个人信息出境标准合同备案倒计时正式开始
在《个人信息出境标准合同办法》(以下简称“《标准合同备案指南》”)正式生效前夕,国家互联网信息办公室(以下简称“国家网信办”)于2023年5月30日正式发布了《个人信息出境标准合同备案指南(第一版)》(以下简称“《备案指南》”1) ,为拟开展个人信息出境标准合同备案的个人信息处理者提供指导。《标准合同备案指南》的发布,意味着个人信息出境标准合同备案的工作正式开始。以下是我们对《标准合同备案指南》主要内容的分析和解读。
同时,我们也与之前国家网信办发布的《数据出境安全评估申报指南(第一版)》(以下简称“《安全评估申报指南》”)相关内容进行了对比分析。
(一) 哪些主体需进行标准合同备案
总的来说,对于具有数据出境的情形而又未触发出境安全评估的企业,除非另行选择了个人信息保护认证的方式,均需要进行标准合同的备案。
《标准合同备案指南》对个人信息出境标准合同适用范围的规定与《标准合同办法》第四条保持了严格一致,即需要同时满足非关键信息基础设施运营者、处理个人信息不满100万人、以及自上年1月1日起累计向境外提供个人信息不满10万人或敏感个人信息不满1万人这几种情形,才能通过订立标准合同的方式向境外提供个人信息。较之于《安全评估申报指南》,标准合同备案的触发情形实际上与安全评估申报的范围互为补充,即不触发安全评估申报的个人信息出境,可以选择通过标准合同备案的方式开展出境活动。
同时,《标准合同备案指南》进一步强调了《标准合同办法》中关于个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供的要求。关于标准合同出境触发条件中的数量标准,仍需要根据项目的具体情况进行判断。
(二) 哪些情形属于个人信息出境
总的来说,相关的企业需要全面的梳理业务流程之中涉及的所有数据直接出境或境外有相应查询、调取、下载或导出权限的情形,进行相应的个人信息影响评估并签署标准合同。
《标准合同备案指南》对个人信息出境行为的认定延续了《安全评估申报指南》中的标准,只是对一些用语进行调整,例如将“数据处理者”修改为“个人信息处理者”,“数据出境”修改为“个人信息出境”,对出境情形的描述没有任何实质变化。具体而言,个人信息出境情形包括:(一)个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外;(二)个人信息处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出。同时,《标准合同备案指南》也保留了“国家网信办规定的其他个人信息出境行为”的表述,为以后监管实践中可能较为复杂的个人信息出境情况预留了解释空间。
虽然《标准合同备案指南》对于个人信息出境情形进行了描述,但仍然没有明确不同数据出境场景下、不同数据处理角色如何签署标准合同的问题,例如仍未明确实践中受托处理个人信息的一方作为数据出境方对外提供个人信息的情形如何签署标准合同。
(三) 标准合同备案的方式及流程是什么?
《标准合同备案指南》规定个人信息处理者应当在标准合同生效之日起10个工作日内进行备案。
具体而言,企业需通过送达书面材料并附带材料电子版的方式,向所在地省级网信办备案,具体包括材料提交、材料查验及反馈备案结果、补充或者重新备案等环节。相关备案流程请参见下图。
相较于《标准合同办法》所规定的备案方式和流程,《标准合同备案指南》在以下方面进行了细化:
1、备案方式均为送达书面备案材料并附带材料电子版;《标准合同备案指南》未明确要求电子版备案材料以光盘形式提交,不排除未来通过线上系统接收备案材料的可能性;
2、明确了省级网信办进行材料查验(包括补充或重新备案情形)的期限均为15个工作日;
3、国家网信办已公布了咨询、举报联系电话和邮箱,方便企业就个人信息出境标准合同备案中的问题进行事先咨询。
(四) 申报后可能的结果是什么?
根据《标准合同备案指南》,备案后可能存在通过和不通过两种结果。若备案不通过,个人信息处理者将收到备案未成功通知及原因,要求补充完善材料的,可以进一步补充完善资料后再次提交。
但是对于企业而言,若备案未通过,第一,目前的数据出境的状态可能被认为没有适当的法律基础,是否需要停止相应的数据出境行为尚不清楚;第二,补充完善材料再次提交的时间为10个工作日,因此,相对而言是较为紧凑的。
在这种情况下,企业最好是在第一次备案之时,即将相关的材料准备完善,争取能够一次性的备案成功。
(五) 需要准备哪些申报材料?是否有任何关注点?
标准合同备案一共需要准备七份文件,其中除了企业和经办人、法定代表人的相关证明文件,最主要的还是所签署的个人信息出境标准合同和个人信息保护影响评估报告。
《标准合同备案指南》中对于标准合同备案的材料在一定程度上借鉴了安全评估申报的材料要求。主要区别是在标准合同备案中,个人信息处理者不再需要准备类似于数据出境安全评估申报表的申报表格文件。
针对《标准合同备案指南》中规定的申请文件要求,有以下几点也值得关注:
《承诺书》特别说明要求个人信息保护影响评估工作应为备案之日前3个月内完成,且至备案之日未发生重大变化。
《承诺书》要求个人信息处理者承诺其未采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。其中,对于“数量拆分”的理解,应尤其关注集团公司之间的出境数据是否需要加总计算的情形,同时也有待监管部门对于“数量拆分”做进一步阐释。
《经办人授权委托书》需经办人的角色是在标准合同备案中全方面负责公司的备案工作以及与监管的沟通,因此对于经办人的授权委托期限,应注意设立为足够覆盖标准合同备案工作的委托期限。
(六) 怎么准备个人信息保护影响评估报告?
针对《标准合同备案指南》颁发之前个人信息处理者普遍关心的个人信息保护影响评估报告如何起草,《标准合同备案指南》本次也提供了《个人信息保护影响评估报告》(模板),为个人信息处理者准备个人信息保护影响评估提供了重要指导和参考。
报告整体要求的评估维度与关注要点与《安全评估申报指南》中所附的《数据出境风险自评估报告》(模板)(以下简称“《出境自评估报告》(模板)”)一脉相承。可以看出,监管部门在关注的信息出境的评估点和关注点是相类似的。以下几点值得关注:
报告整体包括四大方面:组织和实施评估工作的基本情况、出境活动的整体情况、拟出境活动的影响评估情况、出境活动影响评估结论。
个人信息处理者的基本情况:不仅限于一般的登记信息以及个人信息出境涉及的业务和信息系统,也需要披露企业的实际控制人、个人信息保护机构信息、整体业务和个人信息情况、境内外投资情况。
拟出境个人信息情况:需说明个人信息处理的目的、范围、方式,及其合法性、正当性、必要性,还需说明其处理敏感个人信息和利用个人信息进行自动化决策的情况。
对个人信息处理者的个人信息保护能力的评估:既包括管理组织体系和制度建设情况,全流程管理、应急处置、个人信息权益保护等制度及落实情况,也包括个人信息收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施。
针对境外接收方的评估:包括境外接收方的基本情况、个人信息保护能力及其所在国家和地区的个人信息保护政策法规情况,以及境外接收方处理个人信息的全流程过程。
针对拟出境活动的影响评估情况:需根据《标准合同办法》第五条中列举的因素逐项说明影响评估情况,重点说明评估发现的问题和风险隐患,以及相应采取的整改措施及整改效果。
个人信息保护影响评估报告的结论:应结合影响评估情况和相应整改情况,对个人信息出境活动作出客观的影响评估结论,充分说明得出评估结论的理由和论据。
(七) 我们的观察和建议
以上我们总结了《个人信息保护影响评估报告》(模板)中作出的细化要求,至于企业在实践中如何落实这些内容,我们初步观察如下:
1.整体而言,《标准合同备案指南》的详细程度和相关要求与《安全评估申报指南》类似,均对适用范围、递交方式及流程、递交材料要求等提供了具体指引。从所需准备文件可以看出,企业需要全面、细致的梳理出境数据流,并进行逐项、清晰的自评估、适当完成整改措施。
2.《标准合同备案指南》明确了备案的结果分为通过、不通过两种情况。对于不通过备案的情形,个人信息处理者将收到备案未成功的通知及原因,并可以进一步补充完善材料并于10个工作日内再次递交。企业应当预留充足时间,尽早提交备案,避免因未通过备案需补交材料导致的延迟和导致业务运营数据出境的不确定性。
3.《标准合同备案指南》暂未对不同情形如何进行申报进行说明,例如同一集团下的不同实体是否可以合并申报、申报的个人信息保护影响评估报告具体如何得以扩展适用等。我们相信,此前在数据出境安全评估工作中的一些处理方式在一定程度上也可以借鉴到个人信息出境标准合同备案的文件准备过程之中。
4.随着《标准合同办法》于今年6月1日开始正式实施,关于标准合同备案的更多细节问题后续也会有更多的解释和指引。由于标准合同备案工作的过渡期仅到今年的11月底,对于需要完成个人信息出境标准合同备案的企业而言,目前仅余六个月的时间完成相应的工作。考虑到数据出境信息流摸底、准备个人信息保护影响评估报告、与境外接收方沟通签署标准合同均需有相应的筹备时间,因此相关工作需要尽快开展起来,以便相对妥善地保证个人信息出境有据可依、持续稳定,从而护航相应的业务和运营。
[1] 国家互联网信息办公室发布《个人信息出境标准合同备案指南(第一版)》,http://www.cac.gov.cn/2023-05/30/c_1687090906222927.htm
