文章目录
前言
本文将结合《备案指南》和各地备案指引,解读备案规定要求、分析各地通过案例、提供备案实践指引。本文基于现行规定进行分析,暂不讨论《规范和促进数据跨境流动规定(征求意见稿)》如生效后对于个人信息出境监管体系的影响。
一、政策背景
2023年5月30日,国家网信办发布了《个人信息出境标准合同备案指南(第一版)》(“《备案指南》”),对个人信息出境标准合同的备案方式、备案流程、备案材料等具体要求作出了说明。根据此前公布的《个人信息出境标准合同办法》(“《标准合同办法》”)规定,个人信息处理者通过与境外接收方订立个人信息出境标准合同的方式向境外提供个人信息的,应当按照备案指南向所在地省级网信部门备案。
《备案指南》发布后,绝大多数省级网信办也陆续发布了个人信息出境标准合同的备案指引(“备案指引”)或通知。
1、 政策解读
《备案指南》从适用范围、备案方式、备案流程三部分为个人信息处理者规范、有序地备案个人信息出境标准合同提供了指导和帮助,对标准合同备案的时限、流程、提交材料、结果等事项提供了指引与模板。
2、适用范围
2023年6月1日起,国家网信办此前公布的《个人信息出境标准合同办法》正式施行,该办法的第四条规定了通过标准合同订立这一途径实现个人信息出境的适用场景,即:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供个人信息不满10万人的;
(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
以上四个条件需个人信息处理者同时满足,而《备案指南》与其保持一致。若不符合上述情形,不满足其中任一条件,则根据《数据出境安全评估办法》第四条规定,个人信息处理者应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。若同时满足以上四个条件,个人信息处理者在数据出境合规策略上既可以采取个人信息保护认证,也可以选择签订个人信息出境标准合同。