企业如何开展个人信息出境标准合同备案工作？

在当前个人信息跨境传输监管体系下，建议企业通过如下步骤，合规开展个人信息出境标准合同备案工作：

一、事前：内部合规、准备出境

1、企业内部合规治理体系

（1）建立数据跨境前评估机制。在个人信息跨境传输前完成数据跨境可行性评估、数据跨境字段最小化评估、数据跨境安全性评估等流程。（2）完善业务模式中的个人单独同意采集程序，充分履行告知义务。（3）识别出境场景、进行数据盘点。境内个人信息处理者首先应对其出境活动进行全面检视，盘点个人信息出境场景、出境个人信息的规模和属性，判断企业是否适用标准合同。

2、完成个人信息保护影响评估（PIA）

依据《个人信息保护法》《信息安全技术 个人信息安全规范》《信息安全技术个人信息安全影响评估指南》等的要求，境内个人信息处理者需成立PIA工作小组，自行开展或聘请第三方机构（如律师事务所、咨询机构等）协助对涉及个人信息的处理活动从个人权益影响和安全保护措施进行分析，并制作个人信息保护影响评估报告。 作为个人信息出境标准合同备案手续中必备的关键一步，境内个人信息处理者在进行 PIA 时需要特别关注以下几点：

（1）数据映射分析：要求企业在针对个人信息处理过程进行全面的调研后，形成清晰的数据清单及数据映射图表。（2）个人敏感数据识别：依据《信息安全技术 个人信息安全规范》对个人敏感数据（包含个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息等）进行识别并进行敏感程度划分； （3）个人信息处理活动分析：根据个人信息的类型、敏感程度、收集场景、处理方式、涉及相关方等要素，对个人信息处理活动进行分类，并描述每类个人信息处理活动的具体情形。 （4）个人数据流转图绘制：基于个人信息处理活动分析结果，绘制个人数据流转图，包括个人信息处理场景、涉及部门、流转形式、涉及个人信息数据、涉及业务系统等。 （5）风险源识别：风险源识别是为了分析个人信息处理活动面临哪些威胁源，是否缺乏足够的安全措施导致存在脆弱性而引发安全事件。风险源识别归纳为网络环境和技术措施、个人信息处理流程、参与人员与第三方、业务特点和规模及安全态势四个方面。 （6）个人权益影响分析：指分析特定的个人信息处理活动是否会对个人信息主体合法权益产生影响，以及可能产生何种影响。个人权益影响包括以下方面：个人信息敏感程度分析阶段、个人信息处理活动特点分析阶段、个人信息处理活动问题分析阶段和个人权益影响程度分析阶段。 （7）关键技术能力，包括个人信息管理能力、数据源识别能力、个人敏感数据识别能力、个人信息生命周期监测能力、个人信息脱敏/加密技术验证能力、API 接口审计能力等。

二、事中：执行标准合同备案

1、确定签约主体

就境内签约主体来说，若集团企业在中国境内有多个实体的，为区分不同实体各自开展的个人信息出境活动，建议每个实体单独与境外接收方签订标准合同并进行备案；就境外签约主体而言，可能同时存在多个接收方，也可能存在境外接收方在境外再行委托处理或再传输的情况。实践中，可能存在有的境外接收方不愿意成为签约主体的情况。在此情况下，则需要调整境外接收方的数据处理流程，将一对多的数据出境活动调整为一对一再对多的数据出境活动。

2、核实是否存在冲突

鉴于标准合同正文部分不得随意修改，且双方签署的其他合作协议不得与标准合同相冲突，因此企业内部在签署标准合同之前应特别注意协议间的冲突与兼容，例如：校验不同协议之间的兼容性，尤其是各方权利义务是否冲突、法律适用、监管应对责任等。

3、申报及执行

要完成个人信息出境标准合同备案手续，企业应向所在地省级网信部门提交标准合同、个人信息保护影响评估报告，以及一系列程序性文件。省级网信办收到材料后，应在 15 个工作日完成材料查验，并通知企业备案结果。通过备案的，网信办将向企业发放备案编号；备案不通过的，网信办将告知不通过的结果以及原因，网信办要求补充、完善材料的，企业应进行补充、完善，并在10 个工作日内重新提交备案。

三、事后：持续监督、适时更新

与必须每两年重新评估一次的安全评估不同，标准合同的备案持续有效。但在以下情况下，企业需要补充或者重新订立标准合同，并向网信办重新备案：

1、向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的； 2、境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的； 3、可能影响个人信息权益的其他情形。 基于此，通过个人信息出境标准合同备案后，企业应持续监控个人信息跨境传输活动，并在发生变动时评估是否需要重新告知个人信息主体并取得单独同意，以及是否需要重新签订标准合同并备案。