《个人信息出境标准合同备案指南（第一版）》的解读与思考

2023-06-16

以下文章来源于CNCERT国家工程研究中心。

关于CNCERT国家工程研究中心

网络安全应急技术国家工程研究中心是由国家互联网应急中心运营的国家级研究中心。研究中心致力于工控物联网和数据跨境方面的基础理论研究、关键技术研发与实验验证，并为国家关键基础设施的安全建设和运行提供保障，为数据跨境安全提供监测和预警。

2023年5月30日，在《个人信息出境标准合同办法》（“SCC办法”）正式实施的前两天，国家互联网信息办公室（“国家网信办”）出台了《个人信息出境标准合同备案指南（第一版）》（“SCC指南”），对个人信息出境标准合同（“SCC”）的备案方式、备案流程、备案材料等方面做出了具体说明。

总体上《SCC指南》沿用了《数据出境安全评估申报指南（第一版）》（“安评指南”）的体例，并为其中的重要文件《个人信息保护影响评估报告》（“PIA”）给出了相应的模板。该模板与《安评指南》中的《数据出境风险自评估报告（模板）》的行文结构几乎雷同，因此可以在某种程度上将SCC备案视为一个“迷你版”的数据出境安全评估。

《SSC指南》的出台为相关企业的备案工作提供了有力的实践指引。为了方便企业更好地从实务方面理解该文件，笔者将结合正在协助企业进行SCC备案的工作实践予以解读并对部分问题提出一些思考。

一、SCC备案的适用范围

与《安评指南》类似，《SCC指南》分别从备案门槛和出境行为两个方面进一步解释《SCC办法》第二条和第四条的适用范围。

1.重申备案门槛

首先，与数据出境安全评估同时针对重要数据和个人信息出境两种情形所不同的，SCC备案仅适用个人信息出境。

其次，《SCC指南》第1条重申了《SCC办法》第2条与第4条中关于适用范围的规定，即SCC仅适用于在数据出境安全评估适用范围之外的个人信息出境情形，即非关键性信息基础设施运营者；处理个人信息不满100万人；自上年1月1日起累计出境个人信息不满10万人或敏感个人信息不满1万人。当然，根据《个人信息保护法》第38条，这类个人信息也可以通过“认证”的路径出境。

《SCC指南》重申了《SCC办法》中关于“个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供”的规定。如果个人信息处理者本应适用出境安全评估情形但采取“化整为零”规避手段进行SCC备案的，可能会导致备案不通过，并引发相关监管调查。

2.分解出境行为

《SCC指南》沿用了《安评指南》的统一口径，明确了“直接传输”和“境外访问”均属于数据出境行为，两种情形即指：个人信息处理者将在境内运营中收集和产生的数据“传输、存储至境外”和“个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出”。特别是后者，在实践中较为容易忽视。例如，有些企业的信息技术团队部署在境外，该团队通过互联网访问并处理境内服务器上的数据来提供技术服务。鉴于该情形也会对境内存储的数据构成一定风险威胁，从数据跨境流动安全管理的角度来看，也应被认定为“数据出境”。

3.关于“分公司或代表处”作为签约主体的思考

在绝大部分情况下，境内个人信息处理者与境外接收方分属两个法律实体，即境内A公司传到境外B公司。但是实践中还存在数据在境内外同一个法律实体之间传输的情况，即境内A公司传到其境外的分公司或代表处，或者境外B公司从其境内的分公司或代表处接收数据。在这种情况下，境内个人信息处理者与境外接收方签署SCC是否构成一个有效的个人信息出境方式？

该问题的解答取决于分支机构与其法人本身相互签订的合同是否有效。虽然《民法典》74条、《公司法》第14条和《市场主体登记条例也》第2条均明确，分公司和代表处等分支机构同样可以从事民事活动，属于非法人组织，但分支机构的民事责任均由法人承担。从逻辑上而言，分支机构只能对外产生民事责任之后，将此民事责任归于法人承担，而不可能与法人本身产生具有相互可执行力的民事责任。司法实践中，此类法人与分支机构之间签订的文件通常被视为内部管理关系的体现，并无法律效果1。

当然，在这种情况下SCC并非完全没有意义。由于SCC以及SCC备案均要求履行向个人信息主体的告知义务，其中包括个人信息主体享有的第三方受益人权利。因此，SCC在某种程度上视为该个人信息处理者向个人信息主体所作出的单方允诺，其允诺内容为SCC文本。虽然单方允诺在《民法典》中并未得到明确规定，但《民法典》生效后已有多个司法案例承认了单方允诺的效力和可执行性。至于个人信息主体能否借此行使其SCC中规定的权利、行使的范围如何以及能否请求赔偿等问题，尚待实践以及司法的检验。

二、SCC备案的方式和流程

《SCC指南》第2条和第3条明晰了备案方式及流程中的具体要求，例如，个人信息处理者应当在SCC生效之日起10个工作日内向所在地省级互联网信息办公室（“省级网信办”）备案，方式为送达书面材料并附带材料电子版。

1.备案流程

根据《SCC指南》，备案结果分为“通过”或“不通过”。通过备案的，省级网信办向个人信息处理者发放备案编号；不通过备案的，个人信息处理者将收到备案未成功通知及原因，要求补充完善材料的，个人信息处理者应当补充完善材料并于10个工作日内再次提交。笔者结合实务经验将备案流程总结如下图：

▲图^[1] SCC备案流程（图中的日期为期限上限）

2.关于备案性质的思考

“备案”在法律法规中一般是指“把情况用书面形式报告给主管部门，供存档备查”^[2]的行为，不涉及对其内容进行前置实质性审查，也不构成对相关行为有效性进行认定，否则一般会采用“审批”或“核准”等字样。而《SCC指南》使用了后果较为严重的“通过”或“不通过”来描述备案结果，未使用常见匹配备案的词汇，如“完成”^[3]、“予以备案”^[4]或“即为备案”^[5]等。类似“通过”或“不通过”的词汇在《数据出境安全评估办法》和《安评指南》中被用于描述国家网信办对安全评估申报进行实质性审查后的结果。因此，这引发了对于SCC备案性质的思考，即其是否如某些规章一样^[6]，在某种程度上构成了实际上的“审批”行为？

值得注意的是，SCC备案中省级网信办收到材料后的审理期限是15个工作日，而安全评估中省级网信办的完备性查验工作期限是5个工作日。鉴于SCC备案材料理论上应比数据出境安全评估申报材料简单，而前者在期限上预留出后者三倍的工作时间是否是因为前者在完备性查验基础上，增加了一定实质性审查工作？如果的确涉及实质性审查，其在实践中的颗粒度有待观察（即是否包括合法性基础、境外接收方国别风险、个人信息处理者或境外接收方数据安全保护能力、数据链路等内容）。

此外，针对备案“不通过”个人信息处理者，《SCC指南》仅要求其补充完善材料后重新提交，但未明确其实质法律后果。相对于安全评估申报来说，SCC备案并非数据出境活动的前置要求（标准合同生效后即可个人信息出境活动），而是后置程序（标准合同生效之日起10个工作日内完成备案）。那么如果备案最终“不通过”（包括补充完善材料后仍未通过的情况），处理者是否被要求暂停或终止个人信息出境活动？如果并不要求暂停或终止，那么“不通过“的具体法律后果是什么；如果要求暂停或终止，处理者则可能会面临境外接收方的挑战，因为《个人信息出境标准合同》的模板条款中并未明确赋予处理者在这种情况下的合同解除权。

3.补充或者重新备案

有关补充或者重新备案，《SCC指南》提到了在几种情势变更情形下（即出境个人信息本身情形变更、境外接收方法律变更可能影响个人信息权益的、可能影响个人信息权益的其他情形），个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立SCC，并履行相应备案手续。相对于安全评估的2年有效期，SCC备案并未明确具体有效期限，因此我们理解只要在合同期限内未发生上述情形变更情形，则不会触发补充或者重新备案程序。

三、《SCC指南》细化了备案材料

相较于《SCC办法》第7条规定的两项申报材料，《SCC指南》第三章第（一）节将备案材料细化为七项。鉴于其中PIA需要处理者投入较大精力准备，下面将重点介绍。

《SCC办法》第五条已经列举了PIA的六项重点内容，《SCC指南》则通过PIA模板将评估内容进一步细化。如上文所述，PIA模板与《安评指南》中的自评估报告模板非常相似，而其中的少量差异总结如下：

（1）由于法律文件已经确定为SCC，删除了自评估报告模板中法律文件的相关内容，改为“如何确保SCC条款落实”的评估总要求。

（2）第二章第二节第2项从“数据资产情况”变为“个人信息收集使用情况”；

（3）添加了说明“处理敏感个人信息和利用个人信息进行自动化决策情况”的内容；

（4）删除了数据分类分级的内容；

（5）不再需要描述境外接收方所在国家的网络安全环境；

（6）不再需要评估“对国家安全、公共利益、个人或者组织合法权益带来的风险”，仅需评估“对个人信息权益带来的风险”。

四、结语

作为《SCC办法》首个配套性文件，《SCC指南》的出台标志着个人信息出境备案工作无论是从网信部门还是从备案主体角度均已正式进入实际操作阶段。同时，《SCC指南》的诸多细节也体现出网信部门对于备案材料的较高期待和要求。基于已经开展数据出境安全评估工作的实践经验，SCC备案材料的准备工作也将面临部门多、头绪杂、时间紧、任务重等挑战。建议企业不要掉以轻心，尽早着手，统筹安排，以免引发合规风险。

参考文献：

[1]辽宁中宇建设（集团）有限责任公司商品砼分公司、抚顺银行股份有限公司望花支行等案，最高人民法院(2021)最高法民申3282号民事申请再审审查民事裁定书：分公司不具有独立法人人格；分公司与总公司签订的“合同”，系其公司内部管理关系的体现，并不能对外产生法律效果。

[2]《现代汉语词典》第7版，“备案”；郝婉云与新乡市豫兴房地产开发有限公司所有权确认纠纷案，新乡市卫滨区人民法院(2019)豫0703民初1765号一审民事判决书（引用《现代汉语词典》对备案的定义）。参见：曹永锡与江苏省如皋市规划局等房屋登记行政纠纷，南通市中级人民法院(2016)苏06行终435号，载《人民司法·案例》2017年第5期，第91页；重庆义门白家商业管理有限公司与梦马人(北京)影视传媒有限公司侵害作品信息网络传播权纠纷，重庆市第一中级人民法院(2021)渝01民终6985号二审民事判决书；杨廷华、姜杨翠等商品房预售合同纠纷，贵阳市中级人民法院(2021)黔01民终5044号民事二审民事判决书。

[3]《保险中介行政许可及备案实施办法》，中国银行保险监督管理委员会令2021年第12号。

[4]《法规规章备案条例》，中华人民共和国国务院令第337号。《中华人民共和国海关报关单位备案管理规定》，中华人民共和国海关总署令第253号。

[5]《企业投资项目核准和备案管理条例》，中华人民共和国国务院令第673号。

[6]《出口食品生产企业备案管理规定》。该项规章自2011年颁布直至2022年废止期间，一向在备案程序中设置实质审查环节，包括现场检查、专家评审等。

本文作者：

声明：            

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。