数据出境合规解读系列文章(三):数据跨境传输协议应明确哪些权利义务?
作者:李瑞 贾申 徐晨
本文聚焦国家网信办于2022年6月30日发布的《个人信息出境标准合同规定(征求意见稿)》及其附件,分别梳理了境内数据处理者及境外数据接收方的责任和义务。
///
导读:
数据跨境流动是近年来全球各法域的监管热点问题,我国也陆续出台了《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》等法律法规,以及《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》《数据出境安全评估申报指南(第一版)》《个人信息出境标准合同规定(征求意见稿)》等规范性文件,将中国数据出境监管机制初步搭建成形。时值《数据出境安全评估办法》落地实施,我们结合相关法律法规要求和来自一线的实务观察,推出“数据出境合规解读”系列文章,详细拆解我国的数据出境监管框架,以期为相关企业开展数据出境合规工作提供实务指引。
本系列前两期文章分别对于数据跨境传输活动的认定(详见:企业数据出境合规系列解读(一):盘点常见数据出境风险场景)及进行跨境传输的客体本身(详见:企业数据出境合规系列解读(二):哪些数据受到出境限制?)进行了切合企业实务的场景式解读。
企业在清晰梳理自身涉及的数据跨境传输活动及出境数据类型后,下一步需评估选择适用的跨境传输合规机制。除了部分数据跨境传输不受管制、以及部分特殊数据类型的跨境传输需满足特殊监管要求外,大部分数据跨境传输场景需(视具体情境)适用以下三大监管机制之一:(1)通过数据出境安全评估(“安全评估机制”);(2)通过个人信息跨境处理活动安全认证(“安全认证机制”);(3)签署个人信息出境标准合同(“标准合同机制”)。不论适用哪一监管机制,境内数据处理者与境外数据接收方均需签订数据跨境传输的协议(或其他替代性法律文件),以充分约定数据安全保护责任与义务。值得注意的是,不同监管机制下境内数据处理者和境外数据接收方之间需订立的数据跨境传输协议中所约定的责任与义务强度并不完全相同,完全套用统一标准也未必能实现最佳的商业效果。
如何起草并签订能够有效防范潜在法律风险的数据跨境传输协议是企业在实务中经常遇到的难题。一个整体原则是,在标准合同机制下,由于双方仅通过履行合同的方式对数据跨境安全进行约束与保障,因此标准合同在合同架构与权责设定上对于数据跨境双方的合规要求都最为严格;而在另外两项机制下,由于还有安全认证或安全评估程序可保障数据出境安全,因而相关数据跨境商务合同的条款和条件的合规强度相对而言可以适当放松。
基于上述原则,本文聚焦国家网信办于2022年6月30日发布的《个人信息出境标准合同规定(征求意见稿)》及其附件(下统称“标准合同征求意见稿”),对于其条款进行解析与提炼,对其规定的数据跨境传输双方的关键权利与义务进行梳理。根据“举重以明轻”的原则,对于不采用标准合同机制的数据出境场景的当事方,也可参考这些梳理和提炼的内容,同时参考安全认证机制及安全评估机制项下对于数据跨境合同内容所提出的要求,合理安排相关商务合同的条款和条件。
为了便于企业依据自身数据跨境传输活动细节来映射协议起草谈判所需注意的要点,本文将数据跨境传输协议中应约定的各方责任与义务依据角色进行了区分,即(1)境内数据处理者的责任和义务及(2)境外数据接收方的责任和义务。具体请参见下文的详细解析。
一、境内数据处理者的责任和义务
1. 主要义务一:严格执行告知同意义务,明释第三方受益人权利,保护个人信息主体权利
境内数据处理者应当告知个人信息主体境外接收方的名称、联系方式等信息,并依据法律法规的要求取得其有效同意。→标准合同征求意见稿中的主要相关条款:第二条第(二)款
境内数据处理者应当向个人信息主体告知,其已与境外接收方通过本合同约定个人信息主体为第三方受益人。依据标准合同征求意见稿所载,如果个人信息主体未在三十天内明确拒绝,则可以依合同享有第三方受益人的权利。→标准合同征求意见稿中的主要相关条款:第二条第(三)款
境内数据处理者与境外数据接收方应当协同配合,响应个人信息主体权利请求,在遇到相关请求时应互相通知并及时合作,并在合理时限内进行处理。→标准合同征求意见稿中的主要相关条款:第五条
应个人信息主体要求,双方应当向个人信息主体提供数据跨境传输协议副本。为保护商业秘密或其他机密信息,可在所必需的范围内对于受保护的商业秘密、知识产权等内容进行脱敏处理,但应确保个人信息主体能够理解相关内容。→标准合同征求意见稿中的主要相关条款:第二条第(八)款
2. 主要义务二 :采取技术与合规管理措施,开展出境后监督管理
境内数据处理者应当对境外数据接收方的数据处理活动进行监督,比如查阅数据文件和文档,开展数据处理活动的审计等,并根据法律法规要求向监管机构提供相关信息,包括审计结果。→标准合同征求意见稿中的主要相关条款:第二条第(四)款、第(十)款
为了帮助境外数据接收方更好地履行数据安全保护义务,境内数据处理者应当帮助境外数据接收方了解相关法律法规及技术标准要求,并提供相关文件副本。→标准合同征求意见稿中的主要相关条款:第二条第(五)款
3. 主要义务三:遵守法规要求处理数据,切实履行法定义务
境内数据处理者应与境外数据接收方一同约定并承诺数据跨境传输活动符合《个人信息保护法》等法律法规所规定的数据处理的最小必要原则,出境个人信息范围仅限于实现处理目的所需的最小范围。双方还应当采取有效的技术和管理措施来确保个人信息安全。→标准合同征求意见稿中的主要相关条款:第二条第(一)款;第三条第(三)款
境内数据处理者应当对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估,并保存个人信息保护影响评估报告至少3年。→标准合同征求意见稿中的主要相关条款:第二条第(七)款
延伸阅读:
标准合同征求意见稿中明确将开展个人信息保护影响评估作为个人信息处理者义务之一,但由于个人信息保护影响评估本就为《个人信息保护法》中所明确的法定义务之一,在数据跨境传输协议中再次明确,使之成为境内传输方需要向境外接收方承担的合同义务,会显著加重境内传输方的责任和义务,我们建议不要保留。具体有待标准合同正式稿进一步澄清、明确。
如果收到境外数据接收方有关发生个人信息泄露事件的通知,境内数据处理者应当及时依据法律法规要求进行应对,比如要求境外数据处理者及时同步相关信息,共同及时通知监管机构等。→标准合同征求意见稿中的主要相关条款:第三条第(六)款
4. 主要义务四:评估合同履约可行性,配合监管机构调查问询
境内数据处理者应与境外数据接收方一同承诺,已尽最大努力了解境外接收方所在地的个人信息保护政策法规。双方已共同评估出境风险,确保境外接收方所在法域的法律法规不会影响本合同项下义务的履行。→标准合同征求意见稿中的主要相关条款:第四条
境内数据处理者应与境外数据接收方一同合作,及时答复来自境内监管机构的询问,接受监管机构的监督管理,配合监管机构调查,服从监管机构采取的措施或做出的决定,并提供已采取必要行动的证明文件、审计结果。→标准合同征求意见稿中的主要相关条款:第二条第(六)款、第(十)款;第三条第(十二)款
境内数据处理者应当承担证明数据跨境传输合同项下义务已履行的举证责任。→标准合同征求意见稿中的主要相关条款:第二条第(九)款
二、境外数据接收方的责任和义务
1. 主要义务一:保护个人信息主体权利,承诺配合第三方受益人权利行使
境外数据接收方部署人员与机制,履行个人信息主体权利的保护义务。→标准合同征求意见稿中的主要相关条款:第三条第(二)款;第五条;第六条第(一)款
具体而言:
应当指定联系人,授权其答复并处理与个人信息处理相关的询问或投诉。境外数据接收方应当将该联系人的信息告知境内数据处理者和个人信息处理者。
与境内数据处理者一样,境外数据接收方也需应要求,向个人信息主体提供数据跨境传输协议副本。
若争议未能友好解决,境外数据接收方应当接受个人信息主体通过以下两种方式进行维权:一是向监管机构投诉,二是向合同所规定的法院提起诉讼,以行使第三方受益人权利。→标准合同征求意见稿中的主要相关条款:第六条第(三)款;第九条第(四)款
2. 主要义务二:严守约定处理数据,最小限度存储数据,采取有效技术和管理措施保护数据安全
境外数据接收方应当严格按照合同所载“数据出境说明”所列约定处理数据,除非获得个人信息主体的事先同意。处理数据也应符合境内相关法律法规对于该类数据加工活动的合规要求,比如贯彻落实最小必要原则,进行自动化决策时保证透明度和公平性,提供不针对个人特征的选项等。→标准合同征求意见稿中的主要相关条款:第三条第(一)款、第(三)款、第(九)款
境外数据接收方应当严格限制再次对外数据传输活动。再次对外提供数据前,应有必要性,获得个人信息主体同意,对第三方进行约束与监督,并且向个人信息处理者提供再次对外数据传输协议的副本。→标准合同征求意见稿中的主要相关条款:第三条第(七)款、第(八)款
境外数据接收方应当在为实现数据处理目的所需的最短时间内储存数据,贯彻落实数据存储的最小必要性原则:→标准合同征求意见稿中的主要相关条款:第三条第(四)款
一般而言,超出存储期限后,应对所掌握的个人信息(含备份)进行删除或匿名化处理,除非取得个人信息主体关于存储期限的单独同意。
受境内数据处理者委托的境外数据接收方,删除或匿名化处理所涉个人信息时,还应向个人信息处理者提供审计报告。
境外接收方需采取有效的技术措施、管理措施,防止发生数据泄露,并且进行定期检查,以确保这些措施持续维持适当的安全水平。境外数据接收方还需注意落实权限设置与员工管理,确保授权处理个人信息的人员履行保密义务,建立最小授权的访问控制策略,使其只能访问职责所需的最小必要的个人信息,仅具备完成职责所需的最少数据操作权限。→标准合同征求意见稿中的主要相关条款:第三条第(五)款
如果发生个人信息泄露事件时,应当及时采取补救措施,并立即通知境内数据处理者及监管机构,同时记录相关事实与影响。→标准合同征求意见稿中的主要相关条款:第三条第(六)款
3. 主要义务三:准确记录数据处理活动,积极配合数据处理者的监督,共同响应监管机构问询
境外数据接收方应当对开展的个人信息处理活动进行客观记录,并保存记录至少三年,并按法律法规要求向境内数据处理者和/或监管机构提供相关记录文件。→标准合同征求意见稿中的主要相关条款:第三条第(十一)款
境外数据接收方应当积极配合境内数据处理者的监督,协助并配合境内数据处理者进行数据跨境传输安全保护工作。→标准合同征求意见稿中的主要相关条款:第三条第(十)款;第四条
具体而言:
境外数据接收方应向境内数据处理者提供评估境外数据保护相关法律法规的相关信息。如境外接收方所在地数据保护相关法律法规发生变化可能影响合同履行的,境外数据接收方应及时通知境内数据处理者。
境外数据接收方应向境内数据处理者提供所有必要信息以证明其履行了合同中的义务,比如其所持有的个人信息保护方面的资质认证情况等。
境外数据接收方还应允许其对数据文件和文档进行查阅,配合其对数据处理活动进行审计。
如上一章节关注要点四所述,双方应协同合作,积极配合境内监管机构的工作,包括答复询问,配合检查,服从监管机构所做出的决定和所采取的措施等。→标准合同征求意见稿中的主要相关条款:第二条第(六)款、第(十)款;第三条第(十二)款
商业活动及数据交互模式千变万化,除直接适用标准合同机制的场景之外,企业在就涉及数据跨境传输的商务合同条款开展具体起草和谈判工作时,需在本文中归纳的主要责任与义务的基础上,针对具体的商业模式与数据跨境传输活动进行量体裁衣,妥善设计交易条款,从而同时满足法律合规及商务合作的需要。如有必要,可针对具体情境咨询外部专家意见。
作者简介
李瑞 律师
北京办公室 合伙人
业务领域:跨境投资并购, 反垄断和竞争法, 网络安全和数据保护
特色行业类别:文化娱乐产业, 通讯与技术
贾申
北京办公室 顾问
业务领域:反垄断和竞争法, 贸易合规和救济, 诉讼仲裁
徐晨
北京办公室 合规与政府监管部
作者往期文章推荐
《数据出境合规解读系列文章(二):哪些数据受到出境监管?》
《企业数据出境合规系列解读(一):盘点常见数据出境风险场景》
《切磋琢磨成宝器——个人金融信息保护的合规要点解读(下)》
《既遵道而得路——个人金融信息保护的合规要点解读(上)》
《举一纲而万目张——金融数据的分类分级与全生命周期保护》
《房地产领域典型场景中的个人信息保护合规要点分析》
《固基修道,履方致远:从数据“三法”看企业数据泄露风险的预防和应对》
《已到凌云仍虚心——互联网平台合规监管2021年度盘点》
《问渠那得清如许——企业交易场景下的数据合规要求进一步加强》
《观千剑而后识器——中美欧个人信息保护制度比较》
《激活网络安全审查制度 筑牢数据安全防火墙—— <网络安全审查办法(修订草案征求意见稿)>评析》
《合规速评丨解读<中央企业合规管理办法>八大亮点》
《行愈笃知益明——跨境电商合规运营实务问题八问八答》
《见微方能知著——受CFIUS审查影响而终止的中资交易简报(2008-2021)》
《<反垄断法(修正案)>配套新规解读系列:禁止垄断协议规定(征求意见稿)合规启示》
《<反垄断法(修正案)>配套新规解读系列:禁止滥用知识产权排除、限制竞争行为规定(征求意见稿)亮点简析》
《<反垄断法(修正案)>配套新规解读系列:经营者集中申报标准规定与审查规定(征求意见稿)亮点简析》
《长风破浪会有时——<反垄断法(修正案)>会给企业合规带来哪些变化?》
《沉舟侧畔千帆过:金融行业反垄断合规要点及趋势概览》
《大鹏一日同风起,扶摇直上九万里——中国反垄断2021年度盘点》
《会当凌绝顶——<反垄断法(修正草案)>要点速览》
《合规创造价值——新经济领域(拟)上市企业的若干合规要点分析》
《新形势下企业贸易风险防控之道——再议美国出口管制制裁与阻断办法》
《从史上最高罚单看企业反垄断合规的重要性》
《实操建议:社交电商业务模式避免落入传销陷阱》
《虑远谋深——对俄制裁中各行业法律风险和企业防火墙方案探讨》
《从监管问询看拟上市企业应关注的反垄断合规问题》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。