1

合同效力与文本不可编辑性

暂无约定

第2条：除提供额外保护措施外，不可更改。

2

第三方受益人权利

第二条第（三）款：30天内个人信息主体不拒绝，则自动成为标准合同的第三方受益人；

第五条：个人信息主体可以以第三方受益人身份行使合同中关于个人信息保护的权利；

第六条第（三）款：境外接收方需接受个人信息主体作为第三方受益人行使权利的主张；

第八条第（三）款：个人信息主体作为第三方受益人有权获赔；

第3条：可就GDPR下规定的数据主体权利向数据出口方和/或进口方提出主张。

3

排他性效力

第九条第（一）款：与双方之间其他既有协议冲突的，本合同条款优先适用。

第5条：与双方签订SCCs时既有以及将来签订的协议有冲突的，本合同优先适用。

4

可加入性

暂无约定

第7条：其它第三方可以通过签署方式加入本合同条款。

5

数据安全保障

目的限制

前言：双方按照附录一“个人信息出境说明”所列约定开展与个人信息出境有关活动。

第8.1条：只得按照附录I约定特定目的处理传输的个人数据。

6

透明度/知情权

第二条第（二）款：境内处理者已向个人信息主体告知境外接收方名称、联系方式、出境说明，以及行使权利的方式和程序，取得单独同意；敏感信息告知了必要性和对个人影响；未成年人信息取得了监护人同意。

第二条第（八）款、第三条第（二）款：各方根据信息主体要求向其提供本合同副本。

第8.2条：告知数据进口方主体与联系方式、收集与处理的个人数据种类、获取SCCs副本的权利。

7

数据准确性

暂无约定

第8.3条(a)&(b)：各方均需保持数据准确和及时更新。

8

最小原则

第二条第（一）款、第三条第（三）款：出境范围仅限于实现处理目的的最小范围。

第8.3条(c)：数据进口方需保证个人数据的充分、相关及仅限于实现处理目的而必须。

9

存储期限

第三条第（四）款：必要最短，到期后删除或匿名化，并向境内处理者提供审计报告，除非取得信息主体关于存储期限的单独同意。

第8.4条：不超过为实现目的的期限，到期后采取技术或管理措施进行处理，包括删除或匿名化。

10

处理安全

第二条第（四）款：境内数据处理者应尽合理努力确保境外接收方采取如下技术和管理措施：加密、匿名化、去标识化、访问控制等。

第三条第（五）款：境外接收方采取技术管理措施防止数据泄露；定期检查以确保措施维持适当安全水平；确保人员保密义务，建立最小授权访问控制策略；

第三条第（六）款：数据泄漏时，境外接收方应当：及时采取补救措施并减轻对信息主体的不利影响；立即通知境内个人信息处理者，并上报监管机构；根据法律法规要求通知信息主体；记录并留存与数据泄露有关的事实与影响，包括采取的补救措施。

第8.5条(a)：各方采取技术或管理措施防止个人数据泄露；

第8.5条(b)：定期检查以确保措施维持适当安全水平；

第8.5条(c)：确保人员保密义务；

第8.5条(d)：数据泄漏时，数据进口方采取适当措施应对，包括减小可能的损害；

第8.5条(e)&(f)：数据泄露可能损害自然人权利和自由时，数据进口方需要及时通知数据出口方以及主管机构；

第8.5条(g):数据进口方需要记录与个人数据泄露相关的所有事实，包括采取的补救措施并保有一份记录。

11

敏感数据

第二条第（二）款：境内处理者告知数据主体相关数据出境的必要性以及对个人的影响；

第二条第（四）款、第三条第（五）款第1项：境内处理者和境外接收方根据数据敏感程度采取不同的技术和管理措施，如加密、匿名化、去标识化、访问控制等。

第8.6条：数据进口方应当采用特殊限制和/或增加额外的安全保障以适应数据的特性和风险，包括限制人员访问权限，如假名化等额外安全措施和/或针对进一步披露的限制。

12

向其他第三方提供/再转移

第三条第（七）款：不将个人信息提供给位于中国境外的第三方，除非同时满足以下要求：确有业务需要提供，已充分告知第三方身份、联系方式、处理目的、处理方式、个人信息种类和行使权利的方式和程序等、并取得单独同意，涉及敏感信息的告知了必要性和对个人影响，涉及未满14岁未成年人信息的取得了监护人同意，与第三方达成了书面协议、以保障第三方对个人信息保护水平不低于中国规定的标准且承担连带责任，向境内个人信息处理者提供该协议副本。

第8.7条：除非位于欧盟以外的第三方已经签署或同意受到SCCs的约束，或满足以下条件，否则数据进口方不得向其再转移披露相关个人数据：位于得到充分性认定的国家，根据GDPR第46-47条（SCCs、认证机制、BCRs）采取了充分保障措施，签署了具有约束力的且不低于SCCs保护水平的工具，为了支持针对特定行政、监管或司法程序的法律诉求，为了保护数据主体或其他自然人重要利益之必须，或不满足以上任一情况但数据进口方在充分告知数据主体的情况下得到其同意、且告知数据出口方以上信息并根据其请求提供一份告知信息的拷贝。

13

记录、监管与披露

第二条第（六）款：对于监管机构的问询，一般由境内数据处理者答复，除非双方一致同意由境外接收方答复的。

第二条第（十）款：境内处理者应向监管机构提供审计结果、资质认证情况。

第三条第（十一）款：境外接收方应当客观记录个人信息处理活动，并保存记录至少3年；根据法律法规要求向监管机构提供记录。

第8.9条：各方都需要保有能够展示自己遵照条款约定的记录；特别地，数据进口方需要保持关于数据处理活动的记录，并确保监管机构需要时可以查阅。

第13条（合作）：数据进口方同意受根据GDPR所确定的合适监管机构的管辖并与其合作以确保遵守SCCs。特别的，数据进口方同意回应监管部门的询问、接受审计和遵守其采取的措施，包括损害赔偿和补偿措施，并向监管机构提供书面证据以证明采取了必要措施。

第15.1条（通知）：

(a): 数据进口方应在以下情况下立即通知数据出口方，可能的话也需要及时通知数据主体：当局根据所在地有约束力的法律法规要求披露SCCs下的个人数据，或者意识到当局根据目的地法律可以直接访问SCCs下的个人数据;

(b): 如果目的地法律禁止数据进口方开展上述通知，数据进口方应尽最大努力获得针对禁令的豁免，并记录下此种努力，以便向数据出口方提供证明；

(c): 在目的地国法律允许的情况下，数据进口方同意定期向数据出口方提供尽可能多的关于收到请求的相关信息；

(d): 数据进口方同意在合同期内保存上述信息，并根据请求向监管部门提供；

(e): 本条下的通知义务不影响数据进口方在第14条下的告知义务。

第15.2条（合法性审查以及数据最小化）：

(a): 数据进口方同意审查披露请求的合法性，特别是上述请求是否属于当局的权力范围内；如果根据目的地国法律、所适用的国际法义务和国际礼让原则，经过仔细评估后认为有合理理由相信该请求是非法的，则应当对该请求提出质疑；数据进口方应寻求上诉的可能性；在此期间，数据进口方应寻求临时救济，以期在当局对案情作出实质性决定之前暂停执行请求；在适用的程序规则要求披露之前，数据进口方不应披露所请求的个人数据。

(b): 数据进口方同意记录上述质疑，并在目的地国法律允许范围内向出具出口方、和/或根据请求向监管机构提供。

(c): 数据进口方同意，在回应请求时，应根据对请求的合理解释，提供允许范围内最少量的数据。

14

次级处理者使用/转委托处理

第三条第（八）款：境外接收方受托处理个人信息转委托第三方处理时，事先征得境内处理者同意；确保转委托第三方不超出约定的处理目的和方式等处理个人信息，并对该第三方处理活动进行监督。

第9条（以控制者-处理者模块为例）：事先征得数据出口方同意（具体同意和概括性同意），与次级处理者签署书面协议并实质性约定不低于SCCs保护水平的合同义务，并确保次级处理者遵守相关约定，根据数据出口方的请求提供一份协议副本，对次级处理者的处理行为全权负责，并与次级处理者就第三方受益人条款达成约定。

15

自动化决策/用户画像

第三条第（九）款：利用个人信息进行自动化决策，应当保证透明度和结果的公平、公证，不存在价格歧视等不合理差别待遇；通过自动化决策进行信息推送、商业营销，同时提供不针对个人特征的选项，或提供便捷的拒绝方式。

第10条(c): 数据主体拒绝以营销为目的的处理活动时、停止相关处理;

(d)除非得到数据主体或所在国法律明确授权、不得进行可能产生法律效力或类似显著影响的自动化决策，除非告知数据主体可能的自动化决策、后果和相关逻辑，或采取适当的措施使得数据主体可以对自动化决策提出异议、表达观点并进行人工复查。

16

数据主体权利

第五条：

第（一）款：个人信息主体享有知情权、决定权、限制或拒绝处理的权利、查阅权、复制权、更正与补充的权利、删除权，以及要求解释个人信息处理规则的权利；

第（二）款：个人信息主体提出行使权利请求时，境内处理者应当采取措施或向境外接收方提出请求实现；

第（三）款：境外接收方应根据通知或请求在合理时限内实现个人信息主体权利的行使；

第（四）款：对于要求过多或不合理的，尤其是重复性要求，境外接收方可以考虑成本，收取合理费用或拒绝请求；

第（五）款：境外接收方拒绝个人信息主体行使权利请求的，应当说明原因，个人信息主体可以向监管机构投诉或寻求司法救济；

第（六）款：个人信息主体可以作为第三方受益人向任意一方主张并要求履行本合同项下与个人权利相关的部分条款。

第10条：

(a): 数据进口方应当在数据出口方适时适当协助下，及时响应数据主体关于处理其信息活动和行使权利的问询或请求；所有提供的信息需要以通俗易懂且便捷的方式，并使用通俗直白的语言；

(b): 数据进口方应当免费向数据主体：确认与其相关的数据是否正在处理、是否再转移、再转移相关的信息及向监管机构投诉的信息，更正不正确或不完整的数据，如果侵犯了第三方受益人权利或撤回同意的、删除相关数据；

(e): 对于数据主体繁多、尤其是重复的请求可以考虑成本后收取合理费用或拒绝请求;

(f): 可以基于GDPR第23条第1项拒绝相关行使权利请求的；

(g): 数据进口方如果拒绝数据主体行使权利要求的，应当告知数据主体理由以及向监管部门提出投诉和/或寻求司法救济的途径。

17

救济与告知

第六条：

第（一）款：境外接收方需确定联系人并告知境内处理者，以简单易懂方式，通过单独通知或网站公告的方式告知个人信息主体；

第（二）款：互相通知关于合同遵守的争议，并合作解决；

第（五）款：境外接收方同意个人信息主体的维权选择不会减损其寻求其他救济的实体性或程序性权利。

第11条：

(a): 数据进口方应当通过单独通知或网站的方式，以透明和便于访问的方式告知数据主体得到授权可以及时处理投诉的联系人；

(b): 互相通知关于条款遵守的争议，并合作解决；

(d): 各方同意数据主体可以由非盈利实体、组织或协会根据GDPR第80条第（1）款规定的条件代理；

(f):数据进口方同意数据主体的选择不会减损其根据适用法律寻求补救的实质性和程序性权利。

18

违约责任

第八条：

第（一）款：双方应就违约给对方造成的损害向对方承担责任；

第（二）款：双方之间的责任限于非违约方所遭受的损失；

第（三）款：每方因违约而侵害个人信息主体作为第三方受益人权利的，应对其承担责任；个人信息主体有权获偿；这不影响个人信息处理者在相关法律法规下应当承担的责任；

第（四）款：境内处理者和境外接收方因违约而共同对个人信息主体造成任何物质或非物质损害的，对个人信息主体承担连带责任；

第（五）款：连带责任中的赔偿方有权向另一方追偿；

第（六）款：无论何种情况，境内内处理者都需就境外处理者因违约而对个人信息主体造成的损害负责，个人信息主体有权向境内处理者主张损害赔偿责任；

第（七）款：在第（六）款下，境内处理者有权向境外接收方追偿。

第12条

(a): 各方应就其违约而给另一方造成的任何损失承担责任；

(b): 各方应对数据主体承担责任，该方因违反SCCs规定的第三方受益人权利而给数据主体造成任何物质或精神损失，数据主体有权获偿；这不影响数据出口方根据GDPR应该承担的责任；

(c): 如果不只一方应对违约而给数据主体造成任何损害的，所有责任方应承担连带责任，数据主体有权在法院对任何一方提起诉讼；

(d): 连带责任中的赔偿方有权向其他方追偿；

(e): 数据进口方不得以处理者或次级处理者的行为为自己的责任开脱。

19

当地政策/影响评估

《标准合同规定》第五条：个人信息处理者向境外提供个人信息前，应当事前开展个人信息保护影响评估。

标准合同第四条：

第（一）款：双方保证，经过合理努力仍不知晓境外接收方所在地的个保法规（包括要求提供个人信息或公共机关访问的规定），会阻止境外接收方履行合同义务；

第（二）款：作出上述保证时，双方已经考虑了：出境的具体情况、境外接收方所在地的个保法律法规及普遍使用的标准、境外接收方安全管理制度和技术手段保障能力；

第（三）款：境外接收方保证，在进行上述评估时已尽最大努力为境内处理者提供了必要的相关信息；

第（四）款：双方应记录评估过程和结果；

第（五）款：因境外接收方所在地政策法规发生变化导致其无法履行合同的，应立即通知境内处理者。

第14条：

(a): 双方保证，他们没有理由相信，目的地适用于数据进口方处理个人数据的法律和惯例，包括披露个人数据或授权公共机关查阅的要求，会妨碍数据进口方履行SCCs下的义务。该理解基于当地法律和惯例与SCCs不相抵触，本质上是尊重基本权利和自由的，且没有超越民主社会为保障GDPR第23条第（1）款所列目标之一的必要性和合理性。

(b): 作出上述保证时，各方特别考虑了以下因素：转移的具体情况，目的地的法律和惯例、适用的限制、保障措施（包括向当局进行披露或授权当局访问的法律和惯例），为补充SCCs要求的保障措施而采取的合同、技术或组织保障手段；

(c): 数据进口方保证，在进行上述评估时已尽最大努力向数据出口方提供相关信息，并同意将与出口方合作，确保遵守SCCs；

(d): 各方同意将上述评估记录在案，并根据请求向主管监管部门提供；

(e): 合同期内，数据进口方有理由相信将受到或已受到与(a)款不一致的法律法规约束的，包括目的地法律发生变化或有措施（例如披露要求）表明当地法律不符合(a)款要求的，应立即通知数据出口方；

(f): 数据出口方接到上述通知后，有理由相信数据进口方不能再履行义务的，应立即确定将采取的适当措施加以应对；如果数据出口方认为没有合适的措施或受到监管机构要求的，应当暂停数据转移；此情形下，数据出口方应当终止合同；如果合同涉及多方的，数据出口方只能对违约方行使这一终止权，除非另有约定。

20

解约

第七条：

第（一）款：如果境外接收方违约，境内处理者可以暂停传输个人信息，直至违约行为被更正或合同终止；

第（二）款：有以下情形之一的，境内处理者有权解约，必要时通知监管机构：根据上一款暂停传输超过一个月，境外接收方遵守合同将违反其所在地法律规定的，境外接收方严重或持续违约的，境外接收方主管法院或监管机构作出的终局决定、境外接收方或境内处理者违约的，境外接收方破产解散或清算的；上述第1、2、4种情况，境外接收方也可以解约；

第（三）款：根据监管决定（如出境安全评估等），本合同无法执行的，任意一方均可解约；

第（四）款：双方合意解约的，合同解除并不免除信息处理活动中的个人信息保护义务；

第（五）款：解约时，境外接收方应及时返还、销毁或匿名化所接收到的个人信息，并提供审计报告。

第16条：

(a): 数据进口方无法遵守SCCs应立即通知数据出口方；

(b): 数据进口方违约或无法遵守SCCs时，数据出口方应当暂停转让，直至再次确保遵守或终止合同；

(c): 有以下情形之一的，数据出口方有权解约：根据上一款暂停传输超过一个月而仍未改正的，数据进口方严重或持续违约的，数据进口方未能遵守适格法院或监管部门关于SCCs下具有约束力的决定的；该种情况下，数据出口方应当通知主管监管部门；如果合同涉及多方，除非另有约定，数据出口方只得针对违约方行使解约权；

(d): 应根据数据出口方的选择，将已转移的个人数据全部返还给数据出口方或删除，包括任何副本，并提供相关证明；数据被删除或归还之前，数据进口方仍应遵守SCCs；如果适用于数据进口方的法律禁止归还或删除，则数据进口方保证将继续遵守SCCs，并仅在当地法律规定的范围内和时间内处理数据；

(e): 以下情况任何一方均可解约：欧盟委员会根据GDPR第45条第3款通过一项关于SCCs下数据转移的决定（“充分性认定”），或GDPR成为目的地法律框架的一部分。

21

适用法律

第六条第（三）款：境外接收方接受个人信息主体向监管机构投诉或按照中国《民诉法》提起诉讼；

第六条第（四）款：境外接收方同意与个人信息主体的争议适用中国法律；

第九条第（二）款：本合同适用中国相关法律。

第11条(e): 数据进口方应当遵守根据欧盟成员国法律有约束性的决定。

第17条：SCCs受数据出口方所在地法律管辖；如该地法律不允许第三方受益人权利，则应指定另一允许第三方受益人权利的欧盟成员国法律作为适用法律。

22

管辖

第九条第（四）款：个人信息主体作为第三方受益人提起诉讼的，适用中国《民诉法》规定确定管辖；

第九条第（五）款：双方因合同产生的纠纷或任意一方因先行赔偿个人信息主体而向另一方追偿的，可以选择《纽约公约》成员的仲裁机构进行仲裁或中国有管辖权的法院诉讼。

第11条(c): 当数据主体援引第三条下的第三方受益人权利时，数据进口方应当接受数据主体：向适当的监管机构投诉、将争议提交给第18条规定的法院（欧盟成员国法院）；

第18条：由约定的欧盟成员国法院进行管辖；数据主体可以在其居住地的成员国法院对数据出口方和/或数据进口方提起法律诉讼。