个人信息出境新规解析:《个人信息出境标准合同办法》

作者:王东方 陶然彩

观点

2023年2月24日,国家互联网信息办公室发布了《个人信息出境标准合同办法》(“《办法》”)及相应的个人信息出境标准合同文本(“《标准合同》”),将于2023年6月1日起正式施行,并且给已经开展个人信息出境活动的企业提供了6个月的整改期。自此,《个人信息保护法》第三十八条规定的个人信息出境的三大合规路径:一是经过网信部门的安全评估;二是经专业机构进行个人信息保护认证;三是按照网信部门制定的标准合同与境外接收方订立合同(即订立《标准合同》)正式全面落地。

天达共和数据合规团队曾在2022年7月发表的《观点|条条大路通罗马?——数据出境新规解析及实务建议》当中以问答形式围绕上述三条合规路径做了综合的解析;也结合当时已经公布的《个人信息出境标准合同规定(征求意见稿)》(下称“《征求意见稿》”),介绍了标准合同这一合规路径。本文将根据本次正式落地的《办法》及《标准合同》,同样采用问答的形式,对其中一些重点内容进行评述,并给出我们的实务建议,以期协助企业更好地适用《标准合同》并顺利完成个人信息出境的合规工作。

 

Q1. 哪些情形可以适用《标准合同》作为个人信息出境的路径?

根据《办法》第四条,个人信息处理者须同时满足以下条件,才能通过订立《标准合同》的方式向境外提供个人信息:

(一)非关键信息基础设施运营者;

(二)处理个人信息不满100万人的;

(三)自上年1月1日起累计向境外提供个人信息不满10万人的;

(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

以上条件实际上排除了根据《数据出境安全评估办法》需进行安全评估的情形,同时从主体类型(是否为关键信息基础设施运营者)及处理个人信息的数量(以人数为统计单位)两方面考察,只有同时为非关键信息基础设施运营者且处理个人信息主体人数或涉及敏感个人信息人数数量较少的个人信息处理者,才能适用《标准合同》进行个人信息出境。因此,实践中,标准合同路径一般适用于规模小、处理个人信息数量少、对个人信息主体权益及国家和社会公共安全造成的风险较小的企业;也可以作为此类企业进行个人信息出境活动首要考虑的合规路径。

Q2. 与此前的《征求意见稿》相比,正式版的《办法》在第四条中新增了“数量拆分”一说,如何理解?

正式版《办法》在第四条规定“个人信息处理者不得采用数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供”。对于何为“数量拆分”以及具体如何认定属于“数量拆分”的规避手段,《办法》及国家互联网信息办公室就此答记者问中均未提及,还尚待监管部门进一步释明。

实践中,数据出境场景及个人信息出境数量的盘点和认定往往较为复杂。我们认为“数量拆分”可能包含的一种方式是,个人信息处理者将原数据拆分后,安排不同主体分批次传输出境,分散个人信息处理者的规模和数据出境的整体数量,从而达到规避落入《数据出境安全评估办法》适用范围的目的。与《征求意见稿》相比,正式版《办法》单独列出该禁止性要求,可以合理推断,监管部门后续在《标准合同》的备案过程中,可能会进一步关注各企业主体实际经营情况及关联控制关系、实际数据流等情况。

此外,关于数量的计算,需提示的是,《办法》第四条中规定的100万、10万、1万指的是人数,而非个人信息的数量。经过对《征求意见稿》及正式版《办法》的对比观察,《办法》删除了《征求意见稿》中对个人信息的“数量”的表述,或者将其修改为个人信息的“规模”。此项修改解决了实践中个人信息在《标准合同》有效期内持续出境的情形下无法准确填写传输数量的困境。因此,企业在使用《标准合同》时,应当根据业务及未来发展的实际情况,综合评估个人信息出境数量的整体规模及走向;如在签署《标准合同》时,该数量还未达到《办法》第四条中规定的数量级,但在《标准合同》有效期内,该数量很可能经过累积将达到该数量,将可能触发数据出境安全评估。

Q3. 使用《标准合同》进行个人信息出境应当遵照什么流程?

经评估判断如企业同时符合《标准合同》第四条规定的情形,则可以选择适用《标准合同》的合规路径。在《办法》中,同时也规定了适用该路径的流程和要求,我们总结为以下五步:

(一)出境前开展个人信息影响评估;

(二)协商完善条款内容、签订《标准合同》;

(三)合同生效之日起10个工作日以内向省级网信部门备案,并提交《标准合同》签订版及个人信息保护影响评估报告;

(四)按照《标准合同》的规定,及时履行个人信息处理者的合同义务;

(五)持续动态监测,情况变化时应重新开展评估,补充或重新订立标准合同并重新备案。

Q4. 个人信息保护影响评估应当评估哪些内容?

个人信息保护影响评估的触发情形及评估内容分别在《个人信息保护法》第五十五条及第五十六条中有规定。其中,“向境外提供个人信息”即为触发个人信息保护影响评估的情形之一。《办法》中对此进行了重申并进一步细化了个人信息保护影响评估的重点评估内容,为了最大程度地预防和减少个人信息安全风险,分别从出境目的、出境个人信息的具体情况、境外接收方的具体情况、出境个人信息可能发生安全事件的情况、境外接收方所在国家或者地区的个人信息保护政策法规等多个维度明确了评估重点,具体如下:

(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;

(二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;

(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;

(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;

(五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;

(六)其他可能影响个人信息出境安全的事项。

Q5. 使用《标准合同》时,对其中的部分条款可以修改吗?

除非国家网信部门对该《标准合同》文本进行修订、调整,使用《标准合同》时,一般不允许更改或删除,否则将会被质疑无法实现其所要求的数据出境保护水平和合规标准。《办法》第六条第二款同时规定,个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。这意味着,合同双方在不降低《标准合同》原有条款的核心保护水平的情况下,允许在谈判过程中有一定自由磋商和调整的空间,可以在《标准合同》的附件一及附件二中进行补充。

在实践中,尤其是个人信息处理者与境外接收方在合同谈判地位或者实力悬殊过大时,按照《标准合同》签署数据跨境协议,可以在一定程度上平衡双方的谈判地位。

Q6. 境外个人信息处理者在中国境内设立的专门机构或者指定代表,需要与境外个人信息处理者签署《标准合同》吗?

根据《标准合同》第一条定义中,关于“个人信息处理者”的定义为“在个人信息处理活动中自主决定处理目的、处理方式,向中华人民共和国境外提供个人信息的组织、个人”。由此看出,能够作为个人信息处理者主体签署《标准合同》的,应当是在个人信息处理活动中能够决定处理目的和处理方式的主体。

根据《个人信息保护法》第五十三条,境外的个人信息处理者在中华人民共和国境内设立的专门机构或者指定的代表,主要是作为境外个人信息处理者的代表或联系人在境内负责处理个人信息保护相关事务。我们认为,其并不属于在个人信息处理活动中能够自主决定处理目的和处理方式的主体。

因此,境外的个人信息处理者在境内设立的专门机构或者指定的代表向其境外个人信息处理者传输境内个人信息,属于境外主体直接收集境内自然人个人信息,双方不能通过签署《标准合同》完成数据跨境合规。此种情形下,可依据《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》等相关法律法规,由境内专门机构或指定代表申请个人信息跨境处理活动安全认证。更多相关内容可以参考《观点|条条大路通罗马?——数据出境新规解析及实务建议》Q9 – Q12部分的讨论。

Q7. 如果与位于欧盟的境外接收方已签订了SCCs,还需要签署《标准合同》吗?

如果中国境内的企业与位于欧盟的境外接收方已经签署了SCCs,意味着欧盟境内数据有流向中国境内,则中国境内企业再将中国数据提供给欧盟接收方时属于数据双向传输。在此种情况下,即便已经签署了SCCs,也应当另行签署《标准合同》,理由如下:SCCs作为GDPR下一项数据跨境转移工具,其目的是为了确保能够通过SCCs的签署,使得从欧盟经济区内流出的数据即便流向了欧盟经济区外,也能获得与GDPR规定的同等数据保护水平;同样的,我国《标准合同》是在《个人信息保护法》等法律法规的指导下制定的文本,其目的也是为了可以确保中国流出的数据在欧盟国家内也能得到充分保护。因此,数据双向传输情形下企业将同时受GDPR、中国《个人信息保护法》及《办法》的约束,同时签署SCCs和《标准合同》方能确保满足合规要求。

Q8. 企业何种情况下需要签署补充条款(即《标准合同》附录二)?

根据前述Q5,在不与标准合同相冲突的情况下,个人信息处理者与境外接收方还享有一定的谈判空间,约定其他条款进行补充。如针对个人信息处理者和境外接收方的各项义务约定更细致的实施要求、要求境外接收方提供有关境外接收方所在国家或地区个人信息保护政策和法规的文本材料清单及影响评估内容、个人信息主体实现权利的具体路径及双方有关此项责任的协调与划分、有关违约责任详细的内容及其他必要条款等。

由于《标准合同》的签署及备案是一项复杂的工作,综合考虑合规成本及风险,我们建议在首次签订《标准合同》前,应尽早和外部顾问充分沟通,尽量全面考虑各项条件并细化合同约定,以避免在合同履行过程中因重新谈判、补充签署及重新备案等复杂过程而给企业的经营活动造成影响。

Q9. 企业何种情况下需要重新订立《标准合同》?

根据《办法》第八条,在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应的备案手续:

(一)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;

(二)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;

(三)可能影响个人信息权益的其他情形。

如果在《标准合同》履行过程中发生以上情形时,会涉及重新评估、重订合同、再备案等全套流程。承接前述Q8的解析,企业在合同期限内需持续对境外传输数据的情形下,还应针对个人信息的规模、范围、种类、敏感程度、处理方式、保存地点或期限、境外法规动态等问题进行重点关注并进行全面的评估。

Q10. 个人信息处理者与境外接收方在《标准合同》中的各项义务有何关联?

《标准合同》分别规定了个人信息处理者及境外接收方应当履行的各项义务。经过比较可以发现,双方各自的合同义务在多个方面有紧密的联系,请看下表:

be9c6549c1accd3654f795f43492f96.jpg

Q11. 评估境外接受方所在国家或地区个人信息保护政策和法规对合同履行的影响,可以采取哪些措施?

由于语言、法域差异等客观原因,评估境外接收方所在国家或地区个人信息保护政策和法规对合同履行的影响并非易事。为了实现该项评估,《标准合同》第四条中明确了各项评估因素,同时分摊了双方就此应承担的义务内容,具体来说,针对各项评估因素,落实了境外接收方提供相关资料及信息、通知告知义务。除了利用《标准合同》条款赋予境外接收方前述义务外,为了确保达到“已尽到合理注意义务”,双方还应当保留好相关记录,以备举证和应对监管。

实务中,除了依赖境外接收方提供资料和信息外,如企业实际业务涉及数据出境,为了确保合规工作的严谨性,一方面内部法务人员应保持对业务关联国家或地区法律法规的跟踪观察,同时可借助外部律师的资源和专业意见来判断。

Q12. 个人信息主体作为《标准合同》第三方受益人享有的权利与个人信息主体依据《个人信息保护法》享有的个人信息主体权利有何区别?

《个人信息保护法》在第四章中集中规定了个人在个人信息处理活动中的权利,经比对,除个人信息可携带权及死者个人信息保护外,相关内容已在《标准合同》第五条中得以体现。除了《个人信息保护法》规定的个人信息主体的权利外,《标准合同》第五条中还将个人信息主体作为第三方受益人,可以依据合同条款(如双方跨境活动中应履行的义务、境外法规影响评估、救济、违约责任)向个人信息处理者或境外接收方主张个人信息主体相关权利。

可以看出,《标准合同》中赋予个人信息主体以第三方受益人的身份所享有的权利,是以《个人信息保护法》中规定的个人信息主体权利为基础,围绕该基础,在个人信息跨境的具体场景中,为实现基础权利和个人信息跨境安全增加了相关的权利内容。

Q13. 根据《标准合同》,个人信息主体实现权利救济的途径有哪些?

简单来说,个人信息主体可以选择向个人信息处理者或境外接收方或同时向两方主张其权利、进行询问或投诉。为实现个人信息主体直接向境外接收方主张的通道,《标准合同》约定了境外接收方应确定一个联系人处理个人信息主体的询问或投诉,并公布联系方式。个人信息主体还可向监管机构提出投诉和寻求司法救济。这系列安排皆出自最大程度保护个人信息主体权益的目的,也是为了实现我国的监管部门对跨境数据的监管权。

Q14. 境外接收方违约的情况下,是否还可以单方解除《标准合同》?

根据《标准合同》第七条第(一)项和第(二)项第1目的明确规定,境外接收方违反本合同约定的义务,个人信息处理者可以暂停向境外接收方提供个人信息,并且在暂停提供个人信息的时间超过1个月的情况下,个人信息处理者有权解除合同。

第(二)项最后一句“本项第1目、第2目、第4目的情况下,境外接收方可以解除本合同”,此处特意将第3目(即“境外接收方严重或者持续违反本合同约定的义务”)排除在外。也就是说,在第3目所述境外接收方违约的情况下,境外接收方也就无权单方面解除合同。

但是,在第(二)项第1目的情况下(暂停提供个人信息超过1个月),依据上述规定境外接收方是有权解除合同的。这里似乎出现了逻辑矛盾,也给合同解释增加了不确定性,还待网信部门作进一步解释或修订。

Q15. 《标准合同》下的境外处理者向中国境外第三方转移个人信息须满足什么条件?

《标准合同》对于境外处理者可以向中国境外第三方转移个人信息的条件具体规定在第三条“境外接收方的义务”中,具体包括以下条件:

(一) 确有业务需要;

(二) 已向个人信息主体充分告知;

(三) 取得个人信息主体或未成年人监护人的单独同意;

(四) 与第三方达成书面协议,确保第三方的个人信息处理活动达到中华人民共和国相关法律法规规定的个人信息保护标准,并对个人信息主体权益可能造成的损害承担法律责任;

(五) 向个人信息主体提供该书面协议的副本。

《标准合同》附录一第(六)条为个人信息处理者和境外接收方预留了明确境外第三方的空间。在签署《标准合同》前,缔约双方便应当对出境再转移情况进行事先盘点。如能明确存在向境外第三方再转移的情形,则应当在附录一中补充境外第三方的信息。

Q16. 《标准合同》的适用法律和管辖规则有什么需要关注的地方?

《标准合同》的成立、效力、履行、解释、因其引起的合同双方的争议,均适用中国法,并且《标准合同》提供了诉讼或仲裁的争议解决方式。因双向传输数据而同时签署SCCs和《标准合同》的企业(如以上Q7所述),在日常的合同管理工作中,还需要注意这两类合同所适用的法律和争议解决管辖地的不同。

作者

作者动态

作者其他文章

相关领域

Copyright © 1998-2018 天达共和律师事务所 京ICP备11012394号
联系我们 关注公众号
联系我们