千呼万唤始出来——企业如何采用标准合同方式跨境转移个人信息
2022.07.04 杨锦文 王心慧
为了规范个人信息出境活动,促进个人信息跨境安全、自由流动,2022年6月30日,国家互联网信息办公室依据《中华人民共和国个人信息保护法》(以下称“个保法”)起草了《个人信息出境标准合同规定(征求意见稿)》(以下称“标准合同征求意见稿”)并向社会公开征求意见。标准合同征求意见稿旨在解决个保法第三章规定的个人信息跨境提供规则的实施细节问题,提供个保法第38条第一款第三项规定的以标准合同方式实现个人信息出境方式的落地细则。本文拟根据意见稿,梳理企业适用个人信息出境标准合同时的关注要点,以期协助企业全面理解标准合同征求意见稿。
一、个人信息跨境转移的监管法律体系
标准合同征求意见稿的法律基础对应个保法第38条第一款第三项的规定,即个人信息处理者确需向境外提供个人信息的,应当按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利义务。在此根据个保法第38条提供的个人信息跨境转移主要途径,梳理近期出台的法律法规规定等构成的法律监管体系。
法规名称 | 内容摘要 | 发布单位 | 公布时间 |
个人信息保护法 | 第38条规定了以下三种个人信息出境方式: √ 网信部门组织的安全评估 √ 经专业机构进行个人信息保护认证 √ 订立网信部门制定的标准合同 | 全国人民代表大会常务委员会 | 2021年8月20日 |
数据出境安全评估办法(征求意见稿) | 明确以安全评估方式实现个人信息出境的监管要求,包括评估事项、流程等事项 | 国家互联网信息办公室 | 2021年10月29日 |
网络安全标准实践指南—个人信息跨境处理活动安全认证规范 | 为个人信息跨境处理活动认证提供认证依据,也为个人信息处理者规范个人信息跨境处理活动提供参考 | 全国信息安全标准化技术委员会 | 2022年6月24日 |
个人信息出境标准合同规定(征求意见稿) | 为通过签订标准合同方式实施个人信息出境提供标准合同范本,并明确了适用范围、流程等事项 | 国家互联网信息办公室 | 2022年6月30日 |
就此,期待已久的个人信息跨境传输监管制度逐次落地,为建立数据跨境合规机制的操作提供方向上的可靠指引,使得引导个人信息跨境传输活动的法律规制体系也渐趋完善。从几部法规、标准的文本内容来看,相比于评估和认证路径来说,签署标准合同方式的程序较为简便,成本更低。我们将持续关注后续政策的落地实施情况以期为企业规划更适合其经营需求的个人信息跨境转移的合规路径。
二、标准合同方式跨境转移个人信息的适用范围
标准合同征求意见稿第4条规定了个人信息处理者可以通过签订标准合同的方式向境外提供个人信息的情形,即同时满足第4条规定的四种情形。我们注意到标准合同征求意见稿中规定的适用范围与此前的数据出境安全评估办法(征求意见稿)(下称“安全评估办法征求意见稿”)中的适用范围有诸多衔接之处,为方便对两种方式适用范围的了解,我们对此做了如下对比图表。
1、安全评估办法征求意见稿与标准合同征求意见稿的适用范围对比
数据出境安全评估办法(征求意见稿) | 个人信息出境标准合同规定(征求意见稿) |
数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估: | 个人信息处理者同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息: |
关键信息基础设施的运营者收集和产生的个人信息和重要数据; | 非关键信息基础设施运营者; |
处理个人信息达到100万人的个人信息处理者向境外提供个人信息; | 处理个人信息不满100万人的; |
累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息; | 自上年1月1日起累计向境外提供未达到10万人个人信息的; 自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。 |
出境数据中包含重要数据; | / |
国家网信部门规定的其他需要申报数据出境安全评估的情形。 | / |
安全评估办法征求意见稿要求符合规定情形之一的,应当适用安全评估方式;标准合同征求意见稿则要求只有同时满足规定的全部条件方可适用标准合同方式。此项制度安排旨在通过个人信息处理者的规模和个人信息处理量确定适用的信息出境方式。大型个人信息处理企业的体量大,信息处理规模大,因此监管方面对此类个人信息处理企业提出了更严格的要求,即必须通过程序上更为复杂安全评估方式实施个人信息跨境转移活动,而针对处理未达到规定数量个人信息的企业或有跨境转移个人信息需要的中小企业来说,监管上采用了更加宽松态度,即可以采用程序上更为简便的标准合同方式跨境转移个人信息。总的来说,标准合同征求意见稿与安全评估办法征求意见稿有关个人信息跨境转移的条件大体上一脉相承,互相衔接,为不同体量的个人信息处理者提供了不同的个人信息出境方式。
2、适用条件的新亮点-划定新的起算时间
值得关注的是,标准合同征求意见稿规定,自上年1月1日起累计向境外提供未达到10万人个人信息,并且自上年1月1日起累计向境外提供未达到1万人敏感个人信息的个人信息处理者可以通过签订标准合同方式向境外提供个人信息。而安全评估办法征求意见稿则规定,累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息的应当申报数据出境安全评估。
从文本来看,两部法规有关累计数量起算时间的规定似乎出现了龃龉。但考虑到标准合同征求意见稿的出台时间晚于安全评估办法征求意见稿的出台时间,我们理解,标准合同征求意见稿在制定过程中吸纳了安全评估办法在征询意见过程中遇到的问题,对于有跨境转移个人信息需要的中小企业释放了更多的友好信号,对此类个人信息处理者给予了更为宽松的待遇,降低了企业的合规成本。另外,“上年1月1日”这一时间节点也为今后数据出境安全评估办法的定稿提供重要参考,我们推测这一表述在数据出境安全评估办法的定稿中应该会有所体现。
三、标准合同的适用流程
如前所述,相比于标准合同方式跨境转移个人信息,安全评估方式在适用条件上更为严格,其原因之一在于,相比于流程上更为繁复的安全评估方式(有关采用安全评估方式的详细介绍,请参考个人信息保护法下企业如何办理数据出境安全评估),采用标准合同方式实施跨境转移个人信息在手续流程上更为简便,下文将以流程图形式对比两种跨境转移个人信息方式的主要流程。
1、安全评估方式与标准合同方式的适用流程对比图
通过梳理文本可以看出,标准合同征求意见稿规定的事后备案义务则是一项新要求,并未曾在个保法中有所体现。备案义务要求个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案,并提交标准合同和个人信息保护影响评估报告两项材料。标准合同生效后个人信息处理者即可开展个人信息出境活动。需要关注的是,个保法第56条还规定了个人信息处理者的记录义务,即个人信息保护影响评估报告和处理情况记录应当至少保存三年,这一点则要求个人信息处理者严格结合个保法要求处理标准合同。
从流程上来看,标准合同方式为企业办理个人信息跨境转移提供了一种更便捷的途径。标准合同征求意见稿的出台无疑从时间成本和经营成本方面大大降低了符合条件的企业的个人信息出境的难度,同时严格规定了事前个人信息保护影响评估义务和事后的网信部门备案义务,标准合同方式与安全评估方式相配合,实现了对个人信息的严格监管同时又兼顾了企业的经营发展需要。
2、个人信息保护影响评估内容的具体规定
标准合同征求意见稿第5条明确了个人信息处理者向境外提供个人信息的前置义务,即个人信息处理者应当事前开展个人信息保护影响评估(PIA),这一义务同时规定于个保法第56条当中,是对第56条的具体细化。细化内容如下表所示:
个人信息保护法第56条 | 个人信息出境标准合同规定(征求意见稿)第5条 |
个人信息的处理目的、处理方式等是否合法、正当、必要; | 个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性; |
对个人权益的影响及安全风险; | 出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险; |
所采取的保护措施是否合法、有效并与风险程度相适应。 | 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全; |
/ | 个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等; |
/ | 境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响; |
/ | 其他可能影响个人信息出境安全的事项。 |
可见,标准合同征求意见稿第5条作为个保法第56条的落地实施细则,就评估内容提出的要求更为精细和具体,实现了对个人信息主体权利更为全面的保护,同时也对采用标准合同方式从事个人信息跨境转移的个人信息处理者提出了更高的合规要求。
四、当事人能否修改标准合同条款
标准合同征求意见稿为从事个人信息跨境转移业务的个人信息处理者提供了统一的数据出境合同模板,但企业能否为个人信息跨境转移设计个性化条款以满足生产经营需求、能否约定排除标准合同中部分条款的适用等问题也随之而来,本章将结合规定对此做出分析。
标准合同征求意见稿文本中并没有明确规定条款不可修改,但从目的解释角度来看,标准合同征求意见稿将的出台旨在降低管理成本,并最大限度对个人信息主体赋予保护,防止标准合同的缔约双方通过排除合同条款的约定无限扩张己方权利,侵害个人信息主体权利。从文本内容看,标准合同征求意见稿第2条第一款规定,个人信息处理者采用与境外接收方订立合同向境外提供个人信息的,应当按照本规定签订个人信息出境标准合同。标准合同是由国家网信部门制定的,但经过当事人合意被纳入到他们之间订立的合同当中。由于标准合同是国家网信部门制定的,故此当事人只能合意决定是否纳入到他们之间订立的合同中,而不能协商改变1,限缩了当事人意思自治的空间。
但我们也注意到,标准合同附录二部分专门提供了合同当事双方约定的其他条款部分,据此,合同双方可以在附录二中自行协商约定适合自身商业安排的条款,为个人信息跨境转移活动设计个性化条款以满足自身的生产经营需求。
标准合同征求意见稿第2条第二款也规定,个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。由此可见,双方当事人可以就个人信息出境活动签署其他合同或补充协议,但是前提是其内容不得与标准合同内容相冲突。标准合同第9条(一)规定“如果本合同在达成或签订时与合同双方已存在的其他任何协议发生冲突,本合同的条款优先适用”。此外,因为标准合同会在主管部门进行备案,备案具有相应的公信力,如果签署的其他合同或补充协议与标准合同发生冲突,我们认为将会被判定优先适用标准合同的内容。
五、标准合同和备案的有效期间
标准合同征求意见稿第8条规定,出现(一)向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;(二)境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的;(三)可能影响个人信息权益的其他情况时,个人信息处理者应当重新签订标准合同并备案。个人信息出境涉及的业务场景错综复杂,向境外提供个人信息的范围、类型、数量、方式、保存期限等任何一项发生改变均会致使个人信息处理者产生重新签订合同并备案的义务。根据本条(二)的规定,监管方面要求个人信息处理者时刻关注合同实施过程中包含境外接收方法律政策变更、个人信息处理目的、范围等问题的外部环境变化,对个人信息处理者来说也构成一个较大的挑战。
需要注意的是,标准合同征求意见稿第11条规定,省级以上网信部门发现通过签订标准合同的个人信息出境活动在实际处理过程中不再符合个人信息出境安全管理要求的,应当书面通知个人信息处理者终止个人信息出境活动。个人信息出境活动在实际处理过程中不再符合个人信息出境安全管理要求会导致标准合同及其备案失效,个人信息处理者需要重新确定适用的跨境提供个人信息方式,符合采用标准合同方式条件的个人信息处理者可以按照标准合同征求意见稿规定的方式,重新签订标准合同并履行备案义务。
如上所述,在标准合同生效后,个人信息处理者也需要持续关注标准合同约定事项的变化情况。因此我们建议,个人信息处理者应指定专人负责跟踪,及时与外部专家沟通,定期对涉及个人信息的出境业务场景进行核查,时刻关注可能影响合同有效期限的情形,避免因个人信息合规问题被迫终止个人信息出境活动,甚至面临行政、刑事处罚等,为企业经营带来未知的风险。
六、结 语
《个人信息出境标准合同规定(征求意见稿)》的出台,为选择适用标准合同方式实现个人信息跨境转移的个人信息处理者提出了新规制框架及要求,明确了个保法下标准合同方式实现个人信息出境的办理方法,为个人信息处理者通过标准合同方式跨境转移个人信息提供了落地的操作细则。个人信息跨境转移活动面临的监管日益精细化、规范化。如果企业初步符合征求意见稿中以标准合同方式向境外提供个人信息的条件,建议尽早着手开始梳理数据出境的种类情形,准备个人信息保护影响评估使用的相关材料,以便在《个人信息出境标准合同规定》正式颁布生效后能够迅速实施。
1. 程啸著 《个人信息保护法理解与适用》第310页
