2022年6月30日,国家互联网信息办公室发布《个人信息出境标准合同规定(征求意见稿)》(“标准合同规定”)。《个人信息保护法》第三十八条明确列举了三种向中国境外提供个人信息的路径,包括:(1)通过国家网信部门组织的安全评估;(2)通过专业机构进行的个人信息保护认证;(3)与境外接收方订立国家网信部门制定的标准合同。由于订立标准合同兼具成本优势和可操作性,因此出境标准合同也一直是企业关注的重点。作为跨境提供个人信息的选择路径之一,理解标准合同文本的适用及内容有重要意义。

01 适用范围:与出境安全评估进行区分

由于申报安全评估与签订标准合同属于跨境个人信息传输的两种不同路径,因此他们在适用范围上应有明显的区分和界限。标准合同规定所列的适用情形就排除了《数据出境安全评估办法(征求意见稿)》应申报安全评估的范围。具体如下:

标准合同规定

《数据出境安全评估办法(征求意见稿)》

适用条件

适用条件上是“并”的关系。

个人信息处理者同时符合四种情形,方可通过签订标准合同的方式向境外提供个人信息。

适用条件上是“或”的关系。

数据处理者向境外提供数据,满足情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

适用情形

(一)非关键信息基础设施运营者;

(二)处理个人信息不满100万人的;

(三)自上年1月1日起累计向境外提供未达到10万人个人信息的;

(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。

(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;

……

(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;

(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;

(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。

其中,标准合同规定并没有要求向境外提供个人信息永久累计,而是划定一个不超过2年的时间限制,自上年1月1日起累计。这种制度设计也有利于避免将大部分公司都纳入需申报安全评估的范围,对中小型企业是一种利好。不过,该种定期累计的做法也可能会给企业带来需要定期评估是否满足“向境外提供未达到10万人个人信息”及“向境外提供未达到1万人敏感个人信息的”的工作要求。

02 合规义务

1.跨境传输前的个人信息保护影响评估

《个人信息保护法》明确规定,向境外提供个人信息应当事前进行个人信息保护影响评估,标准合同规定呼应了《个人信息保护法》的规定,明确了跨境提供个人信息项下个人信息保护影响评估的评估要点内容。

此前《数据出境安全评估办法(征求意见稿)》也对向境外提供数据前的自评估事项进行规定,从以下对比表格可以看出标准合同规定整体上借鉴了自评估的事项,主要评估要点包括“跨境传输的合法性、正当性、必要性”、“可能对个人权益带来的风险”以及“拟采取安全保障措施”等。但是,标准合同规定也有自己的特点,特别是纳入“境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响”的考量,借鉴了欧盟跨境传输评估(Transfer Impact Assessment,TIA)的做法,即其核心要点为评估第三国法律的实施是否会损害标准合同条款(Standard Contractual Clauses,SCCs)等跨境传输工具的有效实施。

标准合同规定

《数据出境安全评估办法(征求意见稿)》

相同或者类似事项

(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性。

(一)数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性。

(二)出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险。

(二)出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险。

(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全。

(四)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全。

(四)个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等。

(五)数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等。

不同事项

(五)境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响。

(六)与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。

2.备案管理

监管机构将备案管理作为一种监管手段,已多次出现在网信相关工作的监管文件中,包括《网络数据安全管理条例(征求意见稿)》《互联网信息服务算法推荐管理规定》等。在标准合同规定中,个人信息处理者对所备案材料的真实性负责,并未要求对备案材料的实质性审查。除此之外,备案管理的所应关注的事项包括:

项目

关注事项

备案的时间节点

标准合同生效后再备案,要求标准合同生效之日起10个工作日内进行备案。

主管机构

个人信息处理者所在地省级网信部门。

备案材料

(一)标准合同;

(二)个人信息保护影响评估报告。

个人信息出境活动与备案的关系

标准合同规定说明“标准合同生效后个人信息处理者即可开展个人信息出境活动”,由于备案程序在标准合同生效之后,那意味着即使未进行备案也可以开展个人信息出境活动。

不备案的处罚措施

未履行备案程序或者提交虚假材料进行备案的,将由省级以上网信部门责令限期改正;拒不改正或者损害个人信息权益的,责令停止个人信息出境活动,依法予以处罚;构成犯罪的,依法追究刑事责任。

03 中国版标准合同文本中国版标准合同文本

标准合同规定提供了中国版跨境传输个人信息的标准合同文本,在使用该标准合同文本时可以进一步关注下述事项:

1.与其他出境相关的合同的关系

中国版标准合同文本规定了跨境传输个人信息的法定责任义务,个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,均不得与标准合同相冲突。而在实践中,其他法域的监管机构也通过相应的标准合同文本管理跨境个人信息传输(例如欧盟SCCs等),因此跨国企业将会面临着协调不同法域标准合同文本的问题。

2.关于适用委托处理的场景

中国《个人信息保护法》规定个人信息处理者和受托人的角色。个人信息处理者在个人信息处理活动中可以自主决定个人信息处理目的、处理方式,而受托人则是接受个人信息处理者委托而处理个人信息。中国版标准合同文本规定了个人信息处理者向境外接收方提供个人信息的模式,并不适用受托人向境外提供个人信息的场景。

不过,中国版标准合同在境外接收方义务中,规定了“受个人信息处理者委托处理个人信息”的义务,说明境外接收方可以是受托人的角色,接受委托处理个人信息。

3.单独同意

中国版标准合同在“个人信息处理者的义务”及境外接收方再转移的义务中,均规定了“单独同意”的要求,与《个人信息保护法》的要求保持一致。值得注意的是,中国版标准合同在“单独同意”的部分也提到了“相关法律法规规定无需取得个人单独同意的除外”,进一步表示单独同意应该是同意的子集,如有其他个人信息处理的合法基础,并不必须取得跨境提供个人信息的单独同意。

4.责任承担

中国版标准合同文本明确规定了“个人信息处理者”的义务、“境外接收方”的义务。在责任承担上,个人信息处理者和境外接收方对因违反标准合同而共同对个人信息主体造成的任何物质或非物质损害承担连带责任。

同时,为了充分保障个人信息主体可以获得赔偿,中国标准合同文本以境内的“个人信息处理者”为抓手,明确个人信息处理者应就境外接收方因违反标准合同而对个人信息主体造成的任何物质和非物质损失向个人信息主体负责,之后再向境外接收方追偿。

04 总结

标准合同规定说明了中国版标准合同的适用范围、个人信息处理者的合规义务以及法律责任等的内容,进一步推进了通过签订标准合同的方式向境外提供个人信息的落地执行。由于标准合同规定尚未正式实施,我们建议相关企业可以持续关注后续的立法进程。

(本文作者:世辉律师事务所 王新锐 卢璟)

声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。