处置跨境个人信息新办法，涉及个人信息出境需要签订个人信息出境准则合同

处置跨境个人信息新办法

我国大陆跨境电商行业蓬勃发展，吸引了不少香港企业前来大陆开展电商业务，为确保港商合规经营有关业务，相关部门出台了规定，2023年6月1日起实行《个人信息出境准则合同方法》（下称《方法》）。

《方法》要求大陆信息处置商与境外企业签署个人信息出境准则合同后，方可把低风险的境内个人信息输出境外（包含香港、澳门及台湾等地），以保护个人信息权益以及规范个人信息跨境活动。

处置跨境个人信息新办法

该《方法》实行后，如果境外企业需要将中国境内的个人信息汇出至境外（包含香港、澳门及台湾），在风险较低、少量个人信息出境的情形下，例如中小型范围的跨境企业内部跨境处置员工数据、小型跨境电商平台在提供跨境电商服务时涉及个人信息出境等，大陆个人信息处置者（即大陆信息提供方）与境外吸收方（即境外企业或境外个人身份）需要通过签订个人信息出境准则合同，方可合法地把大陆的个人信息从中国境内汇出至境外。

上述《方法》订明，在符合下列情形下，大陆信息提供方可与境外企业订立个人信息出境准则合同：

1、大陆信息提供方是非重要信息基本设施运营者；

2、处置不足100万人的个人信息；

3、自上年1月1日起累计向境外提供不足100，000人的个人信息；

4、自上年1月1日起累计向境外提供不足10，000人的敏感个人信息。

大陆信息提供方在准则合同生效起10个工作日内，须向所在地省级网信部门备案，并提交资料包含准则合同、个人信息保护影响评估报告。

在高风险数据出境方面，包含重要信息基本设施运营者、关键数据、处置逾100万人的个人信息者、近两个自然年度累积出境100，000人的个人信息或10，000人的敏感个人信息，上述情形实用安全评估制度，不能以签署准则合同方法取代，更不能通过火拆数目的方法规避，而须申报数据出境安全评估，由有关网信部门查验。

境外吸收方获得大陆个人信息后，应采用妥当的安全保护办法，如加密、匿名化、去标识化、浏览控制等技术和管理方法，确保个人信息在传输流程中及吸收后存储、应用等各个环节的安全性，同时记录处置活动并保留纪录至少3年，待监管机构要求时可提供相关证明。

《方法》出台的意义

第一，《方法》的出台有利于推进《个人信息保护法》更好实行。《个人信息保护法》第三十八条规定了个人信息处置者向境外提供个人信息的三个门路，即安全评估、个人信息保护认证、准则合同以及其他条件。《方法》正文对“准则合同”门路下的个人信息出境要求作了详细规定，明白了个人信息出境准则合同的实用规模、订立条件和备案要求；附件列出了准则合同的基本条款，将法律规范转化为合同规则。

第二，《方法》的出台有利于增进数字经济发展和数据有序跨境流动。《方法》要求符合条件的个人信息处置者与境外吸收方依照本方法订立个人信息出境准则合同并生效后即可出境个人信息，简化了个人信息出境的过程与环节，为个人信息处置者提供了多元化的个人信息出境方法。《方法》附件提供了准则合同的范本，境内个人信息处置者仅需要联合实际情形进行填充完美，极大下降了境内个人信息处置者的成本，解决了部分中小范围个人信息处置者专业人员不足的难题，便于其健康有序发展。

第三，《方法》的出台有利于提高个人信息出境活动的规范化程度。一方面，《方法》明底线划红线，指出合规方向，细化实用订立准则合同的方法向境外提供个人信息的基本条件，明白个人信息影响评估和合同备案的基本要求。另一方面，《方法》也亮规矩定义务，要求个人信息处置者对所备案资料的真实性负责，违背规定根据《个人信息保护法》等法律法规处置；构成犯法的，依法追究刑事义务。

实行《方法》的监管和合规

第一，增强个人信息保护监管执法。建议网信部门加大指点、引诱、督促力度，推进境内个人信息处置者积极开展评估、备案，监视个人信息处置者业务开展中涉及个人信息出境的合同等法律文件，对未实行备案流程或者提交虚伪资料进行备案的、未实行准则合同商定的义务责任并损害个人信息权益造成伤害的依法追究法律义务。

第二，个人信息处置者应对比《方法》要求做好合规。个人信息处置者应该增强对《方法》的学习，对比《方法》要求，用好通过订立准则合同的方法开展个人信息出境活动。首先，应该尽快梳理自身数据资产和出境数据范围，辨认是否具备《方法》实用情况。其次，依照《方法》要求，在向境外提供个人信息前严厉开展个人信息保护影响自评估，要点评估个人信息出境的目标、规模、方法及其合法性、正当性、必要性，通过出境个人信息的数目、规模、种类、敏感水平来断定其所可能发生的风险，明白境外吸收方许诺承担的义务责任、管理才能、技术办法以及境外吸收方所在 或者地域的个人信息保护政策法规。再者，应该依照《方法》附件与境外吸收方签订准则合同，并将准则合同与影响评估报告在准则合同生效之日起10个工作日内向所在地省级网信部门备案。

第三，发展使用法律科技，赋能监管与合规。随着人工智能、大数据等技术的提高发展，利用“法律+科技”的手段实现监管与合规的主动化、智能化，符合数字经济发展和数字 建设的新方向、新趋势。可以开发迅速审查个人信息出境准则合同、影响评估报告的监管工具，助力实现备案监管的智慧化、精准化、全时化，进一步监管才能和程度。通过技术对数据收集、存储、加工、应用、传输、删除等全性命周期进行可视化管理，主动分析企业数据资产与合规风险，依据分类分级等规则主动辨认个人信息的数目、规模、种类、敏感水平，保障个人信息处置目标、规模、方法等的合法性、正当性、必要性，助力低成本、高效力完成《方法》所要求的个人信息保护影响评估。