我国《个人信息保护法》对个人信息出境规则作了基础性规定，按照国家网信部门制定的标准合同与境外接收者订立合同是个人信息出境的法定途径之一。作为配套制度的《个人信息出境标准合同办法》（以下简称“《标准合同办法》”）于2023年6月1日正式施行。前日（2023年5月30日），国家网信办发布了《个人信息出境标准合同备案指南（第一版）》（以下简称“《备案指南》”），对个人信息出境标准合同备案方式、备案流程、备案材料等具体要求作出说明。结合以上相关规定和通过网信部门了解到的情况，我们就个人信息出境标准合同备案相关工作作如下提示或建议，供个人信息处理者参考。

个人信息处理者在判断自身是否适用签订标准合同方式向境外提供个人信息时，应事先评估业务场景是否属于个人信息出境行为，《个人信息保护法》和《备案指南》明确了以下行为属于个人信息出境行为：

律师提示：个人信息处理者在评估是否属于个人信息出境行为时，应重点判断出境信息是否属于法律意义上的个人信息（判定标准参考GB/T 35273《信息安全技术个人信息安全规范》和相关标准）、信息提供主体是否是个人信息处理者本身、信息提供方式是否符合出境行为之一。

在确定属于个人信息出境行为，且没有可行性替代方案后，个人信息处理者应对自身是否适用通过订立标准合同方式出境个人信息进行充分评估。《标准合同办法》第四条规定，个人信息处理者通过订立标准合同的方式向境外提供个人信息的，应当同时符合下列情形：

律师提示：

1.“处理个人信息不满100万人的”不是指出境个人信息不满100万人，而是指个人信息处理者日常业务所处理的个人信息量级达到100万人，若个人信息处理者“掌握”100万及以上人的个人信息，无论业务涉及出境的个人信息是否达到100万人，均不适用签订标准合同方式出境，应当通过申报数据出境安全评估方式出境。

2.个人信息处理者不得采取数量拆分等手段进行规避。

根据《标准合同办法》《备案指南》的规定，除了与境外接收者签订的《标准合同》需要备案之外，《个人信息保护影响评估报告》也是备案的必备材料之一，也是个人信息处理者需要重点准备的材料。根据《标准合同办法》的规定，《个人信息保护影响评估报告》需要重点评估以下内容：

《备案指南》同时提供了个人信息保护影响评估报告模板，为实践评估工作提供较强的操作指引，个人信息保护影响评估报告模板框架与内容与先前发布的《数据出境风险自评估报告》模板基本一致。

律师提示：

1.鉴于《个人信息保护影响评估报告》相关内容同时也涉及《标准合同》相关条款（特别是附录一、附录二），建议两份材料同时准备，并在《个人信息保护影响评估报告》基本有定论前再签订正式的《标准合同》。

2.为确保材料的时效性和真实性，《备案指南》附件3承诺书（模板）中要求个人信息保护影响评估工作应在备案之日前的3个月内完成，且至备案之日未发生重大变化。因此，《个人信息保护影响评估报告》的有效期只有3个月，超过3个月未备案或未备案成功的，需要重新制作《个人信息保护影响评估报告》。

根据《标准合同办法》第七条、《备案指南》的规定，个人信息处理者应当在标准合同生效之日起10个工作日，通过送达书面材料并附带材料电子版的方式，向所在地省级网信办备案。具体如下：

律师提示：

1.网信部门将对备案材料作实质性审查而非形式审查，故个人信息处理者应确保备案材料所有内容真实、完整、准确和有效。《备案指南》强调，提交虚假材料的，按照备案不通过处理，并依法追究相应法律责任。

2.备案材料电子版需要通过“个人信息出境标准合同备案系统”提交，相关备案结果也将通过该系统反馈。

“个人信息出境标准合同备案系统”（PC端https://sjcj.cac.gov.cn/beian/login）已正式上线，并正式开始接受备案材料。在提交备案材料前，需完成注册。

律师提示：

1.备案系统注册时需准备备案材料的前5项，即统一社会信用代码证件影印件、法定代表人身份证件影印件、经办人身份证件影印件、经办人授权委托书（公章+法定代表人签字+经办人签字）、承诺书（公章+法定代表人签字），其中法定代表人也可作为经办人。

2. 注册申请提交后并不会立即得到注册结果，经过人工审查通过后方能注册成功。

《标准合同办法》第十三条规定，办法施行前已经开展的个人信息出境活动，不符合本办法规定的，应当自办法施行之日（2023年6月1日）起6个月内完成整改。

律师提示：

1.整改期内个人信息处理者未签署标准合同、未履行标准合同备案手续、未完成个人信息保护影响评估都属于违反《标准合同办法》的行为，应在规定期限内完成整改。

2. 鉴于标准合同出境备案的复杂性和不确定性，建议个人信息处理者应尝试研究和制定个人信息出境的替代方案，即个人信息不出境前提下的业务优化方案。如某些场景下是否可由个人信息处理者提供行为变更由个人信息主体自主提供行为。