数据出境又一村:《个人信息出境标准合同规定(征求意见稿)》发布
发布时间:2022-07-06
文 | 史宇航 汇业律师事务所 顾问
一、背景:数据出境标准合同的“坐标”
数据跨境传输一直都是数据合规工作中最有挑战的一项工作。一方面因为数据跨境是跨国企业的“刚需”,另一方面因为数据跨境的具体规则长期以来都没有落地,导致合规工作无从下手。
在2021年11月施行的《个人信息保护法》中,初步确定了我国个人信息的出境规则的基本框架:以安全评估、保护认证与标准合同为基础措施,并且需要配合单独同意、个人信息保护影响评估、指定代表等机制。
2022年6月底,国家网信部门就《个人信息出境标准合同规定(征求意见稿)》公开征求意见,同时发布了《个人信息出境标准合同》的模板,标志着我国个人信息出境的规则距离完善更近了一步。
二、标准合同的适用
在GDPR下,标准合同条款(“SCC”)是最为常用的一类数据出境方式。大量中外企业都是通过SCC实现数据从欧洲经济区向中国等国家、地区的传输。因此我国的标准合同在哪些场景下可以使用,直接决定了未来中欧以及中国与其他区域间数据跨境流动的格局。
根据《个人信息出境标准合同规定(征求意见稿)》,使用标准合同的境内企业(个人信息处理者)应当同时满足以下条件:
1. 非关键信息基础设施运营者;
2. 处理个人信息不满100万人的;
3. 自上年1月1日起累计向境外提供未达到10万人个人信息的;且
4. 自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。
以上的适用门槛并不低,而且直接排除了大平台选择标准合同作为数据出境方案的可能性。但是,如果该门槛在正式规定中延续,未来仍可能出现一些变通的操作方略:比如将需要数据出境的新业务交由新的独立法律实体负责运营,以降低个人信息处理的数量;又比如将签订标准合同的时间尽量放置在每年年初,以缩短统计周期,实现降低周期内向境外提供个人信息的数量的目的。
此外,《个人信息出境标准合同规定(征求意见稿)》也专门规定“个人信息出境活动相关的其他合同,不得与标准合同相冲突”,以期避免数据跨境领域出现“阴阳合同”。
三、监管机构:不止是备案
《个人信息出境标准合同规定(征求意见稿)》第3条明确个人信息出境标准合同的使用规则是以“自主缔约与备案管理”相结合。根据征求意见稿,虽然公司不进行备案也不会影响合同的效力,但不完成备案仍可能会导致网信部门责令改正、责令停止个人信息出境活动等处罚。
《个人信息出境标准合同规定(征求意见稿)》规定尽管合同生效并不以完成备案为前提,但备案应当在标准合同生效之日起10个工作日内进行。并征求意见稿中未明确的是,合同生效前是否可以进行备案,或者是在草拟合同阶段即申请进行备案。此外,在流程上尚不明确完成备案是否会提供任何的证明文件,或是提供备案号。
虽然对标准合同的要求是备案,但标准合同要求个人信息处理者与界外接收方承诺接受监管部门的问询、向监管机构提供审计结果与数据处理记录,等等。这给监管部门提供了相对充分的监管“抓手”。
四、个人信息保护影响评估
在备案时,除了需要提交标准合同,还需要提交个人信息保护影响评估报告。、因此备案虽不涉及实质审核,但是对个人信息保护影响评估的存档,甚至是结构化存档可能会成为监管部门核验备案信息真实性、开展进一步开展监管活动的依据。
《个人信息出境标准合同规定(征求意见稿)》也列出了数据出境场景下个人信息保护影响评估的重点:
1. 个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
2. 出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险;
3. 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全;
4. 个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
5. 境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响;
6. 其他可能影响个人信息出境安全的事项。
此外,在标准合同模板中,更进一步对接收方所在国法律法规是否会影响境外接收方履行合同义务提出更明确的评估标准,需要在个人信息保护影响评估中予以体现。具体而言,评估需要覆盖以下项目:
因此,《个人信息出境标准合同规定(征求意见稿)》不仅对标准合同进行了规范,也为企业划定了个人信息保护影响评估模板的重点。这些评估重点不仅可以适用于适用标准合同的数据出境个人信息保护影响评估,也可以适用于安全评估、个人信息保护认证等路径下的个人信息保护影响评估报告。
五、协议中各方的义务与权利
尽管《个人信息出境标准合同》是由个人信息处理者(提供方)与境外接收方两方所签订的合同。但合同中相关的主体却不止这两方,个人信息主体与监管机构都会在合同中扮演重要的角色:
个人信息处理者与境外接收方有一些相同的法律义务,但更多的是不同的义务。个人信息处理的义务更加侧重在中国境内配合主体与监管机构;境外接收方的义务更加侧重在处理本身以及当地监管环境。就个人信息处理者与境外接收方双方的义务,我们进行了简单的梳理:
作为标准合同中第三方受益人,个人信息主体有权行使个人信息主体法定权利以及合同权利,并且请求对象包括个人信息处理者或境外接收方。如果无法行使自己的权利,个人信息主体还有权向监管机构进行举报。但标准合同也允许境外接收方拒绝个人信息主体过多或不合理要求。
根据标准合同的约定,省级以上网信部门作为监管机构有权:
1. 要求个人信息处理者答复关于境外接收方的个人信息处理活动的询问;
2. 要求境外接收方答复监管机构的询问,配合检查;
3. 接收境外接收方的审计结果、处理记录、资质认证等信息;
4. 接收数据泄露的报告;
5. 接收个人信息主体的投诉;
6. ……
六、影响与应对
企业使用标准合同进行数据传输尽管有备案的要求,但未来仍可能成为使用最为频繁的个人信息出境路线。有数据出境需求的企业,可以开始就《个人信息出境标准合同》的签订进行准备:
1. 梳理个人信息出境的场景,明确数据出境所涉及主体、类型、目的、数量,以及接收方的相关信息。明确数据出境的必要性。
2. 开展并完成个人信息保护影响评估,根据《个人信息出境标准合同规定(征求意见稿)》编制合规项目与合规报告。
3. 在可能的情况下,与潜在的境外接收方就标准合同的要点进行沟通,在征求意见的期限内及时向网信部门反馈境外主体对合同的顾虑,并就合同签署相关的个人信息保护影响评估进行准备。
4. 根据GDPR下SCC对数据接收方评估的经验,有数据出境需求的个人信息处理者可以开始编制问卷,要求境外接收方就当地法律环境等因素进行回答。
5. 在很多场景下,数据传输是双向甚至多向的,既需要将数据从中国传输至境外,也需要从境外传至中国,那么在使用标准合同时可能需要同时使用对方(如欧盟GDPR)的SCC作为数据处理协议,因为双方的标准合同都缺乏修改的空间,所以会导致不同数据处理协议的条款互相交织,甚至出现矛盾,这可能需要通过数据处理协议之外的主协议协调不同数据处理协议的关系。在此场景下,可能选择对集团进行认证、完成安全评估才是数据合规传输的更优选择。
随着《个人信息出境标准合同规定(征求意见稿)》的发布,我国个人信息的跨境传输合规框架也日益清晰。企业如何根据自身情况,选择最合适的路径,完成数据本地化(如有必要)与跨境传输合规框架的搭建显得日益紧迫。我们期待着数据出境规则能够早日清晰,冲破目前个人信息出境一团烟雾的窘境,让企业真正能够合法合规实现数据的出境。