在数据合规当中,数据出境属于其中一种高风险的业务场景,它涉及到数据收集、处理和跨境提供三重风险,涉及主体不仅包括了合同双方个人信息处理者和境外接收方,还包括了第三方受益人——个人信息主体,涉及流程从个人信息的接收、授权、使用、存储、跨境提供、告知、委托、分包到删除。本文对国家互联网信息办公室于2022年6月30日发布《个人信息出境标准合同规定(征求意见稿)》进行分析和点评,并根据实务情况提出相应的修改建议。
众所周知,在数据合规当中,数据出境属于其中一种高风险的业务场景,它涉及到数据收集、处理和跨境提供三重风险。在该等场景当中,涉及主体不仅包括了合同双方个人信息处理者和境外接收方,还包括了第三方受益人——个人信息主体,涉及流程从个人信息的接收、授权、使用、存储、跨境提供、告知、委托、分包到删除,全流程和全地域都覆盖进来了。
目前,我国关于上述高风险业务场景的法律规定除了《个人信息保护法》(以下简称《个保法》)第38条的原则性要求外,尚无具体可供落实执行的规范和标准合同文本。
因此,国家互联网信息办公室于2022年6月30日发布《个人信息出境标准合同规定(征求意见稿)》(下称《规定》)及相应的标准合同版本(下称《标准合同》),对个人信息处理者和境外接收方之间的标准合同作出了全新规范,其中标准合同、第三方受益人等制度或概念均属借鉴国外立法经验的大胆探索和尝试,值得为其喝彩。
为了让这个新规更好地服务于广大企业和用户,高云法律团队基于对此类业务的工作经验和了解,特此对《规定》提出如下的点评意见和改进建议,同时对客户提醒实务当中应当注意的事项,具体内容如下:
第一条 为了规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动,根据《中华人民共和国个人信息保护法》,制定本规定。本条为立法背景和目的解释,大问题没有,但本规定系依据《个保法》第三十八条关于“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:……(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;……”的规定所设,但立法目的稍显过宽了。如果将第一条的立法目的范围缩小为根据《个保法》要求,“规范个人信息出境活动当中的标准合同内容”而设,应当更符合该规定的用意和覆盖范围。
第二条 个人信息处理者依据《中华人民共和国个人信息保护法》第三十八条第一款第(三)项,与境外接收方订立合同向中华人民共和国境外提供个人信息的,应当按照本规定签订个人信息出境标准合同(以下简称“标准合同”)。个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。这条规定存在漏洞,需要补充改进。按照通常理解,“相冲突”是指标准合同和其他合同均有规定,但两者规定相互矛盾的情况,而实践当中,通常还会出现两种类似的情形需要进行判断。▋ 第一种,标准合同没有规定,而其他合同有规定的,应当如何判断效力?例如《民法典》当中提及的合同转让问题,由于《民法典》的态度是基本上允许合同自由转让,但很显然,对于数据这种涉及个人信息的合同,如果允许自由转让将带来不可预测的高风险,因此应当作出严格限制,但现在的《标准合同》并无作出规定。如果届时用户在补充合同当中约定合同允许转让,如何处理?▋ 第二种,标准合同只有原则性规定,而其他合同对标准合同条款进行了详细或扩张性解释,应当如何判断效力?例如,标准合同当中大量存在“最小、最低、最大”等极限词,但没有具体判断标准的说明。很明显,作为合同的一方,在履约过程当中,无法仅凭这些原则就履行合同的,需要依据客观的判断标准和明确的履行程序。可以预见,合同双方势必在补充合同当中对于这类极限词会作出具体的解释和程序性安排。▋ 那么问题来了,这类详细说明、扩张解释性的内容,算是与标准合同“相冲突”而无效呢?还是说仅为“补充”,所以有效?为了堵塞这一漏洞,高云建议此条规定要细化,而且要加入合同目的条款,这是《民法典》当中判断双方真实意思和合同内容最重要的衡量标准,被称为“合同条款之王”,没有之一。该规定建议改为:个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同具体内容相冲突或违背其合同目的。第三条 依据标准合同开展个人信息出境活动,应坚持自主缔约与备案管理相结合,防范个人信息出境安全风险,保障个人信息依法有序自由流动。第四条 个人信息处理者同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息:(三)自上年1月1日起累计向境外提供未达到10万人个人信息的;(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。普通人初读该规定,会认为个人信息处理者签订《标准合同》的义务并非强制性的,只是《个保法》第38条规定的四种数据出境路径其中之一。但其实不要高兴的太早,当个人信息处理者希望选择其他更便捷的路径时,才发现其实要求都一样,同样需要签订与《标准合同》相类似的法律文件,甚至标准更高。对于《个人信息保护法》第三十八条和第四十条规定的“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者”的个人信息出境行为,根据《数据出境安全评估办法(征求意见稿)》(网信办于2021年10月29日发布)第六条规定,申报安全评估需要提供与境外接收方拟签订的合同。根据第八条规定,该等合同内容应当包括但不限于以下内容:
(1)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(2)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;
(3)限制境外接收方将出境数据再转移给其他组织、个人的约束条款;
(4)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;
(5)违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;
(6)发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。
▋ 路径2:“技术认证”路径同样需要签约,甚至要求标准更高。根据《个人信息跨境处理活动认证技术规范》(全国信息安全标准化技术委员会于2022年6月24日正式发布)的规定,个人信息处理者与境外接收方签订“具有法律约束力和执行力的文件”,其中至少需要包括如下内容:(1)开展个人信息跨境处理活动的个人信息处理者和境外接收方;
(2)跨境处理个人信息的目的以及个人信息的类别、范围;
(3)个人信息主体权益保护措施;
(4)境外接收方承诺并遵守统一的个人信息跨境处理规则,并确保个人信息保护水平不低于中华人民共和国个人信息保护相关法律、行政法规规定的标准;
(5)境外接收方承诺接受认证机构监督;
(6)境外接收方承诺接受中华人民共和国个人信息保护相关法律、行政法规管辖;
(7)明确在中华人民共和国境内承担法律责任的组织;
(8)其他应当遵守的法律、行政法规规定的义务。
该规定甚至比《标准合同》还苛刻,额外要求境外接收方“明确在中华人民共和国境内承担法律责任的组织”,这一点在《个保法》和《标准合同》均无提及。此外,《个保法》下的“受委托处理者”所发生的个人信息出境行为,是否也应当签订《标准合同》需要慎重判断。《规定》对于上述主体和行为是否必须签订《标准合同》没有规定,高云理解这是由于上位法未作明确规定的缘故。但是,从中国《民法典》关于委托代理制度的法律规定和《个保法》的立法原意来看,凡是适用于“个人信息处理者”的所有法律规定,应当同样适用于“受委托处理者”,否则法律保护体系就会被戳穿一个大洞。实务当中,我们处理过的案例也是如此,大多数客户都会自觉要求签订类似合同。▋ 综上所述,对于个人信息处理者,在执行《规定》时,应当一律自觉依据《标准合同》起草和签订相关协议。同时,对于“境内个人信息处理者—境内受委托处理者—境外分包处理者”的数据出境模式,建议采用比较保险的“2+3”合同模式,即:第一,个人信息处理者与境内受委托处理者两方先行签订《标准合同》,在合同中明确约定境内受委托处理者向境外分包处理者跨境提供数据的目的、方法、机制和双方权利义务。第二,境内个人信息处理者、境内受委托处理者和境外分包处理者,三方签订《标准合同》,在合同中依据前一份合同内容,进一步明确境内受委托处理者向境外分包处理者提供数据的目的、方法、机制和三方的权利义务。第五条 个人信息处理者向境外提供个人信息前,应当事前开展个人信息保护影响评估,重点评估以下内容:(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;(二)出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险;(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全;(四)个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;(五)境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响;▋ 《个保法》第五十六条关于个人信息出境涉及的“个人信息保护影响评估”要求总共有四条,分别是:1.个人信息的处理目的、处理方式等是否合法、正当、必要;3.所采取的保护措施是否合法、有效并与风险程度相适应。4.个人信息保护影响评估报告和处理情况记录应当至少保存三年。▋ 而《规定》将四项立法要求扩展和细化到6条,方便企业执行落地,这是好事。但是,其中的规定仍有需要商榷之处,主要集中在要求境内企业评估“境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响”的这一条。首先,这里存在表述歧义,就是一个国家的法律体系不应该是“政策法规”为主体,而应该是“法律法规”,这是我国《立法法》规定的法律原则。而政策往往都是模糊的,弹性的,甚至只有原则,没有可以客观评判的标准,所以通常难以作为评判标准。其次,对于普通法的国家,除了成文的法律法规外,往往还依赖于大量的法院生效裁决和政府法令,因此应当将后面两类内容纳入评估范围之内。还有,为了方便企业判断和执行这个评估工作,应当将评估基准日明确为“截至《标准合同》签订日”。▋ 不过,即使是做了上述三项修正,查明外国法律法规和判断影响都是主观性非常强的工作,可以预见的是,将来实务操作难度不小。(一)个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等;(二)个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等;(三)个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等;(四)境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响;(五)个人信息主体的权利,以及保障个人信息主体权利的途径和方式;▋ 何谓合同?根据《民法典》第464条规定,“合同是民事主体之间设立、变更、终止民事法律关系的协议”,点明了合同必须包含的三大关键点,民事主体、民事法律关系和设立、变更、终止行为。▋ 但《标准合同》虽然也有类似内容,但存在民事主体资格约定不足、对于合同各方权利义务约定不明还有遗漏了约定若干关键内容。此外,《标准合同》当中很多条款更像法条,不像条款。法条力求全面涵盖实务当中的所有情况,所以力求原则、抽象和简练。但条款为了适应合同双方具体情况,所以力求具体和详细。从目前的版本来看,《标准合同》更像法条,不像条款。详细内容,高云将在后续点评当中逐一解读,敬请留意。第七条 个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案。备案应当提交以下材料:个人信息处理者对所备案材料的真实性负责。标准合同生效后个人信息处理者即可开展个人信息出境活动。按照《个保法》原意,个人信息处理者自行对备案材料真实性负责,所以先生效后备案似乎应当是理所当然的事情,但这样做法对于备案申请人而言,总会觉得因为欠缺备案手续未完成,解决不了忧虑。其实有更好的做法,因为根据《民法典》第502条关于“依法成立的合同,自成立时生效,但是法律另有规定或者当事人另有约定的除外”的规定,只要删除上述规定当中的“标准合同生效后个人信息处理者即可开展个人信息出境活动”的强制性做法,改在《标准合同》当中约定,合同生效时间由双方当事人自行约定,即可解决当事人的上述顾虑又能解决问题。根据这个新规定,可以预见到在《规定》生效之后,将有大量企业在短期内,一起拥到网信部门办理《标准合同》备案登记。对于此类数量多、重复性强的工作,建议由国家网信部门牵头开发《标准合同》线上人工智能审查和备案登记系统提高工作效率。根据高云的经验,现在的人工智能技术水平,已经可以达到根据预设的判断规则,对合同内容的字词、条款写法和合同整体内容进行全面的人工智能审查并且批注相应修改意见的水平。在申请人将相应批注问题修订完毕、通过人工智能初审后,备案合同才进入网信部门的人工复核阶段。如果网信部门能够采用这种方式改进工作,相信一定能够节省大量的人力时间。第八条 在标准合同有效期内出现下列情况之一的,个人信息处理者应当重新签订标准合同并备案:(一)向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;(二)境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的;该条款与第五、六条是配套的,也符合《个保法》的要求。
第九条 参与标准合同备案的机构和人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。这条规定写得很好,及时回应了一些大型企业特别是跨国企业对《标准合同》和《评估报告》备案过程当中可能造成信息泄露的忧虑。但是,由于“保密商务信息”在中国法律体系当中没有定义过,如何精准界定它的内涵和外延,肯定是标准合同双方主体都非常关心的问题。第十条 任何组织和个人发现个人信息处理者违反本规定的,有权向省级以上网信部门投诉、举报。第十一条 省级以上网信部门发现通过签订标准合同的个人信息出境活动在实际处理过程中不再符合个人信息出境安全管理要求的,应当书面通知个人信息处理者终止个人信息出境活动。个人信息处理者应当在收到通知后立即终止个人信息出境活动。(三)自上年1月1日起累计向境外提供未达到 10 万人个人信息的;(四)自上年1月1日起累计向境外提供未达到 1 万人敏感个人信息的。第十二条 个人信息处理者按照本规定与境外接收方签订标准合同向境外提供个人信息,出现以下情形之一的,由省级以上网信部门依照《中华人民共和国个人信息保护法》的规定,责令限期改正;拒不改正或者损害个人信息权益的,责令停止个人信息出境活动,依法予以处罚;构成犯罪的,依法追究刑事责任。(二)未履行标准合同约定的责任义务,侵害个人信息权益造成损害的;上述规定本身没问题,但同时可能会产生另外一个社会现象,就是如果网信部门向社会公示履行备案手续的企业名单,任何一个个人信息主体都可以据此来判断相关个人信息处理者是否已履行备案义务,如果查询结果发现没有备案,个人信息主体就此违法事件向网信部门举报,很可能导致短时间内大量的投诉剧增。
如何在严格执行备案制度和妥善应对个人信息主体投诉之间做好平衡,妥善解决问题,需要立法部门在进行制度设计时,有更全面的衡量和思考。最后,高云期待该新规早日正式落地,在保护好个人信息的同时,助力中国企业更好地走出国门。
高云
「合同六法」体系创始人
高云,本名汪宏杰,30年法律从业经验,“合同六法”、“中国高质量合同范本库”创始人,擅长不良资产、并购重组、企业合规和法律顾问等业务,服务客户覆盖金融、互联网、房地产、服务、快销等行业。多年来先后出版《思维的笔迹》《公司法实务指南》《民法典时代合同实务指南》等14本法律实务类畅销榜冠军书籍,在中国法律界享有较高的知名度。
声明:本文来源于“高云合同”,已获转载授权,转载请联系原出处。本文仅代表作者的观点,不代表本公众号观点,仅供学习参考之用。欢迎首创稿件,如有投稿意向请联系小编。
合同写作审查处处有细节。不想在关键节点上出差错?加入「高云合同写审改突破营」让你一眼识破合同纰漏!深圳站、上海站7月份火热开营,快报名学习合同写审改技能吧!