查看原文
其他

世辉观点 | 《个人信息出境标准合同规定(征求意见稿)》要点解读

The following article is from CCIA数据安全工作委员会 Author 王新锐 卢璟

2022年6月30日,国家互联网信息办公室发布《个人信息出境标准合同规定(征求意见稿)》(“标准合同规定”)。《个人信息保护法》第三十八条明确列举了三种向中国境外提供个人信息的路径,包括:(1)通过国家网信部门组织的安全评估;(2)通过专业机构进行的个人信息保护认证;(3)与境外接收方订立国家网信部门制定的标准合同。由于订立标准合同兼具成本优势和可操作性,因此出境标准合同也一直是企业关注的重点。作为跨境提供个人信息的选择路径之一,理解标准合同文本的适用及内容有重要意义。 


01

适用范围:与出境安全评估进行区分



由于申报安全评估与签订标准合同属于跨境个人信息传输的两种不同路径,因此他们在适用范围上应有明显的区分和界限。标准合同规定所列的适用情形就排除了《数据出境安全评估办法(征求意见稿)》应申报安全评估的范围。具体如下:



标准合同规定

《数据出境安全评估办法(征求意见稿)》

适用条件

适用条件上是“并”的关系。

 

个人信息处理者同时符合四种情形,方可通过签订标准合同的方式向境外提供个人信息。

适用条件上是“或”的关系。

 

数据处理者向境外提供数据,满足情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

适用情形

(一)非关键信息基础设施运营者;

(二)处理个人信息不满100万人的;

(三)自上年1月1日起累计向境外提供未达到10万人个人信息的;

(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。

(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;

……

(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;

(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;

(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。

其中,标准合同规定并没有要求向境外提供个人信息永久累计,而是划定一个不超过2年的时间限制,自上年1月1日起累计。这种制度设计也有利于避免将大部分公司都纳入需申报安全评估的范围,对中小型企业是一种利好。不过,该种定期累计的做法也可能会给企业带来需要定期评估是否满足“向境外提供未达到10万人个人信息”及“向境外提供未达到1万人敏感个人信息的”的工作要求。


02

合规义务



1.跨境传输前的个人信息保护影响评估


《个人信息保护法》明确规定,向境外提供个人信息应当事前进行个人信息保护影响评估,标准合同规定呼应了《个人信息保护法》的规定,明确了跨境提供个人信息项下个人信息保护影响评估的评估要点内容。


此前《数据出境安全评估办法(征求意见稿)》也对向境外提供数据前的自评估事项进行规定,从以下对比表格可以看出标准合同规定整体上借鉴了自评估的事项,主要评估要点包括“跨境传输的合法性、正当性、必要性”、“可能对个人权益带来的风险”以及“拟采取安全保障措施”等。但是,标准合同规定也有自己的特点,特别是纳入“境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响”的考量,借鉴了欧盟跨境传输评估(Transfer Impact Assessment,TIA)的做法,即其核心要点为评估第三国法律的实施是否会损害标准合同条款(Standard Contractual Clauses,SCCs)等跨境传输工具的有效实施。



标准合同规定

《数据出境安全评估办法(征求意见稿)》

相同或者类似事项

(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性。

(一)数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性。


(二)出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险。

(二)出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险。


(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全。

(四)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全。


(四)个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等。

(五)数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等。

不同事项

(五)境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响。

(六)与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。

2.备案管理


监管机构将备案管理作为一种监管手段,已多次出现在网信相关工作的监管文件中,包括《网络数据安全管理条例(征求意见稿)》《互联网信息服务算法推荐管理规定》等。在标准合同规定中,个人信息处理者对所备案材料的真实性负责,并未要求对备案材料的实质性审查。除此之外,备案管理的所应关注的事项包括:


项目

关注事项

备案的时间节点

标准合同生效后再备案,要求标准合同生效之日起10个工作日内进行备案。

主管机构

个人信息处理者所在地省级网信部门。

备案材料

(一)标准合同;

(二)个人信息保护影响评估报告。

个人信息出境活动与备案的关系

标准合同规定说明“标准合同生效后个人信息处理者即可开展个人信息出境活动”,由于备案程序在标准合同生效之后,那意味着即使未进行备案也可以开展个人信息出境活动。

不备案的处罚措施

未履行备案程序或者提交虚假材料进行备案的,将由省级以上网信部门责令限期改正;拒不改正或者损害个人信息权益的,责令停止个人信息出境活动,依法予以处罚;构成犯罪的,依法追究刑事责任。


03

中国版标准合同文本准合同文本



标准合同规定提供了中国版跨境传输个人信息的标准合同文本,在使用该标准合同文本时可以进一步关注下述事项:


1.与其他出境相关的合同的关系


中国版标准合同文本规定了跨境传输个人信息的法定责任义务,个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,均不得与标准合同相冲突。而在实践中,其他法域的监管机构也通过相应的标准合同文本管理跨境个人信息传输(例如欧盟SCCs等),因此跨国企业将会面临着协调不同法域标准合同文本的问题。


2.关于适用委托处理的场景


中国《个人信息保护法》规定个人信息处理者和受托人的角色。个人信息处理者在个人信息处理活动中可以自主决定个人信息处理目的、处理方式,而受托人则是接受个人信息处理者委托而处理个人信息。中国版标准合同文本规定了个人信息处理者向境外接收方提供个人信息的模式,并不适用受托人向境外提供个人信息的场景。


不过,中国版标准合同在境外接收方义务中,规定了“受个人信息处理者委托处理个人信息”的义务,说明境外接收方可以是受托人的角色,接受委托处理个人信息。


3.单独同意


中国版标准合同在“个人信息处理者的义务”及境外接收方再转移的义务中,均规定了“单独同意”的要求,与《个人信息保护法》的要求保持一致。值得注意的是,中国版标准合同在“单独同意”的部分也提到了“相关法律法规规定无需取得个人单独同意的除外”,进一步表示单独同意应该是同意的子集,如有其他个人信息处理的合法基础,并不必须取得跨境提供个人信息的单独同意。


4.责任承担


中国版标准合同文本明确规定了“个人信息处理者”的义务、“境外接收方”的义务。在责任承担上,个人信息处理者和境外接收方对因违反标准合同而共同对个人信息主体造成的任何物质或非物质损害承担连带责任。


同时,为了充分保障个人信息主体可以获得赔偿,中国标准合同文本以境内的“个人信息处理者”为抓手,明确个人信息处理者应就境外接收方因违反标准合同而对个人信息主体造成的任何物质和非物质损失向个人信息主体负责,之后再向境外接收方追偿。


04

总结



标准合同规定说明了中国版标准合同的适用范围、个人信息处理者的合规义务以及法律责任等的内容,进一步推进了通过签订标准合同的方式向境外提供个人信息的落地执行。由于标准合同规定尚未正式实施,我们建议相关企业可以持续关注后续的立法进程。

(本文作者:世辉律师事务所 王新锐 卢璟)

律师简介


王新锐

 世辉律师事务所

 合伙人


王律师毕业于清华大学法学院,执业超过18年。王律师提供合规法律服务的客户包括国内外多家著名科技公司,并为多个中央部委和地方政府的立法和监管工作提供支撑。王律师兼任中国网络安全产业联盟数据安全委员会副主任委员、隐私计算联盟法律专家、清华大学法学院课程讲师、国际商会(ICC)数据治理工作组专家等职务。在数据保护领域,王律师先后获得ALB、The Legal 500、China Law & Practice、Legalband等多个法律评级机构颁发的奖项。王律师曾为多家世界500强的医药企业提供数据合规服务,包括搭建数据合规体系,修改与第三方的数据处理协议,针对企业的数字化业务模式提供数据合规解决方案等。


卢 璟

 世辉律师事务所

 合伙人


卢璟律师先后毕业于北京大学和美国哥伦比亚大学,并获得法学学士和法学硕士学位。加入世辉之前,卢律师是美国盛德国际律师事务所的资深律师,并作为其中国生命科学团队的核心成员工作多年。卢璟律师在生命科学领域有着丰富的法律服务经验,其为客户提供的服务包括:在各类交易或合作项目中(例如:产品许可交易、推广服务外包交易、广阔市场项目、零售渠道合作项目、患者援助项目、数字化平台管理项目等)为企业提供商业谈判、尽职调查、协议起草以及法律及合规风险分析等服务,协助企业搭建数据合规体系以及反腐败合规体系,评估合规治理有效性,在并购交易中开展合规尽职调查,代表企业开展针对员工的内部合规调查等。加入世辉之前,卢律师是美国盛德国际律师事务所(Sidley Austin LLP)的资深律师,并作为其中国生命科学团队的核心成员有超过10年的工作经验。

往期推荐

继续滑动看下一个

世辉观点 | 《个人信息出境标准合同规定(征求意见稿)》要点解读

向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存