标准合同
个人信息出境标准合同(Standard Contract for Outbound Transfer of Personal Information,简称 China SCC)是依据中国 PIPL 制定的一种数据出境合规机制。它允许未达到国家级“安全评估”门槛的数据处理者,通过与境外接收方(如跨国药企总部)签署一份由国家网信办 (CAC) 统一制定的标准法律文本,来满足数据出境的合规要求。企业在签署该合同并生效后,必须在 10 个工作日内向所在地省级网信部门进行备案。对于大多数受试者规模在 1 万人以下的多中心临床试验 (MRCT),签署并备案标准合同是目前最主流的数据出境路径。
适用门槛:谁可以走 SCC?
根据 2024 年 3 月发布的《促进和规范数据跨境流动规定》,只要未达到必须申报“安全评估”的高门槛,且不属于豁免申报的极少量情形,都需要走 SCC 备案。
符合以下所有条件的企业,应选择 SCC 备案:
- 不是关键信息基础设施运营者 (非 CIIO)。
- 自当年 1 月 1 日起,累计向境外提供敏感个人信息(如患者数据)少于 1 万人。
(注:绝大多数临床试验都符合此条) - 自当年 1 月 1 日起,累计向境外提供非敏感个人信息少于 100 万人。
合同内容:官方模板,不得修改
与商业合同不同,China SCC 是一份格式合同。企业必须严格按照网信办发布的模板签署,不得修改核心条款,只能在附录中填写具体信息。
| 主要条款 | 核心义务 |
|---|---|
| 出境目的与范围 |
必须详细列出所有出境数据的类型(如:受试者ID、不良反应记录)、敏感程度及境外接收方的处理用途。 |
| 境外接收方义务 |
境外方(如美国总部)承诺受到中国法律管辖,若发生数据泄露,必须通知中方并采取补救措施。 |
| 个人信息主体权利 |
赋予中国受试者第三方受益人权利。受试者可以直接起诉境外的接收方,要求赔偿。 |
China SCC vs. EU SCC
跨国药企常需同时处理中国和欧洲的数据,了解两者的差异至关重要。
- 备案要求:
• China SCC: 签署后必须向政府(网信办)备案,包括提交 PIA 报告。
• EU SCC: 通常只需企业内部签署留存,以备检查(除非通过 BCR 等其他机制)。 - 适用法律:
• China SCC: 争议解决必须适用中国法律。
• EU SCC: 适用欧盟成员国法律。 - 再传输 (Onward Transfer): 两者都严格限制接收方将数据转给第三方,China SCC 要求必须通知个人信息处理者并重新取得同意(如果是敏感信息)。
合规实操建议 [Practical Guide]
Step 1. 自评估 (PIA): 在签署合同前,必须完成《个人信息保护影响评估》。重点评估出境的必要性和境外接收方的安全保障能力。
Step 2. 签署合同: 使用网信办官方模板。注意,对于临床试验,申办方(Sponsor)和 CRO 往往都需要作为数据处理者分别或共同签署。
Step 3. 网上备案: 在合同生效 10 个工作日内,登录国家网信办的数据出境申报系统提交材料。