《个人信息出境标准合同办法》今年6月1日起施行，企业如何应对？

2月24日，国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》)，自2023年6月1日起施行。

国家互联网信息办公室有关负责人表示，出台《办法》旨在落实《个人信息保护法》的规定，保护个人信息权益，规范个人信息出境活动。

这是继去年出台的《数据出境安全评估办法》后，国家网信部门为进一步完善我国数据跨境传输制度体系，而推出的第二个具体规定，补全了《个人信息保护法》中规定的四类数据合规出境机制。

个人信息出境高速增长趋势下，《办法》兼顾了商业效率与安全合规

《办法》明确通过订立标准合同的方式开展个人信息出境活动，应当坚持自主缔约与备案管理相结合、保护权益与防范风险相结合，保障个人信息跨境安全、自由流动。

出台《办法》既有利于通过监管提前防范和化解部分风险，又能保障市场经济主体商业活动的自主性与平等性，为相关企业数据出境在追求商业效率的同时提供合规指引。

《办法》明确个人信息保护的重点评估内容

《办法》划定了个人信息出境标准合同的适用范围和情形，订立条件和备案要求，提出个人信息处理者向境外提供个人信息前，应当开展个人信息保护影响评估并明确了重点评估内容，并规定个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。

个人信息出境标准合同的适用范围和情形

个人信息保护影响的重点评估内容

《办法》对企业出境数据合规提出严格要求

《办法》第八条中提到，在标准合同有效期内出现下列情形之一的（如下），个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行相应备案手续。

这也对企业出境数据的持续监测及运营能力提出了更高的要求，包括厘清个人信息资产、监测出境数据、违规出境风险预警等。

企业只有具备持续的数据安全运营能力，才能充分应对出境数据合规等场景下的各类风险。

全方位保护个人信息主体权益，企业违规将面临相关处罚

在法律后果中，违反《办法》规定的应当依据《个人信息保护法》等法律法规处理，构成犯罪的依法追究刑事责任。此外，本办法施行前已经开展的个人信息出境活动，不符合本办法规定的，应当自施行之日起6个月内完成整改。

由此可见，企业在进行数据出境传输的过程中面临着巨大的合规压力。

对企业而言，要想解决企业个人信息出境面临的难题，首先需要通过技术手段了解“什么人，通过哪些IP，在哪些境外区域，通过哪些资产，访问了哪些个人敏感数据？”，这是实现企业数据合规的第一步。

在出境数据访问或调用的过程中，API承担着数据出境传输的桥梁作用，其安全状态直接关系着个人信息出境安全。

原标题：《要点解读：《个人信息出境标准合同办法》今年6月1日起施行，企业如何应对？》

阅读原文