最新跨境传输合规 跨境技术服务合同(大全3篇)

随着人们对法律的了解日益加深，越来越多事情需要用到合同，它也是减少和防止发生争议的重要措施。那么合同应该怎么制定才合适呢？这里我整理了一些优秀的合同范文，希望对大家有所帮助，下面我们就来了解一下吧。

跨境传输合规 跨境技术服务合同篇一

标准合同明确适用于向传输个人信息的情形。

对于“个人信息处理者”，标准合同采用与《个人信息保护法》下相同的含义。与欧盟gdpr不同的是，我国《个人信息保护法》将“个人信息处理者”定义为“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”，基本可以类比于欧盟gdpr下的控制者（controller）而非处理者（processor）的概念。据此，标准合同排除了受委托处理个人信息的主体向境外传输个人信息的情形，对于此类情形而言，应当由相应的个人信息处理者与境外接收方签订合同。较为典型的场景为，云服务提供商接受云租户的指示向境外主体传输个人信息，应由云租户与境外主体签订标准合同，而云服务商无需签订。

对于“境外接收方”，标准合同将其定义为“位于_境外并自个人信息处理者处接收个人信息的组织或个人”，并未对其是否属于《个人信息保护法》下的“个人信息处理者”做出限定。因此，可以理解为，该“境外接收方”既可能是我国《个人信息保护法》下的个人信息处理者，也有可能是受上述个人信息处理者委托处理个人信息的受委托处理者。但是，从双方责任义务的描述（见下文“3.标准合同双方责任义务”）来看，标准合同特别对境外接收方属于受个人信息处理者委托处理个人信息时应满足的义务做出单独规定，这表明，境外接受方作为个人信息处理者身份和作为受委托处理者时，应履行的合规义务具有高度一致性，以及标准合同实则更多将境外接收方理解为“个人信息处理者”。

此处与欧盟的scc存在差异。无论是欧盟scc 版本（即，95指令下的分别于2001年、2004年和2010年制定的版本），还是其版本（即，欧盟委员会根据gdpr于2021年6月通过的新版本），均根据个人数据的发送方和接收方身份的不同进行了不同版本的区分。我国香港地区今年5月份发布的个人资料跨境转移建议合约条文范本，也采取了根据角色区分不同版本的模式。对此，我们认为，标准合同尽管在形式上未基于角色做出版本区分，但实质初步达到了合同双方各自明确自身责任义务的效果。此外，实践操作中也存在同一份商业合同下，境外接收方同时具有个人信息处理者和受委托处理者双重身份的情况，此种处理方式则能够帮助避免双方签署多份合同的不便。

标准合同附录一专门对个人信息出境的基本内容进行了描述，包括个人信息主体类别、传输目的、个人信息数量、个人信息类别、敏感个人信息类别、再传输接收方、传输方式、存储时间和地点等。其中，出境个人信息和敏感个人信息类别参考推荐性国标《信息安全技术 个人信息安全规范》（gb/t 35273）和相关标准。

对于传输个人信息和敏感个人信息的数量，如前所述，由于适用通过签订标准合同的方式向境外提供个人信息的情形包括：自上年1月1日起累计向境外提供未达到10万人个人信息和未达到1万人敏感个人信息，因此，该数量应当限于此范围内。

标准合同中规定的对于个人信息处理者和境外接收方的义务分别可以总结如下表3所示。

可以看出，因为分别作为跨境传输个人信息的发送方与接收方，个人信息处理者和境外接收方均涉及对所传输个人信息的处理，因此，双方的责任和义务多数具有类似属性，包括处理个人信息应遵循的合法合规、最小必要等一般性原则，以及所负有的对个人信息主体的知情同意、安全保护义务，和对监管部门的响应、提供必要信息的配合义务。

然而，由于二者在获取个人信息的链条上分属上下游关系，分别面对的是个人信息获取源头（个人信息主体）和个人信息再传输下游（如有），因此，二者亦存在责任和义务上的特殊之处。这些特殊义务包括：

跨境传输合规 跨境技术服务合同篇二

网络信息技术重塑了数据、信息和知识的商业价值和社会功能。审视国内外近年来的立法趋势，个人信息保护和数据安全评估显然已经成为各国立法者首要关注的规范议题。即便是以商业利益为优先考虑的美国，在联邦和州政府层面，也先后制定了有关个人信息、商业数据使用限定条件的规范性文件。虽然各国立法者对“数据安全”的概念和外延存在差异化认知，但在具体的立法活动中，欧盟《通用数据保护条例》(以下简称“gdpr”)《日本个人信息保护法》《巴西通用数据保护法》等规范性文件均是围绕“数据安全”与“数据利用”两种法益的平衡方案予以展开。并且，在个人信息保护立法体系趋于成熟之后，数据安全立法的重心也在发生转变，即从法律效力层级的制度框架转向行政法规层级的具体机制细化。在这一转变过程中，数据安全出境的立法问题自然而然地呈现于立法者面前：既满足我国“国家安全”和“数据安全”立法目标，又不会对数据跨境传输的商业活动造成非必要阻碍的数据跨境流动监管制度该如何建构?

现阶段，学界有关数据跨境流动制度的理论探讨主要聚焦于两个层面：一是在制度设计层面，我国数据跨境流动监管体系结构的建构多以欧盟gdpr中规定的“充分性保护”认定机制为基础，主张我国应当借鉴欧盟模式，建立数据出境安全评估制度、数据跨境传输合同标准化等具体制度；二是在国际法层面，探讨我国数据跨境传输监管制度的对外效力，以及我国如何在国际数据跨境传输规则制定过程中争夺话语权，包括我国应当如何充分衔接国内法与国际法规则，避免外国以“长臂管辖”规则为由指责和干涉我国数据安全监管活动。不难发现，这两种研究趋势的重心均集中于具体制度建构，其原因在于数据跨境传输监管问题在很大程度上是有关数据如何安全地传输以及将数据传输过程如何纳入有效的行政监管框架内。然而，具体制度的建构依然需要在理论层面回应这些制度模式的选择依据和正当性基础。

我国《数据出境安全评估办法(《征求意见稿》)》(以下简称《征求意见稿》)已于近期公布。《征求意见稿》第8条规定了我国数据出境安全评估的重点事项，即在跨境数据传输时，要求数据处理者与境外接收方就订立合同是否充分约定了数据安全保护义务进行说明。第9条更是细化了“充分约定”的判断标准，对合同应当约定的必要事项进行列举。合同条款标准化一直被认为是数据跨境传输领域的有效监管工具，欧盟gdpr将标准化合同条款(scc)嵌入了跨境数据流动的全过程，原因在于该项机制既能实现监管者对于数据跨境传输重要事项的直接审核，也能基于违约责任督促数据处理者积极履行数据安全保护义务。当然，先前提及的如何建构满足安全立法目标且实现数据充分流动的制度建构问题仍然存在于该领域，其在理论层面有三类问题需要予以阐明。

第一，欧盟模式与我国合同“充分约定”模式之间存在何种关联性?从现有条款来看，我国仅对合同内容约定事项作出强制性要求，并没有对具体的合同条款作出限定。结合《征求意见稿》第8条内容来看，数据处理者与境外接收方订立的合同仅是数据出境安全评估的评估对象。而欧盟模式所建构的标准化合同条款(scc)则是在“数据接收方在不满足gdpr要求的‘能够提供与欧盟同等保护水平’”情形时，数据处理者与数据控制者可以选择的“替代方案”。两相比较，无论是在数据跨境传输制度的体系结构层面，还是在合同内容限定层面，两种合同标准化模式特征差异明显，这是否意味着我国的数据跨境传输合同监管模式需要遵循另一套理论逻辑?

第二，《征求意见稿》第8条、第9条的“充分约定”应如何理解?这究竟是有别于欧盟模式的中国数据安全立法逻辑之特点，还是需要在解释论和制度论层面对标准化合同机制予以进一步明确?虽然《征求意见稿》言明了数据跨境传输合同标准化的制度路径以及合同内容的类型化，但在实施层面，数据处理者在合同中约定了诸如“数据出境目的、方式和传输范围”“数据境外保存地点、期限”“限制再传输的约束条款”等内容，但这不等于数据处理者符合这些要求就已经满足了数据出境安全评估所要求的数据安全风险防范标准。事实上，《征求意见稿》第8条、第9条提供的仅是合同标准化的基本路径，监管机构仍然需要提供一套类似政府采购合同、保单标准化模式的类型化数据跨境传输合同范本，并且要能够与《数据安全法》第21条规定的重点数据目录和数据分类分级制度衔接。

第三，我国数据跨境传输合同标准化机制的调整范围和体系定位究竟如何解释?我国现行立法有关数据安全评估的制度内容包括业务评估、出境评估、事件评估、自评估、年度评估等内容，在这些评估机制尚未体系化之前，是应当按照《征求意见稿》的第8条的规定将数据跨境传输合同标准化机制视为出境评估的事项之一，还是应当将合同标准化机制置于所有类型的数据出境制度背景下，将其上升至与安全评估机制相平行的监管制度?

跨境传输合规 跨境技术服务合同篇三

个人信息的处理目的、处理方式等是否合法、正当、必要；

处理个人信息的目的、方式等的合法性、正当性、必要性；

对个人权益的影响及安全风险；

个人信息出境可能对个人信息权益带来的风险；

所采取的保护措施是否合法、有效并与风险程度相适应。

以及履行责任义务的等能否保障出境个人信息的安全；

可能影响个人信息出境安全的事项。

可见，标准合同征求意见稿第5条作为个保法第56条的落地实施细则，就评估内容提出的要求更为精细和具体，实现了对个人信息主体权利更为全面的保护，同时也对采用标准合同方式从事个人信息跨境转移的个人信息处理者提出了更高的合规要求。

四、当事人能否修改标准合同条款

标准合同征求意见稿为从事个人信息跨境转移业务的个人信息处理者提供了统一的数据出境合同模板，但企业能否为个人信息跨境转移设计个性化条款以满足生产经营需求、能否约定排除标准合同中部分条款的适用等问题也随之而来，本章将结合规定对此做出分析。