Contract
个人信息保护法律热点问题
《个人信息出境标准合同》的适用与重点
2023 年 2 月 27 日
与数据出境安全评估、个人信息保护认证相比,与境外接收方签署监管部门公布的合同通常被认为是数据出境机制中最为便捷的选择。2023 年 2
月 24 日,国家互联网信息办公室发布了《个人信息出境标准合同办法》(“《办法》”)以及相应的个人信息出境标准合同文本(“标准合同”)并将自今年 6 月起实施。我们结合过往协助大量企业客户准备数据出境合规工作的经验,对《办法》的适用场景、企业在应用标准合同机制过程中的主要合规步骤以及难点问题进行初步总结与提示,以供企业开展相关工作参考。
一、标准合同的适用场景
根据《办法》第 4 条,一般情况下,个人信息处理者1仅在同时符合下列情形的情况下,方可通过订立标准合同的方式向境外提供个人信息:1)非关键信息基础设施运营者;2)处理个人信息不满 100 万人的;3)自上年 1 月 1 日起累计向境外提供
个人信息不满 10 万人的;4)自上年 1 月 1 日起累
计向境外提供敏感个人信息不满 1 万人的。结合《数据出境安全评估办法》的适用情形,两者对具有特定身份,以及处理特定数量个人信息的处理者适用何种个人信息出境机制做出了区分。对于落入《数据出境安全评估办法》适用范围的个人信息处理者,均应依法申报数据出境安全评估。
相较于数据出境安全评估,标准合同适用的个人信息出境活动规模较小、对国家与公共利益的影响较低,故在此类出境活动中,企业可以通过签署
1 《个人信息保护法》第 73 条规定,个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
1
合同这一较为简便的方式来满足个人信息合法出境的条件。标准合同这一出境机制可以适用的个人信息出境场景也非常广泛,例如:
• 跨国集团内部出于人力资源管理(包括内部违纪调查)、业务统筹等需求,使用统一的 IT 架构,使个人信息传输或存储至境外,或给予境外总部访问境内存储的员工档案、客户信息等数据的权限;
• 中国企业采购境外供应商提供的服务或产品(如系统运维服务、数据分析等),境外供应商在提供产品/服务过程中可接触个人信息或需使用个人信息;
• 中国企业为境内客户提供服务(如协助开展临床研究、合作进行产品研发),根据客户指示或服务要求,将境内的个人信息传输至境外合作方处。
实践中,企业需综合主体身份、出境场景、个人信息数量等多方面情况,梳理确定可否通过签署标准合同的方式向境外提供个人信息。由于业务场景、集团架构、数据流的复杂性与多变性,企业在识别自身数据处理角色、梳理个人信息出境场景、统计个人信息数量时往往存在困难。比较常见的问题比如跨国集团内部共享数据的场景中,集团内部在中国的多家关联实体是否需合并统计个人信息数量等。
针对目前数据出境机制的疑难问题,实践中一般需根据监管咨询、行业实践与具体场景审慎判断。而正因适用场景的认定规则复杂,实践中也可
能存在难以评判如何适用出境机制的情况。对于此类情形,《办法》第 4 条明确规定,个人信息处理者不得采用数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。然而,该条规定具体如何解释,例如数量拆分的具体含义、如何区分规避监管和正常业务行为,仍有待监管部门通过后续监管实践或指引解释进一步释明。
二、标准合同签署的一般步骤
《办法》规定下的标准合同机制包含事前评估、事后备案、及时更新等合规要求。若企业评估后确定选择适用标准合同这一出境机制,需制定详细的工作方案,以确保监管要求的落地。根据《办法》规定与我们的项目经验,我们将企业使用标准合同时可参考的工作步骤与流程分享如下:
1. 开展个人信息保护影响评估(“DPIA”)
DPIA 并非标准合同机制下的特别合规要求,而是个人信息处理者在向境外提供个人信息之前均需开展的风险评估机制。DPIA 的主要流程为:1)梳理业务场景与相应数据流,确定需评估的个人信息出境场景;2)通过问卷、访谈收集所需信息,包括个人信息出境情况、境内外个人信息安全保护情况等;3)根据法律要求进行风险评估,并采取整改措施;4)结合整改情况,出具 DPIA 报告。视数据出境场景的复杂程度以及企业的内部流转效率,耗时整体在 1-3 个月不等。
2. 完善合同文本
标准合同中仍有部分条款、附录需由缔约双方自行补充,例如个人信息出境活动细节、境外接收方拟采取的技术和管理措施、联系方式、通讯地址等。为避免多轮沟通、提升项目效率,企业可在 DPIA 过程中提前收集相关信息,从而可尽快形成相对完善的合同文本,供境外接收方审阅讨论。
3. 协商签约
在标准合同范本条款基础上,企业与境外接收方可能需要就部分条款的理解、争议解决方式的确
定、其他补充条款的适用等事项进行沟通协商,并在双方达成一致的基础上进行标准合同的签署工作。由于《办法》第 6 条明确规定标准合同应严格按照范本条款订立,且双方约定的其他条款内容不得与标准合同相冲突,企业如何与境外接收方进行沟通协商将是标准合同签署过程中的难点工作。
4. 监管备案
标准合同签署并生效后,企业在启动个人信息出境工作的同时,应注意在标准合同生效之日起 10个工作日内向所在地省级网信部门备案。备案所需材料包括标准合同与DPIA 报告。《办法》并未规定监管部门将对备案文件进行实质审查,但考虑到监管部门对于个人信息出境活动持续开展的监督管理,企业需确保提交的 DPIA 报告与标准合同的准确性、真实性与一致性。
5. 事后跟x
根据《办法》规定,当个人信息出境情况、境外接收方所在国家/地区的个人信息保护政策和法规发生变化等情形发生时,个人信息处理者需补充或重新订立标准合同,并重新开展 DPIA、备案等其他相关工作。同时,《办法》与标准合同范本条款亦对网信部门后续监督、个人信息主体行使权利等事项进行了规定。因此,企业应持续跟进已签署标准合同所涉的个人信息出境活动,预防安全事件发生,及时响应员工、消费者等个人信息主体的权利请求,并在规定的情况下补充/重新签署标准合同。
三、标准合同签署的重点提示
结合我们的过往经验及对标准合同范本条款的理解,企业在今后开展标准合同签署工作时,容易发现问题或处理较为棘手的环节主要有两个,一是 DPIA 的开展,二是缔约双方对合同文本的协商。
1. DPIA 的准备
根据《办法》要求,DPIA 是签署标准合同的前置步骤,也是《个人信息保护法》此前正式引入的要求。然而由于较长一段时间内并未有明确的
DPIA 强制性标准和规范,根据我们了解的情况,有较多企业在开展 DPIA 时多参照 2020 年 11 月发布的《信息安全技术 个人信息安全影响评估指南》
(GB/T 39335-2020),或参照其境外总部或关联方的类似数据保护/ 隐私影响评估制度进行。鉴于 DPIA 的工作具有共通性,如企业已有开展经验,也可参考此前的评估流程,核对是否覆盖《办法》所规定的评估重点事项。
从我们过往协助企业开展 DPIA 或配合域外 DPIA 的经验来看,企业在开展 DPIA 时通常需重点关注两方面问题:一方面,需结合业务项目的商业安排或企业内部管理的需要(如个人信息预期的出境时间),预留 DPIA 开展时间;另一方面,需确定企业内部 DPIA 牵头及参与的部门及人员,并明确各自在 DPIA 中的角色与任务,避免评估责任和要求不清晰,出现评估流于形式的情况。如有必要,也可选聘外部第三方(如律所、技术咨询机构)协助 DPIA 开展,在这一过程中,需注意提前申请或划分部门预算。
此外,鉴于评估过程中涉及对境外接收方个人信息保护能力,及其所在国家/地区个人信息保护法律法规的整体评估,相关工作很大程度上依赖于境外接收方以及境外律师的合作与配合,企业需与境外接收方保持良好的沟通协作,并在必要时获取当地执业律师的法律意见。
2. 与境外接收方协商存在的难点
与欧盟标准合同条款(“欧盟 SCC”)存在一定相似性,网信办发布的标准合同条款包括缔约双方不应变动的正文以及有待填写的附录说明。其中企业仅能对正文部分条款和附录进行补充,也可基于
双方协商情况,在附录中增加补充约定。这一定程度上也体现了标准合同机制的设计逻辑,通过商事合同约定权利义务来督促数据处理者采取技术和管理措施来达到符合法规要求的数据保护水准,并通过备案等行政方式监督数据处理活动参与方的行为。
在我们过往协助部分企业签署欧盟 SCC 的过程中,由于缔约双方所在法域的数据保护立法框架或双方理解存在差异,或是双方对数据控制及自身权益的争取,缔约双方难免对范本合同条款的理解及附录的起草(如信息披露的详尽程度)等产生分歧,也有可能出现一方基于谈判地位的优势提出修改条款要求的情况(尤其是义务约定、违约责任、管辖法律等条款)。
标准合同中第三条的“境外接收方的义务”部分也涉及非常具体的义务要求,包括对境外接收方提出了个人信息保存期限及过期删除要求,对其开展个人信息处理活动要求进行客观记录且需要记录保存至少 3 年,以及要求境外接收方同意接受监管机构(网信办)的监督管理。这些不能修改的条款本身也将对合同协商和签署工作带来很大的难度,在处理类似分歧或顾虑时,企业可以考虑的沟通要点包括但不限于:1)对中国法下个人信息出境机制、要求和法律后果做充分说明;2)在个人信息出境场景所依托的业务协议中,对双方存在顾虑或分歧的数据处理细节等进行合理约定;3)对于必要的补充约定,加入标准合同的附录;4)如对于使用标准合同确有分歧无法解决的,结合业务项目,再次确认个人信息出境的必要性以及替代方案(如能否通过匿名化等措施避免个人信息出境)。
x x 合伙人 电话:00 00 0000 0000 邮箱地址:xxxx@xxxxx.xxx
xxx x x 电话:00 00 0000 0000 邮箱地址:xxxxxxxxxx@xxxxx.xxx
xxxx 律 师 电话:00 00 0000 0000 邮箱地址:xxxxx@xxxxx.xxx
本文仅为分享信息之目的提供。本文的任何内容均不构成君合律师事务所的任何法律意见或建议。如您想获得更多讯息,敬请关注君合官方网站“xxx.xxxxx.xxx” 或君合微信公众号“君合法律评论”/微信号“JUNHE_LegalUpdates”。