2023年2月24日����,國家互聯網信息辦公室發布了《個人信息出境標準合同辦法》(“《辦法》”)及相應的個人信息出境標準合同文本(“《標準合同》”)���,將於2023年6月1日起正式施行����,並且給已經開展個人信息出境活動的企業提供了6個月的整改期。自此�,《個人信息保護法》第三十八條規定的個人信息出境的三大合規路徑:一是經過網信部門的安全評估��;二是經專業機構進行個人信息保護認證�;三是按照網信部門製定的標準合同與境外接收方訂立合同(即訂立《標準合同》)正式全麵落地。
天達共和數據合規團隊曾在2022年7月發表的《觀點|條條大路通羅馬���?——數據出境新規解析及實務建議》當中以問答形式圍繞上述三條合規路徑做了綜合的解析��;也結合當時已經公布的《個人信息出境標準合同規定(征求意見稿)》(下稱“《征求意見稿》”)���,介紹了標準合同這一合規路徑。本文將根據本次正式落地的《辦法》及《標準合同》�,同樣采用問答的形式����,對其中一些重點內容進行評述���,並給出我們的實務建議�����,以期協助企業更好地適用《標準合同》並順利完成個人信息出境的合規工作。
Q1. 哪些情形可以適用《標準合同》作為個人信息出境的路徑����?
根據《辦法》第四條����,個人信息處理者須同時滿足以下條件���,才能通過訂立《標準合同》的方式向境外提供個人信息:
(一)非關鍵信息基礎設施運營者�;
(二)處理個人信息不滿100萬人的�;
(三)自上年1月1日起累計向境外提供個人信息不滿10萬人的��;
(四)自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的。
以上條件實際上排除了根據《數據出境安全評估辦法》需進行安全評估的情形�,同時從主體類型(是否為關鍵信息基礎設施運營者)及處理個人信息的數量(以人數為統計單位)liangfangmiankaocha����,zhiyoutongshiweifeiguanjianxinxijichusheshiyunyingzheqiechuligerenxinxizhutirenshuhuoshejimingangerenxinxirenshushuliangjiaoshaodegerenxinxichulizhe���,cainengshiyong《標準合同》進行個人信息出境。因此�����,實踐中���,標準合同路徑一般適用於規模小���、處理個人信息數量少����、對個人信息主體權益及國家和社會公共安全造成的風險較小的企業�����;也可以作為此類企業進行個人信息出境活動首要考慮的合規路徑。
Q2. 與此前的《征求意見稿》相比�����,正式版的《辦法》在第四條中新增了“數量拆分”一說��,如何理解�?
正式版《辦法》在第四條規定“個人信息處理者不得采用數量拆分等手段���,將依法應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供”。對於何為“數量拆分”以及具體如何認定屬於“數量拆分”的規避手段��,《辦法》及國家互聯網信息辦公室就此答記者問中均未提及��,還尚待監管部門進一步釋明。
實踐中����,數據出境場景及個人信息出境數量的盤點和認定往往較為複雜。我們認為“數量拆分”可ke能neng包bao含han的de一yi種zhong方fang式shi是shi���,個ge人ren信xin息xi處chu理li者zhe將jiang原yuan數shu據ju拆chai分fen後hou����,安an排pai不bu同tong主zhu體ti分fen批pi次ci傳chuan輸shu出chu境jing�,分fen散san個ge人ren信xin息xi處chu理li者zhe的de規gui模mo和he數shu據ju出chu境jing的de整zheng體ti數shu量liang����,從cong而er達da到dao規gui避bi落luo入ru《數據出境安全評估辦法》適用範圍的目的。與《征求意見稿》相比�����,正式版《辦法》單獨列出該禁止性要求�,可以合理推斷�����,監管部門後續在《標準合同》的備案過程中���,可能會進一步關注各企業主體實際經營情況及關聯控製關係�、實際數據流等情況。
此外�,關於數量的計算����,需提示的是���,《辦法》第四條中規定的100萬�、10萬����、1萬指的是人數��,而非個人信息的數量。經過對《征求意見稿》及正式版《辦法》的對比觀察�����,《辦法》刪除了《征求意見稿》中對個人信息的“數量”的表述����,或者將其修改為個人信息的“規模”。此項修改解決了實踐中個人信息在《標準合同》有效期內持續出境的情形下無法準確填寫傳輸數量的困境。因此��,企業在使用《標準合同》時��,應當根據業務及未來發展的實際情況���,綜合評估個人信息出境數量的整體規模及走向����;如在簽署《標準合同》時�����,該數量還未達到《辦法》第四條中規定的數量級���,但在《標準合同》有效期內��,該數量很可能經過累積將達到該數量�,將可能觸發數據出境安全評估。
Q3. 使用《標準合同》進行個人信息出境應當遵照什麼流程�?
經評估判斷如企業同時符合《標準合同》第四條規定的情形����,則可以選擇適用《標準合同》的合規路徑。在《辦法》中����,同時也規定了適用該路徑的流程和要求���,我們總結為以下五步:
(一)出境前開展個人信息影響評估��;
(二)協商完善條款內容��、簽訂《標準合同》����;
(三)合同生效之日起10個工作日以內向省級網信部門備案��,並提交《標準合同》簽訂版及個人信息保護影響評估報告�����;
(四)按照《標準合同》的規定���,及時履行個人信息處理者的合同義務�;
(五)持續動態監測����,情況變化時應重新開展評估��,補充或重新訂立標準合同並重新備案。
Q4. 個人信息保護影響評估應當評估哪些內容��?
個人信息保護影響評估的觸發情形及評估內容分別在《個人信息保護法》第五十五條及第五十六條中有規定。其中���,“向境外提供個人信息”即為觸發個人信息保護影響評估的情形之一。《辦法》中zhong對dui此ci進jin行xing了le重zhong申shen並bing進jin一yi步bu細xi化hua了le個ge人ren信xin息xi保bao護hu影ying響xiang評ping估gu的de重zhong點dian評ping估gu內nei容rong����,為wei了le最zui大da程cheng度du地di預yu防fang和he減jian少shao個ge人ren信xin息xi安an全quan風feng險xian���,分fen別bie從cong出chu境jing目mu的de����、出境個人信息的具體情況��、境外接收方的具體情況���、出境個人信息可能發生安全事件的情況�、境外接收方所在國家或者地區的個人信息保護政策法規等多個維度明確了評估重點���,具體如下:
(一)個人信息處理者和境外接收方處理個人信息的目的��、範圍����、方式等的合法性��、正當性����、必要性���;
(二)出境個人信息的規模���、範圍����、種類�����、敏感程度����,個人信息出境可能對個人信息權益帶來的風險�;
(三)境外接收方承諾承擔的義務�,以及履行義務的管理和技術措施��、能力等能否保障出境個人信息的安全���;
(四)個人信息出境後遭到篡改�、破壞����、泄露��、丟失��、非法利用等的風險�,個人信息權益維護的渠道是否通暢等����;
(五)境外接收方所在國家或者地區的個人信息保護政策和法規對標準合同履行的影響�����;
(六)其他可能影響個人信息出境安全的事項。
Q5. 使用《標準合同》時�����,對其中的部分條款可以修改嗎����?
除非國家網信部門對該《標準合同》文本進行修訂�、調整��,使用《標準合同》時����,一般不允許更改或刪除���,否則將會被質疑無法實現其所要求的數據出境保護水平和合規標準。《辦法》第六條第二款同時規定�,個人信息處理者可以與境外接收方約定其他條款���,但不得與標準合同相衝突。這意味著��,合同雙方在不降低《標準合同》原有條款的核心保護水平的情況下����,允許在談判過程中有一定自由磋商和調整的空間�����,可以在《標準合同》的附件一及附件二中進行補充。
在實踐中�,尤其是個人信息處理者與境外接收方在合同談判地位或者實力懸殊過大時�,按照《標準合同》簽署數據跨境協議�,可以在一定程度上平衡雙方的談判地位。
Q6. 境外個人信息處理者在中國境內設立的專門機構或者指定代表�,需要與境外個人信息處理者簽署《標準合同》嗎�?
根據《標準合同》第一條定義中�,關於“個人信息處理者”的定義為“在個人信息處理活動中自主決定處理目的��、處理方式���,向中華人民共和國境外提供個人信息的組織��、個人”。由此看出��,能夠作為個人信息處理者主體簽署《標準合同》的�����,應當是在個人信息處理活動中能夠決定處理目的和處理方式的主體。
根據《個人信息保護法》第di五wu十shi三san條tiao��,境jing外wai的de個ge人ren信xin息xi處chu理li者zhe在zai中zhong華hua人ren民min共gong和he國guo境jing內nei設she立li的de專zhuan門men機ji構gou或huo者zhe指zhi定ding的de代dai表biao���,主zhu要yao是shi作zuo為wei境jing外wai個ge人ren信xin息xi處chu理li者zhe的de代dai表biao或huo聯lian係xi人ren在zai境jing內nei負fu責ze處chu理li個ge人ren信xin息xi保bao護hu相xiang關guan事shi務wu。我wo們men認ren為wei��,其qi並bing不bu屬shu於yu在zai個ge人ren信xin息xi處chu理li活huo動dong中zhong能neng夠gou自zi主zhu決jue定ding處chu理li目mu的de和he處chu理li方fang式shi的de主zhu體ti。
因yin此ci�,境jing外wai的de個ge人ren信xin息xi處chu理li者zhe在zai境jing內nei設she立li的de專zhuan門men機ji構gou或huo者zhe指zhi定ding的de代dai表biao向xiang其qi境jing外wai個ge人ren信xin息xi處chu理li者zhe傳chuan輸shu境jing內nei個ge人ren信xin息xi����,屬shu於yu境jing外wai主zhu體ti直zhi接jie收shou集ji境jing內nei自zi然ran人ren個ge人ren信xin息xi����,雙shuang方fang不bu能neng通tong過guo簽qian署shu《標準合同》完成數據跨境合規。此種情形下��,可依據《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規範V2.0》等相關法律法規��,由境內專門機構或指定代表申請個人信息跨境處理活動安全認證。更多相關內容可以參考《觀點|條條大路通羅馬��?——數據出境新規解析及實務建議》Q9 – Q12部分的討論。
Q7. 如果與位於歐盟的境外接收方已簽訂了SCCs�����,還需要簽署《標準合同》嗎����?
如果中國境內的企業與位於歐盟的境外接收方已經簽署了SCCs�����,意yi味wei著zhe歐ou盟meng境jing內nei數shu據ju有you流liu向xiang中zhong國guo境jing內nei�,則ze中zhong國guo境jing內nei企qi業ye再zai將jiang中zhong國guo數shu據ju提ti供gong給gei歐ou盟meng接jie收shou方fang時shi屬shu於yu數shu據ju雙shuang向xiang傳chuan輸shu。在zai此ci種zhong情qing況kuang下xia�����,即ji便bian已yi經jing簽qian署shu了leSCCs��,也應當另行簽署《標準合同》����,理由如下:SCCs作為GDPR下一項數據跨境轉移工具��,其目的是為了確保能夠通過SCCs的簽署����,使得從歐盟經濟區內流出的數據即便流向了歐盟經濟區外��,也能獲得與GDPR規定的同等數據保護水平��;同樣的����,我國《標準合同》是在《個人信息保護法》等deng法fa律lv法fa規gui的de指zhi導dao下xia製zhi定ding的de文wen本ben�����,其qi目mu的de也ye是shi為wei了le可ke以yi確que保bao中zhong國guo流liu出chu的de數shu據ju在zai歐ou盟meng國guo家jia內nei也ye能neng得de到dao充chong分fen保bao護hu。因yin此ci��,數shu據ju雙shuang向xiang傳chuan輸shu情qing形xing下xia企qi業ye將jiang同tong時shi受shouGDPR���、中國《個人信息保護法》及《辦法》的約束�����,同時簽署SCCs和《標準合同》方能確保滿足合規要求。
Q8. 企業何種情況下需要簽署補充條款(即《標準合同》附錄二)��?
根據前述Q5�,在(zai)不(bu)與(yu)標(biao)準(zhun)合(he)同(tong)相(xiang)衝(chong)突(tu)的(de)情(qing)況(kuang)下(xia)�,個(ge)人(ren)信(xin)息(xi)處(chu)理(li)者(zhe)與(yu)境(jing)外(wai)接(jie)收(shou)方(fang)還(hai)享(xiang)有(you)一(yi)定(ding)的(de)談(tan)判(pan)空(kong)間(jian)�����,約(yue)定(ding)其(qi)他(ta)條(tiao)款(kuan)進(jin)行(xing)補(bu)充(chong)。如(ru)針(zhen)對(dui)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)者(zhe)和(he)境(jing)外(wai)接(jie)收(shou)方(fang)的(de)各(ge)項(xiang)義(yi)務(wu)約(yue)定(ding)更(geng)細(xi)致(zhi)的(de)實(shi)施(shi)要(yao)求(qiu)��、要求境外接收方提供有關境外接收方所在國家或地區個人信息保護政策和法規的文本材料清單及影響評估內容�、個人信息主體實現權利的具體路徑及雙方有關此項責任的協調與劃分��、有關違約責任詳細的內容及其他必要條款等。
由於《標準合同》的簽署及備案是一項複雜的工作�,綜合考慮合規成本及風險����,我們建議在首次簽訂《標準合同》前��,應盡早和外部顧問充分溝通�,盡量全麵考慮各項條件並細化合同約定�,以避免在合同履行過程中因重新談判�����、補充簽署及重新備案等複雜過程而給企業的經營活動造成影響。
Q9. 企業何種情況下需要重新訂立《標準合同》���?
根據《辦法》dibatiao���,zaibiaozhunhetongyouxiaoqineichuxianxialieqingxingzhiyide���,gerenxinxichulizheyingdangzhongxinkaizhangerenxinxibaohuyingxiangpinggu����,buchonghuozhezhongxindinglibiaozhunhetong�,binglvxingxiangyingdebeianshouxu:
(一)向境外提供個人信息的目的�、範圍��、種類����、敏感程度��、方式�����、保存地點或者境外接收方處理個人信息的用途��、方式發生變化���,或者延長個人信息境外保存期限的��;
(二)境外接收方所在國家或者地區的個人信息保護政策和法規發生變化等可能影響個人信息權益的�����;
(三)可能影響個人信息權益的其他情形。
如果在《標準合同》履行過程中發生以上情形時��,會涉及重新評估��、重訂合同��、再備案等全套流程。承接前述Q8的解析����,企業在合同期限內需持續對境外傳輸數據的情形下���,還應針對個人信息的規模�����、範圍���、種類��、敏感程度����、處理方式���、保存地點或期限��、境外法規動態等問題進行重點關注並進行全麵的評估。
Q10. 個人信息處理者與境外接收方在《標準合同》中的各項義務有何關聯����?
《標準合同》分fen別bie規gui定ding了le個ge人ren信xin息xi處chu理li者zhe及ji境jing外wai接jie收shou方fang應ying當dang履lv行xing的de各ge項xiang義yi務wu。經jing過guo比bi較jiao可ke以yi發fa現xian��,雙shuang方fang各ge自zi的de合he同tong義yi務wu在zai多duo個ge方fang麵mian有you緊jin密mi的de聯lian係xi�����,請qing看kan下xia表biao:
Q11. 評估境外接受方所在國家或地區個人信息保護政策和法規對合同履行的影響����,可以采取哪些措施����?
由於語言��、法域差異等客觀原因���,評估境外接收方所在國家或地區個人信息保護政策和法規對合同履行的影響並非易事。為了實現該項評估����,《標準合同》第(di)四(si)條(tiao)中(zhong)明(ming)確(que)了(le)各(ge)項(xiang)評(ping)估(gu)因(yin)素(su)��,同(tong)時(shi)分(fen)攤(tan)了(le)雙(shuang)方(fang)就(jiu)此(ci)應(ying)承(cheng)擔(dan)的(de)義(yi)務(wu)內(nei)容(rong)��,具(ju)體(ti)來(lai)說(shuo)����,針(zhen)對(dui)各(ge)項(xiang)評(ping)估(gu)因(yin)素(su)�,落(luo)實(shi)了(le)境(jing)外(wai)接(jie)收(shou)方(fang)提(ti)供(gong)相(xiang)關(guan)資(zi)料(liao)及(ji)信(xin)息(xi)�����、通知告知義務。除了利用《標準合同》條款賦予境外接收方前述義務外���,為了確保達到“已盡到合理注意義務”�,雙方還應當保留好相關記錄����,以備舉證和應對監管。
實shi務wu中zhong�,除chu了le依yi賴lai境jing外wai接jie收shou方fang提ti供gong資zi料liao和he信xin息xi外wai��,如ru企qi業ye實shi際ji業ye務wu涉she及ji數shu據ju出chu境jing���,為wei了le確que保bao合he規gui工gong作zuo的de嚴yan謹jin性xing�����,一yi方fang麵mian內nei部bu法fa務wu人ren員yuan應ying保bao持chi對dui業ye務wu關guan聯lian國guo家jia或huo地di區qu法fa律lv法fa規gui的de跟gen蹤zong觀guan察cha�����,同tong時shi可ke借jie助zhu外wai部bu律lv師shi的de資zi源yuan和he專zhuan業ye意yi見jian來lai判pan斷duan。
Q12. 個人信息主體作為《標準合同》第三方受益人享有的權利與個人信息主體依據《個人信息保護法》享有的個人信息主體權利有何區別����?
《個人信息保護法》在第四章中集中規定了個人在個人信息處理活動中的權利��,經比對����,除個人信息可攜帶權及死者個人信息保護外�����,相關內容已在《標準合同》第五條中得以體現。除了《個人信息保護法》規定的個人信息主體的權利外���,《標準合同》第五條中還將個人信息主體作為第三方受益人���,可以依據合同條款(如雙方跨境活動中應履行的義務����、境外法規影響評估����、救濟���、違約責任)向個人信息處理者或境外接收方主張個人信息主體相關權利。
可以看出�����,《標準合同》中賦予個人信息主體以第三方受益人的身份所享有的權利�,是以《個人信息保護法》zhongguidingdegerenxinxizhutiquanliweijichu���,weiraogaijichu�����,zaigerenxinxikuajingdejutichangjingzhong�����,weishixianjichuquanlihegerenxinxikuajinganquanzengjialexiangguandequanlineirong。
Q13. 根據《標準合同》���,個人信息主體實現權利救濟的途徑有哪些���?
簡單來說���,個人信息主體可以選擇向個人信息處理者或境外接收方或同時向兩方主張其權利����、進行詢問或投訴。為實現個人信息主體直接向境外接收方主張的通道�����,《標準合同》約yue定ding了le境jing外wai接jie收shou方fang應ying確que定ding一yi個ge聯lian係xi人ren處chu理li個ge人ren信xin息xi主zhu體ti的de詢xun問wen或huo投tou訴su�,並bing公gong布bu聯lian係xi方fang式shi。個ge人ren信xin息xi主zhu體ti還hai可ke向xiang監jian管guan機ji構gou提ti出chu投tou訴su和he尋xun求qiu司si法fa救jiu濟ji。這zhe係xi列lie安an排pai皆jie出chu自zi最zui大da程cheng度du保bao護hu個ge人ren信xin息xi主zhu體ti權quan益yi的de目mu的de�����,也ye是shi為wei了le實shi現xian我wo國guo的de監jian管guan部bu門men對dui跨kua境jing數shu據ju的de監jian管guan權quan。
Q14. 境外接收方違約的情況下���,是否還可以單方解除《標準合同》����?
根據《標準合同》第七條第(一)項和第(二)項第1目mu的de明ming確que規gui定ding�����,境jing外wai接jie收shou方fang違wei反fan本ben合he同tong約yue定ding的de義yi務wu��,個ge人ren信xin息xi處chu理li者zhe可ke以yi暫zan停ting向xiang境jing外wai接jie收shou方fang提ti供gong個ge人ren信xin息xi����,並bing且qie在zai暫zan停ting提ti供gong個ge人ren信xin息xi的de時shi間jian超chao過guo1個月的情況下�,個人信息處理者有權解除合同。
第(二)項最後一句“本項第1目����、第2目����、第4目的情況下���,境外接收方可以解除本合同”�,此處特意將第3目(即“境外接收方嚴重或者持續違反本合同約定的義務”)排除在外。也就是說����,在第3目所述境外接收方違約的情況下����,境外接收方也就無權單方麵解除合同。
但是�,在第(二)項第1目的情況下(暫停提供個人信息超過1個月)��,yijushangshuguidingjingwaijieshoufangshiyouquanjiechuhetongde。zhelisihuchuxianleluojimaodun�,yegeihetongjieshizengjialebuquedingxing���,haidaiwangxinbumenzuojinyibujieshihuoxiuding。
Q15. 《標準合同》下的境外處理者向中國境外第三方轉移個人信息須滿足什麼條件����?
《標準合同》對於境外處理者可以向中國境外第三方轉移個人信息的條件具體規定在第三條“境外接收方的義務”中�,具體包括以下條件:
(一) 確有業務需要����;
(二) 已向個人信息主體充分告知�����;
(三) 取得個人信息主體或未成年人監護人的單獨同意����;
(四) 與(yu)第(di)三(san)方(fang)達(da)成(cheng)書(shu)麵(mian)協(xie)議(yi)����,確(que)保(bao)第(di)三(san)方(fang)的(de)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)活(huo)動(dong)達(da)到(dao)中(zhong)華(hua)人(ren)民(min)共(gong)和(he)國(guo)相(xiang)關(guan)法(fa)律(lv)法(fa)規(gui)規(gui)定(ding)的(de)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)標(biao)準(zhun)�����,並(bing)對(dui)個(ge)人(ren)信(xin)息(xi)主(zhu)體(ti)權(quan)益(yi)可(ke)能(neng)造(zao)成(cheng)的(de)損(sun)害(hai)承(cheng)擔(dan)法(fa)律(lv)責(ze)任(ren)��;
(五) 向個人信息主體提供該書麵協議的副本。
《標準合同》附錄一第(六)條為個人信息處理者和境外接收方預留了明確境外第三方的空間。在簽署《標準合同》前(qian)���,締(di)約(yue)雙(shuang)方(fang)便(bian)應(ying)當(dang)對(dui)出(chu)境(jing)再(zai)轉(zhuan)移(yi)情(qing)況(kuang)進(jin)行(xing)事(shi)先(xian)盤(pan)點(dian)。如(ru)能(neng)明(ming)確(que)存(cun)在(zai)向(xiang)境(jing)外(wai)第(di)三(san)方(fang)再(zai)轉(zhuan)移(yi)的(de)情(qing)形(xing)����,則(ze)應(ying)當(dang)在(zai)附(fu)錄(lu)一(yi)中(zhong)補(bu)充(chong)境(jing)外(wai)第(di)三(san)方(fang)的(de)信(xin)息(xi)。
Q16. 《標準合同》的適用法律和管轄規則有什麼需要關注的地方����?
《標準合同》的成立���、效力��、履行�、解釋�����、因其引起的合同雙方的爭議�,均適用中國法�����,並且《標準合同》提供了訴訟或仲裁的爭議解決方式。因雙向傳輸數據而同時簽署SCCs和《標準合同》的企業(如以上Q7所述)�,在日常的合同管理工作中���,還需要注意這兩類合同所適用的法律和爭議解決管轄地的不同。
