数据出境FAQs(三):如何签署数据跨境传输协议?
欢迎点击上方 TMT法律论坛 关注我们
专栏
Law
★
导读
★
随着《数据出境安全评估办法》生效及其指南的发布,触发申报门槛的企业大都在积极地推进着自评估和申报工作。鉴于申报工作是一项崭新的法律要求,企业和监管部门都在探索和积累经验,实操中难免会存在诸多不清晰的问题,我们将通过本FAQs系列栏目,基于法律法规理解、实践案例及多渠道的监管咨询,对焦点问题进行解读和分享。
本期为数据出境FAQs第三期“如何签署数据跨境传输协议?”
需要指出,本FAQs所有内容乃是一家之言,仅供参考,企业的具体行动应当以法律规定、监管要求为准。
往期回顾:
如何签署数据跨境传输协议?
按照《数据出境安全评估办法》(以下简称“《办法》”)规定,数据处理者在申报数据出境安全评估时,应当提交数据处理者与境外接收方拟订立的法律文件,此等法律文件包括数据跨境传输合同或者其他具有法律效力的文件(如集团公司统一数据处理规则)等。该法律文件主要用于约定数据处理者与境外接收方之间的数据安全保护责任义务,与保障数据安全、落实同等保护原则具有密切关系,因此是数据出境安全评估的重点。准备一份完备的数据跨境传输法律文件是顺利通过安全评估的关键。
问
能否采用网信办发布的《个人信息出境标准合同规定(征求意见稿)》所附的《个人信息出境标准合同条款》作为跨境数据传输协议?
答
如果跨境数据传输仅含个人信息,我们认为,目前采用《个人信息出境标准合同条款》作为拟签署法律文件是可行的。虽然该条款尚处于征求意见稿阶段,之后还可能会有一些变化,但整体上反映了监管机构对数据跨境传输协议的要求,能够达到同等保护原则。另外,有的地方监管机构也推荐数据处理者采用该条款。
如果跨境数据传输还包含了重要数据,各方应当根据重要数据的特殊要求对《个人信息出境标准合同条款》做适应性的调整才可以使用。
问
如果跨境数据传输的各方已经签订GDPR SCCs等法域项下数据跨境传输协议,是否可以直接提交该协议进行申报?
答
由于国家网信部门将根据《办法》对数据跨境传输协议的内容进行逐点审查,我们建议企业可以将已经签署的传输协议与《办法》的审查要点做一个mapping,如果可以覆盖《办法》的全部监管要点(主要为《办法》第九条),且达到要求,可以使用该协议进行提交。根据监管咨询,在评估过程中,数据处理者可能需要就传输协议与《办法》的符合性进行解释说明。
根据实务观察,大多数情况下,各方已经签订的传输协议不能完全达到《办法》的要求,需要签署补充协议来修改和增补内容。
问
如果跨境数据传输的各方已经根据GDPR制定BCR,是否可以直接提交该BCR作为法律文件进行申报?
答
答案与上一问相同。
解读
法律背景
根据法律规定,在现行的数据出境三大监管机制——申报安全评估、签署标准合同条款并备案、开展安全认证下,数据处理者与境外接收方均需签订数据跨境传输协议(或其他替代性法律文件),以充分约定数据安全保护责任与义务。
数据跨境传输协议的目的在于将我国法律法规所确立的个人信息与重要数据保护要求转化为对境外接收方具有法律约束力和可执行的合同条款,以实现同等保护原则。
解读
结合《办法》第九条对“拟订立的法律文件”内容的要求,我们理解:
在出境数据仅为个人信息的场景下,为提高监管部门审查通过率,最大程度匹配《办法》监管要点,建议企业应尽可能直接使用个人信息出境标准合同(CN SCCs)框架拟定数据跨境传输协议;如果数据跨境传输协议并非按照标准合同框架拟定,则建议在申报文件中进行解释说明。
若向境外提供的数据还包括重要数据,个人信息出境标准合同(CN SCCs)中对于传输双方的权利义务的约定同样具有参考意义,可在此基础上增加针对重要数据的条款。
相关规范
《数据出境安全评估办法》第五条第(五)项:
数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项:
(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务。
《数据出境安全评估办法》第六条第(三)项:
申报数据出境安全评估,应当提交以下材料:
(三)数据处理者与境外接收方拟订立的法律文件。
《数据出境安全评估办法》第八条第(五)项:
数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:
(五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务。
《数据出境安全评估办法》第九条:
数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容:
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;
(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;
(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;
(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;
(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。
重要提示:
本文仅作为信息性参考,不构成法律意见,不能作为任何行动的依赖。本文中的回复意见可能是不全面的,考虑到监管的不断实践,不排除后续的进一步变化。任何的行动,请以律师的正式意见和监管的意见为准。
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 张媛媛