4、标准合同条款路径:适用场景、合同模板核心条款、备案流程、补充协议要求、法律责任分配
标准合同条款这条路,说白了就是给数据出境搭了一座「合规桥」。我个人觉得,这是目前大多数企业最务实的选择。为什么?因为它有现成的模板,不用你自己从头去跟境外接收方谈判一套全新的条款。
但别高兴太早——模板归模板,里面的坑可不少。我经手过好几个项目,都是因为没吃透细节,最后被网信办打回来重新备案。嗯,咱们今天就把这条路彻底捋清楚。
4.1 适用场景:什么时候走SCC这条路?
标准合同条款不是万能的。它有自己的「势力范围」。我建议你先拿下面这张图对照一下自己的情况。
我总结一下,走SCC路径需要同时满足这几个条件:
- 不是重要数据或核心数据——这个红线碰不得。我在项目里见过有人把用户画像数据当成普通数据,结果一查属于行业核心数据,整个项目直接停摆。
- 你不是关键信息基础设施运营者(CIIO)——如果你被认定为CIIO,那不好意思,SCC这条路走不通,必须走安全评估。
- 数据量没超标——自上年1月1日起,累计向境外提供的个人信息未达到100万人,敏感个人信息未达到10万人。注意,是「累计」!不是单次。
4.2 合同模板核心条款:哪些是必填项?
网信办发布的《个人信息出境标准合同》模板,一共就9条。但你别看条款少,每条都有讲究。我挑几个最容易出问题的说说。
| 条款编号 | 条款名称 | 核心要点 | 常见坑点 |
|---|---|---|---|
| 第一条 | 定义 | 明确「个人信息」「敏感个人信息」「境外接收方」等术语 | 定义范围写得太窄,漏了衍生数据 |
| 第二条 | 个人信息处理者的义务 | 告知同意、最小必要、安全保障等 | 忘了写「向个人提供合同副本」的义务 |
| 第三条 | 境外接收方的义务 | 按约定目的处理、采取安全措施、配合监管 | 安全措施写得太笼统,没有具体标准 |
| 第四条 | 境外接收方所在地的法律环境 | 评估当地数据保护法律是否影响合同履行 | 这个坑最大!我后面细说 |
| 第五条 | 违约责任 | 明确赔偿机制和争议解决 | 赔偿上限没约定,或者约定过低 |
| 第六条 | 合同解除 | 触发解除的条件和后果 | 忘了约定数据返还或删除的时间节点 |
第四条我得多说两句。你想想看,如果境外接收方所在国家有法律规定「政府可以要求企业提供用户数据」,那你的合同签了也白签。我曾经帮一家做跨境电商的客户审合同,接收方在某个东南亚国家,当地有一部《网络安全法》规定政府有权调取数据。最后我们不得不在补充协议里加了一条「如果当地政府要求提供数据,接收方必须立即通知我方,并采取法律手段抗辩」。
4.3 备案流程:三步走,别走错
备案流程其实不复杂,但每一步都有时间窗口。我画了个流程图,你一看就明白。
这里有个时间点特别重要——合同生效后10个工作日内必须完成备案。我记得有个项目,法务部门签完合同就扔一边了,等想起来已经过了15天。结果呢?被网信办要求书面说明情况,还差点被列入重点监管名单。
4.4 补充协议要求:模板不够用怎么办?
官方模板是「最低标准」。说白了,它只保证你合规,不保证你商业上不吃亏。我建议你在模板基础上,签一份补充协议。补充协议不能跟模板冲突,但可以补充模板没覆盖的内容。
我个人习惯在补充协议里加这几条:
- 数据返还或删除的具体时间——模板只说「合同解除后应当返还或删除」,但没说几天内。我一般写「15个工作日内」。
- 安全事件的报告机制——模板要求接收方报告安全事件,但没规定多长时间内报告。我建议写「24小时内书面通知」。
- 审计权——模板给了处理者审计权,但没写具体怎么审计。我习惯写「每年至少一次,由我方指定第三方机构执行」。
- 子处理方的管理——如果接收方会把数据转给第三方处理,必须在补充协议里明确子处理方的名单和责任。
4.5 法律责任分配:谁出事谁负责
标准合同条款的法律责任分配,说白了就是一句话:谁违规,谁担责。但具体到实操,有几个细节你得搞清楚。
| 场景 | 责任主体 | 具体责任 | 我的建议 |
|---|---|---|---|
| 处理者违规收集数据 | 境内处理者 | 承担全部责任 | 做好内部数据治理,别甩锅给接收方 |
| 接收方超范围使用数据 | 境外接收方 | 接收方承担违约责任 | 合同中明确约定使用范围,越细越好 |
| 双方都有过错 | 按过错比例分担 | 各自承担相应责任 | 提前约定过错认定机制,避免扯皮 |
| 第三方侵权(如黑客攻击) | 看谁没尽到安全义务 | 未尽义务方承担补充责任 | 安全措施标准要写清楚,别含糊 |
| 当地政府要求提供数据 | 接收方需通知处理者 | 接收方有抗辩义务 | 补充协议里写清楚抗辩流程 |
这里有个容易被忽略的点——连带责任。虽然标准合同条款没有明确说双方承担连带责任,但《个人信息保护法》第20条说了,共同处理个人信息的,承担连带责任。所以如果你跟接收方被认定为「共同处理者」,那责任就大了去了。
我建议你在合同里明确双方的角色——你是「处理者」,接收方是「受托处理者」,而不是「共同处理者」。这个定性差别很大,直接影响责任范围。
总结一下我的经验:
- SCC路径适合大多数企业,但前提是你得搞清楚自己的数据属性和身份
- 合同模板是底线,补充协议是护城河——别省这一步
- 备案流程有时间窗口,错过了就得重新来
- 法律责任分配的核心是「明确角色、细化义务、约定流程」
嗯,标准合同条款这条路,说难不难,说简单也不简单。关键是你得把每个环节都吃透。我见过太多企业,合同签了、备案交了,结果因为补充协议没写清楚,最后出了事只能自己扛。希望今天讲的这些,能帮你少走一些弯路。
公众号:蓝海资料掘金营,微信deep3321