如下图所示：

起首，定见小我信息处置者对本身小我信息数据停止清点，并对出境小我信息的规模、品种、灵敏水平、传输体例、出境后的保留期限、保留地点等事项停止梳理和确认，明白小我信息出境的根本情状和需要性。在此根底上，揣度能否契合《原则合同》的适用范畴，或需要按照法令规定停止数据出境平安评估。

第二，小我信息处置者在施行数据出境前，应当按照《小我信息庇护法》的要求，以及《办法》的批示开展小我信息庇护影响评估，并保留响应评估陈述等文件。

第三，小我信息处置者与境外领受方在《原则合同》模板的根底长进行约定，并在合同生效之日起的10个工做日内向省级网信部分完成存案手续。

最初，跟着《原则合同》的生效，小我信息处置者即可起头开展小我信息出境活动。假设合同有效期内发作了严重改变，则视情状从头开展小我信息庇护影响评估、修订或从头订立《原则合同》以及从头履行存案手续。

03

小我信息跨境传输的途径抉择

目前，我国境内的小我信息处置者能够通过三种途径停止小我信息出境活动：签定《小我信息出境原则合同》、向国度网信部分申报数据出境平安评估或停止小我信息庇护认证。那些途径的抉择涉及到差别的流程和要求，小我信息处置者需要根据本身情状和需求停止综合考虑，三种途径的根本情状比照如下表所示：

基于以上比照，三种途径做为数据出境的合规根据，从理论层面而言，只要不属于需要申报平安评估的情形，小我信息处置者在施行出境行为时，既能够抉择小我信息庇护认证的途径，也能够抉择签定《原则合同》。但在理论中，小我信息处置者仍应根据本身情状和出境数据情状，详细问题详细阐发，以下供给几种构想仅供参考。

跨国公司内部停止数据传输活动选举利用认证的体例停止出境。起首，因为认证需要小我信息处置者与境外领受方遵照同一的小我信息跨境处置规则，所以更便利已造定有同一数据处置标准的跨国公司停止公司内部的数据传输活动。其次，认证的有效期在三种途径中最为长久，跨国公司内部的小我信息传输政策和规模较为不变，利用认证的体例能够降低企业数据出境的合规成本。再次，认证需要收取认证费用，关于中小企业和数据规模较小的出境活动而言认证成本过高，因而更选举大型机构抉择。

关于重要性较低的轻量型小我信息的单次出境，选举订立《原则合同》。起首，原则合同签定流程短、生效快，只要合同相对人对《原则合同》模板达成合意，即可开展出境活动。其次，签定《原则合同》没有额外费用，合规成本较低。再次，因为《办法》限造了订立《原则合同》的范畴，数据量较大的小我信息处置者很难通过此种体例开展出境活动，出境活动发作变更还需要从头签定合同，可能对一般的营业流程形成必然影响，因而更合适少量小我信息的单次出境活动。

做者：郭泉钧 上海赛博收集平安财产立异研究院高级研究员

CYBER RESEARCH INSTITUTE