2022-07-06
數據合規透視
作者:
楊建媛
鄔丹 李天爍
中國關于個人信息跨境傳輸機制的最新進展
根據《個人信息保護法》(“《個保法》”)第38條,個人信息處理者向中華人民共和國境外(“中國”,僅為本文之目的,不含香港特別行政區、澳門特別行政區和臺灣省)提供個人信息,應當具備下列條件之一:通過國家網信部門組織的安全評估、經專業機構進行個人信息保護認證、與境外接收方訂立標準合同、或滿足其他法定條件。
2022年6月24日,全國信息安全標準化技術委員會秘書處發布了《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規范》(“《認證規范》”),以落實《個保法》的個人信息保護認證制度,標志著我國進一步探索個人信息跨境的可行路徑,為認證機構實施認證提供依據、亦為企業開展合規工作提供參考。如下要點值得特別關注。
其一,《認證規范》具有特定的適用范圍。
1. 跨國公司或者同一經濟、事業實體下屬子公司或關聯公司之間的跨境處理活動。并且,《認證規范》要求處理者與境外接收方之間簽訂“具有法律約束力和執行力的文件”,并不限于“協議”,這與歐盟GDPR下的“有約束力的公司準則(BCRs)”或有相通之處,值得跨國公司關注。
2. 受《個保法》域外管轄的境外處理活動。此時涉及頗具爭議的一個問題——從境外直接收集個人信息是否適用《個保法》第三章的跨境規則。可能的解釋包括:(1)從境外直接收集境內自然人的個人信息時,境外處理者即適用跨境規則,并由其在境內設置的專門機構或指定代表作為境內處理者;(2)個人信息出境后再次傳輸時,境外處理者才適用跨境規則,認證則是一種可行路徑。
其二,《認證規范》數次強調監管響應與法律責任承擔。
一方面,以境內實體作為我國監管的抓手:《認證規范》要求由跨國公司的境內公司、或境外處理者在境內的專門機構或指定代表申請認證,并由上述境內實體承擔法律責任。該等法律責任帶來的衍生效果包括,無關聯關系的境內主體(如專業中介機構)對擔任境外處理者的指定代表有較多顧慮,而沒有境內關聯實體的境外處理者在指定代表時可能面臨困境。
另一方面,個人信息處理者和境外接收方均需承諾:遵守中國關于個人信息保護的法律與行政法規的保護標準,接受中國認證機構的監督(如答復詢問、例行檢查),并接受中國的司法管轄。
其三,《認證規范》重申、細化或提高了《個保法》關于個人信息跨境的合規要求。
《認證規范》的基本要求包括:個人信息處理者和境外接收方均應指定個人信息保護負責人(由決策層成員擔任)和保護機構,簽訂具有法律約束力和執行力的文件(“法律文件”),明確各方統一遵守的個人信息跨境處理規則(包括個人信息的類型與數量、處理目的與方式、存儲期限、中轉地、個人信息主體權益保障、安全事件處理等),并由處理者事先開展個人信息保護影響評估。
此外,《認證規范》特別強調對個人信息主體權益的保障,將《個保法》下的個人信息主體權利(包括提起訴訟)的行使擴展至境外接收方;同時,明確個人作為上述法律文件中涉及個人信息主體權益相關條款的受益人,有權要求獲取該等條款的副本。該等要求與《個人信息出境標準合同(征求意見稿)》的思路亦有相通之處。
2022年6月30日,國家互聯網信息辦公室發布了《個人信息出境標準合同規定(征求意見稿)》(“《規定》”)及《個人信息出境標準合同(征求意見稿)》(“《標準合同》”),為《個保法》下個人信息跨境條件之一的“標準合同”提供了落地方案。
《標準合同》在相當程度上借鑒了歐盟標準合同條款(“SCC”),同時體現了我國個人信息保護與監管的特色與側重點。海問律師已協助眾多中國企業落地歐盟SCC,特別是Schrems II案后應對額外的實質保障與補充措施要求。企業可以參考《規定》及《標準合同》所體現的最新趨勢,提前開展個人信息跨境提供的合規部署工作,并對基于歐盟GDPR的跨境框架(如有)進行相應的調整。其中,如下要點值得特別關注。
1.厘定標準合同的適用范圍,大量出境個人信息的企業或難適用標準合同
根據《規定》,適用標準合同的個人信息處理者(“處理者”或“境內提供方”)需同時符合以下情形:(1)非關鍵信息基礎設施運營者,(2)處理個人信息不滿100萬人,(3)自上年1月1日起累計向境外提供未達到10萬人個人信息,且(4)自上年1月1日起累計向境外提供未達到1萬人敏感個人信息。
與上述任一情形相反,即為《數據出境安全評估辦法(征求意見稿)》(“《評估辦法》”)的適用范圍,需通過網信部門進行安全評估。但《規定》就出境累計計算新增了“自上年1月1日起”的限定,即累計期間最多不超過2年,適當放松了對出境活動的監管。不過,基于我國的人口基數,上述100萬、10萬、1萬的門檻實際較低,并且以處理者整體為單位,并不區分業務場景,因此,實踐中大量企業可能無法適用標準合同,而需進行安全評估。
此外,標準合同與安全評估在實踐中仍有相通之處。例如,《評估辦法》要求處理者與境外接收方擬訂合同等具有法律效力的文件,且對合同內容的要求與《標準合同》存在大量重合之處。《標準合同》由國家網信部門制定,企業即使不直接適用標準合同,也可以參考《標準合同》來擬定數據出境相關合同。
2.標準合同要求備案,為事后監管提供抓手
《規定》對標準合同采用“自主締約與備案管理相結合”的監管路徑。一方面,標準合同無需事前審批即可生效。另一方面,境內提供方應在標準合同生效之日起10個工作日內,向所在地省級網信部門備案,備案時應提交標準合同(除格式條款外,還包含個案具體的保護措施及出境情況說明)、個人信息保護影響評估報告。
對比歐盟GDPR,在Schrems II案后,歐盟固然對SCC提出了更高的要求——境內提供方需證明個人數據出境后實質上可達到歐盟同等保護水平,而非僅是形式上簽署SCC文本,但仍不要求備案SCC。
《規定》要求備案標準合同,雖然區別于安全評估的個案事前審批,但給監管留足了事后審查的抓手——省級以上網信部門發現個人信息出境活動不再符合監管要求,則書面通知處理者終止出境活動。處理者違反備案要求的,責令限期改正;拒不改正或損害個人信息權益的,責令停止個人信息出境活動,依法予以處罰;構成犯罪的,依法追究刑事責任。
3.細化出境場景下的個人信息保護影響評估,且評估報告要求備案
《個保法》提出了個人信息保護影響評估(“PIA”),并規定了各個適用場景通用的評估項:(1)處理目的、處理方式等是否合法、正當、必要,(2)對個人權益的影響及安全風險,(3)保護措施是否合法、有效并與風險程度相適應。
《規定》針對出境場景,進一步細化了PIA的評估項,額外強調了:(1)境外接收方對履行個人信息保護義務與責任的承諾、措施、能力,(2)個人信息出境后被泄露、損毀、篡改、濫用等風險,(3)境外接收方所在國家或地區(“境外接收地”)的個人信息保護政策法規對履行標準合同的影響。《規定》要求處理者備案PIA報告,但并未具體規定報告的顆粒度,這可能成為企業合規實踐的關注重點之一。
《規定》的PIA與《評估辦法》的數據出境風險自評估的評估項多有相似,不同之處在于,后者額外強調評估數據出境對國家安全、公共利益、個人或組織合法權益的風險,或許是安全評估還涉及重要數據、大量數據的特殊性質使然。
4.中國版TIA:評估境外接收地的個人信息保護政策法規對履行標準合同的影響
《規定》要求處理者在PIA中評估境外接收地的個人信息保護政策法規對履行標準合同的影響,并在《標準合同》第4條規定了評估的具體內容。究其淵源,歐盟在Schrems II案中對SCC這一跨境工具進行加碼,額外要求對數據接收地的法律及實踐是否妨礙數據接收方履行合同義務進行評估(“傳輸影響評估/TIA”),TIA亦成為最新版SCC的組成部分。
中國版TIA已在歐盟的基礎上進行了簡化,但于企業而言仍屬于高難度的合規動作,我們結合基于GDPR的跨境框架開展TIA的實踐經驗,提示在我國《標準合同》下開展TIA的核心考慮點如下。
5.采取合適的技術、管理措施,切實保障個人信息安全
標準合同并不限于單純的文本,其中約定的技術、管理措施是降低個人信息出境安全風險更為直接、有效的方式,也是合同履行與合規實踐中的重難點。《標準合同》要求由締約方自行列明所采取的技術、管理措施,并提供加密、匿名化、去標識化、訪問控制作為示例。歐盟在SCC附錄二、EDPB關于補充措施的指南中對該等措施進行了詳細的提示,在實踐中可供企業參考。
安全并非絕對的概念,《標準合同》也對技術、管理措施進行了限定:一方面,境內提供方需盡“合理的”努力確保境外接收方采取安全措施,且安全措施系綜合考慮個人信息出境的具體事實進行個案選擇。另一方面,境外接收方需采取“有效的”措施,并定期檢查以維持“適當的”安全水平。實踐中,安全措施的把握尺度必將成為重點課題,也不太可能有標準答案。
6.具體規制個人信息出境后的二次傳輸,以書面協議保障同等保護水平
《個保法》對處理者“向境外提供”個人信息進行了規制,而除了個人信息從我國境內到境外的“一次傳輸”,《評估辦法》已注意到了數據出境后的“再轉移”問題,《標準合同》則在境外接收方的義務中規制個人信息的“再提供”(即“二次傳輸”)。
根據《標準合同》,境外接收方不得將個人信息提供給位于中國境外的第三方,除非同時符合以下要求:(1)確有業務需要;(2)已告知個人,并取得單獨同意(除非法律法規另有規定);(3)與第三方達成書面協議,確保第三方達到同等保護水平,并承擔連帶責任;(4)向境內提供方提供與第三方的協議副本。并且,《標準合同》附錄一要求說明該等第三方。
我國試圖通過境外接收方的合同義務,在二次傳輸環節延展我國的個人信息保護標準,但實踐中可能存在以下難點:(1)在簽訂標準合同時,境外接收方難以準確預估二次傳輸的需求,尤其是第三方的具體身份(歐盟SCC則允許僅向個人告知第三方的類型);(2)《標準合同》并未指明“單獨”同意的顆粒度;(3)二次傳輸要求簽訂協議,但并未指明可否適用《個保法》第38條的其他條件(歐盟SCC則允許二次傳輸使用GDPR下的多項跨境傳輸工具)。
7.擴張審計的適用,境外接收方有義務就合同項下的處理活動接受審計
在個人信息保護的語境下,“審計”是相對較新的概念,也是比較強勢的合規監督措施。《個保法》提出了處理者針對自身處理活動的合規審計,國家標準《信息安全技術 個人信息安全規范》(GB/T 35273-2020)提出了處理者對于受托方、第三方接入工具(如SDK)的審計。
《標準合同》進一步擴張了審計的應用場景,可能成為雙方簽約的談判難點。境外接收方無論是獨立的處理者還是委托處理的受托方,均有義務允許并配合境內提供方對本合同涵蓋的處理活動進行審計,且境內提供方有義務根據相關法律法規要求向我國監管機構提供該等審計結果。對比歐盟SCC,僅受托方有義務允許該等審計,兩個獨立的處理者之間并不要求審計,除非監管機構要求對境外接收方進行審計。
此外,《標準合同》規定了境外接收方需向境內提供方提供審計報告的兩種情形:(1)合同解除時,對個人信息進行銷毀或匿名化處理;(2)作為受托方,在超出存儲期限后,對個人信息進行刪除或匿名化處理。在類似情形下,歐盟SCC僅要求境外接收方進行“證明(certify)”,而《標準合同》進一步要求“提供審計報告”,這也體現了監管機構對于審計這一形式的認可。
8.個人有權要求雙方提供具體的合同副本,進一步落實知情權
《個保法》明確了個人的知情權,并要求處理者公開個人信息處理規則。《標準合同》則進一步提出,境內提供方、境外接收方均有義務經個人要求而提供標準合同副本。歐盟SCC也有類似要求,據觀察實踐中尚未得到充分落實。
合同副本不限于網信辦制定的格式條款,也包括標準合同中針對個案具體的保護措施及出境情況說明,這是保障個人對其個人信息處理活動的知情權的應有之義。同時,《標準合同》也考慮到了企業保護商業秘密或其他機密信息的需求,允許對合同副本進行適當遮蔽,但仍需向個人提供有效摘要以助其理解合同內容。
企業在擬定標準合同時可以就此提前籌劃:一方面,合理設計標準合同副本,平衡個人知情權與企業機密保護;另一方面,合理設計個人身份及其個人信息所涉出境活動的確認機制,有針對性地提供副本,避免企業標準合同的大規模流通。
京ICP備05019364號-1 
京公網安備110105011258
