我國內(nèi)地跨境電商行業(yè)蓬勃發(fā)展，吸引了不少香港企業(yè)前來內(nèi)地開展電商業(yè)務(wù)，為確保港商合規(guī)經(jīng)營有關(guān)業(yè)務(wù)，相關(guān)部門出臺了規(guī)定，2023年6月1日起實施《個人信息出境標(biāo)準(zhǔn)合同辦法》（下稱《辦法》）。
《辦法》要求內(nèi)地信息處理商與境外企業(yè)簽訂個人信息出境標(biāo)準(zhǔn)合同后，方可把低風(fēng)險的境內(nèi)個人信息輸出境外(包括香港、澳門及臺灣等地)，以保護(hù)個人信息權(quán)益以及規(guī)范個人信息跨境活動。

處理跨境個人信息新措施
該《辦法》實施后，如果境外企業(yè)需要將中國境內(nèi)的個人信息匯出至境外 (包括香港、澳門及臺灣)，在風(fēng)險較低、少量個人信息出境的情況下，例如中小型規(guī)模的跨境企業(yè)內(nèi)部跨境處理員工數(shù)據(jù)、小型跨境電商平臺在提供跨境電商服務(wù)時涉及個人信息出境等，內(nèi)地個人信息處理者(即內(nèi)地信息提供方)與境外接收方(即境外企業(yè)或境外個人身份)需要通過簽署個人信息出境標(biāo)準(zhǔn)合同，方可合法地把內(nèi)地的個人信息從中國境內(nèi)匯出至境外。

上述《辦法》訂明，在符合下列情況下，內(nèi)地信息提供方可與境外企業(yè)訂立個人信息出境標(biāo)準(zhǔn)合同：
1、內(nèi)地信息提供方是非關(guān)鍵信息基礎(chǔ)設(shè)施運營者；
2、處理不足100萬人的個人信息；
3、自上年1月1日起累計向境外提供不足100,000人的個人信息；
4、自上年1月1日起累計向境外提供不足10,000人的敏感個人信息。
內(nèi)地信息提供方在標(biāo)準(zhǔn)合同生效起10個工作日內(nèi)，須向所在地省級網(wǎng)信部門備案，并提交材料包括標(biāo)準(zhǔn)合同、個人信息保護(hù)影響評估報告。
在高風(fēng)險數(shù)據(jù)出境方面，包括關(guān)鍵信息基礎(chǔ)設(shè)施運營者、重要數(shù)據(jù)、處理逾100萬人的個人信息者、近兩個自然年度累積出境100,000人的個人信息或10,000人的敏感個人信息，上述情況適用安全評估制度，不能以簽訂標(biāo)準(zhǔn)合同方式代替，更不能通過分拆數(shù)量的方式規(guī)避，而須申報數(shù)據(jù)出境安全評估，由有關(guān)網(wǎng)信部門查驗。
境外接收方獲得內(nèi)地個人信息后，應(yīng)采取妥善的安全保護(hù)措施，如加密、匿名化、去標(biāo)識化、訪問控制等技術(shù)和管理方式，確保個人信息在傳輸過程中及接收后存儲、使用等各個環(huán)節(jié)的安全性，同時記錄處理活動并保存紀(jì)錄至少3年，待監(jiān)管機(jī)構(gòu)要求時可提供相關(guān)證明。

《辦法》出臺的意義
第一，《辦法》的出臺有利于推動《個人信息保護(hù)法》更好實施�！秱�人信息保護(hù)法》第三十八條規(guī)定了個人信息處理者向境外提供個人信息的三個途徑，即安全評估、個人信息保護(hù)認(rèn)證、標(biāo)準(zhǔn)合同以及其他條件�！掇k法》正文對“標(biāo)準(zhǔn)合同”途徑下的個人信息出境要求作了詳細(xì)規(guī)定，明確了個人信息出境標(biāo)準(zhǔn)合同的適用范圍、訂立條件和備案要求；附件列出了標(biāo)準(zhǔn)合同的基本條款，將法律規(guī)范轉(zhuǎn)化為合同規(guī)則。
第二，《辦法》的出臺有利于促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展和數(shù)據(jù)有序跨境流動�！掇k法》要求符合條件的個人信息處理者與境外接收方按照本辦法訂立個人信息出境標(biāo)準(zhǔn)合同并生效后即可出境個人信息，簡化了個人信息出境的流程與環(huán)節(jié)，為個人信息處理者提供了多元化的個人信息出境方式�！掇k法》附件提供了標(biāo)準(zhǔn)合同的范本，境內(nèi)個人信息處理者僅需要結(jié)合實際情況進(jìn)行填充完善，極大降低了境內(nèi)個人信息處理者的成本，解決了部分中小規(guī)模個人信息處理者專業(yè)人員不足的難題，便于其健康有序發(fā)展。
第三，《辦法》的出臺有利于提升個人信息出境活動的規(guī)范化水平。一方面，《辦法》明底線劃紅線，指出合規(guī)方向，細(xì)化適用訂立標(biāo)準(zhǔn)合同的方式向境外提供個人信息的基本條件，明確個人信息影響評估和合同備案的基本要求。另一方面，《辦法》也亮規(guī)矩定責(zé)任，要求個人信息處理者對所備案材料的真實性負(fù)責(zé)，違反規(guī)定依據(jù)《個人信息保護(hù)法》等法律法規(guī)處理；構(gòu)成犯罪的，依法追究刑事責(zé)任。

實施《辦法》的監(jiān)管和合規(guī)
第一，加強(qiáng)個人信息保護(hù)監(jiān)管執(zhí)法。建議網(wǎng)信部門加大指導(dǎo)、引導(dǎo)、督促力度，推動境內(nèi)個人信息處理者積極開展評估、備案，監(jiān)督個人信息處理者業(yè)務(wù)開展中涉及個人信息出境的合同等法律文件，對未履行備案程序或者提交虛假材料進(jìn)行備案的、未履行標(biāo)準(zhǔn)合同約定的責(zé)任義務(wù)并侵害個人信息權(quán)益造成損害的依法追究法律責(zé)任。
第二，個人信息處理者應(yīng)對照《辦法》要求做好合規(guī)。個人信息處理者應(yīng)當(dāng)加強(qiáng)對《辦法》的學(xué)習(xí)，對照《辦法》要求，用好通過訂立標(biāo)準(zhǔn)合同的方式開展個人信息出境活動。首先，應(yīng)當(dāng)盡快梳理自身數(shù)據(jù)資產(chǎn)和出境數(shù)據(jù)規(guī)模，識別是否具備《辦法》適用情形。其次，按照《辦法》要求，在向境外提供個人信息前嚴(yán)格開展個人信息保護(hù)影響自評估，重點評估個人信息出境的目的、范圍、方式及其合法性、正當(dāng)性、必要性，通過出境個人信息的數(shù)量、范圍、種類、敏感程度來判斷其所可能產(chǎn)生的風(fēng)險，明確境外接收方承諾承擔(dān)的責(zé)任義務(wù)、管理能力、技術(shù)措施以及境外接收方所在國家或者地區(qū)的個人信息保護(hù)政策法規(guī)。再者，應(yīng)當(dāng)按照《辦法》附件與境外接收方簽署標(biāo)準(zhǔn)合同，并將標(biāo)準(zhǔn)合同與影響評估報告在標(biāo)準(zhǔn)合同生效之日起10個工作日內(nèi)向所在地省級網(wǎng)信部門備案。
第三，發(fā)展應(yīng)用法律科技，賦能監(jiān)管與合規(guī)。隨著人工智能、大數(shù)據(jù)等技術(shù)的進(jìn)一步發(fā)展，利用“法律+科技”的手段實現(xiàn)監(jiān)管與合規(guī)的自動化、智能化，符合數(shù)字經(jīng)濟(jì)發(fā)展和數(shù)字政府建設(shè)的新方向、新趨勢。可以開發(fā)快速審查個人信息出境標(biāo)準(zhǔn)合同、影響評估報告的監(jiān)管工具，助力實現(xiàn)備案監(jiān)管的智慧化、精準(zhǔn)化、全時化，提高監(jiān)管能力和水平。通過技術(shù)對數(shù)據(jù)收集、存儲、加工、使用、傳輸、刪除等全生命周期進(jìn)行可視化管理，自動分析企業(yè)數(shù)據(jù)資產(chǎn)與合規(guī)風(fēng)險，根據(jù)分類分級等規(guī)則自動識別個人信息的數(shù)量、范圍、種類、敏感程度，保障個人信息處理目的、范圍、方式等的合法性、正當(dāng)性、必要性，助力低成本、高效率完成《辦法》所要求的個人信息保護(hù)影響評估。