背景
2022年6月30日,国家互联网信息办公室(“网信办”)发布《个人信息出境标准合同规定(征求意见稿)》(“《征求意见稿》”)并向社会公开征求意见,意见反馈截止时间为2022年7月29日。
捋顺数据跨境传输监管是保持对外开放和优化营商环境的重要举措,更关乎国家安全和个人信息权益保护。《个人信息保护法》第三十八条第一款规定了个人信息出境的四个条件,满足其一即可合规出境:通过国家网信部门组织的安全评估、经个人信息保护认证、签订个人信息出境标准合同(“标准合同”)或满足法律、行政法规或者国家网信部门规定的其他条件。横向比较,由于标准合同的签订由合同方主导即可,无需经过监管机关或其认定的第三方认证机构,灵活性和便利性优势不言而喻,自我国《个人信息保护法》于2021年11月1日生效后,标准合同范本一直为广大业界翘首以盼。事实上,标准合同作为个人信息跨境流动的重要手段之一,已在国际上被广泛使用。例如,标准合同条款(Standard Contractual Clause, SCC)在欧盟形成和发展已逾20年,中间经过欧盟95指令和GDPR两代个人数据保护规定,已多次做出相应的更新迭代。2021年初,东盟数字部长会议批准东盟跨境数据流动标准合同条款,为企业在东盟传输个人数据的基本注意事项提供指导。不久前,我国香港地区也发布个人资料跨境转移的建议合约条文范本,用于补充香港私隐公署于2014年发布的《跨境资料转移指引》,为资料使用者提供建议和指引。
在此国际通行做法下,网信办发布《征求意见稿》,采取“自主缔约+备案管理”的主要路径,综合借鉴欧盟等地在该项制度上积累的先进经验,同时充分考虑我国前期在多项法规制度设计上的实践经验,展现出在兼顾促进个人信息合法有序流动和保障个人信息主体权益、以及有效管理个人信息出境合规和提高监管效率方面的中国智慧。
适用出境标准合同的情形
《个人信息保护法》第三十八条列举了基于业务需要的个人信息出境三种路径,虽然个人信息处理者任选其一即可,但是在适用的优先次序上,《个人信息保护法》采取更加精细化管理的思路:对于关涉主体身份特殊(关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者)的个人信息处理者进行的个人信息跨境传输,采取国家网信部门组织安全评估的“事前监管”路径;对于其他场景的个人信息跨境传输,可以采取包括签订标准合同在内的“事前备案、事后监管”的监管路径,节约监管资源、加快个人信息流动效率。
因此,跨境传输个人信息前,对外传输个人信息的处理者应当首先判断其是否属于关键信息基础设施运营者,或者其处理个人信息是否达到国家网信部门规定数量。如果属于二者任意其一,则一方面应当默认将境内收集和产生的个人信息存储在境内;另一方面应当通过国家网信部门组织的安全评估,而不可以选择另外两种出境路径。
对于应当适用通过国家网信部门组织的安全评估的情形,网信办于2021年发布《数据出境安全评估办法(征求意见稿)》,对此做出更具体的规定。下表总结了其中与个人信息相关的部分,并与本次《征求意见稿》中的内容做出对比:
表 1 标准合同(不)适用情形 | ||
编号 | 《数据出境安全评估办法(征求意见稿)》 | 《征求意见稿》 |
1 | 关键信息基础设施的运营者收集和产生的个人信息 | 非关键信息基础设施运营者 |
2 | 处理个人信息达到一百万人的个人信息处理者向境外提供个人信息 | 处理个人信息不满100万人的 |
3 | 累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息 | 自上年1月1日起累计向境外提供未达到10万人个人信息的 |
4 | 自上年1月1日起累计向境外提供未达到1万人敏感个人信息的 | |
5 | 国家网信部门规定的其他需要申报数据出境安全评估的情形 | NA |
从上表可以看出,《数据出境安全评估办法(征求意见稿)》和《征求意见稿》在应当适用出境安全评估的情形上达成了口径上的一致,且对于《数据出境安全评估办法(征求意见稿)》中“累计”的规定,《征求意见稿》进行了明确,要求应当自上年1月1日起计算。
出境管理要求
《个人信息保护法》要求,涉及向境外提供个人信息的,个人信息处理者应当事前进行个人信息保护影响自评估,并对处理情况进行记录。个人信息保护影响评估的内容应当包括:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。
《征求意见稿》进一步细化了评估应当涵盖的重要内容,对比《数据出境安全评估办法(征求意见稿)》数据处理者应进行事前自评估的项目非常相似,在实际操作中可以考量进行统一管理。
表 2 出境风险自评估项目 | ||
编号 | 《数据出境安全评估办法 (征求意见稿)》 | 《征求意见稿》 |
1 | 数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性 | 个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性 |
2 | 出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险 | 出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险 |
3 | 数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险 | 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全 |
4 | 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全 | 个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等 |
5 | 数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等 | 境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响 |
6 | 与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务 | 其他可能影响个人信息出境安全的事项 |
备案管理是《征求意见稿》管理个人信息出境的重要手段之一。《征求意见稿》对备案的时间、管理部门和提交材料做出了规定:
图 1 出境合同备案管理
如果出现以下情形之一,个人信息处理者应当重新签订标准合同并备案:
图 2 重新签订合同和备案的情形
《征求意见稿》规定,如果省级以上网信部门发现通过签订标准合同的个人信息出境活动在实际处理过程中不再符合个人信息出境安全管理要求的,应当书面通知个人信息处理者终止个人信息出境活动。个人信息处理者应当在收到通知后立即终止个人信息出境活动。
对此,我们认为,不再符合个人信息出境安全管理要求的情况可能较为多样,但主要指的是如前述列举的、应当重新签订标准合同并备案的场景。而对于省级以上网信部门如何发现相关场景,《征求意见稿》规定,任何组织和个人发现个人信息处理者违反本规定的,有权向其进行投诉和举报。
此外,《征求意见稿》规定,对于与境外接收方签订标准合同向境外提供个人信息的情形,如个人信息处理者:(1)未履行备案程序或者提交虚假材料进行备案,(2)未履行标准合同约定的责任义务,侵害个人信息权益造成损害,或者(3)出现影响个人信息权益的其他情形,则应:
图 3 法律责任
通过采用自主缔约和备案管理相结合的方式,《征求意见稿》将保护个人信息的权利义务以标准合同的形式予以固定,同时利用备案管理和投诉举报、持续监督的方式,达到防范个人信息出境安全风险,保障个人信息依法有序自由流动的效果。
标准合同内容
《征求意见稿》第六条规定,标准合同包括以下主要内容:
图 4 标准合同主要内容
在此基础上,标准合同一共包含定义、个人信息处理者的义务、境外接收方的义务、当地个人信息保护政策法规对遵守本合同条款的影响、个人信息主体的权利、救济、合同解除、违约责任和其他九条内容,分别可以依次与上图中的主要内容对应。下文将对上述主要内容中的重点依次予以介绍和分析。
标准合同明确适用于个人信息处理者向境外接收方传输个人信息的情形。
对于“个人信息处理者”,标准合同采用与《个人信息保护法》下相同的含义。与欧盟GDPR不同的是,我国《个人信息保护法》将“个人信息处理者”定义为“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”,基本可以类比于欧盟GDPR下的控制者(Controller)而非处理者(Processor)的概念。据此,标准合同排除了受委托处理个人信息的主体向境外传输个人信息的情形,对于此类情形而言,应当由相应的个人信息处理者与境外接收方签订合同。较为典型的场景为,云服务提供商接受云租户的指示向境外主体传输个人信息,应由云租户与境外主体签订标准合同,而云服务商无需签订。
对于“境外接收方”,标准合同将其定义为“位于中华人民共和国境外并自个人信息处理者处接收个人信息的组织或个人”,并未对其是否属于《个人信息保护法》下的“个人信息处理者”做出限定。因此,可以理解为,该“境外接收方”既可能是我国《个人信息保护法》下的个人信息处理者,也有可能是受上述个人信息处理者委托处理个人信息的受委托处理者。但是,从双方责任义务的描述(见下文“3.标准合同双方责任义务”)来看,标准合同特别对境外接收方属于受个人信息处理者委托处理个人信息时应满足的义务做出单独规定,这表明,境外接受方作为个人信息处理者身份和作为受委托处理者时,应履行的合规义务具有高度一致性,以及标准合同实则更多将境外接收方理解为“个人信息处理者”。
此处与欧盟的SCC存在差异。无论是欧盟SCC 1.0版本(即,95指令下的分别于2001年、2004年和2010年制定的版本),还是其2.0版本(即,欧盟委员会根据GDPR于2021年6月通过的新版本),均根据个人数据的发送方和接收方身份的不同进行了不同版本的区分。我国香港地区今年5月份发布的个人资料跨境转移建议合约条文范本,也采取了根据角色区分不同版本的模式。对此,我们认为,标准合同尽管在形式上未基于角色做出版本区分,但实质初步达到了合同双方各自明确自身责任义务的效果。此外,实践操作中也存在同一份商业合同下,境外接收方同时具有个人信息处理者和受委托处理者双重身份的情况,此种处理方式则能够帮助避免双方签署多份合同的不便。
标准合同附录一专门对个人信息出境的基本内容进行了描述,包括个人信息主体类别、传输目的、个人信息数量、个人信息类别、敏感个人信息类别、再传输接收方、传输方式、存储时间和地点等。其中,出境个人信息和敏感个人信息类别参考推荐性国标《信息安全技术 个人信息安全规范》(GB/T 35273)和相关标准。
对于传输个人信息和敏感个人信息的数量,如前所述,由于适用通过签订标准合同的方式向境外提供个人信息的情形包括:自上年1月1日起累计向境外提供未达到10万人个人信息和未达到1万人敏感个人信息,因此,该数量应当限于此范围内。
标准合同中规定的对于个人信息处理者和境外接收方的义务分别可以总结如下表3所示。
可以看出,因为分别作为跨境传输个人信息的发送方与接收方,个人信息处理者和境外接收方均涉及对所传输个人信息的处理,因此,双方的责任和义务多数具有类似属性,包括处理个人信息应遵循的合法合规、最小必要等一般性原则,以及所负有的对个人信息主体的知情同意、安全保护义务,和对监管部门的响应、提供必要信息的配合义务。
然而,由于二者在获取个人信息的链条上分属上下游关系,分别面对的是个人信息获取源头(个人信息主体)和个人信息再传输下游(如有),因此,二者亦存在责任和义务上的特殊之处。这些特殊义务包括:
对于个人信息处理者:考虑到其与个人信息主体的连结较境外接收方更为紧密、且其更加熟悉国内有关跨境传输的相关要求,以及作为国内主体和将个人信息传出境外的“责任人”的身份,因此,其应当承担告知个人信息主体其为合同的第三方受益人、向境外接收方提供有关跨境传输的法律规定和相关要求、以及证明合同项下的义务已经全部履行的责任。
对于境外接收方:应当重点考虑,发生个人信息再转移(包括转委托处理)情况下其应满足的要求和应履行的义务。另外,如果境外接收方将个人信息用于自动化决策,则应额外满足确保算法公平、公正、无歧视,以及保障个人信息主体决定权的要求。
表 3 标准合同双方责任义务 | ||
编号 | 个人信息处理者义务 | 境外接收方义务 |
1 | ▪ 个人信息处理合法合规、出境的个人信息最小必要 | ▪ 出境个人信息范围仅限于实现处理目的所需的最小范围。存储期限最小必要;超期后对个人信息(包括所有备份)进行删除或匿名化处理,除非取得个人信息主体的单独同意 ▪ 受个人信息处理者委托处理个人信息时,在删除或匿名化后,向个人信息处理者提供相关审计报告 |
2 | ▪ 知情:向个人信息主体告知:包括境外接收方的名称或姓名、联系方式,个人信息出境的相关情况,行使个人信息主体权利的方式和程序等事项;涉及敏感个人信息的,还应当告知传输敏感个人信息的必要性及对个人的影响 ▪ 同意:获取个人信息主体单独同意,相关法律法规规定不需要取得单独同意的除外;涉及不满十四周岁未成年人个人信息的,已取得未成年人的父母或者其他监护人的同意;法律、行政法规规定应当取得书面同意的,已取得书面同意,相关法律法规规定无需取得书面同意的除外 | ▪ 按约定处理个人信息,除非取得个人信息主体的事先同意 |
3 | ▪ 尽合理努力确保境外接收方能够履行合同义务并采取相关技术和管理措施 ▪技术和管理措施包括:加密、匿名化、去标识化、访问控制等,应当综合考虑个人信息的类型、数量、范围及敏感程度、传输的数量和频率、个人信息传输及境外接收方保存的期限、个人信息处理目的等可能带来的个人信息安全风险 | ▪ 采取有效的技术和管理措施,以确保个人信息的安全,防止数据泄露;并进行定期检查,以确保相关措施持续维持适当的安全水平 ▪ 授权处理人员履行保密义务、落实访问控制策略 ▪ 如果发生数据泄露,及时采取适当补救措施,减轻不利影响;立即通知个人信息处理者,并依法报告我国监管机构;依法通知个人信息主体;记录并留存所有与数据泄露有关的事实及其影响,包括采取的所有补救措施 ▪ 受个人信息处理者委托处理个人信息时,由个人信息处理者通知个人信息主体 |
4 | ▪ 答复监管问询:默认由个人信息处理者答复来自监管机构关于境外接收方的个人信息处理活动的询问,除非双方均同意由境外接收方作出答复 | ▪ 接受监管机构的监督管理:包括但不限于答复监管机构询问,配合监管机构检查,服从监管机构采取的措施或作出的决定,并提供已采取必要行动的书面证明 |
5 | ▪ 开展个人信息保护影响评估,保存评估报告至少3年 | ▪ 对开展的个人信息处理活动进行客观记录,保存记录至少 3 年;按相关法律法规要求向监管机构提供相关记录文件 |
6 | ▪ 提供合同副本:根据个人信息主体要求,向个人信息主体提供合同副本。在为保护商业秘密或其他机密信息(例如受保护的知识产权内容等)所必需的范围内,可以在提供副本之前对合同相关内容进行适当遮蔽,但承诺应向个人信息主体提供有效摘要以助其理解合同内容 | ▪ 提供合同副本:根据个人信息主体要求向个人信息主体提供本合同的副本。在为保护商业秘密或其他机密信息(例如受保护的知识产权内容等)所必需的范围内,可以在提供副本之前对本合同相关内容进行适当遮蔽,但承诺向个人信息主体提供有效摘要以助其理解合同内容 |
7 | ▪ 依法向监管机构提供相关信息,包括所有审计结果 | ▪ 向个人信息处理者提供所有必要的信息,用以证明遵守本合同中规定的义务,允许个人信息处理者对数据文件和文档进行查阅,或对本合同涵盖的处理活动进行审计。为个人信息处理者开展审计提供便利 |
8 | ▪ 第三方受益人:告知个人信息主体默认其是第三方受益人、可依据本合同享有第三方受益人的权利,除非该个人信息主体在三十天内明确拒绝 | NA |
9 | ▪ 提供法律规定副本:经境外接收方要求,向其提供相关法律规定和技术标准的副本 | |
10 | ▪ 承担举证责任:承担证明合同义务已履行的举证责任 | |
11 | NA | ▪ 再次传输:不将个人信息提供给位于我国境外的第三方,除非同时满足:(1)确有业务需要提供个人信息,(2)已告知个人信息主体并已取得个人单独同意等相关要求;(3)与第三方达成书面协议,确保第三方对个人信息的保护水平不低于我国相关法律法规规定的个人信息保护标准,并承担因再提供而可能导致对个人信息主体造成损害的连带责任;(4)向个人信息处理者提供该协议副本 |
12 | ▪ 转委托:受个人信息处理者委托处理个人信息,转委托第三方处理时,应事先征得个人信息处理者同意;确保转委托的第三方不超出合同约定的处理目的、处理方式等处理个人信息,并对该第三方的个人信息处理活动进行监督 | |
13 | ▪ 利用个人信息进行自动化决策,保证决策的透明度和结果公平、公正,不对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,同时提供不针对其个人特征的选项,或者提供便捷的拒绝方式 | |
境外接收方所在国家和地区有关个人信息保护的政策法规,对境外接收方能否有效履行标准合同下的责任和义务十分重要,因此,标准合同要求:
个人信息处理者和境外接收方均保证,已经经过合理努力仍未获悉当地的相关政策法规会阻止境外接收方履行本合同规定的义务;
做出此项保证的前提是,在境外接收方已尽最大努力提供了必要的相关信息的情况下,双方综合考虑个人信息出境的具体情况和当地个人信息保护政策法规情况,并做出了相应评估。
对于当地个人信息保护政策法规,标准合同采取了较为宽松的口径,包括:该国家或地区现行的个人信息保护法律法规及普遍适用的标准情况;该国家或地区加入的区域或全球性的个人信息保护方面的组织,以及所做出的具有约束力的国际承诺;该国家或地区落实个人信息保护的机制,如是否具备个人信息保护的监督执法机构和相关司法机构等。
此外,双方还应当将评估的过程和结果进行记录。如果未来相关政策法规发生变化导致境外接收方后续无法履行合同的,境外接收方应在知道前述变化后立即通知个人信息处理者。
标准合同要求个人信息处理者和境外接收方双方承诺,保证个人信息主体作为第三方受益人,可以执行合同中双方关于个人信息保护义务的权利,具体包括以下方面:
图 5 个人信息主体权利
此外,作为合同第三方受益人,个人信息主体有权向个人信息处理者和境外接收方任何一方主张并要求履行标准合同项下与个人信息主体权利相关的条款。
(1) 救济
主要包括:
图 6 个人信息主体救济机制
(2) 合同解除
主要包括:
图 7 触发合同解除的情形
(3) 违约责任
违约责任可以分为合同双方对于对方的违约责任和对个人信息主体的责任:
图 8 违约责任
(4) 争议解决
标准合同适用于我国相关法律法规。因此,
个人信息主体作为第三方受益人向个人信息处理者或境外接收方提起诉讼的,应当根据我国《民事诉讼法》的规定确定管辖。
如果双方无法通过协商解决合同纠纷,则应将争议提交至中国国际经济贸易仲裁委员会、中国海事仲裁委员会、北京仲裁委员会(北京国际仲裁中心)或其他《承认及执行外国仲裁裁决公约》成员的仲裁机构任选其一进行仲裁,或者依法向中国有管辖权的人民法院提起诉讼。
合规建议
《征求意见稿》对个人信息处理者向境外接收方传输个人信息所应履行的合规义务做出了规定,并提供标准合同固定双方责任和义务。在此过程中,监管部门更多履行“事后监管”职能,而留给企业履行更多自主合规义务的空间。因此,我们建议企业:
在开展个人信息跨境传输之前:
综合评估何种跨境传输机制更适合。《个人信息保护法》提供了三种跨境传输个人信息的合法路径:安全评估、个人信息保护认证和标准合同,且目前三种机制均已有相关制度安排发布。建议企业首先判断自身是否属于应适用安全评估的类型——如果属于,则应当按照《数据出境安全评估办法(征求意见稿)》中的相关规定,开展出境的自评估和申报评估等相关流程;如果不属于,则再判断境外接收方是否和企业同属集团内部的下属子公司、关联实体——如果属于,则可以适用个人信息保护认证;如果不属于,则可选择订立标准合同并履行相应的备案管理等要求。
开展出境之前的个人信息保护影响评估。个人信息保护影响评估能够帮助企业有效识别跨境传输活动可能产生的不利影响,因此,我们建议企业对影响评估的要求予以认真、妥善落实。有关个人信息保护影响评估的具体流程和要求,可以参考全国信息安全标准化技术委员会于2020年发布的国家标准《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020)。尽管其中说明,个人信息出境场景的评估可参照有关国家标准执行,但在目前尚未出台专门的个人信息出境保护影响国家标准的情况下,对于原则和流程等一些共性的内容,企业仍可以作为参考。
如果已经开展个人信息跨境传输:
评估此前已经签订的跨境传输协议。我们理解,在《征求意见稿》公布之前,已经有很多企业存在跨境传输个人信息的业务需求,且为了管控风险,已和境外接收方做出了相应的合同安排。我们建议这类企业,重新评估此前已经签订的跨境传输协议,确保不存在与标准合同相冲突的内容。
审查此前开展的个人信息保护影响评估。对于已经开展了个人信息跨境传输活动的企业,我们建议,重新审视此前已经开展的评估,检查评估的内容是否已经涵盖《征求意见稿》中的评估要点。
由于目前《征求意见稿》尚未生效,因此,如果企业在重新审视已签署的跨境传输协议和个人信息保护影响评估的内容后发现,存在与《征求意见稿》不一致之处,我们建议:如果属于原则上的差异,企业应当安排评估相关风险并根据风险级别做出相应安排(包括与境外接收方启动洽谈程序等),避免生效稿短期内出台造成的无准备状态;如果属于细节上的差异,企业暂时可先不做大的业务调整,但应密切关注生效稿的动态。如果生效稿保留了相关的内容,企业可再作调整,届时还应当相应制定、修改企业内部个人信息跨境传输的制度规范,并对相关员工开展合规培训,落实个人信息跨境传输合规要求。
往期推荐
《网络安全审查办法(修订草案征求意见稿)》(点击可跳转)
用人单位的合规用工要点——以个人信息保护为角度(上篇)(点击可跳转)
作者:薛颖
薛颖律师是北京己任律师事务所主管法律合规业务的高级顾问律师(合伙人级),专长于网络安全和数据保护、竞争法、反商业贿赂、中国社会信用体系等领域的合规业务,对前述法律的交叉领域有深刻的理解。薛律师在美国伊利诺伊大学法学院专门研习竞争法并取得博士学位(J.S.D.);执业之余,还担任湖北省反垄断专家库专家和深圳市公平竞争审查和竞争法专家库专家、辽宁省公平竞争审查专家,并作为中国社会科学院法学所博士后参与多项研究课题,为竞争和数据监管政策的制定踊跃建言献策。加入己任律师事务所之前,薛律师作为合规高级律师服务于两家中国律师事务所。薛律师积极撰写与法律合规相关的文章、评论,还曾担任澳新政府学院主办的The China Competition Bulletin的编辑。薛律师参与组织翻译了第一本GDPR 中文译本,该书于2018 年正式出版发行。
作者:陈 扬
陈扬律师专注于网络安全和数据保护、个人信息保护以及合规监管咨询业务,参与多件疑难复杂案件。陈扬律师具有中国律师执业资格,并获得国际隐私专业协会(IAPP)的注册信息隐私管理师(CIPM)和欧盟注册信息隐私专家(CIPP/E)资质,在数据合规领域有丰富的经验。
《个人信息出境标准合同规定(征求意见稿)》原文请见下链接:
http://www.cac.gov.cn/2022-06/30/c_1658205969531631.htm