个人信息出境标准合同场景下的企业合规自查80条
2023.02.28 杨锦文 高健 王心慧
一、前言
2023年2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》)。至此,《个人信息保护法》(以下简称《个保法》)第38条规定的包含安全评估机制(有关安全评估机制详情,请参照法评文章《企业如何办理数据出境安全评估》)、个人信息保护认证机制以及标准合同机制在内的三类个人信息出境机制得到了进一步补全,个人信息跨境传输制度体系得到了进一步完善。《办法》规定了个人信息出境标准合同的适用范围、订立条件和向国家网信部门的备案要求等内容,明确了个人信息出境标准合同范本,为企业以签署个人信息标准合同(下称“标准合同”)的方式向境外提供个人信息提供了具体指引(统称“标准合同机制”)。
针对《办法》,需要特别关注的是,《办法》将自2023年6月1日起施行,对于《办法》施行前已经开展个人信息出境活动的,《办法》预留出自其施行之日起6个月的窗口期供企业合规整改。窗口期过后,企业违规跨境传输个人信息将面临的严格处罚,例如,《办法》第十二条规定了违规个人信息出境活动依据个保法进行处理,即沿袭了个保法对个人信息的严重违法行为按照营业额的百分比进行处罚的规定,规定最高处以上一年度营业额百分之五或5000万元以下的处罚,并在此基础上再次强调刑事责任的相关规定。
基于以往为客户提供的数据出境合规经验,我们建议企业充分利用窗口期,及时对现有个人信息出境活动进行自查整改。为此,我们制作了标准合同机制下的个人信息合规自查清单,供企业优化个人信息出境安排、开展自查整改之时作为路线图参考。
一、个人信息出境场景识别 | |
1. 是否存在将在境内运营中收集和产生的个人信息传输、存储至境外的情形 | · 是 · 否 |
2. 企业在境内收集和产生并存储在境内的个人信息能否被境外的机构、组织或者个人(以下简称“境外实体”)查询、调取、下载、导出(包括但不限于物理跨越和远程访问方式) | · 是 · 否 |
3. 在企业日常运营经营中,服务器是否设置在境外(所租赁的云服务的服务器是否设置在境外) | · 是 · 否 |
4. 在企业日常运营经营中是否采用境外服务商提供的办公软件或服务系统(例如,SAP、WORKDAY以及境外运营的邮箱管理系统等) | · 是 · 否 |
5. 是否存在将员工个人信息传输给境外关联实体或其他境外实体的行为 | · 是 · 否 |
6. 是否存在境外关联实体或其他境外实体远程访问境内员工个人信息(包括但不限于姓名、联系方式、通讯地址等信息)的可能 | · 是 · 否 |
7. 是否存在将企业消费者及客户或其联络人的个人信息(包括但不限于姓名、联系方式等信息)传输至境外的可能 | · 是 · 否 |
8. 是否存在将企业供应商或其联络人的个人信息(包括但不限于姓名、联系方式等信息)传输至境外的可能 | · 是 · 否 |
9. 境外接收方是否被国家网信部门列入限制或者禁止个人信息提供清单 | · 是 · 否 |
二、采用订立标准合同的方式向境外提供个人信息的场景识别 (同时勾选“否”的信息出境个人信息处理者方可采用订立标准合同方式,否则应当通过出境安全评估方式向境外提供个人信息)。 | ||
10. 企业(个人信息处理者)是否收到监管部门有关认定其属于关键信息基础设施运营者的通知 | · 是 · 否 | |
11. 处理个人信息是否达到100万人 | · 是 · 否 | |
12. 自上年1月1日起累计向境外提供个人信息是否达到10万人 | · 是 · 否 | |
13. 自上年1月1日起累计向境外提供敏感个人信息是否达到1万人 | · 是 · 否 | |
14. 统计以上个人信息数量时是否采用数量拆分等手段 | · 是 · 否 | |
三、采用标准合同方式向境外提供个人信息的合规筛查 |
(一)个人信息保护影响评估相关合规筛查 |
15. 向境外提供个人信息前,是否已经开展个人信息保护影响评估并保存该报告不少于3年 |
16. 是否依据个人信息保护影响评估的结果完成对个人信息出境安全风险点的整改 |
(二)标准合同订立中的合规筛查 | ||
17. 是否对国家互联网信息办公室提供的个人信息出境标准合同内容做出调整变动 | · 是 · 否 | |
18. 个人信息处理者与境外接收方订立的标准合同是否与前述主体之间已签署的合同内容存在冲突 | · 是 · 否 | |
19. 在标准合同中增设其他条款的,条款内容是否与国家互联网信息办公室提供的个人信息出境标准合同内容存在冲突 | · 是 · 否 | |
20. 是否在标准合同生效后才开展个人信息出境活动 | · 是 · 否 | |
(三)标准合同备案相关合规筛查 | ||
21. 是否在标准合同生效之日起10个工作日内向所在地省级网信部门提交标准合同和个人信息保护影响评估报告实施备案 | · 是 · 否 | |
四、标准合同模板项下的合规义务筛查 | |
(一)个人信息处理者合规义务筛查 | |
22. 对拟出境个人信息的处理活动(包括但不限于收集、存储、加工、使用、传输等)是否符合法律法规要求 | · 是 · 否 |
23. 向境外提供的个人信息是否仅限于实现处理目的所需的最小范围 | · 是 · 否 |
24. 是否向个人信息主体告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类、保存期限、个人信息主体权利的方式和程序等事项 | · 是 · 否 |
25. 向境外提供敏感个人信息的,是否向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响 | · 是 · 否 |
26. 向境外提供个人信息的,是否存在向境外提供个人信息的合法性基础(例如,个人同意或者为履行个人作为一方当事人的合同所必须) | · 是 · 否 |
27. 如果属于“基于个人同意向境外提供个人信息”的,是否已经取得个人信息主体的单独同意(法律、行政法规规定应当取得书面同意的,是否取得书面同意) | · 是 · 否 |
28. 涉及不满十四周岁未成年人个人信息的,是否取得未成年人的父母或者其他监护人的单独同意(法律、行政法规规定应当取得书面同意的,是否取得书面同意) | · 是 · 否 |
29. 是否向个人信息主体告知通过标准合同约定个人信息主体为第三方受益人 | · 是 · 否 |
30. 是否确保境外接收方采取如加密、匿名化、去标识化、访问控制等技术和管理措施应对个人信息安全风险 | · 是 · 否 |
31. 在个人信息出境活动中,企业是否在日常经营活动中收集、留存能够证明其已经履行自身应尽义务的证据 | · 是 · 否 |
32. 在相关法律法规要求的情况下,是否向监管机构提供含所有合规审计结果在内的关于境外接收方已遵守标准合同义务所需的必要信息 | · 是 · 否 |
33. 是否对出境的具体情况进行了评估(评估内容包括但不限于境外接收方此前类似的个人信息跨境传输和处理相关经验、境外接收方是否曾发生个人信息安全相关事件、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息的请求及境外接收方应对的情况) | · 是 · 否 |
34. 是否已经评估境外接收方所在国家或者地区的个人信息保护政策和法规 | · 是 · 否 |
35. 是否已经评估境外接收方安全管理制度和技术手段保障能力 | · 是 · 否 |
36. 是否记录记录前述三条评估的过程和结果 | · 是 · 否 |
37. 当个人信息主体要求对已经出境的个人信息行使查阅、复制、更正、补充、删除其个人信息等权利时,是否采取适当措施实现个人信息主体的行权请求,个人信息处理者无法实现的,是否通知并要求境外接收方协助实现 | · 是 · 否 |
(二)境外接收方的合规义务筛查 | ||
38. 是否按照标准合同约定处理个人信息(例如,处理活动符合约定的处理目的、处理方式、出境信息的规模、种类等) | · 是 · 否 | |
39. 超出约定的处理目的、处理方式和处理的个人信息种类的情况下,基于个人同意处理个人信息的,是否已经取得个人信息主体的单独同意 | · 是 · 否 | |
40. 受个人信息处理者委托处理个人信息的,是否按照与个人信息处理者的约定处理个人信息,未超出与个人信息处理者约定的处理目的、处理方式等处理个人信息 | · 是 · 否 | |
41. 是否采取对个人权益影响最小的方式处理个人信息 | · 是 · 否 | |
42. 个人信息的保存期限是否为实现处理目的所必要的最短时间 | · 是 · 否 | |
43. 个人信息保存期限届满的,是否删除个人信息(包括所有备份)。删除个人信息从技术上难以实现的,是否停止除存储和采取必要的安全保护措施之外的处理 | · 是 · 否 | |
44. 受个人信息处理者委托处理个人信息(即委托处理),委托合同未生效、无效、被撤销或者终止的,是否将个人信息返还个人信息处理者或者予以删除,并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的,是否停止除存储和采取必要的安全保护措施之外的处理 | · 是 · 否 |
45. 是否采取如加密、匿名化、去标识化、访问控制等技术和管理措施以保障个人信息处理安全 | · 是 · 否 |
46. 是否确保授权处理个人信息的人员履行保密义务,并建立最小授权的访问控制权限以保障个人信息处理安全 | · 是 · 否 |
47. 如处理的个人信息发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问,是否及时采取适当补救措施,减轻对个人信息主体造成的不利影响 | · 是 · 否 |
48. 如处理的个人信息发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问,是否立即通知个人信息处理者,并根据相关法律法规要求报告监管机构 | · 是 · 否 |
48. 如处理的个人信息发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问,是否立即通知个人信息处理者,并根据相关法律法规要求报告监管机构 | · 是 · 否 |
49. 相关法律法规存在要求的情况下,是否向个人信息主体履行通知义务(受个人信息处理者委托处理个人信息的,由个人信息处理者履行通知义务) | · 是 · 否 |
50. 是否记录并留存所有与发生或者可能发生篡改、破坏、泄露、丢失、非法利用、未经授权提供或者访问有关的情况,包括采取的所有补救措施 | · 是 · 否 |
51. 受个人信息处理者委托处理个人信息,转委托第三方处理的,是否事先征得个人信息处理者同意,并对该第三方的个人信息处理活动进行监督 | · 是 · 否 |
52. 受个人信息处理者委托处理个人信息,转委托第三方处理的,是否要求该第三方不得超出标准合同中约定的处理目的、处理方式等处理个人信息 | · 是 · 否 |
53. 利用个人信息进行自动化决策的,是否保证决策的透明度和结果公平、公正,保证不在交易价格等交易条件上实行不合理的差别待遇 | · 是 · 否 |
54. 通过自动化决策方式向个人信息主体进行信息推送、商业营销的,是否同时提供不针对其个人特征的选项,或者向个人信息主体提供便捷的拒绝方式 | · 是 · 否 |
55. 是否承诺向个人信息处理者提供已遵守标准合同义务所需的必要信息,并允许个人信息处理者对必要数据文件和文档进行查阅 | · 是 · 否 |
56. 是否对标准合同涵盖的处理活动进行合规审计,并为个人信息处理者开展合规审计提供便利 | · 是 · 否 |
57. 是否对开展的个人信息处理活动进行客观记录,并保存记录不少于3年,在相关法律法规要求的情况下直接或者通过个人信息处理者向监管机构提供相关记录文件 | · 是 · 否 |
58. 是否在监督标准合同实施的相关程序中接受监管机构的监督管理(包括但不限于答复监管机构询问、配合监管机构检查、提供已采取必要行动的书面证明等) | · 是 · 否 |
59. 境外接收方是否以显著的方式、清晰易懂的语言真实、准确、完整地告知个人信息主体有关其行权请求内容的相关信息 | · 是 · 否 |
60. 境外接收方是否确定联系人,并授权其答复有关个人信息处理的询问或者投诉,以及是否及时处理个人信息主体的询问或者投诉 | · 是 · 否 |
61. 境外接收方是否将联系人信息告知个人信息处理者,并以简洁易懂的方式,通过单独通知或者在其网站公告 | · 是 · 否 |
(三)境外接收方向境外第三方再提供境内个人信息的合规义务筛查 | |
62. 个人信息再提供活动是否出于业务之必要 | · 是 · 否 |
63. 是否就该境外第三方的名称或者姓名、联系方式、处理目的等事项告知个人信息主体 | · 是 · 否 |
64. 向境外第三方提供敏感个人信息的,是否向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响 | · 是 · 否 |
65. 向境外第三方提供个人信息的,是否存在提供个人信息的合法性基础 | · 是 · 否 |
66. 如果前一条属于“基于个人同意处理个人信息的”,是否已经取得个人信息主体的单独同意(法律、行政法规规定应当取得书面同意的,是否取得书面同意) | · 是 · 否 |
67.涉及不满十四周岁未成年人个人信息的,是否取得未成年人的父母或者其他监护人的单独同意(法律、行政法规规定应当取得书面同意的,是否取得书面同意) | · 是 · 否 |
68. 是否与境外第三方达成书面协议,确保境外第三方的个人信息处理活动达到相关法律法规规定的个人信息保护标准,并在个人信息主体的要求的情况下,向个人信息主体提供前述书面协议的副本 | · 是 · 否 |
五、标准合同签署、备案后的持续合规筛查 (包括重新备案) | |
69. 监管机构关于境外接收方的个人信息处理活动进行询问的,个人信息处理者是否进行了包括答复在内的积极回应 | · 是 · 否 |
70. 个人信息主体要求个人信息处理者提供标准合同副本的,是否已提供 | · 是 · 否 |
71. 个人信息处理者是否定期跟踪境外接收方所在国家或者地区的个人信息保护政策和法规变化以及境外接收方安全管理制度和技术手段保障能力 | · 是 · 否 |
72. 在标准合同有效期内,向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点发生变化的,个人信息处理者是否重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行备案手续 | · 是 · 否 |
73. 在标准合同有效期内,境外接收方处理个人信息的用途、方式发生变化、延长个人信息境外保存期限的,个人信息处理者是否重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行备案手续 | · 是 · 否 |
74. 在标准合同有效期内,境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的,个人信息处理者是否重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行备案手续 | · 是 · 否 |
75. 监管部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件,对个人信息处理者进行约谈的,是否按照要求整改和消除隐患 | · 是 · 否 |
76.个人信息主体的要求的情况下,境外接收方是否向个人信息主体提供标准合同的副本 | · 是 · 否 |
77. 因境外接收方所在国家或者地区的个人信息保护政策和法规发生变化导致境外接收方无法履行标准合同的,境外接收方是否在知道该变化后立即通知个人信息处理者 | · 是 · 否 |
78. 境外接收方接到所在国家或者地区的政府部门、司法机构关于提供本标准项下的个人信息要求的,是否立即通知个人信息处理者 | · 是 · 否 |
79. 当个人信息主体要求对已经出境的个人信息行使查阅、复制、更正、补充、删除其个人信息等权利时,或收到个人信息处理者有关前述事项的个人信息主体的行权通知时,境外接收方是否采取适当措施实现个人信息主体的行权请求 | · 是 · 否 |
80. 境外接收方是否按照个人信息处理者的通知,或者根据个人信息主体的请求,在合理期限内实现个人信息主体依照相关法律法规所享有的权利 | · 是 · 否 |
三、结语
个人信息跨境传输标准合同机制的落地,标志着我国关于数据跨境法律法规体系的进一步完善。我们建议企业在日常经营活动中,积极防范数据出境合规风险,并结合自身的业务形态和数据出境需求选择适应自身需求的数据出境路径,在合规前提下实现数据的跨境流通,防止因为涉诉或行政处罚而严重影响业务的正常开展。
