查看原文
其他

【从零读懂】数据出境合规100问 | Part 2上篇:《个人信息出境标准合同规定(征求意见稿)》高频问题与适用解读

王捷 资深出海法律顾问 出海互联网法律观察
2024-08-25

必读收藏

数据出境合规100问

《数据出境安全评估办法》与

《个人信息出境标准合同规定(征求意见稿)》

剖析与解读



导   言


   随着《个人信息出境标准合同规定(征求意见稿)》(以下简称《规定》)、《数据出境安全评估办法》(以下简称《办法》)的相继公布,由《个人信息保护法》第三十八条确定的数据出境选用路径的实践脉络已经越发清晰,可以判断,数据出境合规是企业数据出海必须面对的课题。我们一直专注于网络法实务,特别是数据合规实务工作,在日常为各大企业提供合规服务的过程中,亦遇到各类新型的值得探讨的问题。为了方便实务,让数据出境需求者能够尽快的熟悉,理解我国关于数据出境的各项法律要求与规定,我们计划以《规定》及《办法》作为基础,对我国数据出境有关的法律问题进行一个全方位的解读,一方面对数据出境相关的法律法规进行分析,另一方面也就日常工作中遇到的高频出境问题进行总结。我们热切地期待与各位同行朋友深入探讨各种新型问题,有任何数据合规实务需求与问题探讨,请随时联系王捷律师团队,联系方式见文末。

本系列文章将分为以下四部分

第一部分:初阶--数据出境关键概念剖析

第二部分:进阶--《个人信息出境标准合同规定》高频问题与适用解读

第三部分:进阶--《数据出境安全评估办法》高频问题与适用解读

第四部分:高阶--数据出海实践关键问题与海外SCC要点对比

在认识清楚数据出境相关的基本概念后,后续的内容将开始对数据出境的两部重要的法规进行分析,本篇是第二部分进阶篇,主要就个人信息出境标准合同规定(征求意见稿)》的高频问题与适用进行解读。



文 /  王捷律师团队



第二部分(上篇):

《个人信息出境标准合同规定》高频问题与适用解读

本部分上篇将回答以下问题:

Q17.如何准确理解何谓“标准合同条款”?

Q18.企业如何识别是否落入我国《规定》的适用范围?

Q19.什么类型的企业可能符合签署《标准合同》的情形?

Q20.通过“申报网信部门安全评估”路径而实现数据出境的企业,是否还需要签署《标准合同》?

Q21.发起《标准合同》签署的个人信息处理者是否必须是中国境内的注册企业?

Q22.如果是境外主体直接收集了境内个人信息的情况下,是否需要签署《标准合同》?

Q23.《标准合同》签订前已经签定的数据处理相关合同的效力如何?

Q24.企业何种情形下需要签订补充条款?

Q25.企业何种情形下需要重新签订《标准合同》?

Q26.延伸问题—如果出现需重新签订《标准合同》的情形,企业需要在多长时间内进行重新签订以及备案?

Q27.如何理解境内个人信息处理者与境外接收方在《标准合同》中承担的责任与义务?在多长时间内进行重新签订以及备案?

Q28.如何理解《标准合同》中的第三方受益人?

Q29.如何理解“自主缔约与备案管理相结合”?

Q30.进行《标准合同》备案时需要注意哪些事项?

Q31.《标准合同》的备案是否是《标准合同》的生效要件?

Q32.“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”的起算时间是什么?

本次《规定》的发布一共包括两个部分。

第一部分为个人信息出境的标准合同法律规定,阐明了《规定》附件中的合同模板(以下简称《标准合同》或中国版SCC)的适用范围,适用要求,责任承担等基本问题。

第二部分为国家网信办制定的《标准合同》,共包括9项合同条款,涉及个人信息处理者与境外接收方的权利义务以及第三方受益主体的权利及救济内容。《标准合同》中包含两份附录,供出境双方填写个人信息出境说明以及补充条款。

本文将会总结《规定》中在业内以及企业实务方面常见的关注点以及困惑的内容并进行整理及解答












Q17.如何准确理解何谓“标准合同条款”?


根据我国《个人信息保护法》在第三章关于个人信息跨境传输的规定内容,我们知道,我国提供了三种个人信息跨境传输的机制:

01

数据出境安全评估,属于法定适用情况,即只要达到法律规定的条件,企业就必须申报数据出境安全评估。

02

认证机制,属于国家推荐的自愿性的认证情况,主要适用在跨国集团与关联公司之间的个人信息跨境传输活动。

03

标准合同条款,考虑到境外接收方所在国家或地区在个人信息保护立法或执法保护水平上存在的不足,通过境内的个人信息处理者与境外的接收方签署标准合同条款,将我国法律法规所确立的个人信息保护要求转化为对境外接收方具有法律约束力和可执行的合同条款。因此,其实质上是我国《个人信息保护法》中确立的同等保护原则的一种跨境传输机制。

可见,标准合同条款是个人信息跨境处理活动中可以采用的其中一种合法路径


标准合同条款虽然是合同性质,但并不是说双方完成了签署就完事,它仍然会涉及到我国法律及原则的适用,以及我国的个人信息监管机构也会对标准合同条款的实施实施了对应的监管要求,例如要求进行事前的个人信息影响保护评估、采取保护措施,要求进行备案等。

Q18.企业如何识别是否落入我国《规定》的适用范围?

该问题的回应可以分成两个部分,一是确定适用场景,二是确定规定场景下的适用条件。


从适用场景上看,《个人信息保护法》第三十八条规定了我国个人信息处理者数据出境的四个路径,而双方订立标准合同约定权利义务是其中可选用的路径之一。


从适用条件上看,根据《规定》第四条规定:使用标准合同的企业(个人信息处理者)应当同时满足以下条件:

(一)非关键信息基础设施运营者;

(二)处理个人信息不满100万人的;

(三)自上年1月1日起累计向境外提供未达到10万人个人信息的;

(四)且自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。


故可知,以上四项条件是对通过签订标准合同进行数据出镜的个人信息处理者身份的限制,只有同时满足以上四项条件的个人信息处理者方可使用标准合同。

Q19.什么类型的企业可能符合签署《标准合同》的情形?

由上述问题可知,适用我国《标准合同》对企业自身情况有严格要求,前述4个需要同时满足的条件,已经将我国《个人信息保护法》以及《数据出境安全评估办法》中规定的必须向网信部门申请数据出境安全评估的情形都排除出去了。


即,可以通过签署中国版SCC而实现数据出境的适用主体需要是非关键信息基础设施运营者,且要求是处理个人信息人数或敏感信息数量较少的个人信息处理者,因此,在实务中多适用于用户量小,规模较小的企业主体。而大型公司或平台由于收集个人信息体量大,应用场景广泛,易于对个人信息主体的权利造成威胁,其选择签署《标准合同》作为数据出境路径的可能性一般较低。

Q20.通过“申报网信部门安全评估”路径而实现数据出境的企业,是否

还需要签署《标准合同》?

值得注意的是,这并不代表申报了网信部门数据出境安全评估的情况就不需要签署《标准合同》了,而只是说明了企业不能单单靠通过签署《标准合同》的路径来实现数据出境,企业仍然需要在签署《标准合同》的基础上,进行网信部门数据出境安全评估的申报

Q21.发起《标准合同》签署的个人信息处理者是否必须是中国境内的注册企业?

中国版SCC的适用前提是个人信息处理者依据我国《个人信息保护法》第三十八条第一款第(三)项,发生了与境外接收方订立合同而向我国境外提供个人信息的情况;同时,在现在公布的《标准合同》开篇处双方主体中的表述也是使用了“个人信息处理者”,可见,不论是《规定》本身,还是在《标准合同》的表述,都是使用了“个人信息处理者”,并没有对该个人信息处理者是否必须是在境内注册的企业进行要求,结合我国《个人信息保护法》的要求,只要是在个人信息处理活动中可以自主决定处理目的、处理方式的组织和个人都将会被认定为个人信息处理者

Q22.如果是境外主体直接收集了境内个人信息的情况下,是否需要签署《标准合同》?

判断这个问题,首先判分析境外主体直接收集境内自然人个人信息的情况,是否属于境内个人信息处理者向境外提供个人信息的情况


从字面的意思来看,境内个人信息处理者向境外提供个人信息,是需要有一个在境内的个人信息处理者,该境内的主体向境外的主体(境外接收方)提供个人信息,此处会有一个境内向境外提供的过程。因此如果是境外主体收集了境内自然人的个人信息的情况的,并不属于境内个人信息处理者向境外提供个人信息的情况,即该情况不属于《个人信息保护法》第三十八条和《规定》意义上的“个人信息出境”行为。从这一点看,由于没有境内主体这个环节,因此难以适用签署《标准合同》的情形。


但需要注意的是,该情况下,如果该境外主体是以向境内自然人提供产品或提供服务为目的的,即当该境外主体落入了《个人信息保护法》第三条第二款的规定的,则该境外主体收集并处理境内自然人个人信息的行为仍然是属于“个人信息跨境处理活动”,可以参考《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》中的规定,由该境外主体在境内设置的专门机构或指定代表申请认证

Q23.《标准合同》签订前已经签定的数据处理相关合同的效力如何?

首先,《标准合同》第二条第二款规定,个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同冲突,该法条说明了《标准合同》的优先效力


其次,虽然《规定》的征求意见稿已经发布,但此时《标准合同》的正式稿尚未正式生效,此时开展数据出境的企业双方签订的合同条款效力仍然继续保持原有效力。


最后,当《标准合同》正式生效后,《标准合同》签订前已经签定的数据处理相关合同与《标准合同》冲突的条款,以《标准合同》为准,其他不冲突的条款依然有效,不会当然导致原有的合同失效

Q24.企业何种情形下需要签订补充条款?

实务中常会出现数据出境的企业双方想要进行更细致的条款补充的情况,补充条款并不被《标准合同》所禁止,同时,也符合《规定》“自主缔约+备案管理”的目的精神,企业如果认为标准合同中已经规定的内容不足以满足双方的需要,可以通过《标准合同》附件2增加补充条款,但需要注意的是,业增加的补充条款不能与标准合同条款本身相冲突,也不能通过增加补充条款来规避标准合同条款的实施,以及不能通过增加补充条款来限制和缩小数据主体本应享有的数据主体权利

Q25.企业何种情形下需要重新签订《标准合同》?

总结《规定》内容来看,数据出境双方约定的个人信息各项内容、场景环境发生变化都有可能需要重新签订合同,依据《标准合同》第八条规定重新签订标准合同的情形有:

(一)向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;

(二)境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的;

(三)可能影响个人信息权益的其他情况。


在法律规定的基础上,以下两种情形也是实务中企业需要考虑到的情况。

01

向同一个境外接收方持续传输信息

 在这种情形下,可能涉及传输的个人信息的数量变化和数据类型的变化,依据《规定》第八条,需要重新签订标准合同以及重新备案。考虑到企业的成本问题,建议在签署合同前,对协议内容所覆盖的范围和维度进行设计和细化,例如对需要传输的个人信息数量、类型、目的、方式、保存期限等维度进行有效预估,减少重复更新合同以及备案

02

向不同的境外接收方传输信息

在这种情形下企业需要与不同的境外接收方分别签订数据传输协议。不管是只将数据传给单个境外数据接收方,还是需同时传给多个境外数据接收方,每多增加一个境外数据接收方,就需要单独签署一份合同,并作一次评估所以,如果企业需要和多个境外接收方签署标准合同,可考虑合并同类数据出境的场景,一起进行评估与备案


值得注意的是,当企业重新签署《标准合同》以及进行备案时,需要重新进行个人信息保护影响评估,并将评估结果和重新签署的《标准合同》提交网信办备案(至于是否可以仅对发生变化的部分进行评估,有待在实践中确认)。需要明确的是并非境外接收方所在国家或地区的数据保护政策有任何变化,企业就需要重新签订合同,还要看具体是否会对数据主体的权益造成影响,但这也是实务中较难判断的一点。


所谓牵一发而动全身,考虑到企业因为重新签署合同而投入的成本,企业在首次签订《标准合同》时,需要进行更精细化的设计与评估

Q26.延伸问题—如果出现需重新签订《标准合同》的情形,企业需要

在多长时间内进行重新签订以及备案?

目前《规定》中尚未有确定重新签订的备案期限,但是对于符合条件的企业而言,签订《标准合同》及备案是企业开展数据出境活动的前提,且考虑到配合《规定》出境安全及保护个人信息权益的精神,为了降低企业风险,企业在得知已达到重签条件后,宜尽早进行重签。

Q27.如何理解境内个人信息处理者与境外接收方在《标准合同》中承担的

责任与义务?

《标准合同》第二条明确了个人信息处理者应当履行的义务,并特别要求个人信息处理者对境外接收方承担监督管理者责任。可见,在实务开展过程中,企业进行数据出境活动的时候,企业不仅是出境活动的主要责任方,更是监管机构的重点监督对象。而对于境外接收方而言,《标准合同》将我国数据保护法律法规的各种法律要求转化为境外接收方的合同义务,以使境外接收方可以达到我国法律所要求的保护水平,并特别规定了境外接收方需要配合境内企业接受我国监管机构检查的义务和责任,与前述境内企业需要承担监督与检查责任相呼应。


我们对境内个人信息处理者与境外接收方在责任与义务方面进行扼要对比:


Q28.如何理解《标准合同》中的第三方受益人?

除合同双方当事人即个人信息处理者与境外接收方外,《标准合同》还明确了保护第三方受益人权益的相关内容,这是需要注意的问题。根据《标准合同》的规定,企业需要向数据主体告知其与境外接收方通过标准合同约定数据主体为第三方受益人,如果数据主体没有在三十天内明确拒绝的,则可以依据标准合同享有第三方受益人的权利


关于第三方受益人,该概念借鉴了欧盟《关于向第三国转移个人数据的标准合同条款》的内容,并首次在国内提出,《标准合同》中赋予个人信息主体相应的权利,即作为合同第三方受益人,有权向个人信息处理者、境外接收方任何一方主张并要求履行合同中规定的与个人信息主体权利相关的权利。同时还明确了个人信息主体在权利受到侵犯时,可以通过向监管机构提出投诉或根据管辖规则向相关法院提起诉讼的救济途径。

Q29.如何理解“自主缔约与备案管理相结合”?

备案制度体现了我国《规定》的监管规则,是指符合条件的个人信息处理者与境外接收方应当自行订立标准合同,并通过在监管部门备案的方式进行数据出境活动。


与欧盟的规定不同的是,欧盟允许数据进出双方在不抵触数据主体基本权利及自由的前提下修订SCC并由各欧盟成员国的监管机构局进行批准,我国《规定》中提及的“自主缔约与备案管理相结合”的模式则未对是否允许双方修改标准合同条款进行说明。


在实务中不建议修改标准合同,但可以约定在附录二中进行补充,并且不能与标准合同条款相冲突。关于备案的方式以及频率则在下面的问题中进行说明。

Q30.进行《标准合同》备案时需要注意哪些事项?

依据《规定》第七条,企业有3点需要注意的:

首先是在备案的时间上,应当在标准合同生效之日起10个工作日内进行

其次是在备案机关上,应向所在地省级网信部门备案

最后,是在备案的材料上,企业需要提交2份材料,包括签署的《标准合同》以及《个人信息保护影响评估报告》

Q31.《标准合同》的备案是否是《标准合同》的生效要件?

请注意,备案并非是标准合同条款的生效要件


《规定》第三条明确个人信息出境标准合同的使用规则是以“自主缔约与备案管理”相结合,企业不进行备案并不影响合同的效力,但是如果企业不完成备案,就会可能导致网信部门对企业进行责令改正、停止个人信息出境行为等情况,会对企业业务开展产生不良影响。因此,建议企业按要求进行备案。

Q32.“累计向境外提供超过十万人以上个人信息或者一万人以上

敏感个人信息”的起算时间是什么?

“累计”的起算时间点并非《规定》生效之日,而是在《规定》生效时间点上一年1月1日起开始计算累计向境外提供的个人信息人数。可见,“累计提供”的个人信息数量应该按年度进行计算,且最长跨度为2年


因此,企业应该每年度至少进行一次审查,审查企业向境外提供的个人信息涉及的总人数是否超过/即将超过临界值如果超过,则通过签订《标准合同》进行数据出境可能已经不能满足现有规定了,便需要进行安全评估。有关出境安全评估的内容将会在本专题第三部分进行详细解读。


本系列文章作者:

王捷 肖锦豪 夏律 黄思妍 刘玫君


【声明】

本文内容系作者对法律及实务的理解,仅代表作者个人观点,不构成法律意见,作者以及本公众号均不对内容的分析正确性以及内容获得者由此采取的任何行为承担法律责任。

本文内容系作者原创,引用、转载均请联系作者并注明出处,禁止抄袭,谢谢!

欢迎联系主编投稿。

主编介绍

王捷 

执业律师,垦丁W&W国际法律团队创始人,联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士,专注于网络法领域的研究和实务,特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规,已为多家知名互联网公司及大中型外资企业提供专业法律服务,覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作,拥有10年的科技型公司实务经验与中外律所从业背景,深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求,快速响应并提供基础到战略的有效支持,并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

王捷律师关于《中国与海外多国/地区数据保护及企业合规要点对比》的论文,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者 “必读” 文章。与此同时,她还是出海互联网法律观察公众号主理人,输出了多篇专业互联网与数据合规文章,部分刊登于国际知名专业数据库。

联系方式:

全球数据合规实务群

为您提供独家出海资讯、最新信息动态

与同行们一起交流时事热点、分享经典案例

尽享互联网出海法律干货

快添加主理人微信(jie-72)加入我们吧!

(入群请详细备注姓名、单位、研究领域)

【入群条件:请提出一个关于数据出境的实务问题】

近期更新:

【从零读懂】数据出境合规100问 | Part 1:数据出境关键概念剖析

夏至重磅 | 《个人信息保护与数据合规法律汇编V2.0》更新至2022年6月(附下载)

重磅发布 | 元宇宙与NFT合规问答手册

重磅发布 | 元宇宙产业及元规则体系合规蓝皮书

重磅发布 | NFT业务模式与关键法律问题研究

活动回顾 | 垦丁广州开放日暨元宇宙合规分享会

数据抓取 | hiQ与领英案重审判决,抓取公开数据并不违法

元宇宙时代下的隐私风险——AR虚拟试穿遭到数据隐私诉讼

新大西洋数据隐私框架协议及声明将对欧美数据跨境传输带来什么新变化?

欧盟重磅法案 | 为什么《数据治理法》对数据共享很重要?

全球数据合规资讯周报 | 欧盟议会发布实施《数字市场法案》

英国计划要求科技公司提供身份验证工具以应对匿名恶意用户

EDPB公布了作为数据传输工具的行为准则的指南定稿

欧盟重磅法律草案下载 | 为什么欧盟需要《数据法》?

Meta年报指出Facebook和Instagram因受到欧盟的数据传输规则影响,或妨碍其在欧洲继续提供服务

快讯 | 欧盟议会通过数字服务法案DSA-旨在明确平台服务提供商责任

垦丁律所发布《中国个人信息保护法与海外多国/地区数据合规保护 企业合规要点比较报告》

冬至重磅 |《个人信息保护与数据合规法律汇编》发布(附下载)

重磅蓝皮书 | 《中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告》发布

致敬个人信息保护法正式生效| 全方位解读个人信息保护十大合规要点及十国/地区大比对

越南发布新跨境广告法令下的跨境广告服务商的合规要求

大数据杀熟-互联网法律人的周末私享会

佛罗里达州众议院通过了《佛罗里达隐私保护法》

重磅原创 | 个人信息保护法(草案)与多国数据保护法要点对比

个人信息保护:

十国/地区数据保护法十大合规要点对比 | #10 数据保护监管机构与违反数据保护法的处罚规定

十国/地区数据保护法十大合规要点对比 | #9个人信息处理者的主要义务

十国/地区数据保护法十大合规要点对比 | #8 数据保护官(DPO/个人信息保护负责人)任命要求

十国/地区数据保护法十大合规要点对比 | #7 发生安全事件时数据泄露通知的要求

十国/地区数据保护法十大合规要点对比 | #6 数据影响评估(DPIA/PIA)要求

十国/地区数据保护法十大合规要点对比 | #5 数据主体在个人信息处理活动中的权利

十国/地区数据保护法十大合规要点对比 | #4 数据跨境传输规则与要求

十国/地区数据保护法十大合规要点对比 | #3 数据本地化存储要求

十国/地区数据保护法十大合规要点对比 | #2 个人信息处理规则与特别注意事项

十国/地区数据保护法十大合规要点对比 | #1 法律适用范围与域外适用效力

精品解读:

美国封杀Tiktok事件法律依据、起诉可行性简要分析及出海应对方程式

印度封杀中国APP,谈谈出海印度企业的风险应对策略

针对印度政府禁止59款中国APP最完全版解读

【如何做一块安全的饼干】之cookies的用户告知与法律基础

民法典专题系列 | 对比:《民法典》隐私权&个人信息与GDPR视角下的隐私权&个人数据权利

从印度“删除中国APPs”被Google Play下架谈谈平台合规

游戏出海:

实务|Adjust手游出海指南-东南亚篇

干货|Google移动游戏东南亚出海策略

【游戏出海】国产手游厂商如何应对韩国游戏分级?

游戏出海如何进行合规?听听垦丁律所海外业务负责人王捷怎么说

游戏出海三人游—日本篇

游戏出海三人游-韩国篇(下)

游戏出海三人游-韩国篇(上)

网络法沙龙 | 垦丁网络法广州站第十一期:游戏作品IP化过程中的风控管理与游戏直播背景下著作权法律关系的再思考

跨境电商:

「大咖观点」卓志科技合规管理中心副总监黄颖|跨境电商零售进口实务分享

你真的读懂社交电商吗?——社交电商生态架构的合规设计(含海外社交电商专题)

【值得收藏】中国跨境电商的商业模式与生态链条剖析

「大咖观点」电子商务法立法专家姚志伟|跨境电子商务零售进口中的“中文标签”问题

重磅」《跨境电子商务零售进口法规案例汇编》发布

「大咖观点」 “全球购骑士特权”法总叶意 | 海外支付法律问题分析


修改于
继续滑动看下一个
出海互联网法律观察
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存