4、标准合同条款路径:适用场景、合同模板核心条款、备案流程、补充协议要求、法律责任分配

标准合同条款这条路,说白了就是给数据出境搭了一座「合规桥」。我个人觉得,这是目前大多数企业最务实的选择。为什么?因为它有现成的模板,不用你自己从头去跟境外接收方谈判一套全新的条款。

但别高兴太早——模板归模板,里面的坑可不少。我经手过好几个项目,都是因为没吃透细节,最后被网信办打回来重新备案。嗯,咱们今天就把这条路彻底捋清楚。

4.1 适用场景:什么时候走SCC这条路?

标准合同条款不是万能的。它有自己的「势力范围」。我建议你先拿下面这张图对照一下自己的情况。

标准合同条款适用场景判断流程图 数据出境需求 是否属于「重要数据」或「核心数据」? (参考《数据安全法》第21条) ❌ 不适用SCC 需走安全评估路径 是否属于「关键信息基础设施」? (CIIO身份判断) ❌ 不适用SCC 需走安全评估路径 自上年1月1日起累计出境量? (100万人/10万人敏感数据) 超量 ⚠️ 需安全评估 超量后需补评估 未超量 ✅ 适用SCC路径 注:以上判断基于《数据出境安全评估办法》及《个人信息出境标准合同办法》

我总结一下,走SCC路径需要同时满足这几个条件:

  • 不是重要数据或核心数据——这个红线碰不得。我在项目里见过有人把用户画像数据当成普通数据,结果一查属于行业核心数据,整个项目直接停摆。
  • 你不是关键信息基础设施运营者(CIIO)——如果你被认定为CIIO,那不好意思,SCC这条路走不通,必须走安全评估。
  • 数据量没超标——自上年1月1日起,累计向境外提供的个人信息未达到100万人,敏感个人信息未达到10万人。注意,是「累计」!不是单次。
💡 我的小建议: 别等到数据量快超标了才着急。我习惯在每个季度末做一次数据出境量的盘点,提前三个月预警。曾经有个客户就是忽略了累计计算,结果第11个月发现超了,只能紧急补安全评估,多花了两个月时间。

4.2 合同模板核心条款:哪些是必填项?

网信办发布的《个人信息出境标准合同》模板,一共就9条。但你别看条款少,每条都有讲究。我挑几个最容易出问题的说说。

条款编号 条款名称 核心要点 常见坑点
第一条 定义 明确「个人信息」「敏感个人信息」「境外接收方」等术语 定义范围写得太窄,漏了衍生数据
第二条 个人信息处理者的义务 告知同意、最小必要、安全保障等 忘了写「向个人提供合同副本」的义务
第三条 境外接收方的义务 按约定目的处理、采取安全措施、配合监管 安全措施写得太笼统,没有具体标准
第四条 境外接收方所在地的法律环境 评估当地数据保护法律是否影响合同履行 这个坑最大!我后面细说
第五条 违约责任 明确赔偿机制和争议解决 赔偿上限没约定,或者约定过低
第六条 合同解除 触发解除的条件和后果 忘了约定数据返还或删除的时间节点

第四条我得多说两句。你想想看,如果境外接收方所在国家有法律规定「政府可以要求企业提供用户数据」,那你的合同签了也白签。我曾经帮一家做跨境电商的客户审合同,接收方在某个东南亚国家,当地有一部《网络安全法》规定政府有权调取数据。最后我们不得不在补充协议里加了一条「如果当地政府要求提供数据,接收方必须立即通知我方,并采取法律手段抗辩」。

4.3 备案流程:三步走,别走错

备案流程其实不复杂,但每一步都有时间窗口。我画了个流程图,你一看就明白。

第一步:合同签署 双方签署标准合同 注意:必须使用官方模板 第二步:备案提交 合同生效后10个工作日内 向省级网信办提交 第三步:等待结果 网信办15个工作日内反馈 无异议即可开展传输 备案需要提交的材料清单 1. 标准合同原件(中英文对照,双方签字盖章) 2. 个人信息保护影响评估报告(PIA报告) 3. 数据出境安全自评估报告 4. 营业执照、法定代表人身份证复印件等主体资质文件

这里有个时间点特别重要——合同生效后10个工作日内必须完成备案。我记得有个项目,法务部门签完合同就扔一边了,等想起来已经过了15天。结果呢?被网信办要求书面说明情况,还差点被列入重点监管名单。

⚠️ 特别注意: 备案不是「审批」,是「备案」。网信办不会主动批准你,但如果他们发现有问题,会在15个工作日内通知你整改。如果15个工作日内没收到通知,恭喜你,可以开始传输了。但别高兴太早——网信办随时可以抽查,发现问题照样可以要求你停止传输。

4.4 补充协议要求:模板不够用怎么办?

官方模板是「最低标准」。说白了,它只保证你合规,不保证你商业上不吃亏。我建议你在模板基础上,签一份补充协议。补充协议不能跟模板冲突,但可以补充模板没覆盖的内容。

我个人习惯在补充协议里加这几条:

  1. 数据返还或删除的具体时间——模板只说「合同解除后应当返还或删除」,但没说几天内。我一般写「15个工作日内」。
  2. 安全事件的报告机制——模板要求接收方报告安全事件,但没规定多长时间内报告。我建议写「24小时内书面通知」。
  3. 审计权——模板给了处理者审计权,但没写具体怎么审计。我习惯写「每年至少一次,由我方指定第三方机构执行」。
  4. 子处理方的管理——如果接收方会把数据转给第三方处理,必须在补充协议里明确子处理方的名单和责任。
💡 避坑指南: 我曾经遇到过一个案例,补充协议里写「接收方应遵守当地法律」,结果当地法律跟中国法律冲突了。最后我们不得不重新谈判,把条款改成「当两地法律冲突时,以更严格的一方为准」。这个教训让我后来在所有补充协议里都加了一条「法律冲突解决条款」。

4.5 法律责任分配:谁出事谁负责

标准合同条款的法律责任分配,说白了就是一句话:谁违规,谁担责。但具体到实操,有几个细节你得搞清楚。

场景 责任主体 具体责任 我的建议
处理者违规收集数据 境内处理者 承担全部责任 做好内部数据治理,别甩锅给接收方
接收方超范围使用数据 境外接收方 接收方承担违约责任 合同中明确约定使用范围,越细越好
双方都有过错 按过错比例分担 各自承担相应责任 提前约定过错认定机制,避免扯皮
第三方侵权(如黑客攻击) 看谁没尽到安全义务 未尽义务方承担补充责任 安全措施标准要写清楚,别含糊
当地政府要求提供数据 接收方需通知处理者 接收方有抗辩义务 补充协议里写清楚抗辩流程

这里有个容易被忽略的点——连带责任。虽然标准合同条款没有明确说双方承担连带责任,但《个人信息保护法》第20条说了,共同处理个人信息的,承担连带责任。所以如果你跟接收方被认定为「共同处理者」,那责任就大了去了。

我建议你在合同里明确双方的角色——你是「处理者」,接收方是「受托处理者」,而不是「共同处理者」。这个定性差别很大,直接影响责任范围。

总结一下我的经验:

  • SCC路径适合大多数企业,但前提是你得搞清楚自己的数据属性和身份
  • 合同模板是底线,补充协议是护城河——别省这一步
  • 备案流程有时间窗口,错过了就得重新来
  • 法律责任分配的核心是「明确角色、细化义务、约定流程」

嗯,标准合同条款这条路,说难不难,说简单也不简单。关键是你得把每个环节都吃透。我见过太多企业,合同签了、备案交了,结果因为补充协议没写清楚,最后出了事只能自己扛。希望今天讲的这些,能帮你少走一些弯路。


公众号:蓝海资料掘金营,微信deep3321