尘埃落定——M88 login出境标准合同正式落地的八大关注点

《M88 login保护法》第三十八条规定了向中国境外提供M88 login的三条主要合规路径，包括通过网信部门组织的安全评估（以下简称“安全评估路径”）、经专业机构进行M88 login保护认证（以下简称“认证路径”），以及与境外接收方订立国家网信部门制定的标准合同（以下简称“标准合同路径”）。

终于，2023年2月24日，国家网信办正式公布《M88 login出境标准合同办法》（以下简称“《合同办法》”），明确了M88 login出境标准合同（以下简称“标准合同”）的订立、备案等要求。随着数据出境安全评估进入最后冲刺阶段，未触发安全评估路径并拟选择标准合同路径的企业也再次将注意力转移到标准合同路径的落地上。本文希望通过八个关注点的解答，帮助相关企业厘清对企业的影响和实施路径。

关注一：哪些企业需要关注标准合同路径？

上述三条合规路径中，触发安全评估路径的门槛 相对较高。如果企业存在重要数据或达到门槛的M88 login的出境，则必须进行安全评估。如果企业存在M88 login的跨境转移但没有触发安全评估路径，则可以根据自身情况选择认证路径或标准合同路径。认证路径将需引入第三方认证机构进行测评和监督。而目前看来，标准合同路径很可能将是三条出境路径中最为广泛适用的出境路径。

总体而言，任何的机构、企业存在M88 login出境的行为，因业务需要拟持续向境外传输、又没有达到安全评估的标准的，均需要关注标准合同路径。当然，如果是在业务之中存在零星少量的M88 login出境，例如，中国境内的企业与国外合作方沟通的过程之中，发送邮件时、或者交流时提供了相关的商业联系人信息，是否也需要签署标准合同，这一点也需在合规过程之中进一步考察。

关注二：企业需何时完成合规动作？

《合同办法》将于2023年6月1日起生效实施，并对施行之前已经开展的M88 login出境活动提供了自施行之日起6个月的整改过渡期。该《合同办法》的出台标志着通过标准合同的M88 login出境活动监管规则的正式落地。

这也意味着，涉及数据出境的所有企业的相关整改工作应于2023年的年底前完成。

关注三：标准合同覆盖哪些数据出境场景？

首先，标准合同仅适用于M88 login的出境，若涉及重要数据的出境，则应当推进安全评估路径。另外，若出境数据涉及其他特殊监管，则也应考虑其他行业或领域的要求。

与欧盟《通用数据保护条例》下的数据跨境标准合同条款（即SCC）有四个版本不同，标准合同仅有一个版本。根据标准合同第一条（二），“M88 login处理者”是指在M88 login处理活动中自主决定处理目的、处理方式的，向中华人民共和国境外提供M88 login的组织、个人；“境外接收方”是指在中华人民共和国境外自M88 login处理者处接收M88 login的组织、个人。这里的境外接收方既包括可以自主决定处理目的、处理方式的组织、个人，也包括受M88 login处理者委托处理M88 login的受托人。因此，订立标准合同的双方可能存在“处理者—受托人”和“处理者—处理者”两种场景。

实践中，仍可能存在受托人作为数据出境方将M88 login提供给境外接收方的场景。例如，境外某M88 login处理者直接向中国境内自然人提供产品和服务从而收集中国境内自然人的M88 login并通过境内受托人储存该等M88 login并传输至中国境外，该等场景下受托人与境外接收方如何实现出境的合规，有待监管机关提供进一步解释。

关注四：完成标准合同路径有哪些基本流程？

根据《合同办法》，企业采用标准合同出境需要遵守以下基本流程。总的来说，我们建议企业至少预估三到四个月的准备时间，以充分安排和完成下述工作。

（一）事前评估：M88 login处理者向境外提供M88 login前，应当开展M88 login保护影响评估。M88 login保护影响评估报告为向网信部门备案的必备材料。

（二）自主缔约：M88 login处理者可以根据国家网信办提供的标准合同范本自主订立M88 login出境合同。

（三）事后备案：M88 login处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案，备案时应递交签署后的标准合同以及M88 login保护影响评估报告。

（四）重新评估及缔约、备案：在标准合同有效期内出现需要重新评估的情形时，M88 login处理者应当重新开展M88 login保护影响评估，补充或者重新订立标准合同，并履行相应备案手续。

关注五：《合同办法》与2022年的征求意见稿有哪些主要区别？

国家网信办曾于2022年6月30日发布了《M88 login出境标准合同规定（征求意见稿）》（以下简称“征求意见稿”）。与征求意见稿相比，《合同办法》的体例和结构没有重大变化，但在以下几个主要具体方面进行了调整。

1. 明确规定不得采取数量拆分等手段规避安全评估路径

《合同办法》特别增加了一条规定，“M88 login处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的M88 login通过订立标准合同的方式向境外提供”。根据过往协助企业开展出境安全自评估的经验来看，实践中不乏存在一些相对复杂的数据出境场景。例如，集团公司内存在M88 login在不同的集团公司之间相互共享、集团公司存在部门跨实体提供管理职能、集团公司使用同一套系统使得M88 login某些情况下存在于不同实体之间流转等。实践中，若集团公司之间存在上述数据共享，可能需要将不同集团公司的出境数据加总计算。若加总计算的数字达到安全评估路径门槛，则应当进行出境安全评估。对于《合同办法》增加的该条款具体如何解释，尚待监管部门提供进一步解释，在此之前，企业对于存在集团公司之间共享M88 login情形的，需谨慎判断应采取的数据出境路径。

2. 明确国家网信部门可以根据实际情况对标准合同进行调整

《合同办法》删除了对于标准合同主要内容的引用，而直接指向附件内容，并规定国家网信部门可以根据实际情况对附件进行调整。

3. 明确自主缔约、但不得与标准合同相冲突的原则

《合同办法》之中明确了在不与标准合同相冲突的前提下，M88 login处理者可以与境外接收方约定其他条款。但何种规定可以被视为不与标准合同相冲突，我们理解，通常对于双方义务的进一步增强性规定，易被认可为“不冲突”；但若对于双方的权利义务有所变化、特别是可能削弱或者减少一方在标准合同下规定的责任和义务的，则有可能被认为与标准合同“相冲突”的情况。

4. 明确主管部门可进行约谈的情形、将法律责任条款归口《M88 login保护法》

较之前的征求意见稿，本次《合同办法》对M88 login标准合同出境活动中的法律责任部分的内容进行了简化和调整。一方面，将限期整改和终止M88 login出境活动纳入行政约谈制度中，要求省级以上网信部门发现M88 login出境活动存在较大风险或者发生M88 login安全事件的，可以依法对M88 login处理者进行约谈。M88 login处理者应当按照要求整改，消除隐患。另一方面，删除了关于承担法律责任的具体适用情形，归口到适用《M88 login保护法》，仅保留了关于承担刑事责任的转致性规定。

关注六：标准合同条款与2022年的征求意见稿有哪些主要区别？

我们注意到，标准合同条款的结构及主要条款都保留了2022年征求意见稿的内容，以下主要的变化体现了监管机关在征求意见后对于标准合同的落地实践、监管要求、以及对M88 login主体权益的关注等各方面的考虑。

1. 澄清单独同意的要求仅适用于基于“同意”进行转移的情形

标准合同的第二条（三）中明确规定，“基于个人同意向境外提供M88 login的，应当取得M88 login主体的单独同意。”该表述进一步明确了取得单独同意的要求仅限于该等跨境转移是基于“同意”这一合法性基础进行的。但是，向境外提供M88 login的行为如果并非基于“同意”，在何种情况下可以基于其他合法性基础，例如基于履行个人作为一方的合同所必须或基于人力资源管理所必须，还需要分场景、分情形具体进行分析。我们认为，如果企业考虑不基于同意“向境外提供M88 login”，也必须通过充分的事实和法律分析，确认确实可以基于除“同意”以外的合法性基础开展，才能免除单独同意的要求。

2. 取消境外接收方在M88 login保存期限届满后对信息进行匿名化的选择

征求意见稿的标准合同范本中规定，当M88 login保存期限届满后，境外接收方应当删除M88 login或进行匿名化处理。正式版标准合同取消了匿名化处理这一选择，仅保留了返还或删除M88 login的选项，并进一步规定，若删除M88 login从技术上难以实现的，应当停止除存储和采取必要的安全保护措施之外的处理。

3. 取消了境外接收方提供证明其删除M88 login的审计报告的要求

征求意见稿的标准合同范本规定，境外接收方需承诺，其受M88 login处理者委托处理M88 login时，在删除或匿名化后，应向M88 login处理者提供相关审计报告。该条要求引起较多企业的关注，因为对于该审计报告应当以怎样的形式递交，是否必须是正式的审计报告还是可以是证明已经完成删除或匿名化后的证明文件，以及是否必须聘任第三方进行审计等问题均没有明确指引，企业担心该要求难以让境外接收方接受。正式版标准合同删除了审计报告这一要求，仅要求境外接收方在返还M88 login或删除M88 login后，向M88 login处理者提供书面说明。书面说明相对审计报告而言更具有可操作性。

4. 增强了境外接收方对M88 login安全事件的通知义务

征求意见稿的标准合同范本要求境外接收方在发生数据泄露（包括M88 login遭到意外或非法破坏、丢失、篡改、未经授权提供或访问）时，应履行向M88 login处理者的告知义务。正式版标准合同将向M88 login处理者的通知义务扩大到“发生或可能发生”数据泄露事件。这意味着境外接收方的通知义务要求更为严格，不仅在实际发生数据泄露事件时需要通知M88 login处理者，当可能发生数据泄露事件时，也需要履行相应的通知义务。此外，标准合同明确了受委托处理M88 login的场景下，当法律法规要求通知M88 login主体的，应由M88 login处理者通知M88 login主体。

5. 明确境外接收方对M88 login处理者的通知义务

正式版标准合同增加了一项规定，要求境外接收方在接到所在国家或者地区的政府部门、司法机构关于提供本合同项下的M88 login要求的，应当立即通知M88 login处理者。该规定与M88 login处理者在《M88 login保护法》第四十一条中“非经中华人民共和国主管机关批准，M88 login处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的M88 login。”的要求相衔接。使得M88 login处理者能够及时知悉境外司法或执法机构要求提供M88 login的情况，并及时履行其在《M88 login保护法》第四十一条下的义务。

6. 对M88 login主体的权利保护及救济更加看重

正式版标准合同整体向作为合同受益方的M88 login主体保护更加倾斜：首先，删除了征求意见稿中关于M88 login主体重复主张权利情形的约定；其次，明确了出境合同的约定不影响M88 login主体依据我国《M88 login保护法》享有的权益；最后，对M88 login主体救济中适用境内法律作为准据法，尊重M88 login主体的选择而不需境外接收方的同意。

7. 对合同解除的情形进行了增删

正式版标准合同对征求意见稿中的标准合同范本约定的合同解除情形进行了增删。一方面增加了境外M88 login保护政策和法规发生变化导致合同履行不能的情形，另一方面删除了境外接收方破产、解散或清算及因监管机构原因导致合同履行不能的情形。

8. 对违约责任条款进行了调整

正式版标准合同对违约责任条款进行了简化。首先，调整了违约责任的赔偿范围，删除征求意见稿中“双方之间的责任限于非违约方所遭受的损失”的条款。其次，删除了征求意见稿中“M88 login处理者应就境外接收方因违反本合同而对M88 login主体造成的任何物质和非物质损失向M88 login主体负责，M88 login主体有权向其主张损害赔偿责任”的表述。最后，明确了双方对于M88 login主体依法承担连带责任的原则。正式版标准合同将征求意见稿中的“双方应对M88 login主体承担连带责任”调整为“双方依法承担连带责任”。该表述似乎表明境外接收方并非因为签署标准合同而被施加连带责任，而是应依法承担连带责任。

关注七：企业实务之中应当如何推动标准合同落地工作？

考虑到上述整改最终时限，以及基本流程，我们建议经初步自评估认为不触发安全评估路径且拟选择标准合同路径的企业，采取以下措施及时完成标准合同的签署：

1. 梳理M88 login出境场景，确认出境路径

• 整体梳理企业的M88 login出境场景并判断涉及的M88 login属性和规模；

• 若企业在中国境内有多家集团公司的，审慎判断是否触发数据出境安全评估，判断时将是否存在集团公司之间共享数据的情况考虑在内。

2. 明确标准合同签署主体

• 经梳理及判断后确认采用标准合同出境路径的，进一步明确标准合同的境内外签署主体；

• 若存在境外多个数据接收方，确认该等接收方的角色属于处理者还是受托人，以及相互之间的关系及数据流转路径。

3. 开展M88 login保护影响评估

• 建立内部评估制度，开展符合要求的M88 login保护影响评估；

• 若企业存在不同类型的M88 login出境场景，考虑M88 login保护影响评估应当分场景开展还是合并开展为宜；

• 若企业在中国境内有多家集团公司且存在相同或相似的M88 login出境场景，考虑统一开展M88 login保护影响评估还是分实体分别开展影响评估。

4.完善标准合同文本并签约

• 针对标准合同中可由双方自行补充的部分，根据实际情况进行补充，完善标准合同；

• 考虑到标准合同条款对境外数据接收方施加的义务通常是境外接收方极为关注的部分且双方可能就部分条款的理解、争议解决方式的确认、补充条款内容等需要充分沟通，企业应尽早就合同内容与境外接收方展开磋商谈判，避免出现分歧或冗长的谈判，影响M88 login出境活动进程。

5. 完成备案

• 标准合同签署并生效之后，企业应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案；

• 备案应当递交已签署的标准合同以及M88 login保护影响评估报告。

关注八：企业完成标准合同备案后还需注意什么？

企业在完成标准合同备案之后，无论是《合同办法》、还是标准合同条款本身，都对于企业的持续合规仍有一系列的相关要求。企业并不是一备案就“一劳永逸”，而是需要通过持续的合规机制，来使得M88 login的出境实现常规的内控监管及合规。

首先，企业应当及时了解监管机构对非正常数量拆分的规避监管行为与正常业务经营活动的区分标准，并关注合同附件的调整更新，掌握相关材料备案要求，如出现可能需要整改的情形，应当预留必要的时间，以免影响后续的M88 login出境活动。

其次，企业应当对于向境外提供M88 login的目的、范围、种类、敏感程度、方式、保存地点及境外接收方处理M88 login的用户、方式进行持续的监管，若发生变化的情况，需考虑是否需要重新开展M88 login评估，补充或者重新订立合同。还需要对境外接收方所在国家或地区的M88 login保护政策和法规、当地执法情况进行了解和调研，把握宏观风险和法律障碍。

再次，企业还需要关注M88 login主体权利的行使要求，形成合法、合理的处理流程，在M88 login主体要求提供与境外接收方所签署合同的情况下，应在处理涉及商业秘密或者保密商务信息后，提供给M88 login主体。

最后，企业还需要关注境外数据处理出现相关的信息安全事件、或者境外政府部门、司法机构提出提供合同项下的M88 login的要求时，应按照《合同办法》及标准合同的要求合法合规的进行处理。

结 语

标准合同路径的正式落地，也标志着我国关于数据跨境法律法规体系的进一步落地和完善。我们建议企业根据自身的情况，尽快建立全面、有效的数据出境内控体系，选择合规、符合自身情况的出境路径，在保证合法合规的前提下，有序、有效的实现正常业务过程之中的数据流动。

1. 根据《数据出境安全评估办法》第四条的规定，数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：（一）数据处理者向境外提供重要数据；（二）关键信息基础设施运营者和处理100万人以上M88 login的数据处理者向境外提供M88 login；（三）自上年1月1日起累计向境外提供10万人M88 login或者1万人敏感M88 login的数据处理者向境外提供M88 login；（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。