数据出境100问系列 | Part3:标准合同高频问题与适用解读 (二)
团队介绍:
W&W国际法律团队,国内外一站式法律合规顾问
W&W 国际法律团队已为超过60+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供专业的法律合规服务和落地解决方案。为多个产品及业务线落地互联网综合合规、国内外数据合规及出海合规法律项目。特殊行业覆盖前沿科技领域,如AIGC、区块链、GPT、云计算等新兴领域、智能网联汽车与车机系统、智能制造业与物联网。涉及业务地区为国内、欧洲、北美、亚太、中东等地区。
(如有项目需求或了解代表案例,欢迎联系。)
联系方式:
邮箱:jie.wang@kindinglaw.com
TEL:+86 13650790754
文/ 王捷律师团队
导言
随着《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》的公布,由《个人信息保护法》第三十八条确定的数据出境路径的实践脉络已经越发清晰,可以判断,数据出境合规是企业开展国际业务必须面对的课题。
我们一直专注于网络法实务,特别是数据合规实务工作,在日常为各大企业提供合规服务的过程中,亦遇到各类新型的值得探讨的问题。为了方便实务,让数据出境需求者能够尽快的熟悉、理解我国关于数据出境的各项法律要求与规定,我们计划以前述规定为基础,对我国数据出境有关的法律问题进行一个全方位的解读,一方面对数据出境相关的法律法规进行分析,另一方面也就日常工作中遇到的高频出境问题进行总结。
报告全文获取方式:跨境无忧,合规先行|《数据出境100问》PRO版重磅发布:您的全球合规导航手册
我们热切地期待与各位同行朋友深入探讨各种新型问题,有任何数据合规实务需求与问题探讨,请随时联系王捷律师团队,联系方式见文末。
更新说明
本文章的V1.0版本更新于2022年7月,彼时《个人信息出境标准合同办法》仍在征求意见稿阶段,《数据出境安全评估办法》亦刚刚发布。
在本次2024年4月的更新中,本专题补充了个人信息保护认证、粤港澳大湾区标准合同、境外个人信息跨境传输部分,根据《促进和规范数据跨境流动规定》、《数据出境安全评估申报指南(第二版)、《个人信息出境标准合同备案指南(第二版)》的最新规定进行了更新,对原有部分,包括数据出境关键概念剖析、数据出境安全评估、个人信息出境标准合同等部分,均进行了更新或更正。
系列预告
”
本系列文章将分为以下七部分,将在本公众号持续更新。
第一部分:数据出境关键概念剖析
第二部分:数据出境安全评估高频问题与适用解读
第三部分:标准合同高频问题与适用解读
第四部分:粤港澳大湾区(内地、香港)个人信息跨境流动标准合同
第五部分:个人信息保护认证高频问题与适用解读
第六部分:数据出海实践关键问题与海外SCCS要点对比
第七部分:境外个人信息跨境传输
本篇是第三部分内容,主要介绍标准合同高频问题与适用解读。
第三部分:标准合同高频问题与适用解读
在《数据跨境流动规定》发布后,标准合同相关制度将由《标准合同办法》《数据跨境流动规定》组成,其中,《标准合同办法》的相关规定与《数据跨境流动规定》不一致的,适用《数据跨境流动规定》。
《个人信息出境标准合同办法》一共包括两个部分。第一部分为个人信息出境的标准合同法律规定,阐明了《标准合同办法》附件中的《个人信息出境标准合同》模板(以下简称《标准合同》或中国版SCCs)的适用范围、适用要求、责任承担等基本问题。
第二部分为《标准合同》,共包括9项合同条款,涉及个人信息处理者与境外接收方的权利义务以及第三方受益主体的权利及救济内容。《标准合同》中包含两份附录,供出境双方填写个人信息出境说明以及补充条款。
本专题的第三部分,我们将会总结《标准合同办法》《数据跨境流动规定》《标准合同备案指南》中在业内以及企业实务方面常见的关注点以及困惑的内容并进行整理及解答。
Q64
何种情形下需要约定《标准合同》附录2的其他条款?
《标准合同办法》第六条第二款规定,个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。实务中常会出现数据出境的企业双方想要进行更细致的条款补充的情况,约定其他条款并不被《标准合同》所禁止,同时,也符合《标准合同办法》“自主缔约+备案管理”的目的精神,企业如果认为标准合同中已经规定的内容不足以满足双方的需要,可以通过《标准合同》附录2增加双方约定的其他条款。
但需要注意的是,企业增加的其他条款不能与标准合同条款本身相冲突,也不能通过增加其他条款来规避《标准合同办法》的实施和《标准合同》中的义务,以及不能通过增加其他条款来限制和缩小个人信息主体本应享有的个人信息主体权利。
Q65
《标准合同》签订前已经签订的数据处理相关合同的效力如何?
《标准合同》第九条第一款规定,如本合同与双方订立的任何其他法律文件发生冲突,本合同的条款优先使用。因此,《标准合同》将优先于双方所签订的任何其他法律文件的效力。
《标准合同》签订前已经签订的数据处理相关合同与《标准合同》冲突的条款,以《标准合同》为准,其他不冲突的条款依然有效,不会当然导致原有的数据处理相关合同失效。
Q66
个人信息处理者是否需要向个人信息主体提供《标准合同》副本文件?在提供时有什么注意事项?
目前未见有法律法规规定强制要求个人信息处理者需要主动向个人信息主体提供《标准合同》的副本文件,但考虑到根据《标准合同》的条款,这是个人信息处理者的义务之一,因此仍然建议企业在签署《标准合同》后及时完成副本文件的准备,因为《标准合同》明确个人信息主体具有要求个人信息处理者提供其所签订的《标准合同》副本的权利,个人信息处理者必须配合。在提供副本的过程中,个人信息处理者可以着重考虑保密以及方便个人理解阅读的问题。
例如:
01
及时将《标准合同》进行适当处理,包括遮蔽机密信息(如有),避免商业秘密泄露;
02
提供便于个人信息主体理解合同的摘要内容;
03
在可行的情况下,提供《标准合同》副本公示入口或其他查看方式。
Q67
如何理解“自主缔约与备案管理相结合”?
备案制度体现了我国《标准合同办法》的监管规则,是指符合条件的个人信息处理者与境外接收方应当自行订立标准合同,并通过在监管部门备案的方式进行个人信息出境活动。
与欧盟的规定不同的是,欧盟允许数据进出双方在不抵触数据主体基本权利及自由的前提下修订SCCs并由各欧盟成员国的监管机构进行批准,我国《标准合同办法》要求标准合同应当严格按照本办法附件订立,个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。
在实务中不建议修改标准合同,但可以约定在附录二中进行补充,并且不能与标准合同条款相冲突。关于备案的方式以及频率则在下面的问题中进行说明。
Q68
标准合同的备案是否是标准合同生效要件?
请注意,备案并非是标准合同条款的生效要件。
《标准合同办法》第三条明确个人信息出境标准合同的使用规则是以“自主缔约与备案管理”相结合,个人信息处理者不进行备案并不影响合同的效力,但是如果企业不完成备案,就会可能导致网信部门对企业进行责令改正、停止个人信息出境行为等情况,会对企业业务开展产生不良影响。因此,建议个人信息处理者按要求进行备案。
Q69
标准合同备案需要提交哪些材料?
根据《标准合同备案指南》的第二版的附件1《个人信息出境标准合同备案材料要求》,个人信息处理者备案标准合同,需要提交如下材料:
统一社会信用代码证件(影印件加盖公章)
法定代表人身份证件(影印件加盖公章)
经办人身份证件(影印件加盖公章)
经办人授权委托书
承诺书
个人信息出境标准合同
个人信息保护影响评估报告(使用中文撰写)
Q70
个人信息出境标准合同如何进行备案?(流程图)
Q71
个人信息保护影响评估中的需要评估内容是什么?
《标准合同备案指南》的第二版的附件5《个人信息保护影响评估指南(模板)(出境版)》列明了需要评估的内容:
出境版个人信息保护影响评估内容
结合王捷律师团队已为不同企业开展的个人信息保护影响评估,以及上述内容判断,评估主要从基于个人信息处理者及境外接收方双方的个体情况、出境个人信息的情况、境外接收方履约能力、可能发生的安全事件情况以及境外接收方所在国家或法律环境等多个维度进行评估,后续企业在进行评估活动时,可以依据上述维度分类,设计类型化的评估环节以及完成有针对性的材料准备。
Q72
个人信息处理者何种情形下需要补充或者重新签订《标准合同》并重新进行备案?
总结《标准合同办法》内容来看,个人信息跨境传输双方约定的个人信息各项内容、域外个人信息保护政策和法规发生变化都有可能需要补充或者重新签订合同,依据《标准合同办法》第八条规定,在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:
01
向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
02
境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
03
可能影响个人信息权益的其他情形。
在法律规定的基础上,以下两种情形也是实务中企业需要考虑到的情况:
1
向同一个境外接收方持续传输信息
在这种情形下,可能涉及跨境传输的个人信息的种类的变化,依据《标准合同办法》第八条,需要补充或者重新签订标准合同以及重新备案。考虑到企业的成本问题,建议在签署合同前,对协议内容所覆盖的范围和维度进行设计和细化,例如对需要传输的个人信息种类、目的、方式、保存期限等维度进行有效预估,减少重复更新合同以及备案所带来的成本。
2
向不同的境外接收方传输信息
在这种情形下企业需要与不同的境外接收方分别签订数据传输协议。不管是只将数据传给单个境外数据接收方,还是需同时传给多个境外数据接收方,每多增加一个境外数据接收方,就需要单独签署一份合同,并作一次个人信息保护影响评估。所以,如果企业需要和多个境外接收方签署《标准合同》,可考虑合并同类数据出境的场景,一起进行个人信息保护影响评估与标准合同备案。但建议采取该方案前与属地省级网信办进行沟通,确定属地省级网信办是否接收此种方式。
值得注意的是,当企业补充或者重新签署《标准合同》以及进行备案时,需要重新进行个人信息保护影响评估,并履行相应备案手续(至于是否可以仅对发生变化的部分进行评估,有待在实践中确认)。个人信息处理者在标准合同有效期内补充订立标准合同的,应当向所在地省级网信办提交补充材料;重新订立标准合同的,应当重新备案。需要明确的是并非境外接收方所在国家或地区的数据保护政策有任何变化,企业就需要重新签订合同,还要看具体是否会对数据主体的权益造成影响,但这也是实务中较难判断的一点。
所谓牵一发而动全身,考虑到企业因为补充或者重新签署合同而投入的成本,企业在首次签订《标准合同》时,需要进行更精细化的设计与评估。
Q73
如何在实务中确定境外接收方的政策法规变化是否影响了个人信息权益或对标准合同履行的影响?
这是实务中企业完成个人信息影响保护评估的难点,受限于跨地域、跨法域会产生信息差的客观原因,企业在进行个人信息保护影响评估时要毫无疏漏地分析境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响颇为困难,实务中要求企业需要更有意识的使用全球法律视角来判断问题,有数据出境业务的企业要对出境国家及地区的法律规定、政策变化保持敏感度,至少需要关注境外接收方所在国家或地区的法律规定及政策关于任何提供个人信息的要求或者授权公共机关访问个人信息等方面的规定。
Q74
如果出现需补充或者重新订立《标准合同》的情形,个人信息处理者需要在多长时间内进行补充或者重新订立以及备案?
目前《标准合同办法》中尚未有确定补充或者重新订立《标准合同》的期限,但是对于符合条件的个人信息处理者而言,签订《标准合同》及备案是个人信息处理者开展个人信息出境活动的前提。考虑到实现《标准合同办法》保护个人信息权益的目的,且为了降低个人信息处理者的风险,个人信息处理者在得知已达到补充或重新签订《标准合同》的条件后,宜尽早进行补充或者重新订立《标准合同》,并履行相应重新备案手续。
对于重新备案的期限,个人信息处理者应当在补充或重新订立的《标准合同》生效之日起10个工作日内重新备案。
附:《个人信息出境标准合同备案指南》
(第一版)和(第二版)对比表
声明
报告内容系作者对法律及项目实务的理解及高度总结,同时包含部分实践中向监管咨询后得到的答复内容。报告内容仅代表作者个人观点,不构成法律意见。鉴于数据合规法律法规的多变,以及各个国家或地区的立法可能会有变化或存在法院自由裁量权的情况,具体内容需要依赖于对现有规则的理解和把握,且相关预判与建议应当根据具体业务模式以及当地法律法规的变化而不断调整修正。
报告内容系作者原创,引用、转载均请联系作者并注明出处,禁止抄袭,谢谢!欢迎联系主编投稿。
主编介绍
王 捷 律师
垦丁律师事务所合伙人、广州创始合伙人、主任律师
W&W国际法律团队创始人
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了13年+科技型公司实务经验,具备中外律所从业背景;为各类涉互联网企业提供各类综合合规支持,包括数据合规、个人信息保护、产品模式合规等,尤其擅长为企业出海产品提供各类有效的合规解决方案与落地支持。目前已为超过60+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供服务和产品落地解决方案;并发表了超过300多篇的实务文章与专题报告。
专攻领域:
个人信息保护与全球数据合规、企业出海合规、互联网产品及业务模式综合合规、网络安全、广告合规、知识产权攻防布局、前沿科技领域实务合规等。专精于移动互联网、智能制造业与物联网、智能网联汽车与车机系统、电子商务及平台、直播与短视频、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等新兴前沿行业。
涉足国家及地区:
中国(含港澳台地区)、印度、印尼、东南亚等多国、日、韩、欧盟、美国、中东多国、南美洲、非洲。
职业资格:
持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官等资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学常务理事,荷兰RuG国际经济法与商法硕士。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
推荐阅读:
垦丁荣誉|王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单
访谈实录(中):没有什么事是做分享解决不了的,如果有,那就继续坚持
新年贺礼| 《全球数据合规2023图鉴》重磅发布 ,要做年终总结吗,我们帮你梳理好了
开辟万象,OPEN你的AI|垦丁W&W国际法律团队发布《AIGC产业发展与法律合规实务手册》(附下载)
冬至礼物 | 法律法规汇编大礼包V5.0 《个人信息保护数据合规法律汇编》
W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列
W&W国际法律团队 | 印度2023数字个人数据保护法案最新要点解读