数据出境100问系列 | Part3:标准合同高频问题与适用解读
团队介绍:
W&W国际法律团队,国内外一站式法律合规顾问
W&W 国际法律团队已为超过60+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供专业的法律合规服务和落地解决方案。为多个产品及业务线落地互联网综合合规、国内外数据合规及出海合规法律项目。特殊行业覆盖前沿科技领域,如AIGC、区块链、GPT、云计算等新兴领域、智能网联汽车与车机系统、智能制造业与物联网。涉及业务地区为国内、欧洲、北美、亚太、中东等地区。
(如有项目需求或了解代表案例,欢迎联系。)
联系方式:
邮箱:jie.wang@kindinglaw.com
TEL:+86 13650790754
文/ 王捷律师团队
导言
随着《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》的公布,由《个人信息保护法》第三十八条确定的数据出境路径的实践脉络已经越发清晰,可以判断,数据出境合规是企业开展国际业务必须面对的课题。
我们一直专注于网络法实务,特别是数据合规实务工作,在日常为各大企业提供合规服务的过程中,亦遇到各类新型的值得探讨的问题。为了方便实务,让数据出境需求者能够尽快的熟悉、理解我国关于数据出境的各项法律要求与规定,我们计划以前述规定为基础,对我国数据出境有关的法律问题进行一个全方位的解读,一方面对数据出境相关的法律法规进行分析,另一方面也就日常工作中遇到的高频出境问题进行总结。
报告全文获取方式:跨境无忧,合规先行|《数据出境100问》PRO版重磅发布:您的全球合规导航手册
我们热切地期待与各位同行朋友深入探讨各种新型问题,有任何数据合规实务需求与问题探讨,请随时联系王捷律师团队,联系方式见文末。
更新说明
本文章的V1.0版本更新于2022年7月,彼时《个人信息出境标准合同办法》仍在征求意见稿阶段,《数据出境安全评估办法》亦刚刚发布。
在本次2024年4月的更新中,本专题补充了个人信息保护认证、粤港澳大湾区标准合同、境外个人信息跨境传输部分,根据《促进和规范数据跨境流动规定》、《数据出境安全评估申报指南(第二版)、《个人信息出境标准合同备案指南(第二版)》的最新规定进行了更新,对原有部分,包括数据出境关键概念剖析、数据出境安全评估、个人信息出境标准合同等部分,均进行了更新或更正。
系列预告
”
本系列文章将分为以下七部分,将在本公众号持续更新。
第一部分:数据出境关键概念剖析
第二部分:数据出境安全评估高频问题与适用解读
第三部分:标准合同高频问题与适用解读
第四部分:粤港澳大湾区(内地、香港)个人信息跨境流动标准合同
第五部分:个人信息保护认证高频问题与适用解读
第六部分:数据出海实践关键问题与海外SCCS要点对比
第七部分:境外个人信息跨境传输
本篇是第三部分内容,主要介绍标准合同高频问题与适用解读。
第三部分:标准合同高频问题与适用解读
在《数据跨境流动规定》发布后,标准合同相关制度将由《标准合同办法》《数据跨境流动规定》组成,其中,《标准合同办法》的相关规定与《数据跨境流动规定》不一致的,适用《数据跨境流动规定》。
《个人信息出境标准合同办法》一共包括两个部分。第一部分为个人信息出境的标准合同法律规定,阐明了《标准合同办法》附件中的《个人信息出境标准合同》模板(以下简称《标准合同》或中国版SCCs)的适用范围、适用要求、责任承担等基本问题。
第二部分为《标准合同》,共包括9项合同条款,涉及个人信息处理者与境外接收方的权利义务以及第三方受益主体的权利及救济内容。《标准合同》中包含两份附录,供出境双方填写个人信息出境说明以及补充条款。
本专题的第三部分,我们将会总结《标准合同办法》《数据跨境流动规定》《标准合同备案指南》中在业内以及企业实务方面常见的关注点以及困惑的内容并进行整理及解答。
Q53
采用标准合同实现个人信息出境的条件是什么?
与《标准合同办法》相比,《数据跨境流动规定》提高了非敏感个人信息出境阈值。将原先10万的数量提升至100万,10万以下属于豁免。
故进行标准合同备案需要同时满足以下两个条件:
01
非关键信息基础设施运营者;
02
个人信息人数:
当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息);或者
不满1万人的敏感个人信息
需要注意的是:
计算个人信息人数时需要去重及去除豁免场景的个人信息。
如果企业出境个人信息中包含了敏感个人信息,即使仅向境外提供了一条敏感个人信息,除非落入豁免情形,否则亦需要签订标准合同。
如果个人信息处理者同时符合上述条件,但具备《数据跨境流动规定》第三至六条规定的情形的,则无需订立个人信息出境标准合同。
Q54
发起《标准合同》签署的个人信息处理者是否必须是注册于中国境内的注册企业?
《标准合同》的适用前提是个人信息处理者依据我国《个人信息保护法》第三十八条第一款第(三)项,发生了向我国境外提供个人信息的情况;同时,在现在公布的《标准合同》开篇处双方主体中的表述也是使用了“个人信息处理者”,可见,不论是《标准合同办法》本身,还是《标准合同》的表述,都是使用了“个人信息处理者”,并没有对该个人信息处理者是否必须是在境内注册的企业进行要求,结合我国《个人信息保护法》第三条第二款的要求,在个人信息处理活动中可以自主决定处理目的、处理方式的组织和个人,并且符合我国《个人信息保护法》第三条第二款的要求,将构成我国《个人信息保护法》中的“个人信息处理者”,因此发起《标准合同》签署的个人信息处理者可以是注册于中国境外的企业。
Q55
《标准合同》的内容能否根据合同双方的需求进行修改?
我国《标准合同办法》要求标准合同应当严格按照本办法附件订立,个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。
在实务中不建议修改标准合同,但可以约定在附录二中进行补充,并且不能与标准合同条款相冲突。
Q56
《标准合同》中关于境外接收方采取的技术和管理措施该如何填写?
关于《标准合同》中关于“尽合理地努力确保境外接收方采取如下技术和管理措施”,我们建议个人信息处理者事先与境外接收方进行沟通,由境外接收方提供其可确切履行的技术和管理措施义务的说明及相关证明材料,并填写在《标准合同》和个人信息保护影响评估报告中。
Q57
如何理解《标准合同》中境内个人信息处理者与境外接收方在《标准合同》中承担的责任与义务?
《标准合同》第二条明确了个人信息处理者应当履行的义务,并特别要求个人信息处理者(即传出方)对境外接收方承担监督管理者责任。可见,在实务开展过程中,个人信息处理者进行数据出境活动的时候,个人信息处理者不仅是出境活动的主要责任方,更是监管机构的重点监督对象。而对于境外接收方而言,《标准合同》将我国数据保护法律法规的各种法律要求转化为境外接收方的合同义务,以使境外接收方可以达到我国法律所要求的保护水平,并特别规定了境外接收方需要配合个人信息处理者接受我国监管机构检查的义务和责任,与前述个人信息处理者需要承担监督与检查责任相呼应。
我们对个人信息处理者与境外接收方在责任与义务方面进行扼要对比:
个人信息处理者与境外接收方责任义务对比
Q58
如何理解《标准合同》中的第三方受益人?
除标准合同双方当事人即个人信息处理者与境外接收方外,《标准合同》还明确了保护第三方受益人权益的相关内容,这是需要注意的问题。根据《标准合同》的规定,个人信息处理者需要向个人信息主体告知其与境外接收方通过标准合同约定个人信息主体为第三方受益人,如果个人信息主体没有在三十天内明确拒绝的,则可以依据标准合同享有第三方受益人的权利。
关于第三方受益人,该概念借鉴了欧盟《关于向第三国转移个人数据的标准合同条款》的内容,并首次在国内提出,《标准合同》中赋予个人信息主体相应的权利,即作为合同第三方受益人,有权向个人信息处理者、境外接收方任何一方主张并要求履行标准合同中规定的与个人信息主体权利相关的权利。同时还明确了个人信息主体在权利受到侵犯时,可以通过向监管机构提出投诉或根据管辖规则向相关法院提起诉讼的救济途径。
Q59
如何理解标准合同中的境外接收方可以再向境外第三方提供所接收的个人信息?
境外接收方原则上不应再向境外第三方提供所接收的个人信息,除非业务确有需要,并且满足特定的要求。具体而言,《标准合同》要求境外接收方将向个人信息提供给位于境外的第三方时,境外接收方需要同时满足以下要求:
01
明确有特定的业务需要而提供个人信息;
02
告知个人信息主体境外第三方的具体信息和个人信息处理情况(境外第三方的名称或者姓名、联系方式、处理目的、处理方式、个人信息种类、保存期限以及行使个人信息主体权利的方式和程序),但是法律、行政法规规定不需要告知的除外;
03
涉及敏感个人信息的,则还需要向个人信息主体告知传输敏感个人信息的必要性及对个人权益的影响,但是法律、行政法规规定不需要告知的除外;
04
基于个人同意处理个人信息的,应当取得个人信息主体的单独同意。涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面同意的,应当取得书面同意;
05
与境外第三方达成书面协议,确保境外第三方的个人信息处理活动不低于我国相关法律法规规定的个人信息保护标准,并承担因向中华人民共和国境外的第三方提供个人信息而侵害个人信息主体享有权利的法律责任,
06
根据个人信息主体的要求向个人信息主体提供该书面协议的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对该书面协议相关内容进行适当处理。
因此,企业在向境外提供个人信息时,应判断是否确实有进行境外二次流转的必要,若确有必要且基于个人同意处理个人信息的,则应当要求第一境外接收方(即从个人信息处理者处接收到个人信息的境外接收方)取得个人信息主体的单独同意。涉及不满十四周岁的未成年人的个人信息的,境外接收方应当取得未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面同意的,应当取得书面同意。除此之外,还应签订合同,以保障境外第三方对个人信息的保护水平不低于我国相关法律法规规定的个人信息保护标准,并承担因向中华人民共和国境外的第三方提供个人信息而侵害个人信息主体享有权利的法律责任。不仅如此,在个人信息主体提出请求时,还应向其提供该书面协议的副本。
Q60
境外接收方向境外第三方再次提供所接收的个人信息,是否需要再次签署《标准合同》?
如果在部分业务场景中境外接收方确需将所接收的个人信息提供给境外第三方,在满足前一问题中所列明的条件的同时,建议个人信息处理者在与境外数据接收方所签订的《标准合同》中以排他性列举的方式明确个人信息处理者所认可的境外第三方;并要求未经个人信息处理者同意,不得再向境外第三方提供个人信息,并要求境外数据接收方对第三方的过错承担连带责任。
综上所述,若存在境外接收方向境外第三方再次提供所接收的个人信息的情况,个人信息处理者可以直接在与境外接收方所签的《标准合同》中约定关于境外第三方的相关条款,比如在《标准合同》附录一的第(六)项中阐明境外接收方可能再向哪些境外第三方提供个人信息,避免重复签订《标准合同》或补充协议以及进行多次备案。
而关于《标准合同》中的“境外接收方与境外第三方之间达成书面协议”,若境外接收方落入我国《个人信息保护法》的管辖范围,理解在符合其他的标准合同适用的条件下,境外接收方可以与境外第三方签订《标准合同》作为境外接收方与境外第三方之间需达成的书面协议;如不符合,境外接收方亦可参考《标准合同》中的条款拟定与境外第三方之间的书面协议。
Q61
个人信息处理者在何种情况下可以解除《标准合同》,以及需要注意的问题包括哪些?
当个人信息处理者与境外接收方在履行《标准合同》的过程中,根据《标准合同》第七条的规定,个人信息处理者可以在境外接收方严重或持续违反标准合同规定的义务时与境外接收方解除合同。
如果出现以下情况,则个人信息处理者和境外接收方任何一方都可以解除合同:
01
因境外接收方违反合同规定的义务,且个人信息处理者暂停向境外接收方传输个人信息的时间超过一个月;
02
境外接收方遵守标准合同将会违反其所在国家或者地区的法律规定;
03
根据境外接收方的主管法院或监管机构作出的终局性决定,境外接收方或个人信息处理者违反了标准合同约定的义务。
需要注意的是,经双方同意解除《标准合同》的,并不能免除双方在个人信息处理过程中的个人信息保护义务。合同解除时,境外接收方应当及时返还或者删除其根据本合同所接收到的个人信息(包括所有备份),并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理。
Q62
《标准合同》的违约救济途径包括哪些?
发生违反《标准合同》的情形时,个人信息处理者、境外接收方、个人信息主体及有关部门都有可采取的救济措施:
01
个人信息处理者、境外接收方
对于个人信息出境相关的双方而言,任意一方出现违反合同义务情形的,另一方可以要求其承担违约责任,在法定情形下或协商一致的情况下,双方亦可解除合同。
02
个人信息主体
对于个人信息主体,也即第三方受益人而言,标准合同任意一方侵害第三方受益人权益的,应当对个人信息主体承担法律责任。此外,《标准合同办法》还明确了任何组织和个人发现个人信息处理者违反《标准合同办法》向境外提供个人信息的,都可以向省级以上网信部门举报。
03
监管部门
省级以上网信部门除通过接收标准合同备案进行监督外,也会对《标准合同》双方当事人的实际处理个人信息的活动进行主动监管。
Q63
《标准合同》中,“技术措施”、“尽合理地努力”、“尽最大努力”、“尽到合理注意义务”这些不够精准的表达如何理解?
这不仅是实务中企业常有的困惑,同时也是业界颇为关注的问题,对于该问题可以分两个层面进行回答。首先我们可以理解法律中的这些概念表述所希望追求的法律效果,达成的法律目的是什么,这样我们在完成评估的过程中许多内容就可以基于想要追求的效果作为行动标准进行判断,其次,我们可以进一步分析标准细化的规定与方法。
01
从《标准合同》的内容上判断,保护个人信息权益是重要的规范目标。因此,在判断自己在订立标准合同时的对境外接收方所在国家或地区的个人信息保护政策和法规对标准合同履行的影响、尽合理地努力确保境外接收方采取措施履行标准合同约定的义务等时,应当始终围绕“保护个人信息权益”进行。
02
我国数据出境法律不断完善的过程实际也是出境标准细化的过程,《标准合同》中的许多技术指标,我国各部门机关是有提供细化规范参考的。
如《信息安全技术—个人信息安全影响评估指南》提供的更细节的流程、事项指引,同时,实践中企业对自评估各事项的经验总结以及有关部门对各评估事项完成度的反馈也是细化这些概述表达的方法。
声明
报告内容系作者对法律及项目实务的理解及高度总结,同时包含部分实践中向监管咨询后得到的答复内容。报告内容仅代表作者个人观点,不构成法律意见。鉴于数据合规法律法规的多变,以及各个国家或地区的立法可能会有变化或存在法院自由裁量权的情况,具体内容需要依赖于对现有规则的理解和把握,且相关预判与建议应当根据具体业务模式以及当地法律法规的变化而不断调整修正。
报告内容系作者原创,引用、转载均请联系作者并注明出处,禁止抄袭,谢谢!欢迎联系主编投稿。
主编介绍
王 捷 律师
垦丁律师事务所合伙人、广州创始合伙人、主任律师
W&W国际法律团队创始人
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了13年+科技型公司实务经验,具备中外律所从业背景;为各类涉互联网企业提供各类综合合规支持,包括数据合规、个人信息保护、产品模式合规等,尤其擅长为企业出海产品提供各类有效的合规解决方案与落地支持。目前已为超过60+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供服务和产品落地解决方案;并发表了超过300多篇的实务文章与专题报告。
专攻领域:
个人信息保护与全球数据合规、企业出海合规、互联网产品及业务模式综合合规、网络安全、广告合规、知识产权攻防布局、前沿科技领域实务合规等。专精于移动互联网、智能制造业与物联网、智能网联汽车与车机系统、电子商务及平台、直播与短视频、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等新兴前沿行业。
涉足国家及地区:
中国(含港澳台地区)、印度、印尼、东南亚等多国、日、韩、欧盟、美国、中东多国、南美洲、非洲。
职业资格:
持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官等资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学常务理事,荷兰RuG国际经济法与商法硕士。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
推荐阅读:
垦丁荣誉|王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单
访谈实录(中):没有什么事是做分享解决不了的,如果有,那就继续坚持
新年贺礼| 《全球数据合规2023图鉴》重磅发布 ,要做年终总结吗,我们帮你梳理好了
开辟万象,OPEN你的AI|垦丁W&W国际法律团队发布《AIGC产业发展与法律合规实务手册》(附下载)
冬至礼物 | 法律法规汇编大礼包V5.0 《个人信息保护数据合规法律汇编》
W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列
W&W国际法律团队 | 印度2023数字个人数据保护法案最新要点解读