其他
1.引言我国《个人信息保护法》第38条规定了“通过国家网信部门组织的安全评估”、“个人信息保护认证”、“按照国家网信部门制定的标准合同与境外接收方订立合同”三种个人信息跨境合规机制。自其颁布以来,业界翘首以盼落实个人信息跨境合规机制的执行细则。继《数据出境安全评估办法(征求意见稿)》(以下简称“《安全评估办法》”)和《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(以下简称“《认证规范》”)发布后,2022年6月30日,国家互联网信息办公室发布了《个人信息出境标准合同规定(征求意见稿)》(以下简称“《合同规定》”)以及《个人信息出境标准合同》(模板)(以下简称“《合同模板》”),明确了标准合同的适用细则。至此,《个人信息保护法》第38条规定的三种数据跨境传输机制都有了可行的落地方案。2.适用范围与效力2.1.与安全评估和认证的适用关系数据出境安全评估、认证与标准合同虽然是平行的三种数据跨境传输机制,但其侧重点和适用范围有所不同。其中,数据出境安全评估在保护个人信息权益的同时,还旨在“维护国家安全和社会公共利益”,因而其适用具有强制性,即凡是达到《安全评估办法》规定门槛的,必须在数据出境前进行安全评估。《数据出境安全评估办法(征求意见稿)》第4条数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;(二)出境数据中包含重要数据;(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。认证机制和标准合同则侧重个人信息保护,旨在保护个人信息权益,促进个人信息跨境安全、自由流动。《认证规范》明确指出:“需要通过国家网信部门组织的安全评估的个人信息跨境处理活动,应当向国家网信部门申报安全评估”。《合同规定》则指出,同时符合“非关键信息基础设施运营者、处理个人信息不满100万人的、自上年1月1日起累计向境外提供未达到10万人个人信息的、自上年1月1日起累计向境外提供未达到1万人敏感个人信息的”个人信息处理者,可以通过签订标准合同的方式向境外提供个人信息。综上,安全评估、认证和标准合同这三种数据跨境传输合规机制的适用关系如下图所示:此外,由于标准合同的适用情形必须满足“自上年1月1日起累计向境外提供未达到10万人个人信息的”且“自上年1月1日起累计向境外提供未达到1万人敏感个人信息的”,我们理解,大规模处理个人信息/对外提供个人信息的个人信息处理者(特别是大型互联网企业等)可能无法选择标准合同作为合规机制。2.2.与《认证规范》和《安全评估办法》中规定的合同的适用关系《安全评估办法》与《认证规范》也分别有关于合同的规定,且合同内容与标准合同条款存在不少重合。但应当注意的是,标准合同是由国家网信部门制定的一种独立的数据跨境传输机制,其模板内容具有一定强制性,而安全评估下的合同是为了约定境外接收方的数据安全保护责任义务,认证下的标准合同则是为了在个人信息跨境处理活动的相关方之间建立“约束力和执行力”。《安全评估办法》数据处理者与境外接收方拟订立的合同或者其他具有法律效力的文件数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务,应当包括但不限于以下内容……(第9条)《认证规范》参与个人信息跨境处理活动的相关方之间应当签订具有法律约束力和执行力的文件参与个人信息跨境处理活动的相关方之间应当签订具有法律约束力和执行力的文件,确保个人信息主体权益得到充分的保障……(第4.1条)2.3.与双方签订的其他合同的适用关系根据《合同规定》第2条第2款,个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。因此,个人信息处理者在签署其他合同时,须检查其他合同各项条款是否与标准合同相冲突、是否符合《合同规定》相关规定。3.合同相对方《合同模板》规定的合同双方为“个人信息处理者”与“境外接收方”。根据《个人信息保护法》第73条,“个人信息处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人,与GDPR中的“数据控制者”概念相似。根据《合同模板》第1条第5项,“境外接收方”是指位于中华人民共和国境外并自个人信息处理者处接收个人信息的组织或个人。文本中此处没有使用“境外处理者”的措辞,而是与《出境安全评估》和《认证规范》保持一致,使用了“数据接收方”。我们理解,这里的数据接收方应当既包括可以自主决定处理目的、处理方式的组织、个人(即“个人信息处理者),也包括受个人信息处理者委托处理个人信息的受托人。因此,签订标准合同的双方可能有“处理者—受托人”和“处理者—处理者”两种情形,也就是说,境内受委托人处理个人信息的受托人不能作为标准合同的相对方,转委托境外主体处理个人信息。境内境外个人信息处理者受托人个人信息处理者个人信息处理者还应当注意,在“一国两制”框架下,香港特区和澳门特区分别属于独立的司法辖区,制定有各自的个人信息(资料)保护法律,位于港澳的个人信息处理者或者受托人也属于“境外接收方”。4.适用前准备:个人信息保护影响评估企业在选定标准合同作为个人信息跨境传输合规机制的情况下,需要首先进行个人信息保护影响评估,该规定是对《个人信息保护法》第55条个人信息保护影响评估的落实。个人信息保护影响评估(“PIA”)是指针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。在跨境传输场景中,PIA在国际实践中已经是规定动作。如欧盟在Schrems