2023年2月24日,国家互联网信息办公室(“网信办”)发布了《个人信息出境标准合同办法》(“中国SCC办法”),正式颁布了《个人信息出境标准合同》文本(“中国SCC“)。这是继2022年7月7日颁布的《数据出境安全评估办法》(“评估办法”)之后,网信办针对《个人信息保护法》(“《个保法》”或”PIPL”)第三十八条项下的三项个人信息出境路径推出的又一个具体规定,对中国数据出境的管理体系以及企业的个人信息出境合规产生重要而深远的影响。2023年5月30日,网信办发布《个人信息出境标准合同备案指南(第一版)》,为2023年6月1日起执行中国SCC办法规定的备案工作提供了更为具体的指引。
一、中国PIPL与欧盟GDPR跨境提供个人信息总体路径概述
关于数据的跨境转移,欧盟《一般数据保护条例》(“GDPR”)规定了包括充足保护认定(AdequacyDecisions)、有约束力的公司规则(BindingCorporateRules,“BCR”)及欧盟SCC等多种合规路径,且并未对个人信息的本地化存储作出限制。而《个保法》统一将告知并取得个人的单独同意作为数据跨境传输的前提条件,在合规路径方面,提供了安全评估、个人信息保护认证、与境外接收方订立中国SCC三个方式,同时对关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者施加了本地化储存的义务。
根据GDPR,从欧盟向非欧盟国家转移个人数据的方式主要有以下几种:
中国的个人信息出境规则需要遵守《个保法》第三十八条规定,国内个人信息处理者因业务等需要,确需向境外提供个人信息的,应当具备下列条件之一:
二、对比欧盟SCC与中国SCC:有共性但也有各自的特点
1.适用的前提有所不同
欧盟SCC适用于向“未取得充分保护认定”的第三方国家,将个人数据转移到没有获得足够保护水平的第三国或地区或国际组织,无论个人数据转移的性质或业务或个人数据的规模如何。因此,欧盟监管的重点是考察跨境个人数据转移的目的地是否能够为个人信息提供足够的保护,而不是在于评估将个人数据转移出欧盟的一方和在欧盟外接收个人数据的一方的保护能力。
中国PIPL规定,个人信息处理者必须考虑到个人信息转移中涉及的个人信息类型、规模和重要程度、以及是否涉及信息关键基础设施等。走中国SCC路径的个人信息处理者必须同时满足四个条件,即不构成关键信息基础设施运营者、处理少于100万人的个人信息、自上一年1月1日起累计向境外提供少于10万人个人信息以及少于1万人敏感个人信息这四项条件。因此,与欧盟SCC不同,个人信息处理者和海外接收方必须承担的合规义务并非首先由个人信息出境的目的地决定。
2.标准条款文本均不可修改
在应用欧盟SCC作为数据跨境传输的安全措施时,其中的条款是不能被修改的。但在不违背欧盟SCC规定的条款前提下,可以添加与欧盟SCC条款不存在冲突的额外保护措施。
根据中国SCC办法第六条规定,中国SCC条文不得修改,数据转出方可以在中国SCC附录中与境外接收方约定其他条款,但不得与中国SCC相冲突。
由于中国SCC和欧盟SCC均不可修改,且二者间存在某些无法调和的冲突条款(例如管辖法律和争议解决机制),如果企业集团内部同时有从欧盟向中国转出个人信息和从中国向欧盟转出个人信息的需求,数据转出方无法通过在同一份文件上增加附录条款的方式,同时覆盖两个法域的要求。
3.都要求对境外接收方所在地的个人数据保障情况进行评估以及明确数据跨境目的地数据监管法律对合同履行的影响
SchremsII案[2]影响了欧盟对个人数据跨境转移的合法性的评估要求。该案后,欧盟数据保护委员会(EDPB)提出数据转出方要确保数据转出方所在国家可以对个人数据提供充分的保障,数据转出方应保证其没有理由相信境外接收方所在法域的法律法规、政策、惯例等会影响合同的履行。欧盟SCC在第三节“当地法律以及公共当局访问下的义务”(LocalLawsandObligationsincaseofAccessbyPublicAuthorities)规定,对跨境数据转移应逐案审查,以确保外国接收者所在国的法律对欧盟境内的个人数据提供足够的保护,并且不存在对欧盟SCC的产生实质性违反的规定,影响欧盟SCC的履行。
而中国SCC制度,也配套要求提供个人信息保护影响评估(以下简称“PIA”),即SCC备案时需要将PIA报告一同提交给网信办备案。中国SCC办法中也强调了个人信息出境场景下的个人信息保护影响评估所需要包含的内容:
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
(二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;
(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)境外接收方所在国家或者地区的个人信息保护政策和法规对合同履行的影响;
(六)其他可能影响个人信息出境安全的事项。
4.均建立了第三方受益人权利保护机制
个人信息的跨境转移关系到个人信息主体的切身利益,因此为保护个人信息主体,欧盟SCC中设计了“第三方受益人”制度。这一制度突破了合同的相对性,使个人信息主体可以在其自身利益受到损害时向个人信息的处理者或境外接收方进行主张,尽管其并非SCC的签署方。
中国SCC也建立了类似的关于保护第三方受益人的规定。中国SCC第二条第(四)款中明确:“个人信息处理者应当履行下列义务:(四)已向个人信息主体告知其与境外接收方通过本合同约定个人信息主体为第三方受益人,如果个人信息主体未在三十天内明确拒绝,则可以依据该合同享有第三方受益人的权利。”该条款明确了个人信息主体可以行使第三方受益人的权利,也限制了第三方受益人的范围为个人信息主体。
在欧盟SCC项下,除了个人信息主体作为第三方受益人外,欧盟SCC第9条中规定,当欧盟境外接收方将其在SCC项下的处理活动委托给次级处理者(“sub-processors”)的情形下,如境外接收方停止运营或破产,欧盟境内的数据转出方可以作为第三方受益人解除境外接收方与次级委托处理者之间的合同,并要求其销毁或退还个人数据,这一制度相比中国SCC下的第三方受益人的保护范围更广。
5.适用的传输场景不尽相同
欧盟SCC划分了四类个人数据跨境传输的场景,即数据控制者至数据控制者间的传输(“C-C”),数据控制者至数据处理者间的传输(“C-P”),数据处理者至数据控制者间的传输(“P-C”),以及数据处理者至数据处理者间的传输(“P-P”)[3]。
但是中国SCC仅设置合同方为固定的“个人信息处理者”和“境外接收方”。基于中国SCC对"境外接收方"义务的要求,其可包含境外个人信息处理者及境外受托方两种场景。因此,中国SCC目前只涵盖中国境内个人信息处理者对海外个人信息处理者(C-C)以及中国境内个人信息处理者对境外受托方传输(C-P)这两种数据处理关系。而对欧盟SCC涵盖的另两种场景,即P-P和P-C,应如何处理的问题,还有待观察监管的进一步动向。
6.额外条款设置与多方签约机制
但中国SCC下个人信息处理者仅可在中国SCC附录中与境外接收方约定其他与SCC不冲突的条款。同时中国SCC也没有设置多方签约机制,因此按照目前的中国SCC版本,实践中如涉及多个主体之间存在数据跨境行为的,可能需要进行多次签署和备案。
7.备案要求
欧盟SCC没有进行备案的强制要求,但欧盟SCC第14(d)条规定,合同各方应对已进行的转移影响评估进行记录,如监管有要求则需向其提交。
中国SCC办法规定了对个人信息跨境传输的事前监管手段。中国SCC办法第七条规定,数据转出方应在中国SCC生效之日起10个工作日内向所在地省级网信部门备案。中国SCC办法第八条还要求如果个人信息跨境传输情况发生变化,缔约双方应当重新签订合同并再次履行备案义务。虽然企业自主订立中国SCC生效后可开展个人信息出境活动,而无需等待备案的完成,但是监管部门仍然有权在发现个人信息出境活动存在较大风险或者发生个人信息安全事件时,依法对个人信息处理者进行约谈并要求整改等。
8.长臂管辖、管辖法律与争议解决
[注]
[3]数据控制者,是指法人或自然人、机构、公共当局或任何其他机构,他们单独或与其他人一起决定任何个人数据的目的和处理方式。数据处理者,是指代表数据控制者处理个人数据的法人或自然人、机构、公共当局或任何其他机构。