2022年6月30日,國家互聯網信息辦公室發(fā)布了《個人信息出境標準合同規(guī)定(征求意見稿)》(“《規(guī)定》”)及《個人信息出境標準合同(征求意見稿)》(“《標準合同》”),為《個人信息保護法》(“《個保法》”)下個人信息跨境條件之一的“標準合同”提供了落地方案。
《標準合同》在相當程度上借鑒了歐盟標準合同條款(“SCC”),同時體現了我國個人信息保護與監(jiān)管的特色與側重點。海問律師已協助眾多中國企業(yè)落地歐盟SCC,特別是Schrems II案后應對額外的實質保障與補充措施要求。企業(yè)可以參考《規(guī)定》及《標準合同》所體現的最新趨勢,提前開展個人信息跨境提供的合規(guī)部署工作,并對基于歐盟GDPR的跨境框架(如有)進行相應的調整。其中,如下要點值得特別關注。
根據《規(guī)定》,適用標準合同的個人信息處理者(“處理者”或“境內提供方”)需同時符合以下情形:(1)非關鍵信息基礎設施運營者,(2)處理個人信息不滿100萬人,(3)自上年1月1日起累計向境外提供未達到10萬人個人信息,且(4)自上年1月1日起累計向境外提供未達到1萬人敏感個人信息。
如與上述任一情形相反,即為《數據出境安全評估辦法(征求意見稿)》(“《評估辦法》”)的適用范圍,需通過網信部門進行安全評估。但《規(guī)定》就出境累計計算新增了“自上年1月1日起”的限定,即累計期間最多不超過2年,適當放松了對出境活動的監(jiān)管。不過,基于我國的人口基數,上述100萬、10萬、1萬的門檻實際較低,并且以處理者整體為單位,并不區(qū)分業(yè)務場景,因此,實踐中大量企業(yè)可能無法適用標準合同,而需進行安全評估。
此外,標準合同與安全評估在實踐中仍有相通之處。例如,《評估辦法》要求處理者與境外接收方擬訂合同等具有法律效力的文件,且對合同內容的要求與《標準合同》存在大量重合之處。《標準合同》由國家網信部門制定,企業(yè)即使不直接適用標準合同,也可以參考《標準合同》來擬定數據出境相關合同。
《規(guī)定》對標準合同采用“自主締約與備案管理相結合”的監(jiān)管路徑。一方面,標準合同無需事前審批即可生效。另一方面,境內提供方應在標準合同生效之日起10個工作日內,向所在地省級網信部門備案,備案時應提交標準合同(除格式條款外,還包含個案具體的保護措施及出境情況說明)、個人信息保護影響評估報告。
對比歐盟GDPR,在Schrems II案后,歐盟固然對SCC提出了更高的要求——境內提供方需證明個人數據出境后實質上可達到歐盟同等保護水平,而非僅是形式上簽署SCC文本,但仍不要求備案SCC。
《規(guī)定》要求備案標準合同,雖然區(qū)別于安全評估的個案事前審批,但給監(jiān)管留足了事后審查的抓手——省級以上網信部門發(fā)現個人信息出境活動不再符合監(jiān)管要求,則書面通知處理者終止出境活動。處理者違反備案要求的,責令限期改正;拒不改正或損害個人信息權益的,責令停止個人信息出境活動,依法予以處罰;構成犯罪的,依法追究刑事責任。
《個保法》提出了個人信息保護影響評估(“PIA”),并規(guī)定了各個適用場景通用的評估項:(1)處理目的、處理方式等是否合法、正當、必要,(2)對個人權益的影響及安全風險,(3)保護措施是否合法、有效并與風險程度相適應。
《規(guī)定》針對出境場景,進一步細化了PIA的評估項,額外強調了:(1)境外接收方對履行個人信息保護義務與責任的承諾、措施、能力,(2)個人信息出境后被泄露、損毀、篡改、濫用等風險,(3)境外接收方所在國家或地區(qū)(“境外接收地”)的個人信息保護政策法規(guī)對履行標準合同的影響。《規(guī)定》要求處理者備案PIA報告,但并未具體規(guī)定報告的顆粒度,這可能成為企業(yè)合規(guī)實踐的關注重點之一。
《規(guī)定》的PIA與《評估辦法》的數據出境風險自評估的評估項多有相似,不同之處在于,后者額外強調評估數據出境對國家安全、公共利益、個人或組織合法權益的風險,或許是安全評估還涉及重要數據、大量數據的特殊性質使然。
《規(guī)定》要求處理者在PIA中評估境外接收地的個人信息保護政策法規(guī)對履行標準合同的影響,并在《標準合同》第4條規(guī)定了評估的具體內容。究其淵源,歐盟在Schrems II案中對SCC這一跨境工具進行加碼,額外要求對數據接收地的法律及實踐是否妨礙數據接收方履行合同義務進行評估(“傳輸影響評估/TIA”),TIA亦成為最新版SCC的組成部分。
中國版TIA已在歐盟的基礎上進行了簡化,但于企業(yè)而言仍屬于高難度的合規(guī)動作,我們結合基于GDPR的跨境框架開展TIA的實踐經驗,提示在我國《標準合同》下開展TIA的核心考慮點如下。
標準合同并不限于單純的文本,其中約定的技術、管理措施是降低個人信息出境安全風險更為直接、有效的方式,也是合同履行與合規(guī)實踐中的重難點。《標準合同》要求由締約方自行列明所采取的技術、管理措施,并提供加密、匿名化、去標識化、訪問控制作為示例。歐盟在SCC附錄二、EDPB關于補充措施的指南中對該等措施進行了詳細的提示,在實踐中可供企業(yè)參考。
安全并非絕對的概念,《標準合同》也對技術、管理措施進行了限定:一方面,境內提供方需盡“合理的”努力確保境外接收方采取安全措施,且安全措施系綜合考慮個人信息出境的具體事實進行個案選擇。另一方面,境外接收方需采取“有效的”措施,并定期檢查以維持“適當的”安全水平。實踐中,安全措施的把握尺度必將成為重點課題,也不太可能有標準答案。
《個保法》對處理者“向境外提供”個人信息進行了規(guī)制,而除了個人信息從我國境內到境外的“一次傳輸”,《評估辦法》已注意到了數據出境后的“再轉移”問題,《標準合同》則在境外接收方的義務中規(guī)制個人信息的“再提供”(即“二次傳輸”)。
根據《標準合同》,境外接收方不得將個人信息提供給位于中國境外的第三方,除非同時符合以下要求:(1)確有業(yè)務需要;(2)已告知個人,并取得單獨同意(除非法律法規(guī)另有規(guī)定);(3)與第三方達成書面協議,確保第三方達到同等保護水平,并承擔連帶責任;(4)向境內提供方提供與第三方的協議副本。并且,《標準合同》附錄一要求說明該等第三方。
我國試圖通過境外接收方的合同義務,在二次傳輸環(huán)節(jié)延展我國的個人信息保護標準,但實踐中可能存在以下難點:(1)在簽訂標準合同時,境外接收方難以準確預估二次傳輸的需求,尤其是第三方的具體身份(歐盟SCC則允許僅向個人告知第三方的類型);(2)《標準合同》并未指明“單獨”同意的顆粒度;(3)二次傳輸要求簽訂協議,但并未指明可否適用《個保法》第38條的其他條件(歐盟SCC則允許二次傳輸使用GDPR下的多項跨境傳輸工具)。
在個人信息保護的語境下,“審計”是相對較新的概念,也是比較強勢的合規(guī)監(jiān)督措施。《個保法》提出了處理者針對自身處理活動的合規(guī)審計,國家標準《信息安全技術 個人信息安全規(guī)范》(GB/T 35273-2020)提出了處理者對于受托方、第三方接入工具的審計。
《標準合同》進一步擴張了審計的應用場景,可能成為雙方簽約的談判難點。境外接收方無論是獨立的處理者還是委托處理的受托方,均有義務允許并配合境內提供方對本合同涵蓋的處理活動進行審計,且境內提供方有義務根據相關法律法規(guī)要求向我國監(jiān)管機構提供該等審計結果。對比歐盟SCC,僅受托方有義務允許該等審計,兩個獨立的處理者之間并不要求審計,除非監(jiān)管機構要求對境外接收方進行審計。
此外,《標準合同》規(guī)定了境外接收方需向境內提供方提供審計報告的兩種情形:(1)合同解除時,對個人信息進行銷毀或匿名化處理;(2)作為受托方,在超出存儲期限后,對個人信息進行刪除或匿名化處理。在類似情形下,歐盟SCC僅要求境外接收方進行“證明(certify)”,而《標準合同》進一步要求“提供審計報告”,這也體現了監(jiān)管機構對于審計這一形式的認可。
《個保法》明確了個人的知情權,并要求處理者公開個人信息處理規(guī)則。《標準合同》則進一步提出,境內提供方、境外接收方均有義務經個人要求而提供標準合同副本。歐盟SCC也有類似要求,據觀察實踐中尚未得到充分落實。
合同副本不限于網信辦制定的格式條款,也包括標準合同中針對個案具體的保護措施及出境情況說明,這是保障個人對其個人信息處理活動的知情權的應有之義。同時,《標準合同》也考慮到了企業(yè)保護商業(yè)秘密或其他機密信息的需求,允許對合同副本進行適當遮蔽,但仍需向個人提供有效摘要以助其理解合同內容。
京ICP備05019364號-1 
京公網安備110105011258
