《个人信息保护法》第三十八条规定了向中国境外提供个人信息的三条主要合规路径,包括通过网信部门组织的安全评估(以下简称“安全评估路径”)、经专业机构进行个人信息保护认证(以下简称“认证路径”),以及与境外接收方订立国家网信部门制定的标准合同(以下简称“标准合同路径”)。
上述三条合规路径中,触发安全评估路径的门槛相对较高。如果企业存在重要数据或达到门槛的个人信息的出境,则必须进行安全评估。如果企业存在个人信息的跨境转移但没有触发安全评估路径,则可以根据自身情况选择认证路径或标准合同路径。认证路径将需引入第三方认证机构进行测评和监督。而目前看来,标准合同路径很可能将是三条出境路径中最为广泛适用的出境路径。
《合同办法》将于2023年6月1日起生效实施,并对施行之前已经开展的个人信息出境活动提供了自施行之日起6个月的整改过渡期。该《合同办法》的出台标志着通过标准合同的个人信息出境活动监管规则的正式落地。
首先,标准合同仅适用于个人信息的出境,若涉及重要数据的出境,则应当推进安全评估路径。另外,若出境数据涉及其他特殊监管,则也应考虑其他行业或领域的要求。
与欧盟《通用数据保护条例》下的数据跨境标准合同条款(即SCC)有四个版本不同,标准合同仅有一个版本。根据标准合同第一条(二),“个人信息处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的,向中华人民共和国境外提供个人信息的组织、个人;“境外接收方”是指在中华人民共和国境外自个人信息处理者处接收个人信息的组织、个人。这里的境外接收方既包括可以自主决定处理目的、处理方式的组织、个人,也包括受个人信息处理者委托处理个人信息的受托人。因此,订立标准合同的双方可能存在“处理者—受托人”和“处理者—处理者”两种场景。
实践中,仍可能存在受托人作为数据出境方将个人信息提供给境外接收方的场景。例如,境外某个人信息处理者直接向中国境内自然人提供产品和服务从而收集中国境内自然人的个人信息并通过境内受托人储存该等个人信息并传输至中国境外,该等场景下受托人与境外接收方如何实现出境的合规,有待监管机关提供进一步解释。
(一)事前评估:个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估。个人信息保护影响评估报告为向网信部门备案的必备材料。
(二)自主缔约:个人信息处理者可以根据国家网信办提供的标准合同范本自主订立个人信息出境合同。
(三)事后备案:个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案,备案时应递交签署后的标准合同以及个人信息保护影响评估报告。
(四)重新评估及缔约、备案:在标准合同有效期内出现需要重新评估的情形时,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续。
国家网信办曾于2022年6月30日发布了《个人信息出境标准合同规定(征求意见稿)》(以下简称“征求意见稿”)。与征求意见稿相比,《合同办法》的体例和结构没有重大变化,但在以下几个主要具体方面进行了调整。
1.明确规定不得采取数量拆分等手段规避安全评估路径
《合同办法》特别增加了一条规定,“个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供”。根据过往协助企业开展出境安全自评估的经验来看,实践中不乏存在一些相对复杂的数据出境场景。例如,集团公司内存在个人信息在不同的集团公司之间相互共享、集团公司存在部门跨实体提供管理职能、集团公司使用同一套系统使得个人信息某些情况下存在于不同实体之间流转等。实践中,若集团公司之间存在上述数据共享,可能需要将不同集团公司的出境数据加总计算。若加总计算的数字达到安全评估路径门槛,则应当进行出境安全评估。对于《合同办法》增加的该条款具体如何解释,尚待监管部门提供进一步解释,在此之前,企业对于存在集团公司之间共享个人信息情形的,需谨慎判断应采取的数据出境路径。
2.明确国家网信部门可以根据实际情况对标准合同进行调整
《合同办法》删除了对于标准合同主要内容的引用,而直接指向附件内容,并规定国家网信部门可以根据实际情况对附件进行调整。
3.明确自主缔约、但不得与标准合同相冲突的原则
《合同办法》之中明确了在不与标准合同相冲突的前提下,个人信息处理者可以与境外接收方约定其他条款。但何种规定可以被视为不与标准合同相冲突,我们理解,通常对于双方义务的进一步增强性规定,易被认可为“不冲突”;但若对于双方的权利义务有所变化、特别是可能削弱或者减少一方在标准合同下规定的责任和义务的,则有可能被认为与标准合同“相冲突”的情况。
4.明确主管部门可进行约谈的情形、将法律责任条款归口《个人信息保护法》
较之前的征求意见稿,本次《合同办法》对个人信息标准合同出境活动中的法律责任部分的内容进行了简化和调整。一方面,将限期整改和终止个人信息出境活动纳入行政约谈制度中,要求省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改,消除隐患。另一方面,删除了关于承担法律责任的具体适用情形,归口到适用《个人信息保护法》,仅保留了关于承担刑事责任的转致性规定。
1.澄清单独同意的要求仅适用于基于“同意”进行转移的情形
标准合同的第二条(三)中明确规定,“基于个人同意向境外提供个人信息的,应当取得个人信息主体的单独同意。”该表述进一步明确了取得单独同意的要求仅限于该等跨境转移是基于“同意”这一合法性基础进行的。但是,向境外提供个人信息的行为如果并非基于“同意”,在何种情况下可以基于其他合法性基础,例如基于履行个人作为一方的合同所必须或基于人力资源管理所必须,还需要分场景、分情形具体进行分析。我们认为,如果企业考虑不基于同意“向境外提供个人信息”,也必须通过充分的事实和法律分析,确认确实可以基于除“同意”以外的合法性基础开展,才能免除单独同意的要求。
2.取消境外接收方在个人信息保存期限届满后对信息进行匿名化的选择
征求意见稿的标准合同范本中规定,当个人信息保存期限届满后,境外接收方应当删除个人信息或进行匿名化处理。正式版标准合同取消了匿名化处理这一选择,仅保留了返还或删除个人信息的选项,并进一步规定,若删除个人信息从技术上难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理。
3.取消了境外接收方提供证明其删除个人信息的审计报告的要求
4.增强了境外接收方对个人信息安全事件的通知义务
5.明确境外接收方对个人信息处理者的通知义务
正式版标准合同增加了一项规定,要求境外接收方在接到所在国家或者地区的政府部门、司法机构关于提供本合同项下的个人信息要求的,应当立即通知个人信息处理者。该规定与个人信息处理者在《个人信息保护法》第四十一条中“非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。”的要求相衔接。使得个人信息处理者能够及时知悉境外司法或执法机构要求提供个人信息的情况,并及时履行其在《个人信息保护法》第四十一条下的义务。
6.对个人信息主体的权利保护及救济更加看重
正式版标准合同整体向作为合同受益方的个人信息主体保护更加倾斜:首先,删除了征求意见稿中关于个人信息主体重复主张权利情形的约定;其次,明确了出境合同的约定不影响个人信息主体依据我国《个人信息保护法》享有的权益;最后,对个人信息主体救济中适用境内法律作为准据法,尊重个人信息主体的选择而不需境外接收方的同意。
7.对合同解除的情形进行了增删
正式版标准合同对征求意见稿中的标准合同范本约定的合同解除情形进行了增删。一方面增加了境外个人信息保护政策和法规发生变化导致合同履行不能的情形,另一方面删除了境外接收方破产、解散或清算及因监管机构原因导致合同履行不能的情形。
8.对违约责任条款进行了调整
正式版标准合同对违约责任条款进行了简化。首先,调整了违约责任的赔偿范围,删除征求意见稿中“双方之间的责任限于非违约方所遭受的损失”的条款。其次,删除了征求意见稿中“个人信息处理者应就境外接收方因违反本合同而对个人信息主体造成的任何物质和非物质损失向个人信息主体负责,个人信息主体有权向其主张损害赔偿责任”的表述。最后,明确了双方对于个人信息主体依法承担连带责任的原则。正式版标准合同将征求意见稿中的“双方应对个人信息主体承担连带责任”调整为“双方依法承担连带责任”。该表述似乎表明境外接收方并非因为签署标准合同而被施加连带责任,而是应依法承担连带责任。
考虑到上述整改最终时限,以及基本流程,我们建议经初步自评估认为不触发安全评估路径且拟选择标准合同路径的企业,采取以下措施及时完成标准合同的签署:
1.梳理个人信息出境场景,确认出境路径
2.明确标准合同签署主体
3.开展个人信息保护影响评估
4.完善标准合同文本并签约
5.完成备案
其次,企业应当对于向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点及境外接收方处理个人信息的用户、方式进行持续的监管,若发生变化的情况,需考虑是否需要重新开展个人信息评估,补充或者重新订立合同。还需要对境外接收方所在国家或地区的个人信息保护政策和法规、当地执法情况进行了解和调研,把握宏观风险和法律障碍。
结语
标准合同路径的正式落地,也标志着我国关于数据跨境法律法规体系的进一步落地和完善。我们建议企业根据自身的情况,尽快建立全面、有效的数据出境内控体系,选择合规、符合自身情况的出境路径,在保证合法合规的前提下,有序、有效的实现正常业务过程之中的数据流动。
1.根据《数据出境安全评估办法》第四条的规定,数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。