跨国公司如何采用标准合同方式进行数据出境——兼评个人信息出境标准合同指南
2023.06.01 杨锦文 李圆圆 王心慧
前言
2023年5月30日,在《个人信息出境标准合同办法》及附件《个人信息出境标准合同》(以下简称“《标准合同办法》”)正式生效前两天,国家互联网信息办公室公布《个人信息出境标准合同备案指南(第一版)》(以下简称“《指南》”)。以《指南》的出台为契机,标准合同方式跨境传输个人信息的合规路径已经清晰明了。
《指南》规定了标准合同备案的适用范围、备案方式、备案流程、咨询及举报联系方式等,并在附件中提供了个人信息出境标准合同备案材料要求,包括经办人授权委托书模板、承诺书模板、个人信息保护影响评估报告模板等,为企业采用标准合同进行数据出境提供工作指引。我们将结合正在协助企业进行标准合同备案工作中遇到的疑难实务问题,分析跨国公司如何采用标准合同方式进行数据出境。
一、标准合同备案要点速览
哪些主体可以采用标准合同方式备案
企业需同时符合以下条件:
非关键信息基础设施运营者;
处理个人信息不满100万人的;
自上年1月1日起累计向境外提供个人信息不满10万人的;
自上年1月1日起累计向境外提供敏感个人信息不满1万人的个人信息处理者。
哪些情况属于数据出境
个人信息处理者(如企业等主体)将在境内运营中收集和产生的个人信息传输、存储至境外;
个人信息处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
国家网信办规定的其他个人信息出境行为。
备案机关
所在地省级网信办
备案流程
材料提交、材料查验及反馈备案结果、补充或者重新备案等
备案时限
标准合同生效之日起10个工作日内向所在地省级网信办备案。省级网信办收到材料后,在15个工作日内完成材料查验,并通知个人信息处理者备案结果。
备案结果
通过备案的,省级网信办向个人信息处理者发放备案编号;
不通过备案的,个人信息处理者将收到备案未成功通知及原因,要求补充完善材料的,个人信息处理者应当补充完善材料并于10个工作日内再次提交。
需要补充或者重新备案的情形
向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
可能影响个人信息权益的其他情形。
补充或者重新备案时的备案机关
所在地省级网信办
补充或者重新备案的材料查验时限
15个工作日
二、备案材料清单
《指南》明确了备案所需的材料,如下表所示。其中,经办人授权委托书、承诺书、个人信息出境标准合同、个人信息保护影响评估报告均提供了相应的模板供企业参照。企业需根据自身的数据出境情况梳理和撰写个人信息保护影响评估报告,并填写个人信息出境标准合同中的附录(附录一为必填内容,包括处理目的、处理方式、出境个人信息规模、出境个人信息种类等内容)。
序号
材料名称
要求
1
统一社会信用代码证件
影印件加盖公章
2
法定代表人身份证件
影印件加盖公章
3
经办人身份证件
影印件加盖公章
4
经办人授权委托书
原件
5
承诺书
原件
6
个人信息出境标准合同
原件
7
个人信息保护影响评估报告
原件
三、实务要点及合规建议
1. 跨国公司在境内存在多家实体时的备案方式
比较常见的是,跨国公司在中国境内各地存在多家实体,实务中通常使用境外母公司统一采购的信息系统进行管理,这种情况下多家实体是必须在各自所在地分别办理,还是能够由一家公司牵头合并办理备案,是实务中遇到的比较多的问题,也是很多企业比较困惑的疑难点。
结合《指南》以及根据我们与多地网信部门的沟通,这种情况下如果多家实体属于母子公司、分支机构或者业务上存在牵头管理关系,或者即使属于兄弟公司,但使用同样的信息系统,且各家公司愿意配合的情况下,可以母公司或其中一家公司牵头,作为签订标准合同和备案的主体,由其他公司出具授权文件授权主体公司进行标准合同的签订和备案。这种情况下个人信息保护影响评估报告中需要涵盖各家公司的数据出境情况,不少跨国公司基于成本控制等原因通常更愿意采用此种方式。此外,如果多家实体基于各自的风控管理及责任承担角度,更倾向于各自向当地网信办进行备案,也符合目前的合规要求。
《标准合同办法》和《指南》中对前述合并备案方式未进行明确。因各地网信部门的要求可能有差异以及各家公司的具体情况各不相同,建议就公司的具体情况和办理方式与当地网信部门进行沟通。
2. 备案结果存在不通过的情况
根据《标准合同办法》,标准合同生效后方可开展个人信息出境活动,即企业签订标准合同生效后即可开展个人信息出境。实务中,很多跨国公司在华设立的外商投资企业虽然还未签署标准合同,因使用母公司统一采购的信息系统且服务器在境外等原因,数据已经属于出境状态。《标准合同办法》给予了六个月的宽限期进行整改。
虽有此宽限期,企业对数据出境情况进行摸底、对个人信息保护情况进行影响评估和撰写报告、对不合规之处进行整改、签订标准合同、准备其他备案材料、进行备案等工作均需花费较长时间,实际上六个月的时间是比较紧张的。并且根据《指南》,备案结果存在不通过的情况,还需完善材料后再次进行备案。如果宽限期经过后还未完成备案手续,有可能面临处罚或者数据出境活动叫停的风险。建议企业尽快开展数据出境情况梳理和摸底、撰写个人信息保护影响评估报告、签订标准合同等工作。
3. 个人信息保护影响评估报告撰写要点
《指南》中已公布个人信息保护影响评估报告的具体模板,对《标准合同办法》中要求的六个重点内容进行了结构化和细化,实际要求的细化程度类似《数据出境风险自评估报告(模板)》。从时间上来看,企业应在备案之日前3个月内完成个人信息保护影响评估工作,且需承诺至备案之日该评估未发生重大变化。
根据我们此前帮助企业进行数据出境安全评估申报的经验以及就标准合同备案与网信部门沟通的结果,个人信息保护影响评估报告需严格按照模板,并覆盖模板中要求的所有要点。前述报告可以由公司自行草拟或者委托第三方专业机构草拟,草拟之前需要对公司整体数据出境情况进行梳理和摸底以及整改,需要大量人力和相应的专业能力来支持影响评估,实务中更多情况下委托律所等第三方专业机构进行草拟。
结语
最近,国内外跨国公司因数据出境合规问题而被处以数十亿人民币重罚的案件频发。目前《个人信息出境标准合同备案指南发布(第一版)》出台,且《个人信息出境标准合同办法》亦将于6月1日生效,标志着我国个人信息跨境法律法规体系的进一步完善。此外,《网信部门行政执法程序规定》也即将于6月1日生效,网信部门实施行政处罚等行政执法的执法依据和执法程序也已齐备。
对于存在数据出境的企业来说,通过数据出境安全评估申报和个人信息出境标准合同备案等方式合法化数据出境是企业的强制性义务。我们建议企业在日常经营活动中,积极防范个人信息出境合规风险,并结合自身的业务形态和个人信息出境需求选择合适的个人信息出境路径。从标准合同备案来看,尽管有六个月宽限期,但如前所述时间非常紧张,建议企业尽快开展相关工作,在合规前提下实现个人信息的跨境流通,防止因为涉诉或行政处罚而严重影响业务的正常开展。
