《标准合同规定（征求意见稿）》由正文（共计13条）和附件《个人信息出境标准合同》（“《标准合同》”）两部分组成。附件的《标准合同》包括合同正文（共计9条）、《附录一 个人信息出境说明》（用来说明出境个人信息的基本情况）及《附录二 双方约定的其他条款（如需要）》三部分内容。

（一）标准合同适用范围

根据《标准合同规定（征求意见稿）》第4条规定：“个人信息处理者同时符合下列情形的，可以通过签订标准合同的方式向境外提供个人信息：（一）非关键信息基础设施运营者；（二）处理个人信息不满100万人的；（三）自上年1月1日起累计向境外提供未达到10万人个人信息的；（四）自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。”

昨日，国家网信办印发《数据出境安全评估办法》（“《评估办法》”）正式稿，并将于2022年9月1日起施行。《评估办法》第4条规定：“数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：（一）数据处理者向境外提供重要数据；（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。”

据此，涉及个人信息出境的场景下，应当重点考虑以下四点因素：

➤ 1. 个人信息处理者是否被认定为关键信息基础设施运营者（CIIO）；

➤ 2. 处理个人信息是否超过100万人；

➤ 3. 自上年1月1日起累计向境外提供的个人信息是否达到10万人以上；

➤ 4. 自上年1月1日起累计向境外提供的敏感个人信息是否达到1万人以上。

若上述四个问题的答案均为“否”的，即可以通过签订标准合同的方式向境外接收方提供个人信息；若其中有一个答案为“是”的，则必须通过申报数据出境安全评估进行跨境传输[1]。

综上，订立标准合同的适用条件更为严苛。由此我们倾向于认为规模较大的企业很难通过订立标准合同的便捷方式实现个人信息的跨境传输。

（二）标准合同的备案义务

根据《标准合同规定（征求意见稿）》第7条规定：“个人信息处理者应当在标准合同生效之日起10个工作日内，向所在地省级网信部门备案。备案应当提交以下材料：（一）标准合同；（二）个人信息保护影响评估报告。”据此，为便于主管部门就个人信息跨境传输实现监管，作为一种典型的事后监管手段，《标准合同规定（征求意见稿）》设定了个人信息处理者的备案义务。

值得注意的是，备案与个人信息跨境传输的开展并无直接关联性，备案并非标准合同生效的法定要件，而是合同生效后才进行备案。而个人信息跨境传输活动的开展仅以标准合同的生效为要件。虽然如此，但仍应关注备案的强制性，未履行备案程序或者提交虚假备案材料的，会引发《标准合同规定（征求意见稿）》第十二条所规定的法律责任。

（三）标准合同的主要内容

《标准合同规定（征求意见稿）》第6条明确规定了标准合同主要内容，包括但不限于：个人信息处理者和境外接收方的基本信息、个人信息出境的基本情况、所采取的技术和管理措施、境外接收方所在国家或地区的个人信息保护政策法规对合同条款的影响、个人信息主体的权利保障及救济、解除、违约责任、争议解决等条款。上述内容与《评估办法》第9条规定的、作为数据出境安全评估重点事项之一的“数据处理者应当在与境外接收方订立的法律文件中充分约定数据安全保护责任义务”可谓一脉相承，体现了对数据跨境传输管理的高度协同性。

就《标准合同》的具体内容而言，共有九大条款。主要对个人信息处理者的义务、境外接收方的义务、当地个人信息保护政策法规对遵守本合同条款的影响、个人信息主体的权利等为核心内容进行约定。个人信息主体权利部分，《标准合同》准确反映了《个保法》等相关法律法规所施加的一般性及特殊性的法定义务。此外，《标准合同》专门提供了附录二以对双方约定的其他条款加以补充。

（四）标准合同是否可以修改

《标准合同规定（征求意见稿）》中并未明确规定合同条款不可修改。《标准合同规定（征求意见稿）》第2条规定：“个人信息处理者依据《中华人民共和国个人信息保护法》第三十八条第一款第（三）项，与境外接收方订立合同向中华人民共和国境外提供个人信息的，应当按照本规定签订个人信息出境标准合同。”一般认为，由于标准合同是国家网信部门制定的，故此当事人只能合意决定是否纳入到他们之间订立的合同中，而不能协商改变[2]。

值得注意的是，如上所述，合同双方可以在附录二中自行协商约定满足自身生产经营需求和商业安排的个性化条款。但前提是其内容不得与《标准合同》的基本内容相冲突。

与我国标准合同具有较强比较法意义的域外规定，主要包括欧盟标准合同条款（“SCCs”）及香港跨境数据转移建议合约条文范本。

（一）标准合同中的“共性”

1. 明确第三方收益人的权利保护

SCCs和我国《标准合同》均赋予了个人信息主体作为第三方受益人执行本合同中双方关于个人信息保护义务的权利，包括但不限于：依据相关法律法规行使个人信息主体权利，确认境外接收方所在国有关个人信息保护的法律政策对履行标准合同（条款）的影响，通过投诉、申诉等方式获得救济，在满足法定原因时要求终止合同等。

2. 通过合同约定承诺接受域外监管

GDPR和《个保法》均未就数据跨境传输中数据进口方是否直接受到出境方监管机构监管给予明确回应。在此背景下，SCCs和我国《标准合同》均通过约定的方式承诺同意接受数据出境方所在地的监管。

——新版SCCs第13条约定：“数据进口方同意接受主管监管机构的管辖，回答询问，接受审计并遵守其采取的措施，包括补救和赔偿措施。”

——我国《标准合同》第3条第12款约定：“同意在监督本合同实施的相关程序中接受监管机构的监督管理，包括但不限于答复监管机构询问，配合监管机构检查，服从监管机构采取的措施或作出的决定，并提供已采取必要行动的书面证明。”

（二）标准合同中的“个性”

1. 义务承担的基础不同

——新版SCCs包含了适用于多种场景的通用条款，并面向四种不同场景提供了更具有针对性的模板条款：（1）控制者之间的传输（C2C）；（2）从控制者传输至控制者（C2P）；（3）处理者之间的传输（P2P）；（4）从处理者传输至控制者（P2C）。在此基础上，根据SCCs签署双方所形成的不同法律关系，双方当事人将面临不同种类的合同权利义务。

——香港将建议条文范本分为两套，分别适用于资料使用者转移资料予资料使用者和资料使用者转移资料予资料处理者的两种不同情况，并设定不同的权利义务（建议最佳行事方式），以满足不同情形下的跨境传输要求。

——不同于欧盟立法对控制者与处理者的区分，我国《民法典》和《个保法》均未区分控制者与处理者，而直接使用“个人信息处理者”概念。基于如此构建基础，我国《标准合同》并未对数据出境方与境外接收方所形成的数据处理法律关系做进一步划分，而是对权利和义务进行了一致性规定。

2. 条款使用的自由度不同

——在不直接或间接地与SCCs相抵触或损害数据主体的基本权利或自由的前提下，数据出境方与接收方可以自由地将SCCs条款纳入更为广泛的合同，并增加其他条款或额外的保障措施。同时，在获得数据保护机构批准的前提下，缔约方可对SCCs进行个性化修订，有助于在SCCs基础上设置灵活性更高的数据保护条款[3]。

——与SCCs不同，香港建议条文范文的适用可以采取如下方式：（1）在自行制定资料转移协议时采纳建议条文范本；或（2）把这些条文纳入更广泛的服务协议中，机构可自由使用其它在实质上符合《隐私条例》规定的字词。

——我国标准合同的适用，如上所述，《标准合同规定（征求意见稿）》中并未明确规定合同条款不可修改。但基于立法目的考量，双方当事人仅能合意决定是否纳入到他们之间订立的合同中，而不能协商改变。

3. 对目标国家的监管关注度不同

——新版SCCs第15条约定了公共管理部门要求访问时的义务。具体而言，如果数据进口方收到第三国公共管理部门关于披露个人数据的具有法律约束力的要求，或者如果数据进口方意识到根据SCCs条款第三国公共机构可以直接访问传输的个人数据，数据进口方应通知出境方和数据主体。

如果当地法律禁止通知出境方或数据主体，数据进口方应尽最大努力获得对禁令的豁免。进口方需评估数据请求的合法性，并在有合理理由时提出质疑，包括在类似情况下提出上诉。

——我国《标准合同》第4条第5款规定：“因境外接收方所在国家或地区的个人信息保护政策法规发生变化（包括境外接收方所在国家或地区更改法律，或者采取强制性措施）导致境外接收方无法履行本合同的，境外接收方应在知道前述变化后立即通知个人信息处理者。”根据文义理解，不同于SCCs的要求，我国《标准合同》之下该通知义务的行使并非以目标国家监管行为为基础，而是由无法履行合同的“结果”所导致。因此，一旦境外接收方所在国家的监管机关开展监管行为，而未影响到标准合同的履行，我国境内的个人信息处理者可能难以及时知悉与评估个人信息传输中所面临的风险。

4. 司法管辖权的设定不同

——新版SCCs在区分四种跨境传输模式的基础上，对管辖法律的设定有所区别。P2P、C2P、C2C模式下，在该国法律允许第三方受益人权利的前提下，可以选择适用特定欧盟成员国的法律。而在P2C模式下，可以超出欧盟司法管辖区而选择适用任何管辖法律。

在P2P、C2P、C2C模式下，SCCs对管辖法院进行了限制，即缔约双方仅能在欧盟成员国范围内进行选择。在P2C模式下，可以超出欧盟司法管辖权而选择管辖法院。

——我国《标准合同》第9条要求适用中华人民共和国相关法律法规。对于争议解决方式，缔约双方可以协商确定仲裁或诉讼。关于诉讼法院，标准合同限定在“中国有管辖权的人民法院”，这体现了我国对个人信息跨境传输监管的强限制性。

《个人信息出境标准合同规定（征求意见稿）》是行业内翘首以待的“宝藏规则”。就目前来看，相比于出境安全评估和认证，签订标准合同是最主动、简便、成本最低的合规路径。但诚如上文所言，由于所设定的严苛条件，标准合同对大企业的适应性可能较差。且究其本质，标准合同是涉及个人信息保护影响评估、保护技术措施、备案等多事项的一整套“工具”，因此其具体的实施效果仍有待进一步观察。

[1] 上述结论仅基于《个人信息出境标准合同规定（征求意见稿）》的相关规定作出。由于上述文件处于征求意见阶段，如正式稿进行相应调整的，适用规则亦会出现变化。

[2] 程啸：《个人信息保护法理解与适用》，中国法治出版社，第310页。

[3] 《映日荷花别样红—中欧个人信息出境标准合同（条款）对比分析》，载于“金杜研究院”微信公众号，https://mp.weixin.qq.com/s/fADcGdPeIUG0QZe1g3_hJw。