2023-03-09
個人信息出境機制全面落地:標準合同的規則與文本
作者:
楊建媛
鄔丹
本文將分為上下兩篇,上篇重點解讀適用《標準合同辦法》的核心關注點、下篇預測《標準合同》談判簽署中可能的疑難條款,為企業使用標準合同實現個人信息出境合規提供參考。關于安全評估、認證的解讀,請見往期文章《數據流動的分寸:評析〈數據出境安全評估辦法〉》和《跨境認證——解讀個人信息出境的第三條路》。
上篇:作為出境機制的標準合同
《標準合同辦法》明確了標準合同作為一種個人信息出境機制的適用門檻、備案要求、條款內容、自評估要求等內容,為標準合同的落地實施奠定了基礎。
一、適用門檻與安全評估涇渭分明
標準合同與安全評估的適用條件相對立(詳見下表)。企業如果未達到安全評估的申報門檻,才可以選擇標準合同作為個人信息出境的合規機制。
此外,《標準合同辦法》中特別強調企業不得采取數量拆分等手段,規避安全評估的適用。根據我們的實踐經驗,數量拆分可能包括如下情形:(1)將個人信息拆分至不同的公司實體,從而降低每個實體所處理或出境的個人信息數量;(2)將個人信息拆分至不同的時間周期,從而降低特定區間所涉的個人信息數量。
在實踐中,大型集團公司的組織架構與IT架構比較復雜,可能存在多個公司實體、多條業務線共用信息系統、個人信息的情形。對此,企業在進行數據盤點時需要區分符合實際情況的“客觀型拆分”、為了繞開安全評估的“規避型拆分”,可以考慮以下因素:(1)處理目的:企業是否需要在業務中使用個人信息;(2)數據控制力:企業是否分別控制不同的服務器、信息系統(物理隔離),或者在同一信息系統中具有清晰的權限區分(邏輯隔離)。
(1)事實情況變化:向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發生變化,或者延長個人信息境外保存期限的。
請注意,從《標準合同辦法》字面來看,出境個人信息“規模/數量”發生變化不在此列;但另一方面,如果出境數量到達10萬人個人信息或1萬人敏感個人信息(自上年1月1日起算),則將適用安全評估。
(2)境外接收地法律變化:境外接收方所在國家或者地區的個人信息保護政策和法規發生變化等,可能影響個人信息權益的。
請注意,只有政策法規變化且可能影響個人信息權益的方在此列。
(3)其他:可能影響個人信息權益的其他情形。
三、標準合同帶來的便捷與挑戰
針對個人信息出境,關于安全評估、標準合同、認證的配套法規均在《個人信息保護法》的基礎上擴展了自評估的內容,且自評估的內容具有較高重合度(詳見下表),有需要的企業或可在設計自評估模板時進行通盤考慮。
、
為開展自評估,企業需要對以下情況進行盤點與分析:
(1)數據出境的基礎事實:包括個人信息的種類、數量、敏感程度,處理的目的、方式,境外接收方的范圍等;
(2)數據出境的合規性:包括個人信息出境的合法性(如告知個人、滿足合法性基礎等),正當性(如目的正當、手段正當、過程正當),必要性(如數據類型、數量級、保存期限的最小必要);
(3)數據出境的風險:包括正常情況下數據出境本身對于個人信息權益的風險,以及發生數據安全事件的風險、對個人權益的影響及維權渠道;
(4)境外接收方的情況:包括境外接收方關于個人信息的管理措施、技術措施、保護水平(即硬實力),以及境外接收方通過《標準合同》等法律文件承擔的數據安全與保護義務(即約束力);
(5)境外接受地的法治情況:包括境外接收地關于個人信息保護的立法與監管情況,是否會影響境外接收方履行本《標準合同》。詳見“四、2. 傳輸影響評估/TIA”。
(1)針對境外接受地的宏觀評估:TIA應當評估境外接受地關于個人信息保護的立法與標準、國際組織與國際承諾、執法及司法機構。但從字面上看,并不包含對于法律實踐情況的整體評估。
(2)針對特定數據出境活動的個案評估:TIA應當結合本《標準合同》項下數據出境活動的事實情況,以及該特定境外接收方的數據保護能力、關于數據安全事件、政府數據調取的負面歷史。
京ICP備05019364號-1 
京公網安備110105011258
