2023年5月30日,国家网信办发布了《个人信息出境标准合同备案指南(第一版)》(“《备案指南》”),对个人信息出境标准合同的备案方式、备案流程、备案材料等具体要求作出了说明。根据此前公布的《个人信息出境标准合同办法》(“《标准合同办法》”)规定,个人信息处理者通过与境外接收方订立个人信息出境标准合同的方式向境外提供个人信息的,应当按照备案指南向所在地省级网信部门备案。1《备案指南》发布后,绝大多数省级网信办也陆续发布了个人信息出境标准合同的备案指引(“备案指引”)或通知。本文将结合《备案指南》和各地备案指引,解读备案规定要求、分析各地通过案例、提供备案实践指引。本文基于现行规定进行分析,暂不讨论《规范和促进数据跨境流动规定(征求意见稿)》如生效后对于个人信息出境监管体系的影响。
一、政策解读
《备案指南》从适用范围、备案方式、备案流程三部分为个人信息处理者规范、有序地备案个人信息出境标准合同提供了指导和帮助,对标准合同备案的时限、流程、提交材料、结果等事项提供了指引与模板。
(一)适用范围
2023年6月1日起,国家网信办此前公布的《个人信息出境标准合同办法》正式施行,该办法的第四条规定了通过标准合同订立这一途径实现个人信息出境的适用场景,即:(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供个人信息不满10万人的;(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。以上四个条件需个人信息处理者同时满足,而《备案指南》与其保持一致。若不符合上述情形,不满足其中任一条件,则根据《数据出境安全评估办法》第四条规定,个人信息处理者应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。若同时满足以上四个条件,个人信息处理者在数据出境合规策略上既可以采取个人信息保护认证,也可以选择签订个人信息出境标准合同。
图1:数据出境合规路径
在个人信息出境标准合同备案的适用条件与金融、医疗等特殊领域的数据出境要求产生法律冲突时,《标准合同办法》规定了“法律、行政法规或者国家网信部门另有规定的,从其规定”,故特殊领域的相关规定可以优先适用。
《标准合同办法》明确禁止以“数量拆分”等手段规避数据出境安全评估——对于应当申报数据出境安全评估的情形,企业不得通过“化整为零”的方式改为通过个人信息出境标准合同进行个人信息出境活动。
《备案指南》明确了“个人信息出境行为”的内涵:既包括个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外;也包括个人信息处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出。此外,国家网信办未来可能根据兜底条款进一步明确其他类型的个人信息出境行为。
(二)备案方式
根据《备案指南》,个人信息出境标准合同备案的具体方式为个人信息处理者“在标准合同生效之日起10个工作日内,通过送达书面材料并附带材料电子版的方式,向所在地省级网信办备案”。
实践中地方网信部门对于备案的具体程序亦有差异,例如,北京、上海两地的网信办设置了前置的线上查验环节:个人信息处理者需要首先将完整电子版备案材料发送至指定邮箱,当电子版材料查验通过后才可线下提交备案材料。2
此外,地方网信部门亦可能对于备案材料在形式上提出更加具体的要求,个人信息处理者亦可参考地方网信部门对于安全评估申报材料的形式要求自行提前完善备案材料。例如,上海市网信办在《数据出境安全评估申报工作实务问答(二)》中就提示申报材料纸质件可采用长尾票夹、回形针、订书针、文件袋等简约朴素的常规形式进行装帧,如申报材料较多,则以无图文标记的纯色纸箱打包;对于电子版材料,需刻录在光盘中进行提交,若一次提交涉及多个场景,可刻录在一张光盘中,不同场景设置单独的文件夹;此外,建议附上WORD版本材料。3
表1:个人信息出境标准合同备案申报材料要求
(根据《个人信息出境标准合同备案指南(第一版)》整理)
序号 | 材料名称 | 要求 |
1 | 统一社会信用代码证件 | 影印件加盖公章 |
2 | 法定代表人身份证件 | 影印件加盖公章 |
3 | 经办人身份证件 | 影印件加盖公章 |
4 | 经办人授权委托书 | 原件(模板见附件2) |
5 | 承诺书 | 原件(模板见附件3) |
6 | 个人信息出境标准合同 | 原件(范本见附件4) |
7 | 个人信息保护影响评估报告 | 原件(模板见附件5) |
个人信息处理者备案标准合同时需要提供部分材料原件,所以个人信息处理者在与境外接收方签署标准合同、承诺书等文件时,不仅应按照《备案指南》中提供的模板予以签署,还应该注意材料的原件份数,至少保证一式三份,个人信息处理者两份,境外接收方一份,个人信息处理者内部留存一份、备案提交一份。4材料提交是标准合同备案流程的第一步。
(三)备案流程
个人信息出境标准合同备案流程包括材料提交、材料查验及反馈备案结果、补充或者重新备案等环节。具体流程如下:
图2:个人信息出境标准合同备案流程
若在标准合同有效期内出现下列情形,个人信息处理者则需要补充或者重新备案:
表2:申报者需要补充或重新备案的情形
情形 | 应当 | |
1.向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限 | 重新开展个人信息保护影响评估,补充或者重新订立标准合同(补充订立标准合同的,应当向所在地省级网信办提交补充材料;重新订立标准合同的,应当重新备案),并履行相应备案手续 | |
2.境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益 | ||
3.可能影响个人信息权益的其他情形 | ||
*补充或者重新备案的材料查验时间为15个工作日。
个人信息处理者提交虚假材料的,不予通过备案,并依法追究其法律责任。
二、案例分析
截至目前,根据各地方网信办发布的公开消息,已有至少23家企业通过了个人信息出境申报(网信办“审批”或“备案”),其中有4家企业是采取标准合同备案的方式通过了审核。
表3:个人信息出境申报通过的企业
企业名称 | 公布时间 | 受理单位 | 申报路径 | |
1 | 海南星创互联网医药有限公司 | 2023年9月 | 海南省网信办 | 个人信息出境标准合同备案 |
2 | 信华信(大连)软件服务股份有限公司 | 2023年7月 | 大连市网信办 | 个人信息出境标准合同备案 |
3 | 邦贝液压机械(杭州)有限公司 | 2023年7月 | 浙江省网信办 | 个人信息出境标准合同备案 |
4 | 北京德亿信数据有限公司 | 2023年6月 | 北京市网信办 | 个人信息出境标准合同备案 |
5 | 捷普绿点精密电子(无锡)有限公司 | 2023年8月 | 江苏省网信办 | 数据出境安全评估 |
6 | 绿点科技(无锡)有限公司 | 2023年8月 | 江苏省网信办 | 数据出境安全评估 |
7 | 绿点科技(苏州)有限公司 | 2023年8月 | 江苏省网信办 | 数据出境安全评估 |
8 | 去哪儿网(具体申报主体未披露) | 2023年8月 | 北京市网信办 | 数据出境安全评估 |
9 | 日产中国(具体申报主体未披露) | 2023年6月 | 北京市网信办 | 数据出境安全评估 |
10 | 丰田中国(具体申报主体未披露) | 2023年6月 | 北京市网信办 | 数据出境安全评估 |
11 | 捷普电子(威海)有限公司 | 2023年6月 | 山东省网信办 | 数据出境安全评估 |
12 | 捷普电子(广州)有限公司 | 2023年6月 | 广东省网信办 | 数据出境安全评估 |
13 | 绿点科技(深圳)有限公司 | 2023年6月 | 广东省网信办 | 数据出境安全评估 |
14 | 安利(中国)日用品有限公司 | 2023年6月 | 广东省网信办 | 数据出境安全评估 |
15 | 支付宝(杭州)信息技术有限公司 | 2023年6月 | 浙江省网信办 | 数据出境安全评估 |
16 | 杭州海康威视数字技术股份有限公司 | 2023年5月 | 浙江省网信办 | 数据出境安全评估 |
17 | 杭州萤石网络股份有限公司 | 2023年5月 | 浙江省网信办 | 数据出境安全评估 |
18 | 北京现代汽车有限公司 | 2023年5月 | 北京市网信办 | 数据出境安全评估 |
19 | 焦点科技股份有限公司 | 2023年5月 | 江苏省网信办 | 数据出境安全评估 |
20 | 丝芙兰(上海)化妆品销售有限公司 | 2023年5月 | 上海市网信办 | 数据出境安全评估 |
21 | 马自达(中国)企业管理有限公司 | 2023年5月 | 上海市网信办 | 数据出境安全评估 |
22 | 中国国际航空股份有限公司 | 2023年1月 | 北京市网信办 | 数据出境安全评估 |
23 | 首都医科大学附属北京友谊医院 | 2023年1月 | 北京市网信办 | 数据出境安全评估 |
海南星创互联网医药有限公司备案项目是海南省首个审核通过的个人信息标准合同备案项目,标志着个人信息出境标准合同备案制度在海南落地。同时,首次实现了海南自由贸易港个人信息数据合规出境,为海南省开展跨境服务业务注入数据创新驱动力,促进海南自贸港数据安全有序流动。5
信华信(大连)软件服务股份有限公司在大连市委网信办的指导下,完成通过了辽宁省首例标准合同备案审核。大连市网信办以此为契机逐步建立全市个人信息出境标准合同备案制度体系和工作体系,形成“五位一体”的工作格局,即“政企协同发力、对外平台推广、产业园区引领、重点企业示范、第三方机构参与”,共同赋能数字经济高质量发展。6
邦贝液压机械(杭州)有限公司提交的个人信息出境标准合同备案材料通过了浙江省网信办组织的备案审核,是浙江省首家通过订立标准合同实现个人信息合规出境的企业,也标志着个人信息出境标准合同备案工作在浙江省正式展开。7
北京德亿信数据有限公司是首家通过北京市网信办个人信息出境标准合同备案的企业,也是全国首例通过标准合同备案实现数据出境合规的企业。此前,北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目是全国首个获批的数据出境安全评估项目,而此次北京德亿信数据有限公司与香港诺华诚信有限公司签订的个人信息出境标准合同通过了备案(备案号为“京合同备202300001”),也标志着个人信息出境标准合同备案制度在北京率先落地。数据出境安全评估和标准合同备案的首例均由北京市网信办通过,北京企业实现了数据出境合规“两个第一”。截至目前,北京市已有友谊医院、国航、现代中国、丰田中国、北京现代、日产中国、去哪儿网7家单位通过数据出境安全评估,在医疗、民航、汽车、互联网等领域率先形成行业数据出境合规示范案例,通过数量居全国第一。8
目前,采用个人信息出境标准合同备案的方式实现合规出境的比例仍较低,不过可以预见这一比例在未来会不断上升。由于《数据出境安全评估办法》的发布和实施早于《个人信息出境标准合同办法》,需要完成数据出境安全评估的企业很早就开始了数据合规整改与申报,而适用于个人信息出境标准合同备案路径的企业仍处于法定整改期,这也是目前公开信息中通过个人信息标准合同备案审核的案例相对较少的原因之一。
表4:两种数据出境合规方式对比
标准合同备案 | 安全评估申报 | |
适用范围 | (一)非关键信息基础设施运营者; | (一)数据处理者向境外提供重要数据 |
(二)处理个人信息不满100万人的; | (二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息; | |
(三)自上年1月1日起累计向境外提供个人信息不满10万人的; | (三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息; | |
(四)自上年1月1日起累计向境外提供敏感信息不满1万人的。 | (四)国家网信办规定的其他需要申报数据出境安全评估的情形。 |
三、合规指引
(一)标准合同备案“三步走”合规指引路线
根据《个人信息保护法》《个人信息出境标准合同办法》和《备案指南》,企业以标准合同备案的方式实现个人信息出境的合规需要三步:第一步是判断个人信息处理者跨境传输数据活动的性质、规模是否属于应当申报数据出境安全评估的情形,若不属于,方能选择采取以标准合同备案完成数据出境合规(参考图1及表4);第二步是完成个人信息保护影响评估(Personal Information Security Impact Assessment,以下简称“PIA”),根据《备案指南》,PIA需在备案日前3个月内完成,且至备案时未发生重大变化;第三步是与个人信息接收者签订标准合同,向地方网信部门提交材料(参考表1),进行标准合同备案,并根据网信部门要求,补充材料或重新备案(参考图2及表2)。
图3:标准合同备案合规指引路线图9
第一步,需要注意的是,企业不得将依法应当通过出境安全评估的个人信息进行数量拆分,然后通过订立标准合同的方式向境外提供。例如,企业将300万人个人信息无合理理由地平均拆分到四个子公司,或者将医疗、金融、教育、车载业务场景下的个人信息分别纳入不同公司,然后再分别订立标准合同进行个人信息出境备案,以此回避更为复杂、周期更长的安全评估申报。企业需在标准合同备案时签订承诺书,保证其“未采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供”,否则将依据《个人信息保护法》等承担法律责任。《个人信息保护法》第六十六条规定的法律责任包括但不限于责令改正、给予警告、没收违法所得、对违法处理个人信息的应用程序责令暂停或终止提供服务等。
第二步,在标准合同备案日前3个月内,企业需完成PIA工作。《备案指南》附件5提供了PIA报告模板(出境版),要求企业详细说明出境活动整体情况:个人信息处理者基本情况、个人信息出境涉及的业务和信息系统、出境个人信息情况、个人信息处理者个人信息保护能力情况、境外接收方情况、个人信息处理者认为需要说明的其他情况等。
《个人信息保护法》第五十五条规定了个人信息处理者应当开展PIA的情形,其中第四项即为向境外提供个人信息。《备案指南》对于PIA工作提出了更为具体的要求。一方面,PIA报告中需涵盖的内容多且细致,涉及境外接收方信息的收集与编写、信息系统的排查与说明等,对于企业的材料组织能力提出了不小的挑战。另一方面,细致的内容要求意味着PIA工作不能够流于形式,而应进行深入的合规性与技术性分析;如发现任何问题,应在个人信息出境前切实开展整改。这就需要企业法律合规人员、信息安全技术人员、个人信息出境场景所涉业务人员协同合作。
第三步,在标准合同生效之日起的10个工作日内,企业个人信息处理者应当向其所在地的省级网信部门备案。当地网信部门在收到材料后的15日内完成材料查验,并通知个人信息处理者备案结果。若备案未通过,企业可以根据网信部门要求,补充或者重新备案。此外,备案通过后,如出现法定情形(参见表2),企业亦应进行补充或者重新备案的情形。
上述“三步走”路线为标准合同备案合规提供了大致的方向指引,下面对这条合规路径上的重要实务问题提出解答,为企业在常规备案过程中可能遇到的细节障碍提出参考解决方案。
(二)标准合同备案合规重要实务问答
1、集团公司合并备案如何合规开展?
对于跨国集团企业,常常会基于集团公司的统一管理要求及总部IT系统部署,在人力资源管理、办公协作、业务协同系统等场景存在个人信息出境。在此背景下,如果多家境内关联公司均就同一个人信息出境场景进行备案,将可能产生重复性工作,尤其是在境内关联实体数量较多的情况下,此等重复备案工作将更为繁重。
对此,北京网信办于2023年6月2日率先发布北京市标准合同备案工作指引,明确“如多家独立法人企业同属一家集团公司,可由集团公司作为个人信息出境标准合同备案主体。”随后,湖南、辽宁、江西、山西及河南省网信办等亦明确允许集团公司合并备案。多实体合并备案为集团企业提供了一条高效、便捷的通道,其中部分关键问题如下:
(1)多实体合并备案的适用条件
多实体合并备案通常仅适用于同一个人信息出境场景,如涉及不同场景,则目前在适用上存在一定的困难。对于境内某一实体独立的差异化出境场景,建议由境内该实体单独梳理并自行开展标准合同备案工作。而关于标准合同场景下的联合申报方式,原则上不同地区的境内关联主体应当独立向属地网信部门办理标准合同备案;同一地区的不同实体合并备案的,原则上应当满足:同一场景、同一服务器/系统、同一部署(个人信息分块管理逻辑)。因各地网信部门的要求可能有差异以及各家公司的具体情况各不相同,就个人信息出境标准合同的备案场景而言,通常建议有联合备案需求的企业可提前与属地网信办进行沟通。
(2)多实体合并备案可能会触发数据出境安全评估
值得注意,如企业选择合并备案,且合并后的出境量级达到《数据出境安全评估办法》第四条所规定的门槛(例如合并后,自上一年度1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息等),此时出境合法性义务可能需要转换为申报数据出境安全评估。
(3)多实体合并备案的备案主体
目前,明确发布指引允许合并备案的地方网信办仅提及“集团公司”可作为合并备案主体,此处的“集团公司”通常为集团在境内的总部。然而,跨国集团企业往往存在多种业务架构及IT部署模式,在一般实践中,如集团公司的境内总部对通用出境场景(例如HR管理、办公协同、客户/供应商管理等)所涉及的IT系统及数据享有一定管控权限,通常由境内总部作为个人信息处理者进行合并备案较为符合监管预期。
而针对境外总部“中央集成式”(业务决策权及IT管控权限均由境外总部享有)的管理模式,即境内实体之间处于独立状态,不存在实质的“境内总部”,则建议进一步向当地省级网信办确认是否可委托一家具备独立法人资格的境内实体作为备案主体,进行合并备案。
(4)多实体合并备案的合同签署方式
如集团公司决定选择多实体合并备案方式并确定备案主体,需进一步考虑合同签署主体。尽管国家网信办发布的备案指南并未对合同签署主体进行明确,然而,北京、湖南、辽宁、江西、海南、广西等地的备案工作指引均明确提出备案主体应与境内合同签署方一致的要求,基于此,多实体合并备案路径下,或可由合并备案主体作为境内个人信息处理者与境外接收方签署标准合同,但仍需有联合备案需求的企业提前与属地网信办进行沟通确认。
2、上一年度个人信息数量如何计算?
(1)问:如企业自上年1月1日起陆续向境外传输数据,但截止申报/备案时,该等数据已从境外服务器中删除/匿名化,在判断累计向境外提供个人信息是否达到 “1万”或“10万”门槛时,是否应计入该等已删除/匿名化的数据?
答:《个人信息出境标准合同办法》规定的计算方式是“自上年1月1日起累计向境外提供个人信息”的数量,鉴于跨境传输行为发生在上年1月1日至今这段期间,原则上应计入该等数据。企业在实际开展申报或备案前,可以就具体申报场景向国家及当地省级网信办进一步咨询确认。
(2)问:如企业曾在上年1月1日前向境外传输数据,且该等数据目前仍存储于境外服务器中,在判断累计向境外提供个人信息是否达到 “1万”或“10万”门槛时,是否应计入该等持续存储的数据?
答:通常需分情况考虑:(1)如果企业自上年1月1日至今未对该等数据进行除存储外的其它数据处理活动,则可以不计入;(2)如果企业自上年1月1日至今仍涉及对该等数据开展访问、加工、使用等除存储外的其它数据处理活动,倾向于认为应当计入。企业在实际开展申报或备案前,可以就具体申报场景向国家及当地省级网信办进一步咨询确认。
3、多个出境场景、多个境外接收方应如何进行备案?
(1)问:如存在多个个人信息出境场景需要备案,应当如何开展备案工作?
答:原则上,企业应分场景开展备案工作。但在多个出境场景均仅涉及同一境内个人信息处理者和同一境外接收方时,部分省级网信办可接受将多个出境场景合并在一份标准合同及一份PIA报告中进行备案。企业实际开展备案前,可向当地省级网信办进一步咨询确认。
(2)问:针对同一出境场景,如存在多个境外接收方,应如何签署标准合同及准备PIA报告?
答:针对同一出境场景,一份标准合同中不应以多个境外接收方作为合同主体,而应与各境外接收方分别签署标准合同,并分别准备PIA报告,但可以在一次备案中将该场景的全量材料予以提交。12
四、结语
《备案指南》的发布以及随之而来的各省网信办的备案指引,为企业开展个人信息出境标准合同备案工作提供了更加具体、可操作的指引
个人信息出境标准合同机制下需开展的工作较多,而且部分工作对成果的深度与完善性有较高的要求。鉴于备案存在不通过的可能性,相关企业若准备采取这一路径实现数据合规出境,当充分重视,并综合考虑各项工作的时间要求,做好充分的准备,以确保PIA、合同签署等工作能够在要求时限内高效合规完成,保障企业的日常经营和业务发展。
个人信息保护与数据跨境治理是在数字社会的实践变化中不断完善的,体现为一种自下而上的制度设计和监管逻辑。数据流通的大量实践基于数据跨境的充分涌流,对数据跨境流动的治理有“堵”亦有“疏”,在数据流通安全有序的前提下促进数据自由流动。国家网信办于此前发布的《规范和促进数据跨境流动规定(征求意见稿)》拟规定国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,以及不是在境内收集产生的个人信息向境外提供的等等情形,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证,可能在未来显著减轻企业的数据合规出境成本,或能够进一步促进数据跨境流动和充分释放数字经济的活力。
参考文献
[1] “国家互联网信息办公室发布《个人信息出境标准合同备案指南(第一版)》”,载“网信中国”公众号,2023年5月30日。
[2] 北京市网信办发布《北京市个人信息出境标准合同备案指引》,https://mp.weixin.qq.com/s/iSYnHfLuKdmbKYNoeB94Pw;上海市网信办关于个人信息出境标准合同备案的通知,https://mp.weixin.qq.com/s/RR_L9cjpuqMQVU1fHA_0jA。
[3] 上海网信办发布数据出境安全评估申报工作实务问答(二),https://baijiahao.baidu.com/s?id=1756680485356821245&wfr=spider&for=pc。
[4] 吴卫明、李胜男:《个人信息出境标准合同备案指南(第一版)》解读,载“锦天城律师事务所”公众号,2023年5月31日。
[5] 《海南省通过首家企业个人信息出境标准合同备案》,载“网信海南”公众号,2023年9月14日。
[6] 《辽宁首例!个人信息出境标准合同备案在大连落地》,载“大连发布”公众号,2023年7月13日。
[7] 《浙江通过首家企业个人信息出境标准合同备案》,载“网信浙江”公众号,2023年7月10日。
[8] 《北京市通过首家企业个人信息出境标准合同备案》,载“网信北京”公众号,2023年6月25日。
[9] 李瑞、贾申、徐晨、马悦:《〈个人信息出境标准合同备案指南(第一版)〉六大要点解析》,载“中伦视界”公众号,2023年6月1日。
[10] 李瑞、贾申、徐晨、马悦:《〈个人信息出境标准合同备案指南(第一版)〉六大要点解析》,载“中伦视界”公众号,2023年6月1日。
[11] 《全国首家出境标准合同备案通过!15个合规关键问题大盘点!》,载“熠时代”公众号,2023年7月14日。
[12] 参考中伦数据团队:《标准合同备案FAQs(一)(二)(三)》,载“TMT法律论坛”公众号。《标准合同备案FAQs(一):集团公司如何进行多实体合并备案?》,2023年8月15日;《标准合同备案FAQs(二):多个出境场景、多个境外接收方应如何进行备案?》,2023年9月23日;《标准合同备案FAQs(三):如何计算“1万”“10万”的安全评估触发门槛》2023年9月26日。
撰稿、编辑 | 刘懿阳
选题、指导 | 刘云、李天烁
注:本公众号原创文章的著作权均归属于清华大学智能法治研究院,需转载者请在本公众号后台留言或者发送申请至computational_law@tsinghua.edu.cn,申请需注明拟转载公众号/网站名称、主理者基本信息、拟转载的文章标题等基本信息。
声明:本文来自清华大学智能法治研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
