要点分析 | 企业出海实务之《个人信息出境标准合同备案指南》解读
作者:垦丁(广州)律师事务所 王捷 | 黄琼 | 邱世贸 | 陈凯婷
引言
《个人信息出境标准合同办法》(下称“《办法》”)自2023年6月1日起施行。2023年5月30日,为指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同,中国国家互联网信息办公室(下称“网信办”)发布了《个人信息出境标准合同备案指南(第一版)》(下称“《备案指南》”)。
垦丁W&W国际法律团队将从实务角度出发,对该《备案指南》及相关个人信息出境合规进行要点解读,为出海企业规范、有序备案个人信息出境标准合同,部署国内合规工作提供参考。
一、 适用范围
《备案指南》开篇便再次强调采用订立标准合同的方式向境外提供个人信息的前提条件。如我们在《个人信息出境标准合同办法》的解读中所说,企业只有在同时满足《办法》第四条的四种情形下,才能通过订立标准合同的方式向境外提供个人信息:
(1)是非关键信息基础设施运营者;
(2)处理个人信息不满100万人的;
(3)自上年1月1日起累计向境外提供个人信息不满10万人的;
(4)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
另外,即便企业同时满足了前述四种条件,也不一定可以通过订立标准合同的方式进行个人信息跨境传输,仍可能需要采取安全评估的机制实现出境。
基于标准合同适用条件的规定,W&W国际法律团队建议企业在决定以订立标准合同的方式实现个人信息跨境传输的过程中,应当书面保存相关文件,用于证明自身符合通过订立标准合同的方式实现个人信息跨境传输的条件。
如企业需要向境外提供个人信息的,可以按照以下流程图判断是否需要进行数据出境安全评估的申报:
二、再次明晰"个人信息出境行为"的概念
《备案指南》,再次明晰了“个人信息出境行为”的概念,该概念的定义与之前《数据出境安全评估申报指南(第一版)》(以下简称为《安全评估申报指南》)中确定的“数据出境行为”的概念一脉相承。
根据《备案指南》第1条3款第2项的规定,远程访问或调用(包括查询、调取、下载、导出)等均属于“个人信息出境行为”。对于跨国企业或者处理个人信息数量较少的SaaS提供商,目前可能会选择将服务器部署在中国境内、而由境外主体的员工负责维护或运营的方案,根据《备案指南》的规定,这亦属于“个人信息出境行为”。
三、备案方式、材料
《备案指南》为采用订立标准合同的方式作为个人信息出境路径的企业应如何进行备案、需提交的材料等,提出了实践性的要求。
01
《备案指南》要求备案时提交书面材料并附带材料电子版,该规定与《安全评估申报指南》中的规定一致。
02
《备案指南》中对标准合同备案需要提交哪些材料也给出了明确的规定,根据W&W国际法律团队的观察,标准合同备案需要提交的材料与《安全评估申报指南》规定的安全评估申报材料有所重叠,包括类似的承诺事项,但有所不同的是《备案指南》对企业提出了承诺未采取数量拆分等手段以规避安全评估的要求。
提醒企业注意第五项承诺“个人信息保护影响评估工作为备案之日前3个月内完成,且至备案之日未发生重大变化”。在实践中,产品功能可能变动频繁、需要出境的个人信息在完成个人信息保护影响评估的3个月内可能会产生变动,因此企业在准备使用标准合同作为个人信息跨境传输路径时,应当有计划地设置各个流程的时间点,一是防止前期评估的结果与企业最新个人信息出境的业务情况不一致,二是防止前期完成的评估因超过3个月而无法作为备案材料。但我们也注意到,与《安全评估申报指南》一样,《备案指南》并未给出“重大变化”的定义,何为“重大变化”在实践中可能还需要公司的法务部门和业务部门共同进行确认,必要时引入外部律师团队辅助公司进行判断。
03
《备案指南》对材料要求也进行了明确,需要注意的是备案要求提交标准合同的原件。根据我们的理解,监管机关会留存企业所提交的标准合同的原件。根据标准合同的条款,留存合同原件数量采用的条款为“个人信息处理者和境外接收方各执__份”,我们理解标准合同条款并未留下修改的余地、只能在附录中添加条款,因此建议企业在实际签订合同时,至少约定“本合同正本一式四份,个人信息处理者和境外接收方各执两份”。
四、备案程序
根据《备案指南》的规定,企业应当在标准合同生效之日起10个工作日内向所在地省级网信办进行备案。考虑到10个工作日的期间较短,且根据我们先前对于个人信息出境标准合同条款的研究,标准合同在生效条件或生效时间上作出强制要求,W&W国际法律团队理解,个人信息处理者在实践中可以在标准合同的附录部分约定生效条件,从而为自身无法及时履行备案程序留下余地。但我们认为,若合同采用约定生效条件而非根据《中华人民共和国民法典》合同自成立时即生效的一般规定,个人信息处理者在提交备案材料时也需要提交材料证明具体的生效条件的成就时间。
根据《备案指南》的规定,省级网信办收到材料后,在15个工作日内完成材料查验,并通知个人信息处理者备案结果。备案结果分为通过、不通过。相比数据出境安全评估可能需要57(5 + 7 + 45)个工作日甚至更长的时间才能完成备案,标准合同备案程序流程的长短也体现了标准合同这一个人信息出境路径的轻量化。但值得注意的是,《备案指南》也设定了提交补充完善材料的期限为10个工作日,亦督促个人信息处理者及时按照备案受理机关的要求补充材料。
五、《个人信息保护影响评估报告》(出境版)
《备案指南》附件5包含了《个人信息保护影响评估报告》(出境版)模板,根据该模板,评估报告应当包括:
(1)评估工作简述;
(2)出境活动整体情况;
(3)拟出境活动的影响评估情况,要求重点说明评估发现的问题和风险隐患,以及相应采取的整改措施及整改效果;
(4)出境活动影响评估结论。
W&W国际法律团队注意到《个人信息保护影响评估报告》(出境版)要求企业对境外接收方所在国家或地区的个人信息保护政策法规对标准合同履行的影响进行评估。这是实务中企业完成个人信息影响保护评估的难点,受限于跨地域、跨法域会产生信息差的客观原因,企业在进行个人信息保护影响评估时要毫无疏漏地分析境外接收方所在国家或地区的个人信息保护政策法规是否会影响标准合同的履行,以及影响的程度如何,无疑是颇为困难的。
虽然标准合同专门设置第四条约定了境外接收方所在国家或地区个人信息保护政策和法规对合同履行的影响,对境外接收方作出了相关具体要求,包括保证尽最大努力为企业提供了评估政策法规对合同履行的影响所必要的其所在国家或地区的个人信息保护政策和法规,因前述政策和法规发生变化导致其无法履行标准合同的,在知道变化后立即通知企业等,但即使境外接收方完全据此要求予以配合,也不足以保证企业能够评估出相关政策法规对标准合同履行的影响。
我们建议,为了便于企业作出评估,可以在与境外接收方签订的商业合同(一般商业合同签订早于标准合同)中就约定境外接收方有义务协助提供当地的法律政策文本、协助企业进行评估以及在政策变动时及时告知等,或者选择在订立标准合同之初便引入外部律师进行域外个人信息保护政策调研。
六、补充、重新备案
《备案指南》对于补充、重新备案的查验期限规定为15日,但并未规定个人信息处理者在需要补充或者重新订立标准合同时,应当在多短的期限内完成补充或者重新签订标准合同。
目前全球各国家或者地区的个人信息保护政策和法规仍然处于一个变化的过程中,为个人信息处理者设定较短的补充或者重新订立标准合同的期间,可能给个人信息处理者带来较重的合规负担。
W&W国际法律团队建议存在个人信息出境情形的公司,持续关注境外接收方所在国家或地区的个人信息保护相关政策和法规是否有调整,定期复核其向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点,境外接收方处理个人信息的用途、方式等情况是否有变化。同时,考虑到上述第三项兜底条款“可能影响个人信息权益的其他情形”,关注是否有涉及本条款没有具体提及的如数据传输路径、数据传输的主体、数据出境行为变更等情形。如发生前述任一情形,我们建议企业及时评估是否需要重新评估、补充或重新订立标准合同并备案。
七、备案结果
《备案指南》在“材料查验及反馈备案结果”部分规定备案结果存在“通过”和“不通过”两种情形。不通过备案的,个人信息处理者将收到备案未成功的通知及原因,要求补充完善材料的,个人信息处理者应当补充完善材料并于10个工作日内再次提交。
但《备案指南》并未详细列举备案不通过的原因,我们认为备案不通过的原因可能包括补充完善材料后仍可能存在备案的形式原因,如备案材料不齐全、材料形式不符合要求,合同未严格按照国家网信部门公布的最新标准合同订立,个人信息保护影响评估完成之日在备案之日3个月前等,也包括实质原因,即企业不符合《办法》规定的以标准合同作为个人信息出境路径的前提条件,比如处理个人信息超过100万人等。
若是形式原因,企业收到备案不通过结果的,应仔细查看网信办通知的不通过原因,并对照《备案指南》的要求尽快补充完善材料。但若是实质原因,则企业仍可能需要采取安全评估的机制实现个人信息的出境。
附:《个人信息出境标准合同备案指南(第一版)》全文
向上滑动阅览
推荐阅读:
【从零读懂】数据出境合规100问 | Part 4:数据出海实践关键问题与海外SCCs要点对比
【从零读懂】数据出境合规100问 | Part 3下篇:《数据出境安全评估办法》高频问题与适用解读
【从零读懂】数据出境合规100问 | Part 3中篇:《数据出境安全评估办法》高频问题与适用解读
【从零读懂】数据出境合规100问 | Part 3上篇:《数据出境安全评估办法》高频问题与适用解读
【从零读懂】数据出境合规100问 | Part 2下篇:《个人信息出境标准合同规定(征求意见稿)》高频问题与适用解读
W&W国际法律团队
专注互联网出海法律实务:
W&W国际法律团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
覆盖以下行业领域:
物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。
(此处仅展示部分内容,如有任何需求,请尽管与我们联系。)
主编介绍
王 捷 律师
垦丁广州联合创始人、执行主任、垦丁国际业务部负责人、
W&W国际法律团队创始人
业务领域:
个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全
王律师持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士。
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验,具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务,行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。
王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地,包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局,已为各类涉互联网企业拓展全球市场提供法律支持,尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。
同时,王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
资讯编写
陈凯婷
垦丁律师事务所W&W国际法律团队实习生