走出去智库观察

3月7日，走出去智库（CGGT）联合《互联网法律评论》举办“个人信息出境标准合同实务疑难专题研讨会”，来自华为、腾讯、TCL科技、比亚迪、长城汽车、顺丰、药明生物、华大基因、同方威视、西门子、壳牌、雀巢等企业嘉宾参加线上研讨会。

本次研讨会由走出去智库（CGGT）总经理陆俊秀博士主持，邀请国内领先律所——中伦律师事务所合伙人李瑞、中伦律师事务所顾问贾申就《个人信息出境标准合同办法》出台后跨境数据政策法律和标准合同的合规热点话题进行探讨，并就与欧盟《通用数据保护条例》（GDPR）数据跨境传输标准合同衔接问题进行分析。

今天，走出去智库（CGGT）刊发此次研讨会三位专家发言的主要内容(如需研讨会视频回放请留言)，供关注跨境数据传输合规管理的读者参考。

正文

CGGT，CHINA GOING GLOBAL THINKTANK

陆俊秀：个人信息和重要数据识别及分类分级是企业数据合规工作的主要难点

2022年12月，中央出台的“数据二十条”（《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》）就构建数据基础制度，更好发挥数据要素作用给出了指导意见。从发展趋势看，防范数据出境安全风险，成为未来监管的重中之重。

针对企业跨境数据合规问题，在本次研讨会前，走出去智库（CGGT）对多位企业管理者开展了问卷调查，调查结果显示：

1、56.9%的企业面临业务高度全球化，在极端地缘冲突背景下，或面临数据领域的出口管制和制裁风险；

2、企业跨境数据合规关注的重点国家和地区：美国（77.6%）、欧盟（75.9%的）、东南亚（36.2%的）等；

3、48.3%的企业认为数据泄露问题将给企业带来重大经济损失或产生重大声誉风险；

4、企业反馈数据跨境合规管理工作的主要难点包括：数据出境场景识别（65.5%）；适配数据出境合规策略（63.8%）；数据出境合规策略落地（65.5%）。

5、就数据安全和隐私合规体系建设，企业反馈的主要难点包括：个人信息和重要数据识别及分类分级（82.8%）；强化覆盖制度和流程的管理体系（62.1%）；设计符合企业实际情况的本地化方案等（67.2%）。

李瑞：实务要点十问十答及与欧盟标准合同的衔接

个人信息出境标准合同办法实务要点十问十答

2 月 24 日，国家网信办正式发布《个人信息出境标准合同办法》（下称“《标准合同办法》”）及《个人信息出境标准合同》（下称“《标准合同》”）。至此，中国数据跨境传输监管机制“三件套”——（1）数据出境安全评估、（2）个人信息出境标准合同及（3）个人信息保护认证的具体实施办法均正式出台，中国数据跨境传输监管体系及实务将迎来全新的篇章。

本次研讨会聚焦企业在解读和落实《标准合同办法》及《标准合同》的过程中可能遇到或产生的十个常见问题，结合实务经验进行解答，为企业开展数据跨境传输合规工作提供实务指引。具体内容见文章：《个人信息出境标准合同办法》出台落地相关实务要点十问十答

全球合规管理：中欧数据出境标准合同机制比较与衔接

很多跨国企业在数据跨境传输过程中，已经采用了欧盟GDPR标准合同条款，《个人信息出境标准合同》发布后，如何进行衔接需要对中欧标准合同的异同点加以比较（具体见下表），然后根据具体情况进行分析。

中欧数据出境标准合同机制比较

标准合同机制

欧盟

中国

角色划分机制

“一般条款+模块化”结构

MODULE 1: Transfer controller to controller

MODULE 2: Transfer controller to processor

MODULE 3: Transfer processor to processor

MODULE 4: Transfer processor to controller

·中国标准合同机制就个人信息跨境场景下数据出境方与境外接收方在数据处理活动中的角色仅进行了部分。特别是对于出境端，仅适用于数据出境方为“个人信息处理者”的情况。

·在境外数据接收方义务方面，中国标准合同区分了境外接收方的不同角色（个人信息处理者或受托处理者），合规义务有所不同。

合同条款与备案机制

·允许双方对SCC进行个性化的修订，但仅在其提前获得数据保护机构批准的情况下才会生效。

·暂无备案要求

·标准合同不可更改，但双方可以在不与标准合同相冲突的前提下，额外约定其他条款；

·国家网信部门可以根据实际情况对标准合同进行调整。

·应在标准合同生效后的10个工作日内向网信部门备案。

数据接收方所在法域政策评估

·缔约方应保证其没有理由相信数据接收方所在法域的法律法规、政策等会影响合同的履行。

·受Schrems II案件影响，还应通过TIA评估相关法律法规对于合同有效性的影响。

·双方应当保证在本合同订立时已尽到合理注意义务，未发现境外接收方所在国家或者地区的个人信息保护政策和法规影响境外接收方履行本合同约定的义务。

·境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的，应重新开展PIA，重新签署协议或补充签署，并备案。

数据接收方所在法域执法应对

·境外接收方在面临当地监管部门的执法时，应及时通知数据出境方、数据主体和欧盟监管机构，并尽力获得豁免。

·应审查当地监管机构审查的合法性、执法是否符合职权范围，有必要时应对此进行上诉。

境外接收方所在国家或者地区的个人信息保护政策和法规发生变化（包括境外接收方所在国家或者地区更改法律，或者采 取强制性措施）导致境外接收方无法履行本合同的，境外接收方应当在知道该变化后立即通知个人信息处理者。

境外管辖权的限制

·在C-C、C-P、P-P模式下，合同应受特定欧盟成员法律管辖；在P-C模式下，缔约方协商一致可选择欧盟成员国以外的法律进行管辖，但该等选择不应减损数据主体的权利。

·在C-C、C-P、P-P模式下，争议解决应选择欧盟成员国法院受理；在P-C模式下，缔约方协商一致可选择欧盟成员国以外司法辖区的法院。

·标准合同受中华人民共和国相关法律法规管辖。

·双方因合同产生的争议以及任何一方因先行赔偿个人信息主体损害赔偿责任而向另一方的追偿，双方应当协商解决；协商解决不成的，任何一方可以采取下列方式加以解决：（1）提交中国国际贸易仲裁委员等仲裁机构进行仲裁，或者（2）向有管辖权的中国人民法院提起诉讼。

贾申：数据出境合规“七步走”

《个人信息出境标准合同办法》将于2023年6月1日正式实施，企业可以根据跨境数据合规工作的不同阶段，采取以下7个步骤：

前置内部梳理工作（第1-3步）：

（1）梳理现有业务场景下的所有数据出境场景

（2）选择适用的数据跨境传输机制

（3）依据所触发的机制，制定数据跨境传输合规整改计划表

履行通用的事先数据跨境传输合规义务（第4步）：

（4）履行通用的数据跨境传输事前合规义务

·履行告知-同意义务

应明确告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使法定权利的方式和程序等事项，并取得个人的单独同意。

·境外接收方尽调

个人信息处理者应对境外数据接收方开展技术和合规管理方面的尽调，确保其有足够的安全保护能力。

·开展个人信息保护影响评估（PIA）

个人信息处理者应对境外数据接收方开展技术和合规管理方面的尽调，确保其有足够的安全保护能力。

·签署数据跨境传输协议

依据目前的数据跨境传输机制来看，无论适用哪一机制，均要求境内数据出境方与境外数据接收方签订数据跨境传输协议。

合同洽谈、备案及长期追踪（第5-7步）：

（5）如适用签订标准合同机制，应尽快开展谈判与洽谈工作

（6）向网信部门备案

（7）持续追踪与监督，并积极响应个人信息主体权利