2023年2月22日,国家互联网信息办公室发布了《个人信息出境标准合同办法》(以下简称“《标准合同办法》”),该办法将于2023年6月1日正式实施。同时,《标准合同办法》中附上了标准合同模版,可以说为个人信息出境合规路径之一的标准合同制度落地提供了一个具体的操作规范,补齐了个人信息出境合规路径的最后一条操作规程。
如此前我们在系列文章第一篇《个人信息出境合规实践——<个人信息跨境传输认证要求>的适用与解读》中所述,个人信息处理者向境外提供个人信息可遵循三种合规路径,签署标准合同作为其中成本最低、操作流程最简便的一种,可能成为众多有个人信息出境需求的主体的选择。本篇拟从《标准合同办法》的适用主体、签署标准合同的要求及流程、标准合同模版中的注意要点、签署完成后的合规注意事项等各个角度,为采取标准合同制度作为合规路径的企业提供实践解读。
《标准合同办法》第四条明确规定,个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形:
(一)非关键信息基础设施[1]运营者;
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供个人信息不满10万人的;
(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。
结合《数据出境安全评估办法》的相关规定[2]可以看出,标准合同制度是数据安全评估制度的补充,只适用于非关键信息基础设施运营者,不仅处理个人信息体量较小,且需要进行跨境传输的个人信息及个人敏感信息数量亦极小的情况。与采取个人信息保护认证的方式相比,标准合同制度省去了向认证机构进行申报的流程,也更为简便,可能作为更多有少量个人信息跨境传输需求的主体之首选。需要注意的是,《标准合同办法》明确禁止个人信息处理者以数量拆分的手段将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。笔者认为,这是针对同一集团旗下的,在集团内部对个人信息数据进行统一管理,或同一类型业务,业务主体被拆分给各个子公司,但各子公司具有独立法人资格的情况所作出的约束,明确在此情况下,个人信息传输数量应当统一计算,根据数据量选择适当的个人信息出境合规路径。
1. 个人信息保护影响评估
个人信息保护影响评估并非《标准合同办法》路径下独有的合规步骤要求,事实上,根据《中华人民共和国个人信息保护法》(以下简称“《个保法》”)第五十五条第四款的规定,向境外提供个人信息的,应当事前进行个人信息保护影响评估。也就是说,无论采用安全评估制度、个人信息保护认证制度还是标准合同制度,在事前进行个人信息保护影响评估都是必须的。
《标准合同办法》中对个人信息保护影响评估的要求是基于《个保法》第五十五条的要求,但结合了个人信息“出境”这一场景的特点而设置,具体如下:
-
个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;(对应《个保法》:个人信息的处理目的、处理方式等是否合法、正当、必要;)
-
出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;(对应《个保法》:对个人权益的影响及安全风险;)
-
境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;(对应《个保法》:所采取的保护措施是否合法、有效并与风险程度相适应。)
-
个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
-
境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
-
其他可能影响个人信息出境安全的事项。
可以看出,上述要求与个人信息保护认证制度中关于个人信息保护影响评估的要求及数据安全评估制度中自评估的要求是基本一致的。笔者认为,针对个人信息“出境”这一合规场景,除《个保法》中规定的三点评估要求外,增加了对境外接收方本身的个人信息保护能力及其所处国家或地区个人信息保护政策和法规的要求,以及对个人信息主体维权渠道畅通的要求,是保护个人信息主体权益所必要的。
2. 签署个人信息出境标准合同
《标准合同办法》规定,标准合同应当严格按照其附件订立,个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。
标准合同范本主要内容包括了相关定义、个人信息处理者及境外接收方的义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利及救济、合同解除、违约责任及争议解决方式等。
其中最值得注意的是个人信息主体的权利一项,明确规定了个人信息主体作为合同第三方所享有的权利。一般来讲,合同具有相对性,仅对当事人具有法律约束力,但《标准合同办法》中根据《民法典》第五百二十二条之当事人约定向第三人履行债务的规定,在标准合同中确认了具体个人信息主体权益及其救济路径。
3. 向网信部门进行备案
《标准合同办法》第七条规定,个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案,备案应当提交标准合同及个人信息保护影响评估报告。
备案完成后,个人信息处理者及境外接收方需严格履行已签署生效的标准合同,如出现影响个人信息权益的情形,则须重新开展个人信息保护影响评估、补充或者重新订立标准合同,并履行相应备案手续。
笔者认为,此处的要求一方面是与前述个人信息保护影响评估的有效性所对应,订立标准合同是基于个人信息保护影响评估报告对该次个人信息出境活动作出正向结论的基础之上。而如果作为标准合同订立的基石,个人信息保护影响评估的要素依据发生了重大变化,如向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;或境外接收方所在国家或者地区的个人信息保护政策和法规发生变化的,则该次个人信息出境活动的合规性根基将不再有效,需要基于新的情况重新评估、订立合同后方可保证个人信息主体的权益得到了充分的保护。
另一方面,标准合同的合同标的即是需要出境的个人信息,以及该等个人信息的处理方式、规范其处理方式的法律法规等等,上述内容发生变化,则标准合同的合同标的本身也即发生变化,自然需要重新评估、签署。
《标准合同办法》将自2023年6月1日起施行,并规定,该办法施行前已经开展的个人信息出境活动,不符合该办法规定的,应当自办法施行之日起6个月内完成整改。而鉴于《标准合同办法》要求个人信息保护影响评估及签署标准合同均应在个人信息出境活动之前完成,也就是说只有在2023年6月1日之前的个人信息出境行为,选择通过标准合同办法完成合规动作的,有机会在2023年11月31日之前进行整改,补充完成个人信息保护影响评估、签署标准合同、备案三步走流程。而2023年6月1日之后的个人信息出境活动,不再有整改期限,而是应当在完成全部合规步骤之后再进行,不再有六个月的整改宽限期。
特别声明:
大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。
京公网安备 11010502044998号