Details

《个人信息出境标准合同规定(征求意见稿)》重点解读(附标准合同模板全文)


一、出台背景 ///


数字经济天然具有全球化特征,数字时代的经济增长和贸易繁荣离不开数据跨境安全有序流动。但数据跨境流动关乎国家利益、产业利益、人格权益三者之间的动态平衡,导致跨境规则体系的构建涉及许多复杂且有争议的议题,包括数据主权、隐私与安全、法律适用及管辖权、竞争政策等。这种复杂性导致了上位法虽早已做出数据跨境的原则性规定,但更具实操性的下位法迟迟难以出台的窘境。


《个人信息保护法》(“个保法”)对个人信息跨境提供规定了严格的规定:处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:安全评估、个人信息保护认证、以标准合同为基础订立合同、法律法规或者国家网信部门规定的其他条件。并且在满足这四种条件之一之外,处理者还应当采取必要措施,保障境外接收方处理个人信息的活动达到中国法律规定的个人信息保护标准,且在满足各种告知义务的前提下获得个人的单独同意。个保法还对关键信息基础设施运营者和处理个人信息达到规定数量的处理者明确了本地化的要求,原则上不得出境。由此可见,对于数据出境场景,个保法根据重要程度规定了三种出境管制:


1.对于国家或社会有重大安全影响的个人信息,原则上应本地存储、本地处理、不得出境;

2.对于较为大规模、重要的个人信息出境的,应该走“通过政府组织的安全评估”和“获得由中央网信办认可的机构颁发的个人信息保护认证”这两条路径;

3.对于相对而言“小规模、不重要”个人信息出境,才可以用标准合同路径。


2022年6月30日,国家互联网信息办公室刚刚发布的《国家互联网信息办公室关于<个人信息出境标准合同规定(征求意见稿)>公开征求意见的通知》所针对的就是标准合同路径。由此可见国家从相对影响较低的“小规模、不重要”个人信息出境入手,逐步细化跨境数据提供的规则。该征求意见稿对个保法规定的标准合同、数据出境评估办法中提到的数据出境合同的内容、使用场景、信息出境的个人信息保护影响评估的重点内容等进行了进一步细化,对数据出境的实操制定了执行的细则。


个保法、《数据出境安全评估办法(征求意见稿)》(“数据出境评估办法”)对数据出境均采取“数据处理者向境外提供数据”的类似表述,没有对数据出境情形进一步细化,根据数据的传输方式以及我们的客户发生数据跨境的具体情形,我们将数据出境分三种情形:


1.数据跨境传输:数据从一个法域转移至另一个法域,如某一法域的企业向另一法域的企业购买数据;

2.境外访问:数据存放在某一法域的服务器未转移,但是境外的人员可以访问,如跨国集团内部不同国家员工的信息访问;

3.跨境采集:采集某一法域的个人信息到另一法域进行存储或处理,如车企在某一国家通过APP采集的车辆数据直接存放在另一国家的服务器。


我们理解,我国的个人信息处理者发生上述任何一种情形的,都属于向境外提供数据,应该遵守个保法及相关法律法规的规定。


二、标准合同规定重点解读 ///


(一)标准合同的适用情形


1.可以适用标准合同的情况:

(1)非关键信息基础设施运营者;

(2)处理个人信息不满100万人的;

(3)自上年1月1日起累计向境外提供未达到10万人个人信息的;

(4)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。


满足所有这四项条件的方可适用标准合同。


2.不得适用标准合同的情形:

(1)关键信息基础设施运营者;

(2)处理个人信息满100万人的;

(3)自上年1月1日起累计向境外提供达到10万人个人信息的;

(4)自上年1月1日起累计向境外提供达到1万人敏感个人信息的。


满足所有这四项条件之一,就不得适用标准合同,只能或者“通过政府组织的安全评估”,或者“获得由中央网信办认可的机构颁发的个人信息保护认证”,否则不得出境。在后两种情况下,当企业通过所在地省级网信部门向国家网信部门申报数据出境安全评估或者做个人信息保护认证时,提交的评估材料中包括数据处理者与境外接收方签订的合同或其他文件。我们理解,虽然标准合同不作为该情形下强制适用的版本,考虑到国家对前述情况的数据出境的监管标准更加严格,在相关主管机关发布对应的标准合同文本前,可以参考信息出境标准合同的内容准备。


(二)数据出境前应开展个人信息保护影响评估


标准合同规定要求数据出境前应开展个人信息保护影响评估,重点评估如下事项:

1.个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;

2.出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险;

3.境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全;

4.个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;

5.境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响;

6.其他可能影响个人信息出境安全的事项。


标准合同规定对个保法的个人信息保护影响评估内容进行了细化,与数据出境评估办法相比,增加了“境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响”一项。从实际操作角度看,该项可能需要评估接收方所在国家或者地区的相关政策法规是否与标准合同的规定存在冲突,是否存在与我国的个人信息保护同等或者更严标准的政策法规以确保标准合同的有效执行;其次,尚不确定这项评估的证明方式,如是否需要接收方国家的律师或者专业的咨询机构出具专业的评估意见。


(三)标准合同的主要内容


信息出境保准合同规定将标准合同模板作为附件,个人信息处理者可参考附件标准合同制定适用于企业的信息出境合同,为个人信息处理者与境外接收方签订的合同内容提供了指引,标准合同模板请见本文章附件。


(四)标准合同应提交备案


标准合同规定要求标准合同生效之日起10个工作日内向所在地省级网信部门备案,备案应提供标准合同和个人信息保护影响评估报告。标准合同规定还特别提到,标准合同生效后个人信息处理者即可开展个人信息出境活动,即备案不作为合同生效条件,也不作为信息出境的前置条件。


(五)重新备案


信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息用途、方式发生变化或者延长信息境外存储期限的、境外接收方所在国家或地区的个人信息保护政策法规发生变化等可能影响个人信息权益的、可能影响个人信息权益的其他情况,个人信息处理者应当重新签订标准合同并备案。


标准合同规定中对重新签订合同的情形涉及的事项较多,部分事项界定模糊(如境外接收方政策变化),从实操角度看,可能会频繁涉及合同的重新签订和备案。另外,标准合同规定并未规定重新签订合同和重新备案的期限要求,也未规定合同内容发生变化至重新签订合同并备案完成期间内,个人信息出境活动是否需要停止或是否会影响重新签订合同和备案条款的执行。此外,为提高合同变更备案的效率,建议采用补充合同的形式仅对原合同中发生变化的内容进行修订后进行备案。


(六)处罚


1.处罚机构:省级以上网信部门;

2.处罚情形和处罚措施(见下表):


处罚措施

处罚情形

立即终止信息出境活动

签订标准合同的出境活动实际处理中不符合出境安全管理要求的

责令限期改正;


拒不改正或者损害个人信息权益的,责令停止信息出境活动,依法予以处罚;


构成犯罪的追究刑事责任


未履行备案程序或者提交虚假材料进行备案的

未履行标准合同约定的责任义务,侵害个人信息权益造成损害的

出现影响个人信息权益的其他情形


根据上述规定,数据出境违反管理要求的或者拒不改正损害个人权益的,处罚措施包括被责令终止出境活动,其他情形的处罚措施界定尚不够具体和明确,可考虑将个保法的处罚措施适用到标准合同规定,增加处罚措施的可执行性。


三、结语 ///


标准合同规定对个保法中的信息出境标准合同内容、个人信息保护影响评估内容、标准合同备案的具体措施进行了细化,为个人信息出境的执行提供了可操作细则,但是对于重新签订合同和备案、法律责任等内容还需要进一步完善和细化,希望能够增加尽快完善相关内容,增强标准合同规定的执行性,完善我国个人信息出境的安全监管制度。


附件:个人信息出境标准合同模板(左右滑动查看完整版)