信息跨境传输合同范本 第一篇

在解释完数据跨境传输领域以合同标准化实现“数据安全”立法目标的理论逻辑之后，接下来需要解决的问题是：数据跨境传输合同标准化应当达到何种程度，是对合同条款结构予以限定，还是对数据传输类型、存储期限等条款内容予以指标量化?细言之，基于规制合同论的合同标准化显然不可能将全部的合同内容交由监管者进行预设，即便是在标准化程度最为严格的保险合同领域，也决然不会将所有交易活动都纳入标准化的范畴之内，因为市场机制的自由竞争属性决定了标准化合同应当存在相应的标准化边界。

“通过合同的治理”以监管机构的公权力作为实现保障，但在公私法话语体系的转换过程中，仍然需要尊重私法规制的内在逻辑，即在不违反现行立法的前提下，合同当事人基于平等自由的意志达成合意，义务履行的内在动机应当是合同当事人对于违约责任的恐惧和希望对方当事人同样履行约定义务的期待，而不是公法层面的强制性义务履行，否则只会陷入“公权力侵蚀私权利”的制度泥沼。因而，也有学者借用柯林斯的理论范式，将这种治理模式总结为“政府从回应民众的官僚科层体系转化为准确和界限分明地提供有效产品和服务的服务者”。进一步而言，我国在通过标准化合同治理数据跨境传输时需要在“细化义务履行标准”和“量化义务履行标准”中予以选择，因为这两种模式意味着不同的数据跨境传输效率：第一，细化模式仅是对约定事项的范围、类型进行细化，明确合同当事人之间应当约定哪些条款和内容，合同当事人依然可以在可选方案中自行协商满足实际商业效益需求的数据传输方式，监管者“通过合同治理”所达成的监管效果仅是确保数据传输者与数据接受者均在法律既定的安全框架内从事数据交易活动。该模式意味着数据处理者之间无法通过合同约定减轻或免除自身的数据安全保护义务，而义务履行标准化的效果表现为“数据安全保护义务的全面性和体系性”。第二，量化模式则是对数据跨境传输的诸多指标提出可以量化的标准化要求，如每次跨境传输的数据类型和数量应当维持在什么水平、数据传输所采用的加密安全技术应当满足哪些技术安全指标等。这种内容详尽的标准化合同模式虽然是以牺牲当事人意思自治为代价，但是数据传输者与数据接受者能够更加清晰地理解数据跨境流动的具体监管要求，合同当事人之间省略了约定数据传输安全保障的烦琐磋商过程，更侧重于对数据跨境传输经济效益(如数据处理价格等)的合意。第三，同时选择“细化”和“量化”两种模式，看似能够取长补短，但其直接效果无异于将数据跨境传输合同标准化程度提升至政府采购合同等特定类型合同标准。合同当事人之间能够自行约定的事项和范围极为有限，这既违背了数据跨境传输的商事效率，也无法证成强制使用内容标准化合同的正当性。

信息跨境传输合同范本 第二篇

网络信息技术重塑了数据、信息和知识的商业价值和社会功能。审视国内外近年来的立法趋势，个人信息保护和数据安全评估显然已经成为各国立法者首要关注的规范议题。即便是以商业利益为优先考虑的美国，在联邦和州政府层面，也先后制定了有关个人信息、商业数据使用限定条件的规范性文件。虽然各国立法者对“数据安全”的概念和外延存在差异化认知，但在具体的立法活动中，欧盟《通用数据保护条例》(以下简称“GDPR”)《日本个人信息保护法》《巴西通用数据保护法》等规范性文件均是围绕“数据安全”与“数据利用”两种法益的平衡方案予以展开。并且，在个人信息保护立法体系趋于成熟之后，数据安全立法的重心也在发生转变，即从法律效力层级的制度框架转向行政法规层级的具体机制细化。在这一转变过程中，数据安全出境的立法问题自然而然地呈现于立法者面前：既满足我国“国家安全”和“数据安全”立法目标，又不会对数据跨境传输的商业活动造成非必要阻碍的数据跨境流动监管制度该如何建构?

现阶段，学界有关数据跨境流动制度的理论探讨主要聚焦于两个层面：一是在制度设计层面，我国数据跨境流动监管体系结构的建构多以欧盟GDPR中规定的“充分性保护”认定机制为基础，主张我国应当借鉴欧盟模式，建立数据出境安全评估制度、数据跨境传输合同标准化等具体制度；二是在国际法层面，探讨我国数据跨境传输监管制度的对外效力，以及我国如何在国际数据跨境传输规则制定过程中争夺话语权，包括我国应当如何充分衔接国内法与国际法规则，避免外国以“长臂管辖”规则为由指责和干涉我国数据安全监管活动。不难发现，这两种研究趋势的重心均集中于具体制度建构，其原因在于数据跨境传输监管问题在很大程度上是有关数据如何安全地传输以及将数据传输过程如何纳入有效的行政监管框架内。然而，具体制度的建构依然需要在理论层面回应这些制度模式的选择依据和正当性基础。

我国《数据出境安全评估办法(《征求意见稿》)》(以下简称《征求意见稿》)已于近期公布。《征求意见稿》第8条规定了我国数据出境安全评估的重点事项，即在跨境数据传输时，要求数据处理者与境外接收方就订立合同是否充分约定了数据安全保护义务进行说明。第9条更是细化了“充分约定”的判断标准，对合同应当约定的必要事项进行列举。合同条款标准化一直被认为是数据跨境传输领域的有效监管工具，欧盟GDPR将标准化合同条款(SCC)嵌入了跨境数据流动的全过程，原因在于该项机制既能实现监管者对于数据跨境传输重要事项的直接审核，也能基于违约责任督促数据处理者积极履行数据安全保护义务。当然，先前提及的如何建构满足安全立法目标且实现数据充分流动的制度建构问题仍然存在于该领域，其在理论层面有三类问题需要予以阐明。

第一，欧盟模式与我国合同“充分约定”模式之间存在何种关联性?从现有条款来看，我国仅对合同内容约定事项作出强制性要求，并没有对具体的合同条款作出限定。结合《征求意见稿》第8条内容来看，数据处理者与境外接收方订立的合同仅是数据出境安全评估的评估对象。而欧盟模式所建构的标准化合同条款(SCC)则是在“数据接收方在不满足GDPR要求的‘能够提供与欧盟同等保护水平’”情形时，数据处理者与数据控制者可以选择的“替代方案”。两相比较，无论是在数据跨境传输制度的体系结构层面，还是在合同内容限定层面，两种合同标准化模式特征差异明显，这是否意味着我国的数据跨境传输合同监管模式需要遵循另一套理论逻辑?

第二，《征求意见稿》第8条、第9条的“充分约定”应如何理解?这究竟是有别于欧盟模式的中国数据安全立法逻辑之特点，还是需要在解释论和制度论层面对标准化合同机制予以进一步明确?虽然《征求意见稿》言明了数据跨境传输合同标准化的制度路径以及合同内容的类型化，但在实施层面，数据处理者在合同中约定了诸如“数据出境目的、方式和传输范围”“数据境外保存地点、期限”“限制再传输的约束条款”等内容，但这不等于数据处理者符合这些要求就已经满足了数据出境安全评估所要求的数据安全风险防范标准。事实上，《征求意见稿》第8条、第9条提供的仅是合同标准化的基本路径，监管机构仍然需要提供一套类似政府采购合同、保单标准化模式的类型化数据跨境传输合同范本，并且要能够与《数据安全法》第21条规定的重点数据目录和数据分类分级制度衔接。

第三，我国数据跨境传输合同标准化机制的调整范围和体系定位究竟如何解释?我国现行立法有关数据安全评估的制度内容包括业务评估、出境评估、事件评估、自评估、年度评估等内容，在这些评估机制尚未体系化之前，是应当按照《征求意见稿》的第8条的规定将数据跨境传输合同标准化机制视为出境评估的事项之一，还是应当将合同标准化机制置于所有类型的数据出境制度背景下，将其上升至与安全评估机制相平行的监管制度?

信息跨境传输合同范本 第三篇

结合上述复杂的安全风险评估机制来看，数据出境安全评估的基本立场是为了尽可能明确实际的数据安全风险水平，并根据实际风险水平是否可接受、可控，确定是否允许具体的数据处理活动。倘若将安全评估的基本立场理解为彻底消除所有可能的风险根源，其直接结果则是在制度层面直接禁止所有数据出境。因为绝对安全的信息技术并不存在，而且数据出境之后国家监管活动难以触及他国的数据处理者，禁止出境成为风险水平和经济成本最低的监管制度方案。换言之，数据出境安全评估的制度效果应当是如何在数据处理者与监管机构、社会公众之间达成信任关系，这是解决“数据出境不安全-数据不能出境-数据商业价值贬损-数据有必要出境-数据出境不安全”循环论证的最佳制度工具。一方面，数据处理者所面临的现实问题是如何向监管者和社会公众树立其数据处理行为在风险可控意义上是值得信任的。除了依赖积极响应监管要求、树立良好的企业社会形象之外，合同所建构的一整套专门适用于数据出境的私法规则及其制裁措施恰好满足了信赖关系的制度建构需求。通过设置违约金赔偿机制，能够有效督促数据处理者依照约定处理数据，这也是合同条款标准化成为当下数据跨境传输监管制度工具的原因之一。另一方面，风险信息一旦公开和知悉并不当然意味着“风险的可接受与可控”,在此之后还需要结合出境的数据类型、范围和数量进一步判断可能的损害结果是否可接受，以及能够通过应急响应处置机制将损害状态快速恢复至尚未发生数据安全事件的状态。这种数据跨境传输的立法逻辑势必需要与数据分级分类制度予以衔接，用以判断和确定不同安全级别和不同类型的数据在出境时分别需要满足何种安全标准。

信息跨境传输合同范本 第四篇

个人信息的处理目的、处理方式等是否合法、正当、必要；

个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；

对个人权益的影响及安全风险；

出境个人信息的数量、范围、类型、敏感程度，个人信息出境可能对个人信息权益带来的风险；

所采取的保护措施是否合法、有效并与风险程度相适应。

境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全；

个人信息出境后泄露、损毁、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅等；

境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响；

其他可能影响个人信息出境安全的事项。

可见，标准合同征求意见稿第5条作为个保法第56条的落地实施细则，就评估内容提出的要求更为精细和具体，实现了对个人信息主体权利更为全面的保护，同时也对采用标准合同方式从事个人信息跨境转移的个人信息处理者提出了更高的合规要求。

四、当事人能否修改标准合同条款

标准合同征求意见稿为从事个人信息跨境转移业务的个人信息处理者提供了统一的数据出境合同模板，但企业能否为个人信息跨境转移设计个性化条款以满足生产经营需求、能否约定排除标准合同中部分条款的适用等问题也随之而来，本章将结合规定对此做出分析。

信息跨境传输合同范本 第五篇

首先，在厘清英国IDTA和欧盟SCC之间关系前，需要引入一个背景知识，即英国在2020年1月31日正式脱欧以前，对于数据保护合同及制度沿用的是2018版欧盟旧SCC以及欧盟《通用数据保护条例》General Data Protection Regulation（“欧盟GDPR”)。脱欧以后，英国在欧盟SCC基础上，结合英国制度法律推出了本国的IDTA，也就是说，英国IDTA在某种程度上就是英国的SCC。

那么，英国IDTA签署目的及主要内容包括哪些呢？归纳起来，IDTA作为一份英国的特殊模版合同，目的在于为企业，特别是中小型企业在进行个人数据限制性跨境传输时提供协议模版的签订，以保护数据跨境传输的安全性。其主要内容分为四个部分：第一部分罗列了四张表格，主要包含各方的基本信息、数据转移的细节问题，例如适用于各方的法律、需要转移的数据、安全性要求等；第二部分规定了需要增加的额外的保护条款；第三部分允许各方引入商业条款，值得注意的是，各方引入的商业条款不能降低IDTA所提供的整体保护水平，若该商业条款无意中降低IDTA保护水平，则企业跨境数据传输可能会违反英国GDPR）；第四部分包括强制性条款，强制性条款对各方均有约束力，目的在于为转移的个人数据提供统一的保护标准条款。

另外，欧盟SCC英国附录的产生是因为英国和欧盟之间的贸易往来比较紧密，且欧盟GDPR影响力大于英国GDPR，在英国脱欧前曾长时间使用欧盟GDPR，脱欧后发展出的英国GDPR对于欧盟GDPR没有做实质性修改，因此英国ICO特别允许来自英国的个人数据出境活动依然可以使用欧盟SCC，但是需要在欧盟SCC后附上UK Addendum to the EU SCCs（欧盟SCC的英国附件）。

信息跨境传输合同范本 第六篇

国内外有关数据跨境流动的监管制度实际上早已存在，但由于信息技术处理能力、数据战略价值开发程度、数据存在形式单一等外部客观因素的影响，早年的立法内容始终停留于“国家秘密”和“个人隐私”这两类数据，安全与使用之间的法益冲突也未如现阶段数据跨境流动立法那般明显。现阶段，我国数据跨境传输制度也是以数据主权理论为基础，数据出境活动不再是以经营自主权为主的商事活动，而是涉及国家安全和数据主权的重要监管领域。出于安全保密的制度考量，通过禁止数据出境实现国家安全，这种数据出境监管逻辑显然已经与我国数据处理商业实践脱节。进一步而言，数据跨境传输制度建构的基本立场也应当从传统的国家安全概念转型至总体国家安全观和风险可控安全观。

在《个人信息保护法》中，立法者并没有苛求所有的信息处理者均应当采取最高标准的安全技术措施保障个人信息安全，而是选择以“知情同意”“目的限定”等具体规则强化数据个人信息处理活动的透明度，帮助权利主体判断是否能够基于信任将个人信息交由信息处理者予以处理。个人信息保护领域的这种立法逻辑是否同样适用于数据安全保护领域呢?从《数据安全法》和《征求意见稿》中重要数据相关的保护制度来看，数据安全的立法逻辑是通过安全风险评估的实际结果来确定重要数据的处理规则和保护措施的，评估结果则是数据处理者和监管机构判断具体数据处理行为是否处于风险可控状态的直接依据。现行立法多次提及数据安全风险评估机制，但从具体条款内容来看，安全风险评估并非是一个外延封闭、内容明确的制度概念，从数据收集、存储到数据出境，只要社会对重要数据的处理者存在“不信任”或“风险担忧”,即需要开展定期和不定期、自评估与他评估等不同层面的风险评估活动(参见下表3),确保数据安全风险状态始终属于可控状态。

信息跨境传输合同范本 第七篇

在此基础上，标准合同一共包含定义、个人信息处理者的义务、境外接收方的义务、当地个人信息保护政策法规对遵守本合同条款的影响、个人信息主体的权利、救济、合同解除、违约责任和其他九条内容，分别可以依次与上图中的主要内容对应。下文将对上述主要内容中的重点依次予以介绍和分析。

标准合同明确适用于个人信息处理者向境外接收方传输个人信息的情形。

对于“个人信息处理者”，标准合同采用与《个人信息保护法》下相同的含义。与欧盟GDPR不同的是，我国《个人信息保护法》将“个人信息处理者”定义为“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”，基本可以类比于欧盟GDPR下的控制者（Controller）而非处理者（Processor）的概念。据此，标准合同排除了受委托处理个人信息的主体向境外传输个人信息的情形，对于此类情形而言，应当由相应的个人信息处理者与境外接收方签订合同。较为典型的场景为，云服务提供商接受云租户的指示向境外主体传输个人信息，应由云租户与境外主体签订标准合同，而云服务商无需签订。

对于“境外接收方”，标准合同将其定义为“位于_境外并自个人信息处理者处接收个人信息的组织或个人”，并未对其是否属于《个人信息保护法》下的“个人信息处理者”做出限定。因此，可以理解为，该“境外接收方”既可能是我国《个人信息保护法》下的个人信息处理者，也有可能是受上述个人信息处理者委托处理个人信息的受委托处理者。但是，从双方责任义务的描述（见下文“3.标准合同双方责任义务”）来看，标准合同特别对境外接收方属于受个人信息处理者委托处理个人信息时应满足的义务做出单独规定，这表明，境外接受方作为个人信息处理者身份和作为受委托处理者时，应履行的合规义务具有高度一致性，以及标准合同实则更多将境外接收方理解为“个人信息处理者”。

此处与欧盟的SCC存在差异。无论是欧盟SCC 版本（即，95指令下的分别于2001年、2004年和2010年制定的版本），还是其版本（即，欧盟委员会根据GDPR于2021年6月通过的新版本），均根据个人数据的发送方和接收方身份的不同进行了不同版本的区分。我国香港地区今年5月份发布的个人资料跨境转移建议合约条文范本，也采取了根据角色区分不同版本的模式。对此，我们认为，标准合同尽管在形式上未基于角色做出版本区分，但实质初步达到了合同双方各自明确自身责任义务的效果。此外，实践操作中也存在同一份商业合同下，境外接收方同时具有个人信息处理者和受委托处理者双重身份的情况，此种处理方式则能够帮助避免双方签署多份合同的不便。

标准合同附录一专门对个人信息出境的基本内容进行了描述，包括个人信息主体类别、传输目的、个人信息数量、个人信息类别、敏感个人信息类别、再传输接收方、传输方式、存储时间和地点等。其中，出境个人信息和敏感个人信息类别参考推荐性国标《信息安全技术 个人信息安全规范》（GB/T 35273）和相关标准。

对于传输个人信息和敏感个人信息的数量，如前所述，由于适用通过签订标准合同的方式向境外提供个人信息的情形包括：自上年1月1日起累计向境外提供未达到10万人个人信息和未达到1万人敏感个人信息，因此，该数量应当限于此范围内。

标准合同中规定的对于个人信息处理者和境外接收方的义务分别可以总结如下表3所示。

可以看出，因为分别作为跨境传输个人信息的发送方与接收方，个人信息处理者和境外接收方均涉及对所传输个人信息的处理，因此，双方的责任和义务多数具有类似属性，包括处理个人信息应遵循的合法合规、最小必要等一般性原则，以及所负有的对个人信息主体的知情同意、安全保护义务，和对监管部门的响应、提供必要信息的配合义务。

然而，由于二者在获取个人信息的链条上分属上下游关系，分别面对的是个人信息获取源头（个人信息主体）和个人信息再传输下游（如有），因此，二者亦存在责任和义务上的特殊之处。这些特殊义务包括：

信息跨境传输合同范本 第八篇

以“细化义务履行标准”作为合同标准化的限制边界，最后需要回应的现实问题是“细化”的方式应当是根据数据类型和级别进行统一化的条款标准化，还是根据数据传输路径进行模块化的条款标准化?因为在立法实践中，所谓的“细化”存在着不同的实现方案：或是不对数据传输路径作过多细化，适用于所有业务环节的标准化条款，仅是在数据分级分类层面设置差异性合同文本内容；或是根据数据传输路径采用模块化条款，细化“数据出口方”“数据进口方”“其他数据处理者”在特定数据处理环节的权利义务关系。欧盟在更新数据跨境传输标准化合同时，将业务链参与主体义务履行标准统一化视为更新工作的重点内容，将以数据处理者与数据控制者之间的数据传输方式作为四类传输模块的划分依据。这种“细化”方式的适用前提完全依赖于欧盟GDPR既定的个人数据保护制度框架，无法在我国现行数据安全立法框架内予以实现。

我国数据出境安全评估面临着更为复杂的现实难题：一是需要跨境传输的数据类型复杂，重要数据与核心数据显然是严格限制出境的数据类型，但现行立法以及监管实践尚未形成《数据安全法》第21条所提及的“重要数据目录”,原本并不涉及国家安全的个人数据完全可能因为数量积累而成为“重要数据”,此时，条款结构的标准化所预设的数据跨境传输合同显然无法有效回应这种现象。二是数据出境安全评估还存在数据出境之后的不可控性，即出于业务关联的需要，国外的数据接收方可能还需要与其他数据处理者进行合作。此时，如若采用条款结构标准化的合同，倘若立法者和监管者希冀这些业务关联的数据处理者遵循同样的数据安全保障标准，只能由数据接收方另行约定新的数据处理合同予以实现，因为条款结构的标准化意味着需要事前确定有限类型的合同当事人，无法将整个业务链均纳入标准化合同的范围。

模块化条款的优势在于能够在保持同质性义务内容的前提下，提升实际履行义务的充分程度，如保单的标准化采用的即是模块化条款，其内在逻辑在限定保险市场同类保险产品的服务内容和价格，避免保价畸高或畸低可能引发“价格战”等恶性竞争，保险机构在无法修改保单实际条款的前提下，只能对理赔周期、出单速度等服务质量进行调整，最大化保险消费者的利益。再如房地产买卖合同的标准化并没有对具体义务内容进行整体化要求，而是根据各地的房地产政策、经济水平等外部因素设置各地区的模块化条款。

学界也有观点主张将合同标准化方式理解为“合同文本内容的强制性限定程度”,即合同文本的限定实际上可以划分为“合同文本的强制使用”“格式合同文本的事前备案”和“格式合同文本的‘应当包括’”由强到弱的三种类型。这种划分方式实际上混淆了“私法规则调整合同关系平等公正”和“通过合同的治理”两种理论逻辑。前述观点本质上是围绕合同双方当事人的约定规则的不平等性为前提，如买卖合同中的格式条款实质削弱了消费者的谈判空间和享有的实体权利，因而需要根据影响消费者实体权利程度具体选择“强制使用标准化保单”“不应当包括不合理地免除或减轻其责任”等合同监管模式。而数据跨境传输所涉及的法律主体包括“数据传输方-数据接收方-监管机构”,其标准化方式的选择逻辑显然不是以私法层面的权利义务关系调整为核心，而是以公法层面的数据安全风险可控为目标，标准化数据跨境传输的业务方式，透明化数据出境的详细信息，因而以传输数据的分级分类显然更能满足多样化的数据跨境传输监管需求，也能够提供多元化的模块路径满足商业实践和监管实践的现实需求。

信息跨境传输合同范本 第九篇

数据跨境传输合同内容的类型化不能简单理解为合同内容根据数据所属行业特征、安全保护级别设置相对应的具体条款，否则监管部门将疲于制定不同行业、不同领域的数据跨境传输标准化合同。数据分级分类制度所提供的指引功能意在说明特定类别的数据在出境安全保障过程中是否存在需要特别关注的环节。例如物流数据能够反映我国年度物流走向和经济发展趋势，其风险特征表现为外国对我国物流实际状况的数据分析，故而在物流数据跨境传输中，应当删去有关重点管控区域(如军事管控地域)、全国性物流信息等部分内容，标准化合同应当将“数据范围”类型化：一是传输数据不包括哪些指标；二是数据形成时间、地点、访问权限是否合法；三是传输数据包括哪些量化信息。再如金融个人信息因为现行立法所要求的适当性义务、风险偏好评估机制等强行性规定，包含了能够反映自然人财务状况、风险承受能力、家庭状况等详细信息，故而在传输金融个人信息时，需要对传输目的进行限定，除非是外国金融服务机构需要根据用户风险偏好提供适当的金融产品或服务，否则原则上不允许此类数据出境。此时，标准化合同应当将“传输目的”类型化：一是基于直接向我国境内提供产品或服务之必要；二是基于业务链上下游关系需要统一处理关联数据，例如保险行业根据历史数据进行风险精算等。

由此观之，数据分级分类对于数据跨境传输标准化合同的影响方式主要是以内容类型化来满足“细化义务履行标准”的理论逻辑，不至于在合同内容类型化之后，数据传输者与数据接受者仅在义务是否履行层面约定具体事项，而忽视了不同级别、类型数据对义务履行方式和充分程度的不同要求。

此外，囿于欧盟GDPR布鲁塞尔效应的影响以及我国立法前期对于个人信息跨境制度的关注，部分学者倾向将数据跨境流动监管制度局限于个人信息领域，但无论是《征求意见稿》第2条，还是监管实践需求，均需要更全面的整体性数据跨境流动监管制度。第一，在个人信息保护层面，数据跨境合同标准化的设置思路应当是按照一般个人信息和敏感个人信息的分类方式予以细化义务履行标准，因为从商业实践来看，金融、医疗、教育等行业的一般个人信息面临同质化的安全风险，没有必要按照行业属性作特别约定。第二，在重点数据保护层面，数据安全的规制重心在于明确各个数据处理业务环节的具体责任主体，所以合同标准化的设置思路是细化不同业务环节应当履行的相应义务内容，即数据出境采用的标准合同应当反映从数据出境开始到数据出境目的达成这一阶段的数据传输路径、各个数据接收方、数据存储地点和期限、数据访问记录以及数据复制记录等内容。第三，在其他数据保护层面，因为这些数据既不涉及自然人的个人信息权利，也不涉及国家安全，所以合同标准化的主要路径在于预防这些数据积聚可能产生性质变化，即依托大数据等信息技术从本不属于个人信息和重要数据的数据集合中获取有关特定自然人和国家安全的相关信息内容。此时，合同标准化的导向则转变为数量层面的划分，即一般规模数据传输的标准化合同条款和海量规模数据传输的标准化合同条款，并在后者中约定更为严格的数据安全保障义务。