《个人信息保护法》第三十八条规定了“两类四种”个人信息出境方式：一类是个人信息处理者因业务等需要，确需向境外提供个人信息的，应该具备“安全评估”“个人信息保护认证”“标准合同”三种条件之一；另一类是我国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的，可以按照其规定执行。

而《办法》则是继《数据出境安全评估办法》之后，第二部落实《个人信息保护法》上述规定的专门性部门规章，主要明确了标准合同范本，并对标准合同的适用范围、订立条件和备案要求等方面做出了具体说明。

根据《办法》第4条，一般情况下，个人信息处理者仅在同时符合下列情形的情况下，方可通过订立标准合同的方式向境外提供个人信息：

可以看出，订立标准合同的方式更适合规模较小或个人信息处理量较少的企业。对于境外银行而言，通常其个人信息处理量较少，但在以下情况下，仍有可能涉及个人信息出境，因此标准合同这一机制为境外银行提供了合适的个人信息出境渠道：

根据《办法》的规定与我们的项目经验，境外银行的境内分行需按照以下步骤进行个人信息出境：

1. 确认是否可通过订立标准合同的方式进行个人信息出境

根据《办法》第4条规定，只有在满足4项条件的情况下才可通过订立标准合同的方式进行个人信息出境。结合《数据出境安全评估办法》的适用情形可以看出，对于具有特定身份，或个人信息处理量大的企业，一旦落入《数据出境安全评估办法》的适用范围，则应依法申报数据出境安全评估。因此，境内分行应首先对需传输的境内数据量进行评估，如不符合《办法》第4条规定条件的，则不能通过订立标准合同的方式进行个人信息出境。

2. 开展个人信息保护影响评估

《办法》第5条规定，个人信息处理者向境外提供个人信息前，应当开展个人信息保护影响评估（“PIA”）。由于PIA是个人信息出境的重点环节，我们会在后文重点分析。

3. 在标准合同范本基础上协商签约

《办法》第6条规定，标准合同应当严格按照范本订立。但是，双方可以在范本的基础上约定与其文本不相冲突的其他条款。就境外银行而言，在常见的业务场景中，境内个人信息的提供方通常为境内分行，由于境内外分行属同一集团，我们理解通常不会因标准合同的协商产生分歧。但我们也建议如有需要，双方对义务的约定、责任的划分等重点条款进行补充约定，以避免后续不必要的纠纷。

4. 备案要求

《办法》第7条明确了个人信息处理者应当在标准合同生效之日起10个工作日内将标准合同和个人信息保护影响评估报告向所在地省级网信部门备案。且若在标准合同有效期内，出现如所提供的个人信息范围、种类、期限等发生变化的，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行备案手续。

1. 如何开展PIA

PIA是个人信息出境过程中的重要环节。就目前而言，开展PIA可参考的国家标准主要有《信息安全技术 个人信息安全规范》以及《信息安全技术 个人信息安全影响评估指南》，其对个人信息安全影响评估的场景和框架、评估流程、评估的具体实施方式等进行了详细的说明；而《信息安全技术 数据出境安全评估指南(征求意见稿)》则对个人信息及数据出境的安全评估流程、要点和方法进行了说明。

根据上述国家标准文件，境外银行的境内分行（作为境内的个人信息处理者）在进行PIA时，应重点关注以下五点内容：（1）处理目的与合法性基础；（2）告知与同意；（3）数据全生命周期对个人信息处理行为的合规风险；（4）个人权利响应；和（5）安全保障措施。

而评估流程方面则主要如下：

由于PIA涉及内容较多，为避免评估流于形式，境内分行可考虑选聘外部第三方（如律所、技术咨询机构）协助PIA开展。此外，根据《办法》第5条规定，PIA内容还应包括“境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响”。因此，PIA的工作还依赖于境外律师的配合与合作，对境外银行个人信息保护能力，及其所在国家/地区个人信息保护法律法规进行整体评估。

2. 境外接收方的义务

除PIA的开展外，境外接收方的义务也是境外银行在进行境内个人信息出境过程中应关注的重点问题。

标准合同范本中第三条的“境外接收方的义务”部分规定了具体的境外接收方义务，包括个人信息保存期限及过期删除要求，对数据采取加密、匿名化等技术和管理措施，以及要求境外接收方同意接受监管机构（网信办）的监督管理。因此，境外银行在进行境内个人信息出境前，应充分了解所需履行的义务。如有部分义务无法满足规定要求的，应重新考虑个人信息出境的必要性以及是否存在其他替代方案。

由于境外银行通常个人信息出境规模较小，标准合同制度的落地为境外银行的数据出境提供了适用的途径，不仅提高了商业效率，同时也明确了个人信息保护义务的履行标准。而境外银行在进行数据出境的过程中，应重点关注PIA的开展及境外接收方的义务，以保证业务合规。