企业个人信息出境标准合同(SCC)路径选择十问十答
发布时间:2023-07-07
文 | 王小敏律师团队 汇业律师事务所
《个人信息出境标准合同办法》已经自2023年6月1日起正式施行,作为我国个保法规定的数据出境三种合规路径中的一种,个人信息出境标准合同(SCC)路径是很多企业关注的重点,特别是广大中小企业、初创企业和数据出境频次较低的企业,该路径可能是较为兼顾成本和效率的优选合规路径。
根据相关法律法规、政策监管要求及实践趋势,笔者团队简要梳理与个人信息出境标准合同路径选择有关的十个常见实务问题,仅供参考:
1、哪些情形属于个人信息出境?
目前实践中常见的个人信息出境情形主要有两大类型,一类是个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外,比如在华跨国企业或外资企业将在中国大陆境内收集的用户个人信息或员工个人信息传输或存储至境外的公司总部;第二类是个人信息处理者收集和产生的个人信息存储在中国大陆境内,境外的机构、组织或者个人可以查询、调取、下载、导出,比如中国大陆境内的企业面向全球或境外某些国家或地区开展业务,境外地区的人员可以通过该企业的官网、微信公众号、小程序、电商站点等渠道获取相关个人信息的。除了以上两种常见情形外,个人信息处理者还应当关注国家网信办规定的其他个人信息出境行为。
2、什么情况下可以通过订立标准合同的方式进行个人信息出境?
并非所有企业都可以通过订立标准合同的方式向境外提供个人信息,只有同时满足以下四大条件的个人信息处理者才有可能走SCC路径进行数据出境:(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供个人信息不满10万人的;(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。但同时满足以上四大条件的企业就一定能通过SCC模式出境吗?也不一定。如果法律、行政法规或者国家网信部门另有规定的,还应从其规定。
因此,实务中,能够通过SCC模式进行数据出境的只能是中小型企业或初创企业,这些企业相对来说数据出境量小、出境频次低,走SCC模式较为经济合理。
3、通过改变和调整相关组织架构、数据分拆等技术方式,能够规避安全评估模式而主动选择SCC模式吗?
不能。监管已经明确规定,个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。因此,实务中,企业想通过设立不同的公司主体、对数据量进行拆分、业务分拆包装等技术手段,规避法定应当走的数据出境安全评估路径,从而选择灵活度更高的SCC路径是行不通的,即使前期一切顺利选择了SCC模式,在备案阶段也很有可能会被网信部门以涉嫌提交虚假材料等理由不通过备案。
4、签订标准合同时可以对标准合同进行修改吗?标准合同的效力如何?
不可以,应当严格按照网信部门制定的标准合同模板进行订立。在遵循该模板的基础上,企业或个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。实务中,双方如有其他约定,可在标准合同附录二中进行详细约定。
另外,个人信息处理者与境外接收方之间签订的标准合同效力是最优的,当标准合同与双方订立的其他法律文件发生冲突时,标准合同的条款应优先适用。实务中,即使企业已经签订了欧盟GDPR版的SCC合同,但在签订中国版SCC合同后,中国版SCC标准合同效力是优于欧盟版SCC的,两者效力不同,且欧盟版SCC不可代替中国版SCC。
5、个人信息保护影响评估(PIA)什么时候做?如何做?
企业或个人信息处理者在向境外提供个人信息前,就应当开展个人信息保护影响评估(PIA),并应当在备案之日前3个月内完成,且至备案之日未发生重大变化。个人信息保护影响评估报告应当至少保存3年。
PIA主要围绕三大主体进行,一是个人信息处理者(即实务中的数据出境企业),需评估个人信息处理者进行数据出境的目的、范围、方式等的合法性、正当性、必要性;二是境外接收方(即实务中的数据出境接受对象),同样需要评估境外接收方接收和处理境内个人信息的目的、范围、方式等的合法性、正当性、必要性。同时,还需要评估境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全,以及境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;三是个人信息主体(即实务中的用户或员工等),需评估用户或员工出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险,以及个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等。
6、标准合同的备案时间要求及备案流程是怎样的?
个人信息处理者应当在标准合同生效之日起10个工作日内,通过书面材料和电子版材料的方式,向所在地省级(直辖市)网信办备案。实践中,网信办一般会要求企业先提交电子版材料,电子材料需以PDF加盖公章的形式邮件提交,网信办会提供专门的接收邮箱,通过网信办的电子材料查验后再递交纸质版的备案材料,其后网信办会出具《备案结果通知书》并发放备案编号。
标准合同的备案流程包括材料提交、材料查验及反馈备案结果、补充或者重新备案等环节。材料提交环节除了签订的标准合同原件和《个人信息保护影响评估报告》原件之外,还应一并提交三证(即统一社会信用代码证、法定代表人身份证、经办人身份证)复印件和经办人授权委托书、承诺书原件。
7、标准合同备案是否只要提交备案材料就万事大吉了?
并不是。标准合同备案虽然名义上只是备案的要求,但实质上还是一种前置的行政审批程序,省级(直辖市)网信办会对备案材料进行实质审查。备案结果分为通过与不通过。通过备案的,省级(直辖市)网信办向个人信息处理者发放备案编号;不通过备案的,个人信息处理者将收到备案未成功通知及原因,要求补充完善材料的,个人信息处理者应当补充完善材料并于10个工作日内再次提交。
8、标准合同备案过程中企业如何选择备案的主体?
根据北京市网信办的实践要求,标准合同备案的主体必须是法人实体,而且备案主体必须与标准合同的境内签署方主体保持一致。实务中,集团型企业往往下属有多个分支机构或子公司,在此情形下除了可以子公司名义进行备案外,该集团公司或总公司也可以作为个人信息出境标准合同的备案主体,也即可由该集团公司或总公司作为标准合同的境内签署主体。但需要注意的是,不具备独立法人资格的分公司不可以备案,需由总部公司进行备案。
9、签署标准合同并备案通过后就能一劳永逸地确保个人信息出境合规吗?
不一定。标准合同的签署和通过备案,只能解决当时阶段的个人信息出境合规问题。在标准合同有效期内,如果出现以下任何一种情形时(向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;可能影响个人信息权益的其他情形),则个人信息处理者应当重新开展个人信息保护影响评估(PIA),补充或者重新与境外接收方签署标准合同,并重新履行相应的备案手续。
因此,实务当中,标准合同的有效期并不是双方约定得越长就越好,需结合出境的个人信息具体情况、个人信息处理者业务发展情况、境外接收方及其所在地的实际情况等因素综合约定标准合同的有效期。
10、2023年6月1日前就已经开展个人信息出境活动的企业下一步该怎么办?
《个人信息出境标准合同办法》自2023年6月1日起施行,在该办法施行前就已经开展的个人信息出境活动仍然受到该办法的约束,但是网信办给予了六个月宽限期进行整改。因此,当前阶段,相关企业应当进行全面地个人信息出境梳理和评估,如果发现有不符合该办法规定的,应当在2023年11月30日之前完成合规整改。否则,网信部门将依据《个人信息保护法》等法律法规对开展个人信息出境活动的相关企业及其主管/责任人员进行追责处罚,构成犯罪的还将追究刑事责任。