網信辦新規實施滿月！《個人資訊出境标準合同備案指南》解讀

iLaw

導語：2023年5月30日，在《個人資訊出境标準合同辦法》（“SCC辦法”）正式實施的前兩天，國家網際網路資訊辦公室（“國家網信辦”）出台了《個人資訊出境标準合同備案指南（第一版）》（“SCC指南”），對個人資訊出境标準合同（“SCC”）的備案方式、備案流程、備案材料等方面做出了具體說明。

總體上《SCC指南》沿用了《資料出境安全評估申報指南（第一版）》（“安評指南”）的體例，并為其中的重要檔案《個人資訊保護影響評估報告》（“PIA”）給出了相應的模闆。該模闆與《安評指南》中的《資料出境風險自評估報告（模闆）》的行文結構幾乎雷同，是以可以将SCC備案可以在某種程度上被稱為一個“迷你版”的資料出境安全評估。

《SSC指南》的出台為相關企業的備案工作提供了有力的實踐指引。為了友善企業更好地從實務方面了解該檔案，筆者将結合正在協助企業進行SCC備案的工作實踐予以解讀并對部分問題提出一些思考。

✨溫馨提示：

1.文末附「《全球五大地區SCC标準合同研究報告》&行業資料分級分類彙編報告及模闆1套」，全面且系統，如有需要，可自行擷取！

2.如有需要德恒王一楠律師0331直播精彩回放與課件的可以掃碼咨詢圈圈！

3.由于微信更改訂閱規則，如果大家喜歡iLaw合規的内容，記得星标🌟「iLaw合規」公衆号，避免錯過未來的精彩内容～

作者｜王一楠、萬千惠、周望

機關｜北京德恒律師事務所

一

SCC備案的适用範圍

與《安評指南》類似，《SCC指南》分别從備案門檻和出境行為兩個方面進一步解釋《SCC辦法》第二條和第四條的适用範圍。

1.重申備案門檻

首先，與資料出境安全評估同時針對重要資料和個人資訊出境兩種情形所不同的，SCC備案僅适用個人資訊出境。

其次，《SCC指南》第1條重申了《SCC辦法》第2條與第4條中關于适用範圍的規定，即SCC僅适用于在資料出境安全評估适用範圍之外的個人資訊出境情形，即非關鍵性資訊基礎設施營運者；處理個人資訊不滿100萬人；自上年1月1日起累計出境個人資訊不滿10萬人或敏感個人資訊不滿1萬人。

當然，根據《個人資訊保護法》第38條，這類個人資訊也可以通過“認證”的路徑出境。《SCC指南》重申了《SCC辦法》中關于“個人資訊處理者不得采取數量拆分等手段，将依法應當通過出境安全評估的個人資訊通過訂立标準合同的方式向境外提供”的規定。如果個人資訊處理者本應适用出境安全評估情形但采取“化整為零”規避手段進行SCC備案的，可能會導緻備案不通過，并引發相關監管調查。

2.分解出境行為

《SCC指南》沿用了《安評指南》的統一口徑，明确了“直接傳輸”和“境外通路”均屬于資料出境行為，兩種情形即指：個人資訊處理者将在境内營運中收集和産生的資料“傳輸、存儲至境外”和“個人資訊處理者收集和産生的個人資訊存儲在境内，境外的機構、組織或者個人可以查詢、調取、下載下傳、導出”。特别是後者，在實踐中較為容易忽視。例如，有些企業的資訊技術團隊部署在境外，該團隊通過網際網路通路并處理境内伺服器上的資料來提供技術服務。鑒于該情形也會對境記憶體儲的資料構成一定風險威脅，從資料跨境流動安全管理的角度來看，也應被認定為“資料出境”。

3. 關于“分公司或代表處”作為簽約主體的思考

在絕大部分情況下，境内個人資訊處理者與境外接收方分屬兩個法律實體，即境内A公司傳到境外B公司。但是實踐中還存在資料在境内外同一個法律實體之間傳輸的情況，即境内A公司傳到其境外的分公司或代表處，或者境外B公司從其境内的分公司或代表處接收資料。在這種情況下，境内個人資訊處理者與境外接收方簽署SCC是否構成一個有效的個人資訊出境方式？

該問題的解答取決于分支機構與其法人本身互相簽訂的合同是否有效。雖然《民法典》74條、《公司法》第14條和《市場主體登記條例也》第2條均明确，分公司和代表處等分支機構同樣可以從事民事活動，屬于非法人組織，但分支機構的民事責任均由法人承擔。從邏輯上而言，分支機構隻能對外産生民事責任之後，将此民事責任歸于法人承擔，而不可能與法人本身産生具有互相可執行力的民事責任。司法實踐中，此類法人與分支機構之間簽訂的檔案通常被視為内部管理關系的展現，并無法律效果1。

當然，在這種情況下SCC并非完全沒有意義。由于SCC以及SCC備案均要求履行向個人資訊主體的告知義務，其中包括個人資訊主體享有的第三方受益人權利。是以，SCC在某種程度上視為該個人資訊處理者向個人資訊主體所作出的單方允諾，其允諾内容為SCC文本。雖然單方允諾在《民法典》中并未得到明确規定，但《民法典》生效後已有多個司法案例承認了單方允諾的效力和可執行性。至于個人資訊主體能否借此行使其SCC中規定的權利、行使的範圍如何以及能否請求賠償等問題，尚待實踐以及司法的檢驗。

二

SCC備案的方式和流程

《SCC指南》第2條和第3條明晰了備案方式及流程中的具體要求，例如，個人資訊處理者應當在SCC生效之日起10個工作日内向所在地省級網際網路資訊辦公室（“省級網信辦”）備案，方式為送達書面材料并附帶材料電子版。

1.備案流程

根據《SCC指南》，備案結果分為“通過”或“不通過”。通過備案的，省級網信辦向個人資訊處理者發放備案編号；不通過備案的，個人資訊處理者将收到備案未成功通知及原因，要求補充完善材料的，個人資訊處理者應當補充完善材料并于10個工作日内再次送出。筆者結合實務經驗将備案流程總結如下圖：

圖 1 SCC備案流程（圖中的日期為期限上限）

2.關于備案性質的思考

“備案”在法律法規中一般是指“把情況用書面形式報告給主管部門，供存檔備查”2的行為，不涉及對其内容進行前置實質性審查，也不構成對相關行為有效性進行認定，否則一般會采用“審批”或“核準”等字樣。而《SCC指南》 使用了後果較為嚴重的“通過”或“不通過”來描述備案結果，未使用常見比對備案的詞彙，如“完成”3、“予以備案”4或“即為備案”5等。類似“通過”或“不通過”的詞彙在《資料出境安全評估辦法》和《安評指南》 中被用于描述國家網信辦對安全評估申報進行實質性審查後的結果。是以，這引發了對于SCC備案性質的思考，即其是否如某些規章一樣6，在某種程度上構成了實際上的“審批”行為？

值得注意的是，SCC備案中省級網信辦收到材料後的審理期限是15個工作日，而安全評估中省級網信辦的完備性查驗工作期限是5個工作日。鑒于SCC備案材料理論上應比資料出境安全評估申報材料簡單，而前者在期限上預留出後者三倍的工作時間是否是因為前者在完備性查驗基礎上，增加了一定實質性審查工作？如果的确涉及實質性審查，其在實踐中的顆粒度有待觀察（即是否包括合法性基礎、境外接收方國别風險、個人資訊處理者或境外接收方資料安全保護能力、資料鍊路等内容）。

此外，針對備案“不通過”個人資訊處理者，《SCC指南》僅要求其補充完善材料後重新送出，但未明确其實質法律後果。相對于安全評估申報來說，SCC備案并非資料出境活動的前置要求（标準合同生效後即可個人資訊出境活動），而是後置程式（标準合同生效之日起10個工作日内完成備案）。那麼如果備案最終“不通過”（包括補充完善材料後仍未通過的情況），處理者是否被要求暫停或終止個人資訊出境活動？如果并不要求暫停或終止，那麼“不通過“的具體法律後果是什麼；如果要求暫停或終止，處理者則可能會面臨境外接收方的挑戰，因為《個人資訊出境标準合同》的模闆條款中并未明确賦予處理者在這種情況下的合同解除權。

3.補充或者重新備案

有關補充或者重新備案，《SCC指南》提到了在幾種情勢變更情形下（即出境個人資訊本身情形變更、境外接收方法律變更可能影響個人資訊權益的、可能影響個人資訊權益的其他情形），個人資訊處理者應當重新開展個人資訊保護影響評估，補充或者重新訂立SCC，并履行相應備案手續。相對于安全評估的2年有效期，SCC備案并未明确具體有效期限，是以我們了解隻要在合同期限内未發生上述情形變更情形，則不會觸發補充或者重新備案程式。

三

《SCC指南》細化了備案材料

相較于《SCC辦法》第7條規定的兩項申報材料，《SCC指南》第三章第（一）節将備案材料細化為七項。鑒于其中PIA需要處理者投入較大精力準備，下面将重點介紹。

《SCC辦法》第五條已經列舉了PIA的六項重點内容，《SCC指南》則通過PIA模闆将評估内容進一步細化。如上文所述，PIA模闆與《安評指南》中的自評估報告模闆非常相似，而其中的少量差異總結如下：

(1）由于法律檔案已經确定為SCC，删除了自評估報告模闆中法律檔案的相關内容，改為“如何確定SCC條款落實”的評估總要求。

(2）第二章第二節第2項從“資料資産情況”變為“個人資訊收集使用情況”；

(3）添加了說明“處理敏感個人資訊和利用個人資訊進行自動化決策情況”的内容；

(4）删除了資料分類分級的内容；

(5）不再需要描述境外接收方所在國家的網絡安全環境；

(6）不再需要評估“對國家安全、公共利益、個人或者組織合法權益帶來的風險”，僅需評估“對個人資訊權益帶來的風險”。

四

結語

作為《SCC辦法》首個配套性檔案，《SCC指南》的出台标志着個人資訊出境備案工作無論是從網信部門還是從備案主體角度均已正式進入實際操作階段。同時，《SCC指南》的諸多細節也展現出網信部門對于備案材料的較高期待和要求。基于已經開展資料出境安全評估工作的實踐經驗，SCC備案材料的準備工作也将面臨部門多、頭緒雜、時間緊、任務重等挑戰。建議企業不要掉以輕心，盡早着手，統籌安排，以免引發合規風險。

參考：

1.遼甯中宇建設（集團）有限責任公司商品砼分公司、撫順銀行股份有限公司望花支行等案，最高人民法院(2021)最高法民申3282号民事申請再審審查民事裁定書：分公司不具有獨立法人人格；分公司與總公司簽訂的“合同”，系其公司内部管理關系的展現，并不能對外産生法律效果。

2.《現代漢語詞典》第7版，“備案”；郝婉雲與新鄉市豫興房地産開發有限公司所有權确認糾紛案，新鄉市衛濱區人民法院(2019)豫0703民初1765号一審民事判決書（引用《現代漢語詞典》對備案的定義）。參見：曹永錫與江蘇省如臯市規劃局等房屋登記行政糾紛，南通市中級人民法院(2016)蘇06行終435号，載《人民司法·案例》2017年第5期，第91頁；重慶義門白家商業管理有限公司與夢馬人(北京)影視傳媒有限公司侵害作品資訊網絡傳播權糾紛，重慶市第一中級人民法院(2021)渝01民終6985号二審民事判決書；楊廷華、姜楊翠等商品房預售合同糾紛，貴陽市中級人民法院(2021)黔01民終5044号民事二審民事判決書。

3.《保險中介行政許可及備案實施辦法》，中國銀行保險監督管理委員會令2021年第12号。

4.《法規規章備案條例》，中華人民共和國國務院令第337号。《中華人民共和國海關報關機關備案管理規定》，中華人民共和國海關總署令第253号。

5.《企業投資項目核準和備案管理條例》，中華人民共和國國務院令第673号。

6.《出口食品生産企業備案管理規定》。該項規章自2011年頒布直至2022年廢止期間，一向在備案程式中設定實質審查環節，包括現場檢查、專家評審等。

轉載來源：CNCERT國家工程研究中心

文末福利

■ 直播預告

👓 你一定還想看

1. 年度合集第一彈：共同迎接2023合規新征程

2. 年度合集第二彈：以行業視角，洞察資料合規強監管态勢

3. 2022年資料合規實踐的繼續探索——紀念《個人資訊保護法》實施一周年

4. 2022全球資料合規年度大事件回顧（附下載下傳）

5. 重磅來襲!《個人資訊保護與資料合規法律彙編V3.0》

6. 企業合規管理實務要點：新《辦法》、新思路

7. 企業用工合規典型場景全解——以《個人資訊保護法》為視角

■

THE END.

Copyright©2022iLaw.All rights reserved.

本文正文内容由作者享有版權，除此之外的内容及配圖設計為iLaw原創版權所有，任何個人或公司未經授權嚴禁轉載使用。

如需轉載請微信聯絡 @ilawhegui3