新闻速递 | 网信办拟规范个人信息出境标准合同,需同时符合四类情形
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:数据;个人信息;出境;标准合同
本文约4138字,大概需要阅读7分钟。
为了规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动,2022年6月30日,国家互联网信息办公室(以下简称“网信办”)就《个人信息出境标准合同规定(征求意见稿)》(以下简称“《征求意见稿》”)公开征求意见,意见反馈工作将于7月29日截止。这与日前全国信息安全标准化技术委员会编制的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(详情请点击立法动态 | 信安标委发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》)都是作为《个人信息保护法》的补充配套文件,为企业在处理个人信息时提供规范和指引。
根据《个人信息保护法》规定的个人信息出境要求,需要通过安全评估、认证、合同和其他四种方式。《征求意见稿》是通过签订标准合同方式出境的规则细化。网信办表示,此举是为了规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动。
值得注意的是,根据《征求意见稿》提出的须同时符合的四种情形,处理海量个人信息的大型互联网平台公司暂时难以采用签订标准合同的方式进行个人信息出境。
《征求意见稿》提出了个人信息处理者可以以签订标准合同的方式向境外提供个人信息,但采用这种方式须同时符合四种情形:其一,非关键信息基础设施运营者;其二,处理个人信息不满100万人;其三,自上年1月1日起累计向境外提供未达到10万人个人信息;其四,自上年1月1日起累计向境外提供未达到1万人敏感个人信息。
同时符合上述四种情形的数据处理者,可以签订标准合同,主要内容包括:出境方和境外接收方的基本信息;个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点;出境一方和境外接收方的责任义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施;境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响;个人信息主体的权利,以及保障个人信息主体权利的途径和方式;救济、合同解除、违约责任、争议解决等。
这就意味着大公司个人信息出境的前置程序无法通过标准合同获得解决。“以中国的人口基数,大型的互联网平台公司、金融机构、快消企业等公司的用户量都是非常庞大的,很容易超过100万。也就是说,这些公司的个人信息出境,仍须通过国家网信部门的安全评估。”专家表示。
个人信息处理者依据《个人信息保护法》第三十八条第一款第(三)项规定,与境外接收方订立合同向中华人民共和国境外提供个人信息的,应当按照本规定签订个人信息出境标准合同。不少互联网平台企业一直将通过签订标准合同完成个人信息出境视为可操作性较强,便利性较高的手段。
情况在一定程度上如他们所料。《征求意见稿》提出,依据标准合同开展个人信息出境活动,应坚持自主缔约与备案管理相结合;个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案;标准合同生效后个人信息处理者即可开展个人信息出境活动。
根据《征求意见稿》提出的要求,在向境外提供个人信息前,个人信息处理者应当事前开展个人信息保护影响评估。这项评估被简称为DPIA。
评估包含五方面内容。一是个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;二是出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险;三是境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全;四是个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;五是境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响;六是其他可能影响个人信息出境安全的事项。
专家表示,DPIA仍是标准动作,且要求个人信息保护影响评估报告至少保留3年,意味着评估的内部留痕十分重要。
值得注意的是,DPIA需要评估境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响,这对企业的数据合规团队和律师提出了较高的合规要求,不仅要熟悉中国相关法律,还要熟悉境外国家个人保护相关法律法规。
在规定数据处理者责任和义务的同时,监管部门还明确了境外个人信息接受者的多项义务和责任,在标准合同文本中,共涉及13项。记者注意到,其中约定了如果处理的个人信息发生了数据泄露,境外接收方须立即通知个人信息处理者,并根据相关法律法规要求报告中国监管机构。
标准合同中还约定,境外接收方同意在监督本合同实施的相关程序中接受监管机构的监督管理,包括但不限于答复监管机构询问,配合监管机构检查,服从监管机构采取的措施或作出的决定,并提供已采取必要行动的书面证明。
此外,境外接收方还需要对开展的个人信息处理活动进行客观记录,保存记录至少3年。根据格式合同约定,境外接收方应按相关法律法规要求直接或通过个人信息处理者向监管机构提供相关记录文件。
专家表示,根据法律规定,标准合同文本不能更改,个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,也不得与标准合同相冲突。这实际上确保了中国对个人信息数据出境事宜的监管有效性。
值得注意的是,在这份标准合同文本中还专门列出了个人信息主体的权利条款。标准合同文本显示,作为第三方受益人向个人信息处理者或境外接收方提起诉讼的,应当根据《中华人民共和国民事诉讼法》的规定确定管辖。
专家表示,对境外接收方的监管在执行中是比较困难的,《征求意见稿》中可以看出,特定情形下,当监管找不到境外接收方时,境内的个人信息处理者需要先出面解决,再去找境外接收方追责。从这个意义上讲,境内主体有一定的兜底作用。“总体来看,无论是境内个人信息处理者、还是境外接收方都面临较大压力,政策的细化落地仍需观察,合规预案还有很多工作要做。”
个人信息出境标准合同规定
(征求意见稿)
第一条 为了规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动,根据《中华人民共和国个人信息保护法》,制定本规定。
第二条 个人信息处理者依据《中华人民共和国个人信息保护法》第三十八条第一款第(三)项,与境外接收方订立合同向中华人民共和国境外提供个人信息的,应当按照本规定签订个人信息出境标准合同(以下简称“标准合同”)。
个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。
第三条 依据标准合同开展个人信息出境活动,应坚持自主缔约与备案管理相结合,防范个人信息出境安全风险,保障个人信息依法有序自由流动。
第四条 个人信息处理者同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供未达到10万人个人信息的;
(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。
第五条 个人信息处理者向境外提供个人信息前,应当事前开展个人信息保护影响评估,重点评估以下内容:
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
(二)出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险;
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全;
(四)个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
(五)境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响;
(六)其他可能影响个人信息出境安全的事项。
第六条 标准合同包括以下主要内容:
(一)个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等;
(二)个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等;
(三)个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等;
(四)境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响;
(五)个人信息主体的权利,以及保障个人信息主体权利的途径和方式;
(六)救济、合同解除、违约责任、争议解决等。
第七条 个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案。备案应当提交以下材料:
(一)标准合同;
(二)个人信息保护影响评估报告。
个人信息处理者对所备案材料的真实性负责。标准合同生效后个人信息处理者即可开展个人信息出境活动。
第八条 在标准合同有效期内出现下列情况之一的,个人信息处理者应当重新签订标准合同并备案:
(一)向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
(二)境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的;
(三)可能影响个人信息权益的其他情况。
第九条 参与标准合同备案的机构和人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。
第十条 任何组织和个人发现个人信息处理者违反本规定的,有权向省级以上网信部门投诉、举报。
第十一条 省级以上网信部门发现通过签订标准合同的个人信息出境活动在实际处理过程中不再符合个人信息出境安全管理要求的,应当书面通知个人信息处理者终止个人信息出境活动。个人信息处理者应当在收到通知后立即终止个人信息出境活动。
第十二条 个人信息处理者按照本规定与境外接收方签订标准合同向境外提供个人信息,出现以下情形之一的,由省级以上网信部门依照《中华人民共和国个人信息保护法》的规定,责令限期改正;拒不改正或者损害个人信息权益的,责令停止个人信息出境活动,依法予以处罚;构成犯罪的,依法追究刑事责任。
(一)未履行备案程序或者提交虚假材料进行备案的;
(二)未履行标准合同约定的责任义务,侵害个人信息权益造成损害的;
(三)出现影响个人信息权益的其他情形。
第十三条 本规定自___年___月___日起施行。
http://www.cac.gov.cn/2022-06/30/c_1658205969531631.htm
新闻内容转载自:中国经营报(记者裴昱),内容有删减和修改。
陆续更新,敬请期待
版权归闪涛律师团队所有,未经许可不得转载。
如认为本文侵犯版权,请及时联系闪涛律师团队。
团队介绍
闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、金融、证券、私募、区块链、人工智能、智能合约、大数据、合规等领域。
闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。
执业证号:
14401200810597414
闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员。
往期回顾
数据安全
数据安全 | 欧洲数据保护委员会EDPB:澄清域外适用与数据跨境传输条款间的相互作用
数据安全 | Vodafone因违反GDPR被西班牙数据保护局罚款4万欧元
数据安全 | 脸书前员工出席欧洲议会听证会,欧盟数字监管步伐加速?
数据安全 | 网信办拟出规定严管算法推荐:不得利用算法实施流量造假控制热搜
数据安全|最高院明确对于人脸识别技术的民事司法裁判规则, 扩宽个人信息保护救济途径
数据安全 | 步步为营—中国企业“走出去”跨境数据合规要点与步骤
数据安全 | 俄罗斯对Whatsapp违反个人数据法提起行政诉讼
《信息安全技术人脸识别数据安全要求》国家标准征求意见稿 都说了啥?
四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》
涉外法律
涉外法律 | 美国联邦贸易委员会更新金融机构网络安全保障措施规则
涉外法律 | EDPB通过GDPR第23条数据主体权利限制指南
涉外法律 | 美国参议员提出关于安全处理人工智能收集的数据的法案
涉外法律 | 浅析《欧盟两用物项管制条例》对科技领域企业的影响
案例分析
案例分享 | 从蚂蚁微贷诉企查查案看公共数据商业化利用的合法性边界
案例分享 | 广州互联网法院公布涉数据及虚拟财产十大典型案例
案例分享|平台能否根据算法自动化决策进行处罚?看看法院怎么说!
案例分享 | iTunes反垄断案——独家音乐版权是垄断吗?
案例分享 | 大众点评网数据信息不正当竞争纠纷案——数据信息使用行为是否构成不正当竞争的司法认定
案例分享 | 欧美数据跨境的角力:Facebook诉DPC被驳回
立法动态
新法速递 |《上海市数据条例》公布 自2022年1月1日起施行
新闻速递 | 网信办发布《网络数据安全管理条例》(征求意见稿)
立法动态 | 国家互联网信息办公室就《数据出境安全评估办法(征求意见稿)》公开征求意见
新闻速递|《粤港澳大湾区“跨境理财通”业务试点实施细则 》正式发布,一起来看看吧!
立法动态 |蹭热点:《个人信息保护法》个人信息处理者应当遵循的十一条义务
立法动态 | 《关键信息基础设施安全保护条例》,网络安全保护再添坚强后盾
立法动态 | 深圳市、广州市首席数据官制度试点方案出台(全文与简评)
立法动态|浙江省发布《数字化改革 公共数据分类分级指南》省级地方标准
立法动态 | 上海经信委发布“关于《上海市智能网联汽车测试与示范实施办法(征求意见稿)》公开征询意见的公告
立法动态 | 国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》
立法动态 | 国内数据领域首部综合性立法-《深圳经济特区数据条例》正式公布
全国人大法工委举行记者会公布数据安全法草案、个人信息保护法草案最新修改内容
新闻速递
新闻速递 | 工信部:下架540款拒不整改的APP,高压震慑违规行为
新闻速递 | 中方正式提出申请加入《数字经济伙伴关系协定》(DEPA)
新闻速递 | DDTP分布式数据传输协议助力个人信息可携带权落地
新闻速递|《国家标准化发展纲要》发布!未来15年我国标准化发展设定目标和蓝图敲定
新闻速递|腾讯安全《车联网数据安全体系建设指南》正式发布!一起来看看吧!
新闻速递 | 马斯克:特斯拉车主所有个人身份信息都安全地存储在中国国内
新闻速递 | 工信部就《工业和信息化领域数据安全管理办法(试行)》公开征求意见
新闻速递 | WhatsApp对DPC的GDPR罚款提出上诉
新闻速递|CPTPP文本目录与加入程序(附官方中英对照PDF全文)
新闻速递 | Zoom同意就隐私诉讼支付8500万美元与用户和解
新闻速递 | 菲律宾国家隐私委员会发布实施ISO隐私标准的建议
行业政策 | 2021年6月中国各省区块链与数字人民币政策速览
简评 | 关于腾讯手机管家等84款App违法违规收集使用个人信息情况的通报
其他文章
“十四五”规划与区块链的那些事儿:加快数字发展,建设数字中国
实用建议七则:企业视角下的区域全面经济伙伴关系协定(RCEP)原产地规则
年末回顾 | LEGAL EYE 2020年区块链与法推文检索目录
点一下在看再走吧