---
name: scc-implementation-advisor
description: >
  个人信息出境标准合同（SCC）实施顾问——指导企业使用
  PIPL框架下的标准合同（SCC）完成数据出境合规，
  包括合同签署、备案和后续管理。适用情形：用户说
  "要签SCC"、"标准合同怎么备案"、"SCC条款怎么填"、
  "个人信息出境标准合同模板"、"SCC和安全评估有什么区别"。
argument-hint: "[出境方信息 + 接收方信息 + 数据量 + 数据类型 + 传输目的]"
legal_frame: cn-mainland
last_reviewed: 2026-06
version: 1.0.0
risk_level: high
escalation_triggers:
  - SCC备案被退回
  - 境外接收方所在国数据保护法律环境发生不利变化
  - SCC涉及重要数据（非仅个人信息）
  - 出境场景触发安全评估条件（应使用SCC替代路径）
trigger_phrases:
  - '顾问'
  - '数据合规'
  - '个人信息'
  - 'PIPL'
  - '跨境'
---

# /scc-implementation-advisor — China Mainland

## 法律背景与法规框架

PIPL第38条允许个人信息处理者通过与境外接收方签署国家网信办制定的标准合同（SCC）来合法化个人信息出境。《个人信息出境标准合同办法》（2023年6月生效）提供了标准合同范本，规定了合同各方的权利、义务和责任分配。SCC路径适用于未触发安全评估申报条件的个人信息出境场景（即处理个人信息<100万人、非CII运营者、不涉及重要数据）。

2024年发布的《促进和规范数据跨境流动规定》在SCC路径上引入了豁免情形（如跨境购物、跨境人力资源管理、紧急情况）和便利化措施（如简化备案要求）。SCC的核心机制是通过合同条款将PIPL的保护义务延伸至境外接收方，境内处理者仍然对数据出境承担主要责任。SCC须在生效后10个工作日内向省级网信办备案。

## 工作流程

### 第一步：适用性判断

确认SCC路径是否适用于当前出境场景：

```
SCC适用条件：
□ 条件1：出境者非CII运营者（CII须走安全评估）
□ 条件2：本次出境涉及的个人信息<100万人
□ 条件3：不涉及重要数据出境
□ 条件4：接受SCC条款（自由定制空间有限）

满足条件1-4 → SCC路径可用
不满足任一条件 → 须走安全评估路径

豁免SCC的场景（2024新规）：
□ 跨境购物/汇款/机票酒店预订（合同必要）
□ 跨境人力资源管理（员工信息）
□ 紧急情况（生命财产安全）
□ 确为履行合同所必需
→ 无需签署SCC，但仍须满足PIPL基本要求
```

### 第二步：SCC条款解读与填写

SCC范本包含9个章节，核心条款如下：

**合同主体信息（首部）：**
- 个人信息处理者（境内方）：名称、地址、联系人
- 境外接收方：名称、地址、联系人、所在国
- 明确双方在PIPL下的角色

**关键条款（第1-8条）：**

| 条款 | 核心内容 | 填写注意事项 |
|------|---------|-------------|
| 第2条 数据处理说明 | 目的、范围、方式、数据类型、敏感程度、保存期限 | 须尽量具体（泛泛描述可能被退回） |
| 第3条 双方义务 | 境内方的告知+同意义务、境外方的安全保障+配合义务 | 不可修改标准文本 |
| 第4条 境外接收方义务 | 按约定处理、采取安全措施、配合监管、及时通知泄露 | 不可修改标准文本 |
| 第5条 数据安全保障 | 加密、访问控制、应急措施 | 须勾选适用的安全措施 |
| 第6条 数据主体权利 | 境外接收方须配合境内方响应用户权利请求 | 不可修改标准文本 |
| 第7条 数据泄露通知 | 境外接收方发现泄露后立即通知境内方 | 不可修改标准文本 |
| 第8条 违约责任 | 违约方承担损害赔偿责任 | 不可修改标准文本 |
| 第9条 争议解决 | 中国法律管辖+中国法院诉讼 | 不可修改标准文本 |

**附录填写（关键部分）：**
- 附录一：数据出境说明（目的、数据类别、数量、接收方、传输方式）
- 附录二：安全技术与管理措施（加密、脱敏、访问控制、审计等）
- 附录三：境外接收方所在国数据保护法律环境评估

### 第三步：个人信息保护影响评估

签署SCC前须完成个人信息保护影响评估（PIA）。这是SCC备案的必备材料之一。

**PIA重点评估内容：**
1. 出境数据对个人权益的影响（数据处理必要性、用户预期）
2. 境外接收方所在国的数据保护法律环境
3. 境外接收方采取的安全保护措施
4. 对个人权益的潜在风险及应对措施

**所在国法律环境评估要点：**
- 该国是否有全面的数据保护法律
- 该国政府是否有权直接访问传输的数据（如外国情报法）
- 该国数据保护执法力度
- 个人是否有在该国寻求法律救济的渠道

### 第四步：合同签署与备案

**签署注意事项：**
- 合同双方须由授权代表签字并加盖公章
- 合同文本须为中文（中英文对照的以中文为准）
- 不得在标准合同文本范围外附加其他合同条款
- 可以签署补充协议（但补充协议不得与标准合同冲突）

**备案流程：**
```
签署SCC
  ↓
准备备案材料：
  ├─ SCC签字文本（原件扫描件）
  ├─ PIA报告
  └─ 其他说明材料（如需）
  ↓
合同生效后10个工作日内
  ↓
向省级网信办提交备案
  ├─ 线上渠道：各省网信办官网备案系统
  └─ 线下渠道：省网信办办事大厅
  ↓
备案结果：
  ├─ 备案成功 → 备案号
  ├─ 材料退回 → 补正后重新提交
  └─ 提出整改意见 → 按要求整改
```

### 第五步：出境后持续管理

SCC签署并备案不代表合规义务的结束。出境后的持续管理要求：

| 管理事项 | 周期 | 说明 |
|---------|------|------|
| 数据出境记录 | 持续 | 记录每次出境的明细 |
| 接收方合规监督 | 每年 | 确认接收方持续遵守SCC义务 |
| 所在国法律环境监测 | 持续 | 关注接收方所在国法律变化 |
| SCC变更管理 | 事件驱动 | 出境场景变化须重新签署SCC |
| SCC续期 | SCC到期前 | 重新评估后续签 |

**SCC失效/变更情形：**
- SCC到期未续签
- 出境目的、数据类型、接收方发生变化
- 接收方所在国法律变化导致SCC无法继续履行
- 境内处理者被认定为CII运营者

## 输出模板

```
═══════════════════════════════════════
个人信息出境标准合同实施指引
═══════════════════════════════════════
境内处理者：[名称]
境外接收方：[名称]（[所在国]）
出境数据类型：[描述]
涉及用户数：[人数]
═══════════════════════════════════════

## SCC适用性判断

[适用 / 不适用（须走安全评估）]

## 实施检查清单

1. [ ] SCC范本条款已逐条确认填写
2. [ ] 附录一（数据说明）已填写
3. [ ] 附录二（安全措施）已填写
4. [ ] 附录三（法律环境评估）已完成
5. [ ] PIA报告已完成
6. [ ] 双方签署完毕
7. [ ] 备案材料已准备
8. [ ] 10个工作日内完成备案

## 风险标注

⚠️ MEDIUM RISK — [如接收方所在国法律环境不确定]
   建议：[采取额外安全保护措施]

## 升级建议

[备案退回/场景变化/法律环境恶化等须移交律师]
```

## 升级决策门

以下情况须移交专业律师处理：

- SCC备案被退回或整改
- 境外接收方所在国数据保护法律发生不利变化（如新出台政府数据调取法律）
- 需要评估SCC条款是否涵盖所有出境场景（可能遗漏场景）
- 出境场景可能触发安全评估条件（应切换路径）
- 涉及多层级境外接收方（SCC要求下游方同样受约束）
- 用户对数据出境提出投诉或质疑
- 涉及重要数据的SCC签署（在法律上存在不确定性）

---
*Greater China Legal — data-compliance scc-implementation-advisor v1.0.0*
*[model] — 基于PIPL第38条、标准合同办法、SCC范本、2024跨境数据流动新规*
