信息跨境传输合同范本共7篇思维导图

从消除风险根源向风险可控可接受的安全概念转变过程中，强制性要求数据处理者在合同中约定数据安全保护义务，既满足了数据处理者建构可信任的市场形象之需求，也通过违约责任之"威胁"降低风险诱发的可能性，故而合同义务法定化成为数据跨境传输监管的重要制度工具。《征求意见稿》第9条规定了数据跨境传输合同的内容应当满足"充分约定数据安全保护义务"这一要求，并进一步列举了合同当事人之间应当约定的具体事项。从制度外观上看，欧盟模式和中国模式似乎属于两种不同的合同标准化路径，前者是对合同条款框架和约定内容作出限定，后者则是仅对合同约定事项的类型作出限定。但是，两种制度模式在理论逻辑和监管层面具有一定的相似性，均是通过合同文本和相对固定的条款框架，将原本公法层面的数据安全保护义务转化为私法层面的合同义务，间接实现公法义务履行方式的标准化。

在柯林斯所提出的规制合同范式中，合同的法律规制存在"私法"和"福利规制"两种截然不同的方式。所谓的"私法"规制是以商业效益为逻辑起点，在发生合同纠纷时，法院裁判合同约定的权利义务关系对等性和公正性的理论逻辑是该合同是否满足同类合同的效率目标。所谓的"福利规制"也通常被称为公共利益的例外，如针对消费者的格式合同、劳动合同等特殊类型的合同，需要考虑到消费者、劳动者在合同缔结过程中无法依靠的合同规则的内生性认定逻辑实现对等缔结和权利救济，因此就需要在公法层面提供破除意思自治导致的合同规则优先之僵局。在柯林斯看来，"规制"指向的是"以治理其目标对象行为的规则系统",私法规制的局限性在于始终以合同当事人之间约定的封闭性规则为限，法院在解决合同纠纷的过程中也仅以合同约定为限，这意味着立法者希望通过私法规则实现合同关系内部与外部权利义务的对等的目标极为困难，合同规则会限制法官考察特定合同所处行业、市场、领域的外部性因素。换言之，合同在约定规则框架内成为"自我规制的管理制度",天然地排斥外部因素对意思自治的直接干预，这也是私法规制模式的固有不足。相对地，"福利规制"所代表的乃是"通过合同的治理"这一规制模式，从买卖合同领域常见的格式合同到保险领域的保单条款标准化，表面上该规制模式似乎是公法层面的强制性义务侵蚀私法层面的约定性义务，其实质则是公私法话语体系的转换。

需要澄清的是，这种公私法话语体系的转化在我国现行立法和理论研究领域早已有之，保单标准化、建设工程合同、政府采购合同等特定合同均采用了"公法义务私法化"的监管逻辑。保单标准化的目的在于将保险业务内容标准化，避免保险公司之间打"价格战"而影响到保险金的偿付能力；建设工程合同的标准化则是为了确保施工方能够如约完成符合国家质量要求的建设工程，将《建设工程质量管理条例》《建设工程安全生产管理条例》所提及的强制性技术标准转化为具体合同条款得以实施；政府采购合同的标准化则是出于国家安全和社会公共利益的考量，严格限定合同文本内容，并要求政府采购机构和供货商强制使用的标准化合同文本。上述类型的合同标准化程度虽然存在差异，但理论逻辑皆是为了将抽象性法益的保护义务具体内容和履行方式标准化。对于义务主体而言，消费者权益保护、房屋质量安全和国家财产安全等强制性义务在实施层面存在标准模糊的问题；对于监管机构而言，有限的监管资源决定了其不可能实时监控、全程监管态，所以需要对合同予以标准化，是否履行公法义务的监管活动可以通过违约责任认定予以补强。公法义务与私法规则的相互嵌套实现了"通过合同的治理"的治理效果，这也是我国国家现代化治理的必然选择。

个人信息的处理目的、处理方式等是否合法、正当、必要；

个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；

对个人权益的影响及安全风险；

出境个人信息的数量、范围、类型、敏感程度，个人信息出境可能对个人信息权益带来的风险；

所采取的保护措施是否合法、有效并与风险程度相适应。

境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全；

个人信息出境后泄露、损毁、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅等；

境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响；

企业做TRA的本质是为了在签署IDTA之前，需要做一个详细的限制性转移的检查评估，考虑所有限制性转移的情形，以此来判断IDTA的签署是否真正能使个人数据传输到数据进口方后仍然能获得其在英国时获得的相关保护措施足够相似的保护。那么TRA需要考虑的首先是数据转移的事实情况，具体包括转移的数据类型、转移的目的、数据的格式、转移的方法、存储地点、继续转移的可能等；其次，主要考虑数据接收者的基本情况和转移数据后对数据主体的潜在影响。

风险评估工具为企业常规的数据转移提供帮助，实践中，当企业在有数据跨境转移需求时，跑完风险评估工具后得出的结果显示企业不能继续进行数据跨境传输行为，此时，转移行为超过常规数据转移，就需要引入额外的数据保护影响评估Data Protection Impact Assessment(DPIA)。

企业进行风险评估时应重点关注几个方面，第一，对传输本身的评估。如前文所述，企业在数据转移时必须满足安全保障、数据最小化等事项，如果需转移的数据复杂庞大或高风险，仅用TRA工具无法评估时，需进行DPIA。第二，国际传输协议（"IDTA"）在数据进口国是否具有可执行性。IDTA合同签署的目的是否能够实现且合同签署后保障措施的实施是否能达到英国本身对个人数据保护的安全程度，这两个问题将成为重要的考虑因素。若IDTA的可执行性不高或者数据转移的风险程度大，此时企业转移个人数据时就需要补充考虑IDTA中第二部分规定的，需要增加额外保护条款的情形。第三，如果涉及第三方访问，是否有适当措施来保护或避免。此时，需要评估数据进口方国家管理第三方数据访问的政策法律制度是否与英国法的原则足够相似，或者虽政策法律制度不足够相似，但第三方访问可能性小或第三方访问对数据主体造成的风险足够低。

综上，企业的跨国个人数据传输并不必然会带来额外的风险，但是一旦风险评估结果显示高风险，将会导致企业签署或准备的数据转移安排无法实现，此时，除了通过匿名化、最小化等方式降低风险外，在风险评估工具评估后，调整改变企业数据传输安排和计划能为其他数据的跨境传输带来可能。

在回答这个问题之前，首先需要弄清英国IDTA和欧盟SCC适用范围上的差别，进而判断究竟是签署英国IDTA还是欧盟SCC及欧盟SCC英国附录。

（1）英国IDTA和欧盟SCC中个人数据的流动模式

英国IDTA中数据的流动模式：数据出口者（the exporter）指受英国《一般数据保护条例》（英国GDPR）约束的组织和个人，其将转移的英国个人数据转移至不在英国的独立法律实体，即数据进口者（the importer）。

欧盟SCC中数据的流动模式：数据出口者（the exporter）指受欧盟《一般数据保护条例》（欧盟GDPR）约束的组织和个人，其将转移的英国个人数据转移至不受欧盟GDPR管辖的数据进口者（the importer）。

a) 英国IDTA注重法律管辖的变化，也注重物理国界的变化

b) 欧盟SCC更注重法律管辖的变化

网络信息技术重塑了数据、信息和知识的商业价值和社会功能。审视国内外近年来的立法趋势，个人信息保护和数据安全评估显然已经成为各国立法者首要关注的规范议题。即便是以商业利益为优先考虑的美国，在联邦和州政府层面，也先后制定了有关个人信息、商业数据使用限定条件的规范性文件。虽然各国立法者对"数据安全"的概念和外延存在差异化认知，但在具体的立法活动中，欧盟《通用数据保护条例》(以下简称"GDPR")《日本个人信息保护法》《巴西通用数据保护法》等规范性文件均是围绕"数据安全"与"数据利用"两种法益的平衡方案予以展开。并且，在个人信息保护立法体系趋于成熟之后，数据安全立法的重心也在发生转变，即从法律效力层级的制度框架转向行政法规层级的具体机制细化。在这一转变过程中，数据安全出境的立法问题自然而然地呈现于立法者面前：既满足我国"国家安全"和"数据安全"立法目标，又不会对数据跨境传输的商业活动造成非必要阻碍的数据跨境流动监管制度该如何建构?

现阶段，学界有关数据跨境流动制度的理论探讨主要聚焦于两个层面：一是在制度设计层面，我国数据跨境流动监管体系结构的建构多以欧盟GDPR中规定的"充分性保护"认定机制为基础，主张我国应当借鉴欧盟模式，建立数据出境安全评估制度、数据跨境传输合同标准化等具体制度；二是在国际法层面，探讨我国数据跨境传输监管制度的对外效力，以及我国如何在国际数据跨境传输规则制定过程中争夺话语权，包括我国应当如何充分衔接国内法与国际法规则，避免外国以"长臂管辖"规则为由指责和干涉我国数据安全监管活动。不难发现，这两种研究趋势的重心均集中于具体制度建构，其原因在于数据跨境传输监管问题在很大程度上是有关数据如何安全地传输以及将数据传输过程如何纳入有效的行政监管框架内。然而，具体制度的建构依然需要在理论层面回应这些制度模式的选择依据和正当性基础。

我国《数据出境安全评估办法(《征求意见稿》)》(以下简称《征求意见稿》)已于近期公布。《征求意见稿》第8条规定了我国数据出境安全评估的重点事项，即在跨境数据传输时，要求数据处理者与境外接收方就订立合同是否充分约定了数据安全保护义务进行说明。第9条更是细化了"充分约定"的判断标准，对合同应当约定的必要事项进行列举。合同条款标准化一直被认为是数据跨境传输领域的有效监管工具，欧盟GDPR将标准化合同条款(SCC)嵌入了跨境数据流动的全过程，原因在于该项机制既能实现监管者对于数据跨境传输重要事项的直接审核，也能基于违约责任督促数据处理者积极履行数据安全保护义务。当然，先前提及的如何建构满足安全立法目标且实现数据充分流动的制度建构问题仍然存在于该领域，其在理论层面有三类问题需要予以阐明。

第一，欧盟模式与我国合同"充分约定"模式之间存在何种关联性?从现有条款来看，我国仅对合同内容约定事项作出强制性要求，并没有对具体的合同条款作出限定。结合《征求意见稿》第8条内容来看，数据处理者与境外接收方订立的合同仅是数据出境安全评估的评估对象。而欧盟模式所建构的标准化合同条款(SCC)则是在"数据接收方在不满足GDPR要求的‘能够提供与欧盟同等保护水平’"情形时，数据处理者与数据控制者可以选择的"替代方案"。两相比较，无论是在数据跨境传输制度的体系结构层面，还是在合同内容限定层面，两种合同标准化模式特征差异明显，这是否意味着我国的数据跨境传输合同监管模式需要遵循另一套理论逻辑?

第二，《征求意见稿》第8条、第9条的"充分约定"应如何理解?这究竟是有别于欧盟模式的中国数据安全立法逻辑之特点，还是需要在解释论和制度论层面对标准化合同机制予以进一步明确?虽然《征求意见稿》言明了数据跨境传输合同标准化的制度路径以及合同内容的类型化，但在实施层面，数据处理者在合同中约定了诸如"数据出境目的、方式和传输范围""数据境外保存地点、期限""限制再传输的约束条款"等内容，但这不等于数据处理者符合这些要求就已经满足了数据出境安全评估所要求的数据安全风险防范标准。事实上，《征求意见稿》第8条、第9条提供的仅是合同标准化的基本路径，监管机构仍然需要提供一套类似政府采购合同、保单标准化模式的类型化数据跨境传输合同范本，并且要能够与《数据安全法》第21条规定的重点数据目录和数据分类分级制度衔接。

第三，我国数据跨境传输合同标准化机制的调整范围和体系定位究竟如何解释?我国现行立法有关数据安全评估的制度内容包括业务评估、出境评估、事件评估、自评估、年度评估等内容，在这些评估机制尚未体系化之前，是应当按照《征求意见稿》的第8条的规定将数据跨境传输合同标准化机制视为出境评估的事项之一，还是应当将合同标准化机制置于所有类型的数据出境制度背景下，将其上升至与安全评估机制相平行的监管制度?

面对新的认证规则，企业该如何应对？

周亚超向财经E法透露，《认证规则》出台后，安恒信息已接到不少客户的咨询，包括适不适合做认证、怎么做认证，以及认证的价值等问题。周亚超发现，很多企业想通过认证来证明或提升自身的个人信息保护能力。此外，大型企业会比中小型企业意愿更强烈，因为认证是有成本的，不仅需要整改，且满足认证当中所规定的相关制度、技术以及和相应的安全措施，甚至还要配备专业人员等。

"这对于中小型企业来说可能负担较重。"周亚超说。

不过从企业角度，周亚超希望看到实际案例和激励措施落地。比如，企业如果做到了自证合规，并具备安全保障措施，但依然没有避免安全事件和风险，"是否能有一定程度的减轻或者豁免安全责任等？"

吴卫明认为，《认证规则》可以为产业界提供更明确的合规指导，同时也能带动个人信息安全咨询和相关合规工具的发展，进而推动建立更好的产业生态，并引导好的企业脱颖而出。"企业应该积极响应监管要求做到自证合规，" 吴卫明说。"也会促进企业更好的发展"。

左晓栋援引数据出境安全的例子称，传统产品和服务解决不了企业的如下问题：如何证明实际出境的数据是合规的，没有境外业务是否会发生数据出境，以及如何监测出境数据等等。他指出，包括个人信息保护认证在内的数据安全评定将直接催生大量数据安全咨询需求，且各类机构亟需数据安全合规工具的支持，这都将成为企业新的业务增长点。

在此基础上，标准合同一共包含定义、个人信息处理者的义务、境外接收方的义务、当地个人信息保护政策法规对遵守本合同条款的影响、个人信息主体的权利、救济、合同解除、违约责任和其他九条内容，分别可以依次与上图中的主要内容对应。下文将对上述主要内容中的重点依次予以介绍和分析。

标准合同明确适用于个人信息处理者向境外接收方传输个人信息的情形。

对于"个人信息处理者"，标准合同采用与《个人信息保护法》下相同的含义。与欧盟GDPR不同的是，我国《个人信息保护法》将"个人信息处理者"定义为"在个人信息处理活动中自主决定处理目的、处理方式的组织、个人"，基本可以类比于欧盟GDPR下的控制者（Controller）而非处理者（Processor）的概念。据此，标准合同排除了受委托处理个人信息的主体向境外传输个人信息的情形，对于此类情形而言，应当由相应的个人信息处理者与境外接收方签订合同。较为典型的场景为，云服务提供商接受云租户的指示向境外主体传输个人信息，应由云租户与境外主体签订标准合同，而云服务商无需签订。

对于"境外接收方"，标准合同将其定义为"位于_境外并自个人信息处理者处接收个人信息的组织或个人"，并未对其是否属于《个人信息保护法》下的"个人信息处理者"做出限定。因此，可以理解为，该"境外接收方"既可能是我国《个人信息保护法》下的个人信息处理者，也有可能是受上述个人信息处理者委托处理个人信息的受委托处理者。但是，从双方责任义务的描述（见下文"3.标准合同双方责任义务"）来看，标准合同特别对境外接收方属于受个人信息处理者委托处理个人信息时应满足的义务做出单独规定，这表明，境外接受方作为个人信息处理者身份和作为受委托处理者时，应履行的合规义务具有高度一致性，以及标准合同实则更多将境外接收方理解为"个人信息处理者"。

此处与欧盟的SCC存在差异。无论是欧盟SCC 版本（即，95指令下的分别于2001年、2004年和2010年制定的版本），还是其版本（即，欧盟委员会根据GDPR于2021年6月通过的新版本），均根据个人数据的发送方和接收方身份的不同进行了不同版本的区分。我国香港地区今年5月份发布的个人资料跨境转移建议合约条文范本，也采取了根据角色区分不同版本的模式。对此，我们认为，标准合同尽管在形式上未基于角色做出版本区分，但实质初步达到了合同双方各自明确自身责任义务的效果。此外，实践操作中也存在同一份商业合同下，境外接收方同时具有个人信息处理者和受委托处理者双重身份的情况，此种处理方式则能够帮助避免双方签署多份合同的不便。

标准合同附录一专门对个人信息出境的基本内容进行了描述，包括个人信息主体类别、传输目的、个人信息数量、个人信息类别、敏感个人信息类别、再传输接收方、传输方式、存储时间和地点等。其中，出境个人信息和敏感个人信息类别参考推荐性国标《信息安全技术 个人信息安全规范》（GB/T 35273）和相关标准。

对于传输个人信息和敏感个人信息的数量，如前所述，由于适用通过签订标准合同的方式向境外提供个人信息的情形包括：自上年1月1日起累计向境外提供未达到10万人个人信息和未达到1万人敏感个人信息，因此，该数量应当限于此范围内。

标准合同中规定的对于个人信息处理者和境外接收方的义务分别可以总结如下表3所示。

可以看出，因为分别作为跨境传输个人信息的发送方与接收方，个人信息处理者和境外接收方均涉及对所传输个人信息的处理，因此，双方的责任和义务多数具有类似属性，包括处理个人信息应遵循的合法合规、最小必要等一般性原则，以及所负有的对个人信息主体的知情同意、安全保护义务，和对监管部门的响应、提供必要信息的配合义务。

然而，由于二者在获取个人信息的链条上分属上下游关系，分别面对的是个人信息获取源头（个人信息主体）和个人信息再传输下游（如有），因此，二者亦存在责任和义务上的特殊之处。这些特殊义务包括：