中國網信辦公布中國個人信息出境標準辦法及標準合同範本

二、進行個人資料保護影響評估

在進行個人資料的跨境傳輸前，個人資料處理者應進行個人資料保護影響評估，並應作成評估報告。於所締結之標準合同生效日起10個工作日內，個人資料處理者應將標準合同及評估報告，一併提交予所在地主管部門備案。中國個資出境辦法中明訂重點評估內容應包含：

（一）個人資料處理者和境外接收方處理個人資料的目的、範圍、方式等的合法性、正當性、必要性。

（二）出境個人資料的規模、範圍、種類與敏感程度，及個人資料出境所可能對於個人資料權益帶來的風險。

（三）境外接收方承諾承擔的義務，及履行義務的管理和技術措施、能力等能否保障出境個人資料的安全。

（四）個人資料出境後遭竄改、破壞、洩漏、丟失、非法利用等之風險，個人資料權益維護的管道是否暢通等。

（五）境外接收方所在國家或地區之個人資料保護政策和法規對標準合同履行的影響。

（六）其他可能影響個人資料出境安全的事項。

此外，個人資料保護影響評估非僅一次性的要求，若於所締結的標準合同有效期間內，遇有中國個資出境辦法所訂應重行評估之狀況，個人信息處理者應重新進行個人資料保護影響評估，並補充或重新訂立標準合同，及履行相應的備案程序。

三、締結標準合同

與歐盟GDPR依跨境傳輸主體之不同，而有四種標準契約條款之情形相較，中國的標準合同則未為此種區分，而僅有一個通用的版本。依中國個資出境辦法的規定，個人資料處理者與境外接收方所締結的標準合同，應確實依標準合同範本訂立。個人資料處理者雖得依個案情形約定並增加補充條款，惟不得與標準合同相牴觸，且若雙方間訂有其他法律文件，且該文件與標準合同相衝突，則標準合同將優先適用。

細觀標準合同範本可知，標準合同範本中存有一些特別規定，如：

（一）境外資料接收方如欲進一步將個人資料傳輸予第三方，須符合一定的要求，如通知資料主體、取得資料主體同意（如以同意作為合法處理基礎之情形）、與第三方達成書面協議等。

（二）資料主體作為標準合同之第三方受益人，有權於一定情形向個人資料處理者及境外接收方主張權利，且該二者對於資料主體應負連帶責任。

（三）標準合同之成立、效力、履行、解釋，以至於締約雙方因標準合同引起的爭議，應適用中國法律，而排除適用其他國家法律之餘地。

我們的觀察與提醒

綜上，中國個資出境辦法及標準合同規範細緻，且具有相當的強制色彩，對於企業法規遵循而言相對清楚明確。然而，距離中國個資出境辦法正式施行僅剩不到三個月的時間，且辦法亦規定對於施行前已為之跨境傳輸活動，亦應於施行日起六個月內完成整改（即今年11月30日為最後期限），因此我們建議，企業應儘早進行法遵工作，確認資料流及傳輸之資料數量，並著手進行影響評估、通知資料主體、及處理有關締結標準合同（或修改既有契約以符合標準合同要求）之相關事宜，方能及時符合法規之要求，而遠離觸法之風險。