2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》),自2023年6月1日起施行。《办法》规定了个人信息出境标准合同(以下简称标准合同)的适用范围、订立条件和备案要求,明确了标准合同范本,为向境外提供个人信息提供了具体指引。

受访专家表示,《办法》的出台进一步完善了我国数据跨境传输制度体系,补全了《个人信息保护法》中规定的四类数据合规出境机制。有利于通过监管提前防范和化解部分风险,在结合国际惯例与跨境数据流通有益经验的基础上,保障市场经济主体商业活动的自主性与平等性,促进数字经济在合规轨道上良性竞争,实现高质量发展。

进一步完善我国数据跨境传输制度体系

《办法》规定,个人信息处理者通过与境外接收方订立标准合同的方式向中华人民共和国境外提供个人信息适用本办法。明确通过订立标准合同的方式开展个人信息出境活动,应当坚持自主缔约与备案管理相结合、保护权益与防范风险相结合,保障个人信息跨境安全、自由流动。

根据《个人信息保护法》相关规定,个人信息处理者向境外提供个人信息的,应当具备下列条件之一:安全评估、个人信息保护认证、以标准合同为基础订立合同、法律法规或者国家网信部门规定的其他条件。

“我国的个人信息出境标准合同在形式上参考了国际上较常见的标准合同条款模板,同时充分考虑了中国法律的本土化表达。”北京理工大学教授洪延青在解读时指出,《办法》注重制度匹配,细化风险管理,平衡商业自由和监管需要,场景覆盖全面,注重国际衔接,为《个人信息保护法》视域下的个人信息跨境方式之一的“标准合同”提供了落地蓝本与中国方案。

北京航空航天大学法学院副教授赵精武在接受21世纪经济报道记者采访时表示,该《办法》的出台进一步完善了我国数据跨境传输制度体系,补全了《个人信息保护法》中规定的“安全评估、标准合同、保护认证和其他特殊制度”四类数据合规出境机制。

对于部分个人信息出境规模较小的企业而言,《办法》明确了数据出境的具体标准。在“个人信息出境标准合同”中,企业除了需要评估和保障自身的个人信息安全风险外,还需要关注境外接收方是否能够保障出境的个人信息安全。

绿盟科技集团首席合规咨询专家张睿表示,《办法》的出台既有利于通过监管提前防范和化解部分风险,同时在结合国际惯例与跨境数据流通有益经验的基础上,保障市场经济主体商业活动的自主性与平等性,促进数字经济在合规轨道上良性竞争、高质量发展,为相关企业数据出境在追求商业效率的同时提供了合规指引

标准合同制度兼顾商业效率与安全合规

依据《办法》,个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合下列情形:非关键信息基础设施运营者、处理个人信息不满100万人的、自上年1月1日起累计向境外提供个人信息不满10万人的、自上年1月1日起累计向境外提供敏感个人信息不满1万人的。法律、行政法规或者国家网信部门另有规定的,从其规定。

值得注意的是,相比起2022年6月30日发布的《个人信息出境标准合同规定(征求意见稿)》,《办法》新增“个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。”意味着个人信息处理者不能用订立标准合同的方式规避出境安全评估。进一步明晰标准合同的适用情形。

相较于安全评估和个人信息保护认证,标准合同制度有何特殊性?

赵精武告诉21记者,其特殊性主要表现为三点:一是标准合同制度是以备案为主,主要对备案材料进行形式审查;而安全评估则是监管机构对申报主体提交的材料进行实质审查。

二是标准合同制度侧重于合同条款规范化的形式确保数据出境安全,而安全评估则是通过监管机构的审核评估予以实现,个人信息保护认证则是通过技术安全认证等方式予以实现。

三是标准合同制度同时关注个人信息处理者和境外接收方的合同义务履行,安全评估和个人信息保护认证则是主要以境内个人信息处理者为限。

“设立标准合同制度的目的首先是保障个人信息出境安全。”赵精武表示,“另外,激发数据要素市场化活力,在满足法定安全的条件下最大化数据效用。同时,在适用范围层面与《数据出境安全评估管理办法》达成互补,涉及到规模较小、不构成重要数据的个人信息出境时,企业可以按照标准合同制度的要求进行业务合规。”

洪延青在解读文章中特别指出,《办法》平衡了商业自由和监管需要。我国对标准合同采用“自主缔约与备案管理相结合”的原则。一方面,标准合同无需事先审批即可生效;另一方面,个人信息处理者的备案行为为网信部门持续监督提供了管理抓手。

张睿在采访中也强调了标准合同制度兼顾商业效率与安全合规的特点。“标准合同的设立可以有效减少因违反有关法律、法规引发的不确定风险,降低缔约磋商成本,保证经贸活动效率,维护公平交易。”

细化出境场景中个人信息保护影响评估的具体事项

在《个人信息保护法》第五十五条提出“个人信息保护影响评估”后,《办法》明确,个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估并明确了重点评估内容。规定个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。提出在标准合同有效期内个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续的具体情形。《办法》还对监督管理、法律责任、合规整改要求等作出了规定。

个人信息保护影响评估对于企业、个人信息主体及监管机构而言,有何现实意义?

赵精武表示,对于企业而言,个人信息保护义务的履行标准更加明确,《办法》在《个人信息保护法》的基础上细化了数据出境场景下个人信息保护影响评估的具体事项,尤其需要重点评估境外接收方的个人信息安全保障能力。

对于个人信息主体而言,个人信息出境标准合同第5条专门规定了“个人信息主体的权利”,并且在该合同文本的违约责任等部分还专门提及个人信息出境造成损害结果的,需要先行向个人信息主体予以赔偿,切实保障了权利的实现与救济。

对于监管机构而言,需要按照《办法》第9条的规定,严格落实工作人员的保密义务,重点保密可能涉及到商业秘密、商业机会等信息内容。此外,监管机构的审核方式不再是对提交材料内容的全面审查,仅以形式审查为限。

“个人信息保护影响评估是个人信息处理者向境外提供个人信息的前置性条件。”张睿解释道,企业能够从评估细节把握个人信息保护的重点、明确监管要求,进而划定管理范围并指导企业业务推进;个人信息主体可明确个人信息风险敞口,并据此把握向相关主体提供数据的范围以及主张个人权利的理由与时机;监管机构能够以此统一规范要求,保证监管效率,推进标准化市场发展。

值得一提的是,在个人信息保护影响评估方面,与《数据出境安全评估办法》相比,《办法》增加了“境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响”一项。从实操角度来看应如何落实?

在赵精武看来,该项规定的落实主要涉及到外国法与国内法是否存在冲突,以及外国法是否能够提供与我国《个人信息保护法》等法律法规相同水平的保护措施。

“在实操中,主要面临的难点是境外接收方未能如约履行个人信息保护义务,例如境外接收方破产清算无力继续履行合同义务、境外接收方被监管机构强行索要数据等。”赵精武说。

为此,他建议,在具体评估境外接收方安全风险时,境内企业可以优先选择市场口碑较好、企业内部管理规范的境外企业,也可以由委托律所等专业机构对境外接收方的近年运营状况进行评估,确保境外接收方能够持续履行个人信息保护义务。

张睿认为,境外接收方应充分发挥地理与本地资源优势,及时掌握因所在地个人信息保护政策法规的变化,进而准确分析对标准合同履行的影响,有效区分判定诸如情势变更、不可抗力造成履约不能以及合同解除情形,防止违约责任风险以及针对个人信息主体侵权责任风险的扩大甚至外溢。

部门规章的发布只是起点,其后续的落地还需要执法、司法、监督多方协作,形成联动机制。数据应用的业务场景日益复杂,企业与个人守法的意识与能力在《办法》约束的框架下均需要时间培养和成长。”对此,张睿建议企业自身需要建设并提升合规执行能力,在冲突发生或履约不能时及时掌握风险态势,同时建议加强与监管机构、信息处理主体、个人信息主体等多方的合作沟通,防止因为涉诉或行政处罚而严重影响业务的正常开展。

声明:本文来自数字生产力研究,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。