根据《个人信息保护法》第三十八条、第三十九条、第五十五条及第五十六条的规定，个人信息处理者向境外提供个人信息的，除了需要获得个人信息主体的单独同意并完成个人信息保护影响评估（以下简称“PIA”）以外，还需要满足三项条件之一，即通过国家网信部门组织的安全评估、按照国家网信部门的规定经专业机构进行个人信息保护认证、或按照国家网信部门制定的标准合同与境外接收方订立合同。上述三项条件各有其适用情形及要求，需要企业根据个人信息跨境提供的具体场景、数据类型和数据规模等因素判断是否必须进行安全评估，如无需进行安全评估，企业应当采取何种途径完成个人信息出境。

《备案指南》对于订立标准合同的适用范围的规定与《个人信息保护法》《数据出境安全评估办法》《数据出境安全评估申报指南（第一版）》等相关法律法规、规范性文件的规定保持一致，当且仅当企业（1）不属于关键信息基础设施运营者，（2）处理个人信息不满100万人，且（3）自上年1月1日起，累计向境外提供个人信息不满10万人或敏感个人信息不满1万人的，方可适用订立标准合同的方式向境外提供个人信息。相反，如果企业经与相关部门沟通属于关键信息基础设施运营者，或处理超过100万人的个人信息，或自上年1月1日起累计向境外提供超过10万人的个人信息或超过1万人的敏感个人信息，则应当根据《数据出境安全评估办法》的规定申报数据出境安全评估。因此，企业应当首先排查自身情况是否落入必须通过安全评估的情形，方可进一步考虑选择适用订立标准合同还是进行个人信息保护认证的方式满足个人信息出境的合规要求。

在无需进行数据出境安全评估的情况下，企业可结合个人信息出境所涉及的业务场景选择委托认证机构进行个人信息保护认证或与境外接收方订立标准合同。在评估更适宜采取何种路径时，可以考虑的主要因素包括但不限于：（1）个人信息出境的业务场景和频次，如是偶发性的、针对个别事项进行短期或临时的传输，或传输的数据体量较小，则可以考虑适用标准合同的方式，如是长期的、场景较为固定的传输，考虑到个人信息保护认证证书的有效期为3年，也可以选择进行个人信息保护认证；（2）是否引入监管机构，如采用订立标准合同的方式，需要将标准合同、个人信息保护影响报告及其他证明材料递交给备案实体所在地的省级网信办进行备案，且需要通过审核后方可完成备案流程，而采用个人信息保护认证的方式，则仅需委托认证机构进行认证，无需直接引入监管机构进行审查；及（3）办理周期的长短，订立标准合同的方式流程较为简单快捷，即使将备案过程中补充材料的时间纳入考虑，按照《备案指南》规定的审核期限，在仅补充一次材料的情况下预计也可以在材料递交审核后约40个工作日完成备案，而个人信息保护认证需要按照技术验证、现场审核、获证后监督的模式进行，整体周期较订立标准合同更长，需要企业预留更加充分的时间以开展工作。

企业在初步调研、评估个人信息出境的基本情况时，应注意逐项对照《备案指南》提供的《个人信息保护影响评估报告（模板）》（以下简称“PIA模板”）的内容进行排查，覆盖PIA模板中的所有要点，包括个人信息处理者基本情况、个人信息出境涉及的业务和信息系统、出境个人信息情况、个人信息处理者个人信息保护能力情况、境外接收方情况、是否向第三方提供个人信息以及如何确保标准合同条款落实等，同时需要重点评估发现的问题和风险隐患，以及相应采取的整改措施及整改效果。在前期排查的阶段，对于是否适用强制性规定（以及不适用的一些量化的标准，如处理个人信息的数量）的分析过程、出境个人信息种类及规模的统计过程、数据中心及出境链路的相关情况、个人信息保护措施有效性证明等信息和材料，不论之后是否需要逐项写入《个人信息保护影响评估报告》中，均建议保存好相关工作记录，以便后续补充、变更备案等情形时直接调取。

《备案指南》提供了明确的备案所需材料清单，其中包括（1）严格按照《备案指南》提供的模板签署的《经办人授权委托书》《承诺书》及《标准合同》原件，以及《个人信息保护影响评估报告》原件；及（2）企业统一社会信用代码证件、企业法定代表人身份证件及备案经办人（通常为申请备案的企业的员工）身份证的影印件，上述影印件均需加盖企业公章。以下将就准备上述材料时需要注意的事项进行简要提示：

（1）标准合同签署主体

《备案指南》针对标准合同签署的主体安排并未给出明确的指示，但参照北京市网信办于2023年6月2日最新发布的《北京市个人信息出境标准合同备案指引》，如果备案的主体是作为集团公司的法人实体，其下辖多家独立的法人企业的，那么可由该集团公司作为个人信息出境标准合同签署及备案的主体。需要注意的是，备案的主体必须与标准合同境内方的签署主体一致，且该主体必须是独立法人（而非不具备独立法人地位的分公司）。上述指引与标准合同模板所秉承的以境内实体为抓手开展个人信息出境监管的理念同出一脉，如备案主体不在北京的，也可参考该上述思路向当地网信办进行咨询后再进行标准合同的订立与备案。从境外接收方的签署主体而言，原则上不同的境外接收方需要单独订立标准合同，确需合并的，应当先行与备案主体所在地的网信部门咨询后再确定签署方式。

（2）个人信息保护影响评估报告

《备案指南》提供的PIA模板的体例与《数据出境安全评估申报指南（第一版）》提供的《数据出境风险自评估报告（模板）》基本相同，主要是将出境活动的主体由数据处理者变为个人信息处理者、评估的对象从数据变为个人信息。PIA模板与《数据出境风险自评估报告（模板）》相比的主要区别在于：

a. 新增第三方机构参与评估的要求，包括需要说明第三方机构的基本情况以及参与评估的情况，并在相关内容页上加盖第三方机构公章（PIA模板第一条）；

b. 重点关注向第三方提供个人信息、落实标准合同条款、敏感个人信息处理、利用个人信息进行自动化决策的情况，以及对个人信息权益的风险（数据出境风险自评估还关注对国家安全、公共利益的风险）的情况（PIA模板第二条首段、第二条第三款及第三条第二款）；

c. 从关注订立的法律文件是否充分约定了数据安全保护责任义务，转为关注境外接收方所在国家或地区的个人信息保护政策和法规对标准合同履行的影响（PIA模板第三条第五款）；

d. 删除了部分内容，包括不再要求对数据进行分类分级（PIA模板第二条第四款），也不要求说明法律文件约定数据安全保护责任义务的情况（PIA模板第二条第六款），同时将出境活动风险的关注重点由出境中和出境后改为仅关注出境后的风险（PIA模板第三条第四款）等。

需要注意的是，PIA模板覆盖的内容与标准合同的内容有所重合，在填写两份文件的具体内容时，应确保前后文之间的信息保持一致、互为支撑，以避免出现相互冲突或缺漏的地方。与此同时，也不应忽略与其他支持性文件（如隐私政策、网络安全等级保护测评文件、个人信息保护合规审计报告等）的衔接。

（3）委托书与承诺书

《备案指南》同时还提供了企业授权经办人代表企业进行标准合同备案的《经办人授权委托书》模板及企业针对个人信息收集使用、备案材料内容等事项的真实性、合法性做出承诺的《承诺书》模板。从两份模板的内容来看，标准合同备案的经办人通常应为申请备案的企业的员工，且该经办人无权再转委托他人进行备案；个人信息保护影响评估工作完成的时间应严格限定在备案之日前3月内，且至备案之日未发生重大变化。

参照《个人信息出境标准合同办法》《备案指南》及网信办针对《个人信息出境标准合同办法》（以下简称“《办法》”）答记者问所提供的信息，企业在进行标准合同备案时，需要特别关注以下时间节点：

（1）整改期限，即《办法》施行之日（2023年6月1日）前已经开展的个人信息出境活动，不符合《办法》规定的，应当在2023年11月30日前完成整改；

（2）PIA完成时间、标准合同生效时间及备案时间的衔接，即以备案之日为计算基点，PIA报告的完成时间应在备案之日前3个月内，标准合同的生效日期应为备案之日前10个工作日内；

（3）备案申请不通过后补充材料的时间为收到备案未成功通知之日起10个工作日内；

（4）记录保存时间，包括PIA报告的保存时间为至少3年（参见标准合同第二条第八款），境外接收方对个人信息处理活动进行客观记录的保存时间也为至少3年。

根据《备案指南》的指引，标准合同备案的方式为以书面材料并附带材料电子版的方式向所在地省级网信办备案。同样以《北京市个人信息出境标准合同备案指引》为例，北京市网信办要求电子版材料按照《备案指南》附件列出的顺序整理完毕后向专用于接收备案材料的电子邮箱提交，而纸质版材料则是在电子版材料查验通过后再向市网信办提交。参照数据出境安全评估申报的经验，各地网信办可能会有专门的申报通道和材料递交要求，需要根据备案主体所在地确定应该遵循的材料递交方式。此外，为符合数字经济发展和数字政府建设的新方向、新趋势，利用“法律+科技”的手段实现监管与合规的自动化、智能化，不排除后续监管机构会开发快速审查个人信息出境标准合同、影响评估报告的监管工具以及专用的备案平台的可能。因此，企业也可保持对当地网信办备案形式、要求的关注，在备案材料准备阶段即尽可能贴合当地网信办的要求。

虽然根据《个人信息出境标准合同办法》（以下简称“《办法》”）提供的标准合同模板，标准合同经双方正式签署后成立并立即生效，且《办法》第六条规定，标准合同生效后方可开展个人信息出境活动，但《办法》及《备案指南》均未将备案通过作为合同生效、企业可以开展个人信息出境活动的前提条件。理论上而言，订立标准合同且合同生效后，企业即可开展个人信息出境活动，但此种情形下并不排除网信部门及相关监管机构依照《办法》《个人信息保护法》等的相关规定，就个人信息出境活动存在较大风险、发生个人信息安全事件、侵犯个人信息主体权益等情形进行约谈，乃至追究法律责任。因此，无论是出于顺利递交符合当地网信办要求的备案材料的考虑，出于备案过程中需要准确按要求补充材料的考虑，还是出于备案完成后配合网信部门的监管的考虑，均建议与当地网信办保持密切、良好的沟通，以便及时反馈、把控风险。

如前文所述，企业在选择个人信息出境的合法路径时应当尤其关注企业是否属于关键信息基础设施运营者、以及处理个人信息的数量是否达到法定量级。在严格遵守强制性规定的前提下，在确定向境外提供个人信息的目的、方式、规模、种类、存储期限及地点等基本情况时，建议合理预估业务发展的态势，在《个人信息保护影响评估报告》及标准合同中恰当描述个人信息出境场景。同时，也应密切关注标准合同有效期内或个人信息保护认证证书有效期内个人信息处理者发生变更、向境外提供个人信息的场景（包括目的、范围、种类、敏感程度、方式、保存地点、保存期限、用途、方式等）发生变更、境外接收方所在司法辖区政策法规变化等情形，以便及时进行补充或重新备案、或变更认证证书。在明确企业属于关键信息基础设施运营者或处理个人信息的数量达到法定规模时，更应主动申报数据出境安全评估，以严格落实数据出境相关法定义务。

根据此前企业进行数据出境安全评估申报的经验以及各地网信部门的指引和答复，《个人信息保护影响评估报告》及标准合同均需严格参照模板内容出具、订立，尤其是《个人信息保护影响评估报告》，需要覆盖PIA模板中的所有内容且应当尽可能详实、准确。考虑到标准合同的备案存在不通过、需要补充材料的可能，同时备案的标准尚存在界定不清晰的地方，各地办理的具体流程及细节也可能不尽相同，需要与当地网信办保持密切的沟通，因此，企业可以选择委托专业的第三方机构对企业整体的个人信息出境情况进行梳理和评估、草拟《个人信息保护影响评估报告》及标准合同需补充约定的条款、与境外接收方进行沟通配合等。