北京大成律师事务所(“大成”)是一家独立的律师事务所,不是Dentons的成员或者关联律所。大成是根据中华人民共和国法律成立的合伙制律师事务所,以及Dentons在中国的优先合作律所,在中国各地设有40多家办公室。Dentons Group(瑞士联盟)(“Dentons”)是一家单独的国际律师事务所,其成员律所和关联律所分布在全世界160多个地方,包括中国香港特别行政区。需要了解更多信息,请访问dacheng.com/legal-notices或者dentons.com/legal-notices。

郭玉兰等:《个人信息出境标准合同办法》的十问十答


恰逢《个人信息出境标准合同办法》(下称“《标准合同办法》”)刚于2023年2月24日正式发布并将于2023年6月1日起施行[1],关于个人信息如何通过签订标准合同的方式合规地跨境传输,赶紧通过以下十个问答快速了解一下吧。




Q1
数据应该通过哪些途径合规地跨境传输?

根据目前适用的法律法规,主要有三种途径:

(1)通过国家网信部门(即国家网信办)组织的安全评估;

(2)按照国家网信部门的规定,经专业机构进行个人信息保护认证;

(3)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。



Q2
哪些场景可以通过订立标准合同来进行数据的跨境传输?

根据《标准合同办法》,能够通过订立标准合同方式来完成数据跨境传输的主体范围较为狭窄,必须同时满足下列要求:

(1)非关键信息基础设施运营者;

(2)处理个人信息不满100万人的;

(3)自上年1月1日起累计向境外提供个人信息不满10万人的;

(4)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

此外,《标准合同办法》还明确规定,个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。



Q3
订立标准合同需要遵循什么流程?

在订立标准合同之前,企业必须开展个人信息保护影响评估。该评估的内容主要包括:数据出境的合法性、正当性、必要性;出境个人信息的数量、范围、类型、敏感程度,可能带来的风险;数据接收方能否保障出境个人信息的安全等要素。

订立标准合同并生效后,个人信息处理者即可开展个人信息出境活动,但在合同生效之日起10个工作日内,还应当向企业所在地省级网信部门提交已生效的标准合同及个人信息保护影响评估报告进行备案。值得注意的是,《标准合同办法》并未规定网信部门对备案材料进行实质审查,也未将合同备案作为相关数据出境的前置条件。



Q4
订立标准合同对合同文本有什么要求?

(1)《标准合同办法》第六条规定,标准合同应当严格按照《标准合同办法》附件《个人信息出境标准合同》(下称“标准合同模板”)订立,国家网信部门可以根据实际情况对该附件进行调整。因此,我们理解企业应当严格按照标准合同模板订立标准合同,不得随意修改。但是,双方可以在标准合同模板的基础上约定与其文本不相冲突的其他条项。

(2)境外当地个人信息保护政策法规的影响:标准合同模板采取了较为宽松的表述,要求个人信息处理者和境外接收方均保证,在合同订立时已经尽到合理注意义务,仍未获悉当地的相关政策法规会影响境外接收方履行本合同规定的义务。

(3)争议解决方式:履行标准合同期间若发生争议的,合同双方可以选择中国法院进行诉讼,也可以选择《纽约公约》成员国的仲裁机构解决纠纷,且未对仲裁地作进一步规定。标准合同所提供的境外仲裁选项,将增强境外数据接收方签订标准合同的意愿。



Q5
什么是标准合同路径下的第三方受益人制度?

标准合同所规定的该制度,通过赋予个人信息主体“第三方受益人”的地位来加强对其的保护。具体流程如下:

(1)个人信息处理者通过履行标准合同模板第二条第(四)项项下的告知义务来赋予个人信息主体成为“第三方受益人”的权利;

(2)在标准合同模板中约定个人信息处理者和/或境外数据接收方需要向个人信息主体承担义务的若干条项(例如第三条),以及个人信息主体的权利(第五条);

(3)标准合同模板第六条第(三)项明确了个人信息主体可以通过诉讼或向监管机构投诉,来实现其“第三方受益人”权利的路径;

(4)任何一方因违反标准合同而侵害个人信息主体享有的权利,应当对个人信息主体承担民事法律责任。若双方依法承担连带责任,个人信息主体有权请求任何一方或者双方承担责任。



Q6
网信办可能从哪些方面对标准合同和合同双方进行监管?

标准合同模板第三条第(十三)项规定了境外接收方的义务,即:境外接收方同意在监督合同实施的相关程序中接受中国监管机构的监督管理,包括但不限于答复监管机构询问、配合监管机构检查、服从监管机构采取的措施或者作出的决定、提供已采取必要行动的书面证明等。

另外,标准合同模板亦设定了个人信息处理者应配合监管的义务。一方面,个人信息处理者在境内处理个人信息,适用《个人信息保护法》,必须依法接受监管机构的监管。另一方面,标准合同模板第二条第(七)项规定,个人信息处理者有义务答复来自监管机构关于境外接收方的个人信息处理活动的询问。



Q7
哪些情况下可以暂停向境外传输数据,乃至解除标准合同?

标准合同模板第七条第(一)项规定,境外接收方违反合同义务,或者境外接收方所在国家或者地区的个人信息保护政策和法规发生变化(包括境外接收方所在国家或者地区更改法律,或者采取强制性措施)导致境外接收方无法履行合同的,个人信息处理者可以暂停向境外接收方提供个人信息,直到违约行为被改正或者合同被解除。

除此之外,标准合同模板还约定了一些个人信息处理者或双方享有解除权的情形:

(1)个人信息处理者根据第七条第(一)项规定,暂停向境外接收方提供个人信息的时间超过1个月:双方均享有合同解除权;

(2)境外接收方遵守标准合同将违反其所在国家或者地区的法律规定:双方均享有合同解除权;

(3)境外接收方严重或者持续违反标准合同约定的义务:个人信息处理者享有合同解除权;

(4)根据境外接收方的主管法院或者监管机构作出的终局决定,境外接收方或者个人信息处理者违反了标准合同约定的义务:双方均享有合同解除权。



Q8
标准合同是否有有效期?哪些情况下需要重新订立合同?

《标准合同办法》及其标准合同模板并未明确规定有效期,我们理解双方可以自由约定。但是,在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:

(1)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;

(2)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;

(3)可能影响个人信息权益的其他情形。



Q9
《标准合同办法》是否也与《数据出境安全评估办法》一样,存在宽限期规定?

是的。《标准合同办法》自2023年6月1日起施行。施行前已经开展的个人信息出境活动,若不符合该办法规定,应当自施行之日起6个月内,即2023年12月31日前完成整改。由于标准合同路径下仅存在事后备案要求,该宽限期内企业的整改时间相比安全评估路径更为充裕。



Q10
除了签订标准合同,还有哪些途径可以合规地进行数据的跨境传输?

正如Q1中所提到,企业还可以通过两种途径:(1)经专业机构进行个人信息保护认证,或(2)通过国家网信部门(即国家网信办)组织的安全评估,来合规地进行数据的跨境传输。这两种路径,我们将在下篇中为读者进行解析。


● 注释:

[1]详见:个人信息出境标准合同办法 国家网信办微信公众号

https://mp.weixin.qq.com/s/5T7pCReDif6tzCd56m3zKA


特别声明:

大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。



本文作者