查看原文
其他

泰和泰研析丨中国版SCCs终于发布!《个人信息出境标准合同规定(征求意见稿)》要点初评

郑晓霖 泰和泰北京办公室 2023-01-14




2022年6月30日,网信办发布了《个人信息出境标准合同规定(征求意见稿)》(以下简称“《标准合同规定》”,其附件简称“《标准合同》”),对《个人信息保护法》规定的个人信息出境三大合规路径之一给出明确指引,填补此前的空白。


《标准合同规定》共计十三条,对《标准合同》的适用范围、配套工作(如个人信息保护影响评估、备案)、监管等进行规定;《标准合同》共计九条,并附两个附件,签约双方分别是个人信息处理者(境内输出方)和境外接收方,合同明确了双方的个人信息保护义务,并赋予相关个人信息主体“第三方受益人”的权利。


本文选取几个要点问题进行初步评析,望抛砖引玉,共同探讨。



适用范围:非CIIO、用户人数少


《标准合同规定》第四条:个人信息处理者同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息:

(一)关键信息基础设施运营者;

(二)处理个人信息不满100万人

(三)自上年1月1日起累计向境外提供未达到10万人个人信息的;

(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。


1.与《数据出境安全评估办法(征求意见稿)》呼应,区分「安全评估」与「标准合同」的适用条件

《个人信息保护法》第三十八条第一款规定了个人信息出境的三种典型合规路径,个人信息处理者可择一适用,分别是:

(1)通过国家网信部门组织的安全评估

(2)按照国家网信部门的规定经专业机构进行个人信息保护认证

(3)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。


根据该规定,个人信息处理者可以在「安全评估」、「专业机构认证」和「标准合同」三种方式中择一适用。但此次《标准合同规定》与此前《数据出境安全评估办法(征求意见稿)》相结合,实则是对个人信息处理者的选择附加了条件。


2021年10月29日,网信办发布《数据出境安全评估办法(征求意见稿)》,其中第四条对必须进行「安全评估」的情形做出了规定,包括:(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;(二)出境数据中包含重要数据;(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息。


从上述规定可以看出,标准合同与安全评估可以说是“互补适用”的状态。只有处理的个人信息主体人数少的企业、非属于关键信息基础设施(CIIO)的企业,才能采用「标准合同」方式向境外提供个人信息,否则必须通过「安全评估」。至于「专业机构认证」方式,由于目前该机制尚未完善,其使用条件、适用空间仍待确定。


总体而言,从目前的政策法规思路来看,信息出境方式“三选一”并不是完全的自由选择,仍需结合企业的性质、处理个人信息具体情况等要素进行综合判断。


2.《标准合同》的实用意义仍有待考量

《标准合同》的重要实用意义之一即减轻中小企业跨境业务的负担。


网信办还曾在2019年6月13日发布《个人信息出境安全评估办法(征求意见稿)》,其中第三条第一款明确规定:“个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。”该《评估办法》并未设置人数标准,而是规定只要向境外提供个人信息的,就必须进行安全评估。换言之,该《评估办法》认为:通过安全评估是个人信息出境的唯一合规方式。可能是考虑到无差别安全评估会增加中小企业负担以及网信部门工作量,两年后发布的《数据出境安全评估办法(征求意见稿)》对安全评估设置了门槛,此次《标准合同规定》亦保持一致。


此外,《个人信息出境安全评估办法(征求意见稿)》第四条和第六条还规定,“网络运营者与接收者签订的合同”是「安全评估」内容之一,也就是说,该《评估办法》实则是认为合同是「安全评估」的一部分。虽然此处并未使用「标准合同」的表述,但是可以想见,安全评估时必然会参照《标准合同》,换言之,「安全评估」将导致「标准合同」同时适用。如果「标准合同」被吸收成为「安全评估」的一个环节,其实用意义将被大大削弱。


后续发布的《数据出境安全评估办法(征求意见稿)》,和此次《标准合同规定》变更了思路,与《个人信息保护法》的择一适用精神保持一致,但是如前所述,由于适用范围的限制,《标准合同》实用意义被划上问号。


从我国互联网行业来看,由于我国人口基数庞大,APP日活用户动则以千万计、甚至过亿,企业很容易达到“处理个人信息达到一百万人”的门槛,此时又会落入「安全评估」的范畴。所以,如果简单以人数为标准,实践中,单一使用《标准合同》的场景可能并不广泛。因此,我们也期待《标准合同规定》进一步丰富、明确适用条件的判断维度,例如,跨境传输频率、信息种类(1个人的10条信息vs.10个人每人1条信息,是否应区别对待?)、个人信息主体类型(个人信息主体仅限于用户还是包括公司员工?)等维度。


第三方受益人制度


《标准合同》第二条 个人信息处理者的义务

个人信息处理者在此陈述、保证、承诺如下:(三)已向个人信息主体告知其与境外接收方通过本合同约定个人信息主体为第三方受益,如果个人信息主体未在三十天内明确拒绝,则可以依据该合同享有第三方受益人的权利。


《标准合同》第五条 个人信息主体的权利

双方承认,按照相关法律法规赋予个人信息主体作为第三方受益人执行本合同中双方关于个人信息保护义务的权利。


《标准合同》第八条 违约责任

(三)每一方因违反本合同而侵害个人信息主体作为第三方受益人而享有的权利,应当对个人信息主体承担责任;个人信息主体有权获得赔偿。这不影响个人信息处理者在相关法律法规项下应承担的责任。


1.《民法典》“第三人利益合同”制度的实践

在绝大多数信息出境场景下,境内用户与境内APP运营者签订《用户协议》和《隐私政策》,境内APP运营者(个人信息处理者)再与境外主体(境外接收方)签订《个人信息出境合同》。受制于合同相对性原则,以及《个人信息出境合同》不公开透明等原因,用户通常很难主张其根据《个人信息出境合同》享有的权利,尤其是直接对境外接收方主张权利。


《个人信息出境安全评估办法(征求意见稿)》第十三条提及了个人信息主体是《个人信息出境合同》相关条款的“受益人”,对突破合同相对性做出了初步探索。但彼时我国还未有明确的第三方受益人制度。直到《民法典》生效,确立“第三人利益合同”制度,为个人信息主体享有「第三方受益人」权利提供了支撑。


《民法典》第五百二十二条第二款规定:“法律规定或者当事人约定第三人可以直接请求债务人向其履行债务,第三人未在合理期限内明确拒绝,债务人未向第三人履行债务或者履行债务不符合约定的,第三人可以请求债务人承担违约责任。”此次《标准合同》即对该规定进行实践,以合同约定方式明确个人信息主体是《标准合同》的第三方受益人,要求个人信息处理者(境内输出方)承担告知义务,并设置三十天的合理期限,个人信息主体未明确拒绝,即享有相应权利。


2.第三方受益人权利内容丰富,个人信息处理者/境外接收方应向个人信息主体提供合同副本

《标准合同》赋予个人信息主体第三方受益人的权利,权利内容丰富,除了《个人信息保护法》第四章规定的个人在个人信息处理活动中的权利外,还包括“执行本合同中双方关于个人信息保护义务”的权利。


《个人信息保护法》在第四章赋予了个人信息主体知情权、决定权;查阅、复制权;“携带权”(请求转移至指定的个人信息处理者);更正、补充权;删除权;要求解释说明权等权利。此次《标准合同》在第五条第一款明确该等权利,并在该条第二款至第五款明确了保障权利实现的方式,例如,个人信息主体既有权请求个人信息处理者实现权利,也有权直接向境外接收方提出请求。这里的直接向境外接收方提出请求,正是「第三方受益人」权利的直接体现。


除《个人信息保护法》赋予的个人信息主体权利外,《标准合同》还强调了个人信息主体有“执行本合同中双方关于个人信息保护义务”的权利,大大拓宽了个人信息主体作为第三方收益人的权利内容。

其中十分值得企业注意的“义务”包括:



提供合同副本:个人信息处理者应根据个人信息主体要求向个人信息主体提供本合同的副本(第二条第八款);境外接收方应根据个人信息主体要求向个人信息主体提供本合同的副本(第三条第二款)。



开展个人信息保护影响评估(PIA):个人信息处理者保证已经按照相关法律法规对拟向境外接收方提供个人信息的活动开展了个人信息保护影响评估,保存PIA报告至少3年(第二条第七款)。



再提供的限制:境外接收者原则上不得将个人信息提供给位于中华人民共和国境外的第三方,除非同时符合确有业务需要、告知-单独同意、承担连带责任、提供再提供协议副本等要求(第三条第七款)。


上述内容可得出结论:


第一,如果跨境提供个人信息链越长,则第一手境外接收者的义务可能越重,包括多次取得个人信息主体的单独同意、“累加”更多的连带责任、提供更多的合同副本等;


第二,PIA是必需项,虽然使用「标准合同」无需通过网信部门牵头的官方「安全评估」,但是企业“自评估”动作不能省略(下一个问题中会详细讨论);


第三,透明度要求再次提高,呼应《个人信息保护法》规定的“知情-同意”原则、个人信息出境“单独同意”等,直接要求企业向个人信息主体提供合同副本。


个人信息影响评估(含境外接收方所在国个人信息保护政策法规评估)备案。


《标准合同规定》第五条:个人信息处理者向境外提供个人信息前,应当事前开展个人信息保护影响评估,重点评估以下内容:…(五)境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响;


《标准合同规定》第七条:个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案。备案应当提交以下材料:(一)标准合同;(二)个人信息保护影响评估报告


《标准合同》第二条个人信息处理者的义务

个人信息处理者在此陈述、保证、承诺如下:(七)已经按照相关法律法规对拟向境外接收方提供个人信息的活动开展了个人信息保护影响评估。……保存个人信息保护影响评估报告至少3年。


《标准合同》第四条 当地个人信息保护政策法规对遵守本合同条款的影响

(一)双方在此保证,经过合理努力仍不知晓境外接收方所在国家或者地区的个人信息保护政策法规(包括任何提供个人信息的要求或授权公共机关访问个人信息的规定),会阻止境外接收方行本合同规定的义务。

(四)双方应记录根据第四条第(二)款进行的评估过程和结果


1.PIA是「标准合同」路径的规定动作

《个人信息保护法》第五十五条规定向境外提供个人信息活动前,个人信息处理者应当进行个人信息保护影响评估,并对处理情况进行记录。


在第一个问题的讨论中,我们提到《个人信息出境安全评估办法(征求意见稿)》规定“网络运营者与接收者签订的合同”是「安全评估」的一项,这里,《标准合同规定》亦规定个人信息处理者有义务开展PIA。故从政策法规精神看,不论是网信部门牵头的官方「安全评估」,还是《标准合同规定》项下的PIA“企业自评估”,「标准合同」+「评估」双保险模式显然已经是企业开展个人信息出境活动前的规定动作,想要达到合规标准,二者缺一不可。


2.「标准合同」+PIA报告均应备案

《标准合同规定》第七条规定了个人信息处理者的备案义务,备案材料不仅包括个人信息处理者与境外接收者之间根据《标准合同》实际签订的《个人信息出境合同》,还包括对应的PIA报告。


虽然备案并非生效要件,但是「标准合同」+「评估报告」必然会成为监管的重要抓手,是企业自证合规的重要依据,因此,企业务必重视PIA。我们建议,企业应根据PIA过程中发现的问题进行查缺补漏,而且不仅是对当次个人信息出境活动进行合规优化,更应该根据每次PIA对企业内部整体的合规管理进行迭代完善。


此外,《标准合同规定》第八条还规定了“二次备案”,即在可能影响个人信息权益的相关因素发生变化时,个人信息处理者应当重新签订标准合同并备案。这一规定似乎再次加重了企业的义务。首先,从全球个人信息保护领域来看,相关政策法规均在以较高的频率更新变化,越来越多的司法案例亦在改变甚至颠覆此前的政策法规(例如Schrems I和Schrems II两案导致欧美安全港(the Safe Harbor)机制和隐私盾(the Privacy Shield)协议先后被判无效);其次,互联网科技仍在迅速发展,企业的业务模式变动活跃,因此极有可能导致向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式等发生变化。综合两点因素,企业可能面临频繁的重签和备案工作,此过程又必须配套PIA,如此看来,PIA或成为跨境类企业的日常合规工作之一。


3.评估境外接收方所在国个人信息保护政策法规将加大PIA难度

欧盟GDPR第五章对数据跨境转移做出规定,提供了充分性决定(adequacy decision)、适当安全保障措施(appropriate safeguards)、克减情形(derogations)三类重要的合规跨境转移途径。在适用选择上,GDPR采用了“如果缺乏,则…”(In the absence of)的表述方式,即应依次考察三类途径的适用条件,按顺位选择。


充分性决定是欧盟委员会对第三国或国际组织保护个人信息水平达到欧盟同等标准的整体性认可,该决定即会评估境外接收方所在国个人信息保护政策法规等因素。标准合同(SCCs)是安全保障措施的一种,在目标国家缺乏充分性决定的情况下,企业可以采用此种方式保障自身合规。


在Schrems II案以前,似乎SCCs是可以直接适用、最为高效且节约成本的途径,但是,欧盟法院对SCCs提出了更高的要求。该判决最终导致欧盟于2021年6月再次更新了SCCs,同时增加了配套的转移影响评估“transfer impact assessment”,要求评估转移的具体情况、接收方所在国的法律以及额外的保障措施等。


此次《标准合同规定》亦采取了同样的思路,PIA中应包含对“境外接收方所在国个人信息保护政策法规”的评估。首先,我国目前并没有类似于充分性决定的整体“白名单”制度,对境外的评估无从依据或参考,单一企业完成评估的难度可能较大;其次,《标准合同》第四条规定的“合理努力”边界不够清晰,尽职调查到何种程度难以把握;再次,如前所述,政策法规变化还会关联“二次备案”事宜,确实可能增添企业负担。


总体而言,即便是属于可适用《标准合同》范畴的“中小型企业”(非CIIO、用户人数少),配套的PIA评估工作也不轻松。建议有跨境需求的企业寻求专业人士协助完成PIA,也期待相关部门可以给出更加清晰、便于执行的评估指引,以及对于重点国家或地区的基础评估。


连带责任

《标准合同》第三条 境外接收方的义务

境外接收方在此陈述、保证、承诺如下:(七)不将个人信息提供给位于中华人民共和国境外的第三方,除非同时符合以下要求:3.与第三方达成书面协议,以保障第三方对个人信息的保护水平不低于中华人民共和国相关法律法规规定的个人信息保护标准,并承担因再提供而可能导致对个人信息主体造成损害的连带责任


《标准合同》第八条 违约责任

(四)个人信息处理者和境外接收方对因违反本合同而共同对个人信息主体造成的任何物质或非物质损害负责的,个人信息处理者和境外接收方应对个人信息主体承担连带责任

     (六)尽管有第八条第(三)款和第八条第(四)款的规定,个人信息处理者应就境外接收方因违反本合同而对个人信息主体造成的任何物质和非物质损失向个人信息主体负责,个人信息主体有权向其主张损害赔偿责任。


《个人信息保护法》第二十条规定了“共同处理”个人信息的连带责任,但是第二十一条的“委托处理”、第二十三条的“提供”却并未要求连带责任。也就是说,在“委托处理”和“提供”场景下,应根据第六十九条规定的过错推定原则确定相关处理者的责任承担。


而此次《标准合同》并未对“共同处理”、“委托处理”和“提供”进行明确区分。《标准合同》第八条第四款中的“共同”是否严格等同于《个人信息保护法》第二十条规定的“共同处理”有待商榷。


首先,《标准合同》中多处提及了“委托处理”个人信息。例如,境外接收方若是受个人信息处理者委托处理个人信息的,在删除或匿名化后,应向个人信息处理者提供相关审计报告(第二条第四款);境外接收方转委托第三方处理的,应事先征得个人信息处理者同意,并有义务对该第三方的个人信息处理活动进行监督(第三条第八款)。基于上述条款,《标准合同》是将出境行为做广义考虑,将“委托处理”纳入其中。那么,如果受托处理者(境外接收者)和数据处理者(境内输出方)均对个人信息主体权益造成损害,是否属于《标准合同》第八条第四款所述的“共同”?此种情况下,境外接收者是否应当承担相较于《个人信息保护法》更为严格的连带责任?


其次,《标准合同》第八条第六款为个人信息主体维权提供了更高的便利。即无论是合同哪一方造成的损害,对于在境内的个人信息主体,均可单方寻求处于境内的数据处理者主张赔偿。由此便导致境内的数据处理者承担了不真正连带责任。那么,无论境内数据处理者与境外接收者之间是“共同处理”、“委托处理”还是“提供”关系,都不能避免连带责任。


我们认为,此次《标准合同》采用了约定连带责任的方式,导致无论个人信息出境对应何种业务模式,合同双方均有较大可能承担连带责任,尤其是境内数据处理者,将首当其冲直面个人信息主体的维权。但是,从另一个侧面考虑,由于个人信息可复制、极易传输的特征,无论何种业务模式下的数据出境,其实结果实质上是类似的。可能正是基于这一考虑,此次《标准合同》才如此严格。


正如《标准合同规定》第一条所述,《标准合同》旨在规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动。个人信息跨境流动是合规领域的艰深复杂课题,仍有很多问题亟需攻克。此次《标准合同》是个人信息跨境流动领域的重大突破,但仍有许多顶层设计问题、细节问题和配套措施需要解决和完善,期待正式生效的《标准合同规定》和《标准合同》能够进一步回应相关问题,为跨境业务合法合规提供助力。





相关律师



郑晓霖 律师




业务领域:科技与大数据、公司商务、娱乐文化



近期文章推荐


泰和泰研析丨公司提供担保的效力解析

2022-06-29

泰和泰研析丨四个关键词解读新修正《反垄断法》亮点

2022-06-27

泰和泰研析丨出口退税备案单证有变化,违规备案税务风险须严防

2022-06-24

泰和泰研析丨美国国土安全部公布限制进口的中国实体清单

2022-06-20


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存