尘埃落定——个人信息出境标准合同正式落地的八大关注点
《个人信息保护法》第三十八条规定了向中国境外提供个人信息的三条主要合规路径,包括通过网信部门组织的安全评估(以下简称“安全评估路径”)、经专业机构进行个人信息保护认证(以下简称“认证路径”),以及与境外接收方订立国家网信部门制定的标准合同(以下简称“标准合同路径”)。
终于,2023年2月24日,国家网信办正式公布《个人信息出境标准合同办法》(以下简称“《合同办法》”),明确了个人信息出境标准合同(以下简称“标准合同”)的订立、备案等要求。随着数据出境安全评估进入最后冲刺阶段,未触发安全评估路径并拟选择标准合同路径的企业也再次将注意力转移到标准合同路径的落地上。本文希望通过八个关注点的解答,帮助相关企业厘清对企业的影响和实施路径。
关注一:哪些企业需要关注标准合同路径?
上述三条合规路径中,触发安全评估路径的门槛 相对较高。如果企业存在重要数据或达到门槛的个人信息的出境,则必须进行安全评估。如果企业存在个人信息的跨境转移但没有触发安全评估路径,则可以根据自身情况选择认证路径或标准合同路径。认证路径将需引入第三方认证机构进行测评和监督。而目前看来,标准合同路径很可能将是三条出境路径中最为广泛适用的出境路径。
总体而言,任何的机构、企业存在个人信息出境的行为,因业务需要拟持续向境外传输、又没有达到安全评估的标准的,均需要关注标准合同路径。当然,如果是在业务之中存在零星少量的个人信息出境,例如,中国境内的企业与国外合作方沟通的过程之中,发送邮件时、或者交流时提供了相关的商业联系人信息,是否也需要签署标准合同,这一点也需在合规过程之中进一步考察。
关注二:企业需何时完成合规动作?
《合同办法》将于2023年6月1日起生效实施,并对施行之前已经开展的个人信息出境活动提供了自施行之日起6个月的整改过渡期。该《合同办法》的出台标志着通过标准合同的个人信息出境活动监管规则的正式落地。
这也意味着,涉及数据出境的所有企业的相关整改工作应于2023年的年底前完成。
关注三:标准合同覆盖哪些数据出境场景?
首先,标准合同仅适用于个人信息的出境,若涉及重要数据的出境,则应当推进安全评估路径。另外,若出境数据涉及其他特殊监管,则也应考虑其他行业或领域的要求。
与欧盟《通用数据保护条例》下的数据跨境标准合同条款(即SCC)有四个版本不同,标准合同仅有一个版本。根据标准合同第一条(二),“个人信息处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的,向中华人民共和国境外提供个人信息的组织、个人;“境外接收方”是指在中华人民共和国境外自个人信息处理者处接收个人信息的组织、个人。这里的境外接收方既包括可以自主决定处理目的、处理方式的组织、个人,也包括受个人信息处理者委托处理个人信息的受托人。因此,订立标准合同的双方可能存在“处理者—受托人”和“处理者—处理者”两种场景。
实践中,仍可能存在受托人作为数据出境方将个人信息提供给境外接收方的场景。例如,境外某个人信息处理者直接向中国境内自然人提供产品和服务从而收集中国境内自然人的个人信息并通过境内受托人储存该等个人信息并传输至中国境外,该等场景下受托人与境外接收方如何实现出境的合规,有待监管机关提供进一步解释。
关注四:完成标准合同路径有哪些基本流程?
根据《合同办法》,企业采用标准合同出境需要遵守以下基本流程。总的来说,我们建议企业至少预估三到四个月的准备时间,以充分安排和完成下述工作。
(一)事前评估:个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估。个人信息保护影响评估报告为向网信部门备案的必备材料。
(二)自主缔约:个人信息处理者可以根据国家网信办提供的标准合同范本自主订立个人信息出境合同。
(三)事后备案:个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案,备案时应递交签署后的标准合同以及个人信息保护影响评估报告。
(四)重新评估及缔约、备案:在标准合同有效期内出现需要重新评估的情形时,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续。
关注五:《合同办法》与2022年的征求意见稿有哪些主要区别?
国家网信办曾于2022年6月30日发布了《个人信息出境标准合同规定(征求意见稿)》(以下简称“征求意见稿”)。与征求意见稿相比,《合同办法》的体例和结构没有重大变化,但在以下几个主要具体方面进行了调整。
1. 明确规定不得采取数量拆分等手段规避安全评估路径
《合同办法》特别增加了一条规定,“个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供”。根据过往协助企业开展出境安全自评估的经验来看,实践中不乏存在一些相对复杂的数据出境场景。例如,集团公司内存在个人信息在不同的集团公司之间相互共享、集团公司存在部门跨实体提供管理职能、集团公司使用同一套系统使得个人信息某些情况下存在于不同实体之间流转等。实践中,若集团公司之间存在上述数据共享,可能需要将不同集团公司的出境数据加总计算。若加总计算的数字达到安全评估路径门槛,则应当进行出境安全评估。对于《合同办法》增加的该条款具体如何解释,尚待监管部门提供进一步解释,在此之前,企业对于存在集团公司之间共享个人信息情形的,需谨慎判断应采取的数据出境路径。
2. 明确国家网信部门可以根据实际情况对标准合同进行调整
《合同办法》删除了对于标准合同主要内容的引用,而直接指向附件内容,并规定国家网信部门可以根据实际情况对附件进行调整。
3. 明确自主缔约、但不得与标准合同相冲突的原则
《合同办法》之中明确了在不与标准合同相冲突的前提下,个人信息处理者可以与境外接收方约定其他条款。但何种规定可以被视为不与标准合同相冲突,我们理解,通常对于双方义务的进一步增强性规定,易被认可为“不冲突”;但若对于双方的权利义务有所变化、特别是可能削弱或者减少一方在标准合同下规定的责任和义务的,则有可能被认为与标准合同“相冲突”的情况。
4. 明确主管部门可进行约谈的情形、将法律责任条款归口《个人信息保护法》
较之前的征求意见稿,本次《合同办法》对个人信息标准合同出境活动中的法律责任部分的内容进行了简化和调整。一方面,将限期整改和终止个人信息出境活动纳入行政约谈制度中,要求省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改,消除隐患。另一方面,删除了关于承担法律责任的具体适用情形,归口到适用《个人信息保护法》,仅保留了关于承担刑事责任的转致性规定。
关注六:标准合同条款与2022年的征求意见稿有哪些主要区别?
我们注意到,标准合同条款的结构及主要条款都保留了2022年征求意见稿的内容,以下主要的变化体现了监管机关在征求意见后对于标准合同的落地实践、监管要求、以及对个人信息主体权益的关注等各方面的考虑。
1. 澄清单独同意的要求仅适用于基于“同意”进行转移的情形
标准合同的第二条(三)中明确规定,“基于个人同意向境外提供个人信息的,应当取得个人信息主体的单独同意。”该表述进一步明确了取得单独同意的要求仅限于该等跨境转移是基于“同意”这一合法性基础进行的。但是,向境外提供个人信息的行为如果并非基于“同意”,在何种情况下可以基于其他合法性基础,例如基于履行个人作为一方的合同所必须或基于人力资源管理所必须,还需要分场景、分情形具体进行分析。我们认为,如果企业考虑不基于同意“向境外提供个人信息”,也必须通过充分的事实和法律分析,确认确实可以基于除“同意”以外的合法性基础开展,才能免除单独同意的要求。
2. 取消境外接收方在个人信息保存期限届满后对信息进行匿名化的选择
征求意见稿的标准合同范本中规定,当个人信息保存期限届满后,境外接收方应当删除个人信息或进行匿名化处理。正式版标准合同取消了匿名化处理这一选择,仅保留了返还或删除个人信息的选项,并进一步规定,若删除个人信息从技术上难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理。
3. 取消了境外接收方提供证明其删除个人信息的审计报告的要求
征求意见稿的标准合同范本规定,境外接收方需承诺,其受个人信息处理者委托处理个人信息时,在删除或匿名化后,应向个人信息处理者提供相关审计报告。该条要求引起较多企业的关注,因为对于该审计报告应当以怎样的形式递交,是否必须是正式的审计报告还是可以是证明已经完成删除或匿名化后的证明文件,以及是否必须聘任第三方进行审计等问题均没有明确指引,企业担心该要求难以让境外接收方接受。正式版标准合同删除了审计报告这一要求,仅要求境外接收方在返还个人信息或删除个人信息后,向个人信息处理者提供书面说明。书面说明相对审计报告而言更具有可操作性。
4. 增强了境外接收方对个人信息安全事件的通知义务
征求意见稿的标准合同范本要求境外接收方在发生数据泄露(包括个人信息遭到意外或非法破坏、丢失、篡改、未经授权提供或访问)时,应履行向个人信息处理者的告知义务。正式版标准合同将向个人信息处理者的通知义务扩大到“发生或可能发生”数据泄露事件。这意味着境外接收方的通知义务要求更为严格,不仅在实际发生数据泄露事件时需要通知个人信息处理者,当可能发生数据泄露事件时,也需要履行相应的通知义务。此外,标准合同明确了受委托处理个人信息的场景下,当法律法规要求通知个人信息主体的,应由个人信息处理者通知个人信息主体。
5. 明确境外接收方对个人信息处理者的通知义务
正式版标准合同增加了一项规定,要求境外接收方在接到所在国家或者地区的政府部门、司法机构关于提供本合同项下的个人信息要求的,应当立即通知个人信息处理者。该规定与个人信息处理者在《个人信息保护法》第四十一条中“非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。”的要求相衔接。使得个人信息处理者能够及时知悉境外司法或执法机构要求提供个人信息的情况,并及时履行其在《个人信息保护法》第四十一条下的义务。
6. 对个人信息主体的权利保护及救济更加看重
正式版标准合同整体向作为合同受益方的个人信息主体保护更加倾斜:首先,删除了征求意见稿中关于个人信息主体重复主张权利情形的约定;其次,明确了出境合同的约定不影响个人信息主体依据我国《个人信息保护法》享有的权益;最后,对个人信息主体救济中适用境内法律作为准据法,尊重个人信息主体的选择而不需境外接收方的同意。
7. 对合同解除的情形进行了增删
正式版标准合同对征求意见稿中的标准合同范本约定的合同解除情形进行了增删。一方面增加了境外个人信息保护政策和法规发生变化导致合同履行不能的情形,另一方面删除了境外接收方破产、解散或清算及因监管机构原因导致合同履行不能的情形。
8. 对违约责任条款进行了调整
正式版标准合同对违约责任条款进行了简化。首先,调整了违约责任的赔偿范围,删除征求意见稿中“双方之间的责任限于非违约方所遭受的损失”的条款。其次,删除了征求意见稿中“个人信息处理者应就境外接收方因违反本合同而对个人信息主体造成的任何物质和非物质损失向个人信息主体负责,个人信息主体有权向其主张损害赔偿责任”的表述。最后,明确了双方对于个人信息主体依法承担连带责任的原则。正式版标准合同将征求意见稿中的“双方应对个人信息主体承担连带责任”调整为“双方依法承担连带责任”。该表述似乎表明境外接收方并非因为签署标准合同而被施加连带责任,而是应依法承担连带责任。
关注七:企业实务之中应当如何推动标准合同落地工作?
考虑到上述整改最终时限,以及基本流程,我们建议经初步自评估认为不触发安全评估路径且拟选择标准合同路径的企业,采取以下措施及时完成标准合同的签署:
1. 梳理个人信息出境场景,确认出境路径
整体梳理企业的个人信息出境场景并判断涉及的个人信息属性和规模;
若企业在中国境内有多家集团公司的,审慎判断是否触发数据出境安全评估,判断时将是否存在集团公司之间共享数据的情况考虑在内。
2. 明确标准合同签署主体
经梳理及判断后确认采用标准合同出境路径的,进一步明确标准合同的境内外签署主体;
若存在境外多个数据接收方,确认该等接收方的角色属于处理者还是受托人,以及相互之间的关系及数据流转路径。
3. 开展个人信息保护影响评估
建立内部评估制度,开展符合要求的个人信息保护影响评估;
若企业存在不同类型的个人信息出境场景,考虑个人信息保护影响评估应当分场景开展还是合并开展为宜;
若企业在中国境内有多家集团公司且存在相同或相似的个人信息出境场景,考虑统一开展个人信息保护影响评估还是分实体分别开展影响评估。
4. 完善标准合同文本并签约
针对标准合同中可由双方自行补充的部分,根据实际情况进行补充,完善标准合同;
考虑到标准合同条款对境外数据接收方施加的义务通常是境外接收方极为关注的部分且双方可能就部分条款的理解、争议解决方式的确认、补充条款内容等需要充分沟通,企业应尽早就合同内容与境外接收方展开磋商谈判,避免出现分歧或冗长的谈判,影响个人信息出境活动进程。
5. 完成备案
标准合同签署并生效之后,企业应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案;
备案应当递交已签署的标准合同以及个人信息保护影响评估报告。
关注八:企业完成标准合同备案后还需注意什么?
企业在完成标准合同备案之后,无论是《合同办法》、还是标准合同条款本身,都对于企业的持续合规仍有一系列的相关要求。企业并不是一备案就“一劳永逸”,而是需要通过持续的合规机制,来使得个人信息的出境实现常规的内控监管及合规。
首先,企业应当及时了解监管机构对非正常数量拆分的规避监管行为与正常业务经营活动的区分标准,并关注合同附件的调整更新,掌握相关材料备案要求,如出现可能需要整改的情形,应当预留必要的时间,以免影响后续的个人信息出境活动。
其次,企业应当对于向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点及境外接收方处理个人信息的用户、方式进行持续的监管,若发生变化的情况,需考虑是否需要重新开展个人信息评估,补充或者重新订立合同。还需要对境外接收方所在国家或地区的个人信息保护政策和法规、当地执法情况进行了解和调研,把握宏观风险和法律障碍。
再次,企业还需要关注个人信息主体权利的行使要求,形成合法、合理的处理流程,在个人信息主体要求提供与境外接收方所签署合同的情况下,应在处理涉及商业秘密或者保密商务信息后,提供给个人信息主体。
最后,企业还需要关注境外数据处理出现相关的信息安全事件、或者境外政府部门、司法机构提出提供合同项下的个人信息的要求时,应按照《合同办法》及标准合同的要求合法合规的进行处理。
结 语
标准合同路径的正式落地,也标志着我国关于数据跨境法律法规体系的进一步落地和完善。我们建议企业根据自身的情况,尽快建立全面、有效的数据出境内控体系,选择合规、符合自身情况的出境路径,在保证合法合规的前提下,有序、有效的实现正常业务过程之中的数据流动。
1. 根据《数据出境安全评估办法》第四条的规定,数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
