补全个人信息出境合规路径的拼图——《个人信息出境标准合同办法》重点解读
2023年2月24日, 国家互联网信息办公室公布了《个人信息出境标准合同办法》的正式文本(以下简称《办法》)[1], 《办法》将于2023年6月1日生效。至此, 《个人信息保护法》视域下的个人信息跨境方式之一“标准合同”的落地蓝本与中国方案正式亮相。
《个人信息保护法》第38条规定的个人信息出境合规路径有三大类, 即数据出境安全评估、个人信息保护认证以及标准合同。此前, 针对前两者路径, 我国已陆续出台《数据出境安全评估办法》《个人信息跨境处理活动安全认证规范》等一系列配套法规文件予以细化规范; 而《个人信息出境标准合同办法》的正式落地, 则为个人信息出境的合规路径补全了最后一块拼图, 至此, “三驾马车”将并驱推动数据出境。
我们在前文《双语图解!一图读懂数据出境安全评估及申报规则》中列举了中国法下个人信息处理者跨境传输个人信息的三种合规出境路径, 梳理如下:
对于跨国集团公司内部的数据传输而言(例如, 中国子公司向国外总部汇报销售订单数据, 其中包含消费者的个人信息), 如果未达到出境安全评估的申报条件, 理论上可以在标准合同或个人信息出境认证两条路径中择一适用。但由于个人信息出境认证的相关实践仍有待法律的明确和落实, 我们建议相关企业在现阶段可通过签订标准合同的方式完成合规数据出境。关于我们对目前的认证制度的解读, 详情可参阅《个人信息出境认证机制展望——以<个人信息跨境处理活动安全认证规范>为起点》一文。
一
正式稿与征求意见稿的区别
网信办早在2022年6月30日便发布了《办法》的征求意见稿。《办法》在原有征求意见稿的基础上进行了一定的修改和补充。如, 在标准合同的适用条件上, 原有同时满足的四项条件未发生变化[2], 在此基础上, 《办法》特别强调了个人信息处理者不得采取数量拆分等手段规避出境安全评估、而通过订立标准合同的方式向境外提供。换言之, 判断企业是否符合申报条件应当基于企业自上年1月1日起出境的总量来计算, 而不是单个合同中出境的数量。同时, 《办法》调整了部分表述, 将之前的“未达到10万人个人信息/1万人敏感个人信息”修改为“不满x万人”, 即出境的人数应理解为涉及的个人信息主体的数量, 出境同一个人的多个数据字段的(如年龄、邮箱、手机号等), 应计为1人。
此外, 《办法》对出境个人信息的事前个人同意进行了明确, 如以约定的处理目的、处理方式和处理的个人信息种类处理个人信息的, 无需取得个人的单独同意, 这也使得《个保法》第十三条下除同意外的合法基础是否可以豁免单独同意这一问题有了一个确定的有权解释。《办法》也新增了一系列规定, 如当接收方所在国家或者地区的政府部门、司法机构要求接收方提供标准合同项下的个人信息时, 接收方应当立即通知个人信息处理者; 合同《附录一 个人信息出境说明》的保存期限具体到起止时间的年/月/日等等。
具体的主要变化如下表所示:
二
其他重点合规要点提示
1. 标准合同的内容、生效条件及备案义务
为平衡商业自由和监管需要, 《办法》采用“自主缔约与备案管理相结合”的原则[3], 因此标准合同无需事先审批即可生效, 但《办法》明确合同生效后个人信息处理者方可开展个人信息出境活动因此, 对于绝大多数进行个人信息出境但未达安全评估标准的企业, 签订标准合同(或进行个人信息出境认证)具有紧迫性。如果在《办法》生效后未签订标准合同而继续进行个人信息出境的, 将构成违法。此外, 如合同有效期内出现特定情形, 包括向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点, 接收方处理个人信息的用途、方式发生变化, 延长个人信息境外保存期限, 或者接收方所在国家或者地区的个人信息保护政策和法规发生变化可能影响个人信息权益的, 应补充或重新签订并履行备案手续。
根据《办法》, 虽然企业在标准合同生效后即可进行个人信息跨境传输, 但根据《办法》第七条的规定, 企业应当在合同生效之日起10个工作日内向所在地省级网信部门备案, 并提交标准合同和个人信息保护影响评估报告。因此, 虽然不备案不影响个人信息出境活动的合法性, 但不备案本身即构成对于《办法》和《个保法》的违反, 企业将承担相应的法律责任。
在内容方面, 此次网信办对合同的订立提出更严格地按照附件《个人信息出境标准合同》书写订立的要求。因此企业所签订的标准合同应严格按照《办法》附件进行方符合规定。而对于其他的出境路径, 如仅涉及个人信息出境的数据处理者申报数据出境安全评估时, 相关法律文件与此合同相互衔接、可参照《办法》附件拟订, 但其内容一致性的严格要求会有所下降。
2. 个人信息保护影响评估义务
《办法》在《个人信息保护法》第五十五条提出在向境外提供个人信息时需进行个人信息保护影响评估的基础上, 进一步针对出境场景细化了影响评估的评估项, 比如提出了境外接收方承诺履行的个人信息保护义务、措施和能力; 个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用的风险。
与《数据出境安全评估办法》安全评估途径下的出境自评估要求相较, 由于以标准合同的出境方式本身的数据量和重要性有所减少, 该方式相应弱化了数据出境可能对“国家安全、公共利益”带来的风险, 而着重强调对个人信息权益带来的风险。此外, 《办法》要求该项下的影响评估还需重点考虑“境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响。”
3. 注意整改期后的违法后果与责任
根据《个人信息保护法》第三十八条的要求, 除法律法规另外规定外, 向境外提供个人信息应当符合出境安全评估、个人信息保护认证、出境标准合同三种要求之一。由于之前仅《数据出境安全评估办法》正式生效, 在此阶段如果企业未达到出境安全评估的申报条件, 即使未订立标准合同或未进行个人信息保护认证, 并不存在被监管机构执法的风险。但需要注意的是, 在《办法》正式出台后, 根据其第十二条的的规定, “违反本办法规定的, 依据《中华人民共和国个人信息保护法》等法律法规处理; 构成犯罪的, 依法追究刑事责任。”结合目前企业的数据出境实践, 《办法》对于目前已经开展个人信息出境活动但没有订立标准合同或订立合同不规范、不符合要求的, 也给予了企业6个月内的整改期(即从2023年6月1日实施之日起算), 以便企业限期整改满足合规要求。
限期仍未按照要求订立或修改合同的企业, 可能会因此受到监管部门的处罚。对于违法处理个人信息、或处理个人信息未履行个人信息保护义务的, 相关监管部门将责令改正、给予警告、没收违法所得, 情节严重的还可同时处五千万元以下或者上一年度营业额百分之五以下罚款, 并可责令暂停或停业、吊销业务许可或营业执照; 对直接负责的主管人员和其他直接责任人员可处十万元以上一百万元以下罚款, 并决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。若因此造成个人信息权益损害的, 还应当承担损害赔偿等民事侵权责任。此外, 其项下的刑事责任包括侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪等罪名, 例如可能涉及未经同意或授权非法获取个人信息, 未经被收集者同意, 非法出售、提供个人信息的情况。
向下滑动查看注释
[1] 网信中国, 《个人信息出境标准合同办法》, https://mp.weixin.qq.com/s/5T7pCReDif6tzCd56m3zKA
[2] 需同时满足的条件包括: (1)非关键信息基础设施运营者; (2)处理个人信息不满100万人; (3)自上年1月1日起累计向境外提供个人信息不满10万人; (4)自上年1月1日起累计向境外提供敏感个人信息不满1万人。
[3] 网信中国, 《专家解读|《个人信息出境标准合同办法》出台 贡献数据跨境流动中国方案》, https://mp.weixin.qq.com/s/5u3EgaM9wvgms55lS4EPBQ
作者:
潘永建 合伙人 +86 136 2172 0830 +86 21 3135 8701 david.pan@llinkslaw.com | |
点击长按识别左侧二维码查看合伙人介绍 |
朱晓阳 业务合伙人 +86 180 1764 2887 +86 21 3135 8683 nigel.zhu@llinkslaw.com | |
点击长按识别左侧二维码查看业务合伙人介绍 |
左嘉玮 | |
吴若蘅 | |
往期分享
个人信息出境认证机制展望——以《个人信息跨境处理活动安全认证规范》为起点
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。