观点 | 《个人信息出境标准合同》的三处隐患

在此《标准合同规定意见稿》之前，全国信息安全标准化技术委员会秘书处于2022年6月24日正式发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》，国家网信办于2021年10月29日公布了《数据出境安全评估办法（征求意见稿）》。这三项规定/意见稿分别对应了《中华人民共和国个人信息保护法》第38条第1款所规定的三种合规的个人信息出境方式：数据出境安全评估、个人信息保护认证及《标准合同》。至此，我国关于个人信息出境规定的体系已经显现。

基于此体系，笔者将首先对《标准合同规定意见稿》进行解读，然后着重分析《标准合同》文本里的三处隐患——信息主体赋权路径有待清晰、情势变更约定缺乏、境外法律赋权扩张应对不足。对前两点不足，通过修改术语、增加条款就可解除；对第三点不足，则需要国家有关部门仔细研判、抉择。

依《标准合同规定意见稿》的规定，通过《标准合同》方式实现个人信息出境需要走如下流程：

第一步：境内个人信息处理者的自核，确认其（1）非关键信息基础设施运营者；（2）处理个人信息不满100万人；（3）自上年1月1日起累计向境外提供未达到10万人个人信息；（4）自上年1月1日起累计向境外提供未达到1万人敏感个人信息。

第二步：境内个人信息处理者对拟进行的个人信息出境活动进行个人信息保护影响评估。

第三步：根据个人信息出境的实际情况，境内个人信息处理者与境外接收方订立《标准合同》。

第四步：境内个人信息处理者在《标准合同》生效之日起10个工作日内，向所在地省级网信部门提交《标准合同》和个人信息保护影响评估报告，完成备案。

根据前述流程要求，笔者认为，《标准合同》的主要适用情形为传统工业领域的跨国公司或集团的员工管理和客户关系管理（CRM）、高科技初创公司的数据共享，而互联网企业基本将被排除在《标准合同》的适用情形之外。

同时，结合国家网信办之前公布的《数据出境安全评估办法（征求意见稿）》相关规定，笔者认为，在个人信息出境层面，《标准合同规定意见稿》第5条（也即：《个人信息保护法》第55、56条）所称的个人信息保护影响评估就是《数据出境安全评估办法（征求意见稿）》第5条所称的数据出境风险自评估。理由如下：

（1）《标准合同规定意见稿》第5条就个人信息保护影响评估的内容表述，与《数据出境安全评估办法（征求意见稿）》第5条就数据出境风险自评估的内容表述，几乎是一一对应的。具体而言，前者的第（一）、（二）、（三）、（四）、（五）项表述分别与后者的第（一）、（二）、（四）、（五）、（六）项表述几乎一致，且后者第（三）项规定也可包含在前者第（六）项表述之中。

（2）《标准合同规定意见稿》第4条设定的适用条件基准——关键信息基础设施运营者、100万人、10万人、1万人——也体现在《数据出境安全评估办法（征求意见稿）》第4条，并作为后者判定数据处理者是否仅进行数据出境风险自评估的界线。

通过三种个人信息出境方式所设置的不同条件，也可清晰得出：（1）关键信息基础设施运营者收集和产生的个人信息与重要数据、包含重要数据的出境数据、满足一定数量级的个人信息只有通过国家网信部门的数据出境安全评估，方可出境；（2）在前述（1）条件之外的个人信息出境，可选择《标准合同》、安全认证之任意一种方式。

在境内的个人信息处理中，信息主体的权利是相对于个人信息处理者的权利，其权利来源于《民法典》《个人信息保护法》《数据安全法》等法律的赋权。以《个人信息保护法》为例，关于境外的个人信息处理，依《个人信息保护法》第3条的规定，除非境外的个人信息处理者以向境内自然人提供产品或者服务为目的，或分析、评估境内自然人的行为，或法律、行政法规的特别规定，否则，《个人信息保护法》并不适用。而一旦《个人信息保护法》对境外接收方不适用，境内信息主体就不能基于《个人信息保护法》享有对境外接收方的权利。同理，《民法典》第12条、《数据安全法》第2条第1款也将其适用范围限于境内，境内信息主体也基本不能基于这两部法律享有对境外接收方的权利。当然，境内信息主体还是可以基于适用境外接收方的法律，享有对境外接收方的权利。

基于笔者的判断，由于《标准合同》主要适用情形为跨国企业员工和客户管理、初创企业数据共享，该等适用情形基本不会触发《个人信息保护法》的域外适用。而在《个人信息保护法》不适用的情形下，境内信息主体面对境外接收方，没有、也不得主张基于《个人信息保护法》的权利。为避免前述不利情形，规范境外接收方对境内信息主体的个人信息处理行为，《标准合同》拟通过约定的方式，使境外接收方承担对境内信息主体的义务，赋予境内信息主体权利；换言之，在个人信息出境之后，境内主体对境外接收方拥有的是基于《标准合同》的合同请求权，其请求权基础来源于《标准合同》的约定。

在《标准合同》文本中，第3条详细规定了境外接收方的义务，但却没有相应条文，明确约定接收方负有保护信息主体权利的义务。第5条详细规定了信息主体针对境内个人信息处理者、境外接收方的权利，但就信息主体针对境外接收方的权利，仅体现在该条第1句“按照相关法律法规赋予个人信息主体……双方关于个人信息保护义务的权利”，该条第1项 “个人信息主体依据相关法律法规”拥有权利，第3项 “境外接收方应当……实现个人信息主体依据相关法律法规行使的权利”，即该条仅笼统地宣称，境内信息主体“依据相关法律法规”，拥有对境外接收方的权利，而此处的“相关法律法规”依《标准合同》第1条的定义，仅是境内法律法规。

这样，从客观的文义解释角度出发，根据《标准合同》第5条，境内信息主体依据的是境内法律法规的整体（自然包括境内法律法规中的适用范围条文），来获得对境外接收方的权利。这恰恰不能反映通过合同约定赋权的路径，反而体现出境内法律赋权的路径。由于境内法律法规对境外接收方在境外的个人信息处理行为不予适用，境内信息主体也无法依据此等法律法规享有针对境外接收方的权利；换言之，对《标准合同》第5条相关条文作客观的文义解释，针对境外接收方在境外对境内信息主体的个人信息处理行为，境内信息主体对境外接收方实际不享有任何权利。

当然，遇有《标准合同》双方争议场合，我国法院和仲裁机构可偏离《标准合同》第5条的客观文义，进行实质性的目的解释，承认境内信息主体对境外接收方的权利。但是，《标准合同》第9条第5项也提供了合同双方选择境外仲裁机构的选项，只要该仲裁机构所在国为《纽约公约》的缔约国。一旦合同双方选择境外仲裁机构，就难保境外仲裁机构仅对《标准合同》第5条作文义解释，而使《标准合同》的适用陷入尴尬的境地。

如何克服上述信息主体赋权路径引人误解的隐患，笔者认为可以参考欧盟关于个人信息出境《标准合同I》（下称“SCC I”）的做法，包括：（1）在《标准合同》第3条数据接收方的义务中，参照SCC I 第5 条(b)项第1选项的规定，明确约定数据接收方将按数据出境方所在国的数据控制者的地位，保护自然人的涉及个人数据处理的权利；（2）在《标准合同》第5条中，对相关法律法规的引用具体到某条某款某项，这样既规避了相关法律法规中适用范围条文的适用，也明确表明相关条文仅起到解释特定术语的作用，明确合同约定赋权路径。

显而易见，境内个人信息处理者与境外接收方订立《标准合同》的目的是为了实现个人信息的合法合规出境。但是，此目的的实现也被设置了条件：依照《标准合同规定意见稿》第4条，只有境内个人信息处理者同时满足（1）非关键信息基础设施运营者；（2）处理个人信息不满100万人；（3）自上年1月1日起累计向境外提供未达到10万人个人信息；（4）自上年1月1日起累计向境外提供未达到1万人敏感个人信息这四项条件，才可以通过订立《标准合同》的方式完成个人信息出境。

那么，不满足《标准合同规定意见稿》第4条条件的境内个人信息处理者是否能签署《标准合同》，其签署的《标准合同》是否生效？答案当然是肯定的，一旦该《标准合同》签署，各方均应遵守，但不能径直进行个人信息出境操作。在此情况下，《标准合同》签署本身没有违反《标准合同规定意见稿》第4条，签署《标准合同》、没有采取其他合规措施直接进行个人信息的出境操作，才违反了《标准合同规定意见稿》第4条。

接下来的问题是，如果境内个人信息处理者签署时符合《标准合同规定意见稿》第4条条件，但在后来的履行过程中又不符合，合同双方又该如何处置已签署的《标准合同》。在此情况下，合同双方虽不能进行个人信息出境操作，但仍可遵守、履行《标准合同》。并且，此种情况也并不触发《标准合同》第7条第2、3项规定的单方解除权。这意味着，合同双方只能通过协商解除的方式解除《标准合同》。但就双方的激励机制看，就已签署、可继续履行的《标准合同》，其更多是用来约束境外接收方的，境内个人信息处理者并没有充分的动机解除合同，这意味着境外接收方协商解除的筹码明显不足。

针对《标准合同》订立时满足、履行过程中又产生不满足《标准合同规定意见稿》第4条的情势，可能有人主张适用《民法典》第533条的情势变更规定。可惜的是，在此种情况下，《民法典》第533条所规定的法定情势变更规则并不适用。该规定的适用要求变化的情势导致继续履行合同变得不公平。但一旦发生如前所述的变更的情势，个人信息的合法出境将只能采取申报国家网信部门的数据出境安全评估方式，此种方式所要求的各方义务较《标准合同》设置的各方义务更高、更严格。这意味着，为继续实现个人信息合法出境的目的，境内个人信息处理者和境外接收方将承担、履行更严格的法定义务，那么，其继续履行严格程序更低《标准合同》的义务就不应该产生不公平的情形，继而，《民法典》第533条所规定的法定情势变更规则并不适用。

笔者认为，针对《标准合同》订立时满足、履行过程中又不满足《标准合同规定意见稿》第4条的窘迫情势，为平衡合同双方的利益状态，应当在《标准合同》中设置情势变更约款，即明确约定此种情势之发生构成《标准合同》的基础条件发生重大变更，任意一方有权要求另一方与其协商变更《标准合同》；如果逾期协商未果的，提出协商的一方有权单方解除合同。

《标准合同》的目的之一在于，境内信息主体的个人信息在被境外接收方处理时，应确保达到境内法律法规相同的保护程度。但《标准合同》的条文毕竟有限，不可能囊括境内相关法律法规的所有规定。在《标准合同》约定的范围之外，依据境外接收方所在国或区域的法律法规，境外接收方可能拥有更广的个人信息合法处理基础，但这些制度并没有规定在境内的相关法律法规中。这意味着，境外接收方依照境外法律法规被赋予了更广的权益，依据合同无限制即允许的观点，这并不违反《标准合同》的约定，但却与境内的相关法律法规不一致、甚至矛盾。

这里以个人信息出境至欧盟为例。此时，依《标准合同》约定第3条第1项约定，境外接收方应在附录一“个人信息出境说明”列明的目的范围内处理个人信息，否则就应取得个人信息主体的事先同意，这是个人信息处理目的限定原则的体现。但依《通用数据保护条例》（General Data Protection Regulation，简称GDPR）第5条第1款b项之规定，目的限定原则也允许境外接收方在原定目的之外、但与原定目的相容的目的范围内处理个人信息。此外，境外接收方还可依GDPR第6条第1款f项规定的合理利益条款处理个人信息。须强调的是，境外接收方依据相容目的原则、合理利益条款处理个人信息并不是违反、而只是不关涉《标准合同》第3条第1项的约定。由于我国法律法规没有明确规定此两种规则，依此两种规则的境内个人信息处理行为极可能是违反我国法律法规的。

笔者认为，遇到前述情形，采取忽视、置之不顾的态度是不可取的，因为这会使得境内信息主体的权利处于不确定的状态。设想一下，一旦境内信息主体反对境外接收方依相容目的原则、合理利益条款处理个人信息，并在我国境内对境外接收方提起诉讼，我国审判机构将面临尴尬的选择——是承认GDPR的适用、不顾其与我国法律法规的冲突？还是以违反公共政策的理由否认GDPR的适用？无论怎么选，都会带来不小的辐射性影响。

至于境外法律更广赋权问题的应对，并没有一成不变的方法，笔者认为应当把握两项原则：（1）在不与我国公共政策相违背的情况下，尽可能承认境外法律的更广赋权，促进数据的流通；（2）如果在《标准合同》中限制境外接收方依据境外法律的更广赋权，要充分评估境外国家以违反公共政策为由否认《标准合同》效力的风险。

《标准合同》的公布标志着我国已完成个人信息合法出境的布局。根据《标准合同规定意见稿》所设定的适用条件，《标准合同》并不适用于大型互联网公司，而将主要适用于跨国企业员工和客户管理、初创企业数据共享。针对《标准合同》的条文，笔者在本文中指出了其三处隐患，包括《标准合同》对信息主体针对境外接收方的赋权路径有待清晰，缺乏情势变更约定，以及对境外法律向境外接收方的赋权扩张应对不足。

虽然有上述三点不足，但《标准合同》的公布本身也给企业提交了一条不依赖第三方的个人信息出境方式，意义重大。《标准合同》未来在不同场景下的应用也必然会触发新的疑问，比如《标准合同》是否允许多方同时签署，集团公司的众多子公司是否必须分别签署《标准合同》，外国公司的境内办事处是否有资格与外国母公司签署《标准合同》。面对这些疑问，广大法律从业人员应持续讨论、分析，以获得妥当的答案。