我们是一家与国外有生意往来的企业,我们应当如何办理个人信息标准合同的签订和备案?

答:目前,个人信息标准合同签订和备案应当是绝大部分企业包括内资和外资企业必须执行的个人信息出境合规的渠道。

签订合同与登记备案的流程是根据《个人信息出境标准合同办法》的规定。总的来说,我们建议企业至少预估三到四个月的准备时间,以充分安排和完成下述工作。(一)事前评估:个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估。个人信息保护影响评估报告为向网信部门备案的必备材料。(二)自主缔约:个人信息处理者可以根据国家网信办提供的标准合同范本自主订立个人信息出境合同。(三)事后备案:个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案,备案时应递交签署后的标准合同以及个人信息保护影响评估报告。(四)重新评估及缔约、备案:在标准合同有效期内出现需要重新评估的情形时,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续。

《个人信息出境标准合同》是个人信息处理者(例如在中国的外资企业)与境外的个人信息接受者(例如母公司)签订合同,规范个人信息从中国出境。这个合同规定了个人信息离开中国应当获得个人信息主体的同意,境外接受者应当承担相应的义务(例如不得超过合同约定的使用范围使用该个人信息、以及接受中国网络信息安全管理部门的询问、调查等),双方应当向个人信息主体提供该合同的副本,个人信息主体有什么权利(包括投诉起诉的权利),以及双方可以约定中国法院或国际仲裁机构解决涉及该合同的争议等。双方可以在合同中增加条款,但这些条款不得与标准合同相冲突。个人信息处理者在合同签订后十天内应向省级网络信息管理部门登记备案。

需要注意的是,《个人信息出境标准合同办法》第十三条要求的个人信息数据出境签订标准合同的合规过渡期应在2023年12月31日前完成。也就是说,如果在2024年1月1日没有与境外数据接收人签订个人信息标准合同的而将你公司某员工的表现发给境外总部,就应当构成违反个人信息出境的规定。