三種路徑中，如符合監管規定的以下條件，標準合同備案是性價比最高的一種。根據《標準合同辦法》第四條，公司通過訂立標準合同的方式向境外提供個人信息的，應當同時符合下列情形：

（一）非關鍵信息基礎設施運營者（CIIO）；

（二）處理個人信息不滿100萬人的；

（三）自上年1月1日起累計向境外提供個人信息不滿10萬人的；

（四）自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的。

如不符合上述任一情形，企業應當通過網信辦數據出境安全評估方能向境外提供個人信息。此外，如涉及向境外提供重要數據，亦應當通過安全評估。

當然，無需通過安全評估路徑出境個人信息的企業也可以選擇認證路徑。但在認證路徑下，同樣需要與境外接收方簽署全面的數據處理協議，開展個人信息保護影響評估並撰寫評估報告的義務也未得到豁免。並且，根據《個人信息保護認證實施規則》，個人信息保護認證的認證模式為：技術驗證+現場審核+獲證後監督，認證機構應當在3年的認證有效期內，對獲得認證的個人信息處理者進行持續監督，並合理確定監督頻次。因此，鑒於目前階段選擇認證路徑對貨代企業而言成本較高且流程繁瑣，大多數貨代企業也達不到安全評估的標準，備案路徑成了第一選擇。

首先，貨代企業出境個人信息主體通常包括中國境內合作機構商務聯系人、員工，因此僅根據員工數量評估企業需履行的個人信息出境合規義務是不全面的。其次，公司處理個人信息的規模小並不意味著可以不履行個人信息出境的合規義務。簡言之，企業處理個人信息達到安全評估標準的，必須向網信辦申報安全評估；未達到標準的，可以通過進行個人信息保護認證或者與境外接收方訂立標準合同的方式出境個人信息。路徑可選，但必須擇其一（法律、行政法規或者國家網信部門另有規定的除外）。

應分情況討論。個人信息出境可分為主動出境和被動出境兩類。主動出境指個人信息處理者將在境內運營中收集和產生的個人信息傳輸、存儲至境外，例如中國境內A公司將客戶商務聯系人信息打包通過郵件發送至中國境外B公司郵箱；被動出境指個人信息處理者將收集和產生的個人信息存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出，例如，中國境內A公司員工管理系統數據存儲於中國境內，但中國境外B公司作為A公司海外母公司有權遠程登錄該員工管理系統。

在指定貨場景下，公司並不主動向中國境內托運人收集個人信息，僅作為受托人從客戶處獲得必要的中國境內托運人商務聯系人信息。公司在收到商務聯系人個人信息後出於辦理國際貨物運輸的目的會將信息（通過提單等載體）流轉至承運人等國際貨物運輸相關主體，但從個保法角度看，公司此時的法律地位為“受托處理個人信息”。而公司需要履行個人信息出境備案義務的前提是，公司屬於“個人信息處理者”。

因此，當公司僅作為貨代受托處理（包括跨境傳輸）個人信息時，合規義務遠低於個人信息處理者。公司受托將境內托運人商務聯系人信息傳輸出境時，並無與境外收貨人或其代理簽訂標準合同的法定義務。況且，境內發貨人與境外收貨人早有基礎商業合同存在，境內發貨人商務聯系人信息早已在其締結商業合同階段就已出境，公司並非首次將該個人信息傳輸出境。

根據《個人信息出境標準合同備案指南（第一版）》（以下稱“《標準合同備案指南》”），備案流程整理如上。個人信息保護影響評估工作應為備案之日前三個月內完成，且至備案之日未發生重大變化，因此我們建議公司自評估工作的基準日起三個月內要向網信辦提交備案材料。

根據我們的實務經驗，雖然備案路徑的材料要求低於安全評估路徑，但省級網信辦對備案材料並非形式審查，也會提出實質修改建議，監管口徑為“材料查驗”。

根據我們的實務經驗，就《標準合同辦法》第七條所稱“備案”日期，目前監管以公司首次提交備案材料日期為準。

根據《標準合同辦法》，標準合同生效後方可開展個人信息出境活動。至於合同有效期，標準合同並未明確提及。結合《標準合同辦法》第八條“在標準合同有效期內出現下列情形之一的，個人信息處理者應當重新開展個人信息保護影響評估，補充或者重新訂立標準合同，並履行相應備案手續：（一）向境外提供個人信息的目的、範圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發生變化，或者延長個人信息境外保存期限的；（二）境外接收方所在國家或者地區的個人信息保護政策和法規發生變化等可能影響個人信息權益的；（三）可能影響個人信息權益的其他情形。”，我們理解只要沒有前述應當重新備案的情形，並且雙方未解除合同，依法簽署的標準合同應持續有效。換言之，只要標準合同持續有效，公司也履行了備案義務，其實不存在“備案有效期”的問題。

與數據出境安全評估類似，網信辦於《標準合同辦法》正式生效前夕發布了《標準合同備案指南》，對於《標準合同辦法》提及的標準合同備案管理、個人信息保護影響評估等相關規定提出了更為細化的要求。更重要的是，《標準合同備案指南》給出了評估報告模板，模板要點詳實，雖然並未強製要求所有公司都按照模板寫報告，但我們建議使用官方模板，並保證每一級標題都論述到位。表面上看，備案只需要向網信辦提交所簽訂的標準合同和個人信息保護影響評估報告（以及營業執照、承諾書等程序性材料），但網信辦並非僅作“形式審查”，備案也存在不通過的結果。

因此，盡管企業處理的個人信息規模很小，但“麻雀雖小，五臟俱全”，報告模板提及要點均不得忽視。

個人信息出境備案項目應至少分為三個階段，第一步：梳理、盤點企業（或稱“個人信息處理者”）個人信息出境活動，包括個人信息處理者及境外接收方基本情況、個人信息出境涉及業務和信息系統情況、擬出境個人信息情況、個人信息處理者及境外接收方個人信息保護能力情況；第二步：製定整改方案並推進落實，以達到個保法要求的個人信息出境標準；第三步：評估企業個人信息出境影響，準備個人信息出境合同及評估報告，以提交網信辦備案；根據網信辦意見補充完善備案材料，以通過備案。

如企業聘請第三方機構，在很大程度上可以減輕自身壓力，尤其是第三步的評估以及撰寫、準備具體材料。但第一、二步企業需大力配合第三方機構的盤點工作、與其協商明確整改方案，並由牽頭部門推進整改。此外，雖然標準合同正文不予修改，但境外接收方理解、接受並簽署合同一般需要較長時間的溝通與解釋，因此我們建議在第一階段盤點工作完成後，即開始草擬標準合同附錄，並與境外接收方協商合同簽署事宜，防止延誤時效。

很多貨代企業使用的是境外集團公司的官網，其中個人信息保護做的比較好的貨代集團會有適用於全球的一般性的個人信息處理規則（以下稱“隱私政策”），但基本沒有根據中國境內業務實際情況製定的本土化隱私政策，且缺少本土化的個人信息保護製度、個人信息保護機構。根據個保法的要求，有必要製定適用於中國境內貨代企業的隱私政策。並且，我們建議製定內部個人信息保護製度，組建個人信息保護機構（例如個人信息保護小組/委員會/辦公室等，虛擬架構亦可），一方面提高備案通過幾率，另一方面也是個人信息保護大勢所趨。

此外，根據我們的實務經驗，個保法規定的“告知-同意”義務履行不到位是普遍問題。因此，通過修訂員工手冊/勞動合同/職位申請表向員工/候選人告知個人信息出境情況，通過隱私政策/個人信息出境聲明向中國境內合作機構商務聯系人告知個人信息出境情況尤為重要。進一步，在告知的基礎上應取得個人信息主體對出境事宜的單獨同意。不過，如果企業能夠對信息進行匿名化處理，根據個保法的規定，這些信息不再屬於“個人信息”，自然也無需履行前述合規義務。