2023年2月22日,國家互聯(lián)網(wǎng)信息辦公室(“網(wǎng)信辦”)發(fā)布了《個人信息出境標準合同辦法》(“《標準合同辦法》”)及其附件《個人信息出境標準合同》(“《標準合同》”)。《標準合同辦法》將于2023年6月1日起施行,并對此前已開展的個人信息出境活動予以6個月的整改寬限期,即應(yīng)在2023年12月1日前完成整改。
至此,我國《個人信息保護法》關(guān)于個人信息出境的三大合規(guī)機制——安全評估、認證、標準合同均進入落地階段。其中,標準合同作為目前最新落地的合規(guī)機制,因其生效無需監(jiān)管審批(或第三方認證)、準備工作相對輕量化等特性,而備受企業(yè)關(guān)注與期待。此外,由于歐盟標準合同條款(“SCC”)在域外已廣泛應(yīng)用,無論企業(yè)是否使用標準合同作為合規(guī)機制,在與境外接收方、利益相關(guān)方的溝通談判中,《標準合同》都將是無法繞開的重點話題之一。
本文分為上下兩篇,重點解讀適用《標準合同辦法》的核心關(guān)注點、并預(yù)測《標準合同》談判簽署中可能的疑難條款,為企業(yè)使用標準合同實現(xiàn)個人信息出境合規(guī)提供參考。關(guān)于《標準合同辦法》的重點解讀,請見《上篇:作為出境機制的標準合同》。本篇將對《標準合同》的條款進行深入解讀,通過與征求意見稿的對比,洞察網(wǎng)信辦所釋放的積極信號;并結(jié)合海問協(xié)助中國企業(yè)落地歐盟SCC的經(jīng)驗,辨析《標準合同》談判簽署中的“偽痛點”與“真難點”,為企業(yè)使用標準合同實現(xiàn)個人信息出境合規(guī)提供參考。
釋放積極信號:合理減輕雙方義務(wù),降低適用成本《標準合同》相較其征求意見稿,在合法性基礎(chǔ)、責任承擔等多個重點條款中合理減輕了境內(nèi)外雙方的義務(wù),有助于降低適用成本、并為意思自治保留更大空間以應(yīng)對多樣化的實踐場景,釋放出了積極的監(jiān)管信號。
(一) 明確單獨同意范圍:基于“個人同意”才需取得“單獨同意”《標準合同》多處新增規(guī)定“基于個人同意處理個人信息的,應(yīng)當取得個人信息主體的單獨同意”,由此從監(jiān)管側(cè)正式明確了:(1)除個人同意外,亦可基于其他合法性基礎(chǔ)向境外提供個人信息,例如,為履行合同所必需、按照勞動規(guī)章制度實施人力資源管理所必需、合理使用已公開個人信息等;(2)基于個人同意才需取得單獨同意,如基于其他合法性基礎(chǔ)向境外提供個人信息,則可避免觸及“單獨同意”這一存在較高落地難度的法定要求。(二) 雙方責任解耦合:不再要求境內(nèi)提供方無條件“先行賠付”《標準合同》將境內(nèi)外雙方的責任解耦合,不再要求境內(nèi)提供方承擔實質(zhì)意義上的“連帶責任”,即針對境外接收方因違反標準合同而對個人造成的損害,境內(nèi)提供方有義務(wù)根據(jù)個人主張向其先行賠付,再向境外接收方追償。除雙方依法承擔連帶責任的情形外(例如,《個人信息保護法》第20條 共同處理個人信息的情形),不再通過《標準合同》作出嚴于上位法的責任分配規(guī)定,為雙方意思自治保留更大空間。因此,在未來簽署《標準合同》時,在不貶損個人信息權(quán)益的前提下,建議對雙方之間的數(shù)據(jù)法律關(guān)系及責任分配方式進行具體補充約定,盡可能減少爭議。(三) 境外方自證成本降低:以“書面說明”取代“審計報告”在個人信息保護的語境下,審計是一種較為強勢的合規(guī)監(jiān)管措施,審計報告雖具備更強的合規(guī)證明效果,但同時也伴隨著更高的合規(guī)成本投入。相較征求意見稿,《標準合同》相對限縮了審計的應(yīng)用場景,在以下兩種情形下,僅要求境外接收方提供“書面說明”,而不再強制要求提供“審計報告”:(1)作為受托人(相當于GDPR中的“processor”)的境外接收方,保存期限屆滿后刪除或向境內(nèi)提供方返還個人信息;(2)作為個人信息處理者(相當于GDPR中的“controller”)或受托人的境外接收方,在合同解除后刪除或向境內(nèi)提供方返還個人信息。前述修改為雙方意思自治保留了更大空間,視實踐場景不同,雙方既可僅保留格式條款,對境外接收方的書面說明不作進一步的限定,從而避免因境外接收方自證成本過高阻礙談判;也可進行補充約定,例如要求境外接收方提供審計報告,從而實現(xiàn)更加有效的合規(guī)約束。(四) 合同摘要不再必需:提供合同副本不影響理解即可為保障個人信息主體的知情權(quán),《標準合同》規(guī)定境內(nèi)提供方與境外接收方均有義務(wù)根據(jù)個人要求,向個人提供標準合同副本。相較征求意見稿,《標準合同》在堅持“結(jié)果導向”的同時,放寬了對實現(xiàn)方式的限制:從要求企業(yè)如提供遮密副本則須同時承諾提供合同摘要,改為“在不影響個人信息主體理解的前提下,可對本合同副本內(nèi)容進行適當處理”。在平衡個人知情權(quán)與企業(yè)機密保護的前提下,為企業(yè)實際履行標準合同義務(wù)留下更大的彈性空間。
借鑒歐盟經(jīng)驗:“偽痛點”與SCC同源,談判難度可控標準合同作為出境合規(guī)機制的基本邏輯為:通過合同義務(wù)的形式,約定法定義務(wù)的實質(zhì),從而約束境外接收方實現(xiàn)不低于本國法的個人信息保護標準。在此邏輯下,如何盡可能約束“鞭長莫及”的境外接收方實際履行合同、如何對其進行監(jiān)管、發(fā)生違約時如何使其承擔責任等問題,就成為各國權(quán)威機關(guān)設(shè)計標準合同制度時的重點。
《標準合同》在此方面多處借鑒了歐盟SCC的成熟經(jīng)驗,規(guī)定了境外接收方需承諾接受中國監(jiān)管機構(gòu)的監(jiān)督管理、接受個人信息主體在中國境內(nèi)提起訴訟等合同條款。盡管此類條款直觀而言對境外接收方較為嚴格,但鑒于其系標準合同內(nèi)在邏輯所必需,且此類條款在歐盟SCC中均有嚴格程度不遜于《標準合同》的原型規(guī)定(示例如下),若境外接收方此前已簽署歐盟SCC,則我們理解與境外接收方談判簽署《標準合同》時此類“偽痛點”并不會造成實質(zhì)性的阻礙。相較征求意見稿,《標準合同》簡化了境內(nèi)提供方需向個人信息主體告知的事項,除“保存期限”外,其他告知事項均曾在上位法《個人信息保護法》第39條中被明確列舉。針對境外接收方向境外第三方提供個人信息(即再轉(zhuǎn)移)的情形,《標準合同》亦新增了“保存期限”的告知要求。在附錄一“個人信息出境說明”中,也需就保存期限予以明確約定。相較征求意見稿,《標準合同》新增了填寫提示,將“出境后保存期限”進一步細化為“ 年 月 日至 年 月 日”。相較征求意見稿,《標準合同》進一步凸顯了監(jiān)管機構(gòu)對于“保存期限”的關(guān)注,結(jié)合海問協(xié)助企業(yè)申報數(shù)據(jù)出境安全評估的經(jīng)驗,我們理解,如何確定具體、合理、可落實的保存期限,在明確的監(jiān)管要求與復(fù)雜的企業(yè)實踐之間找到平衡點,可能構(gòu)成部分企業(yè)未來實踐中的難點之一。鑒于《標準合同》的配套規(guī)定正在制定當中,不排除監(jiān)管機構(gòu)未來適當放寬對于保存期限顆粒度的要求。但萬變不離其宗,鑒于保存期限在三大機制中均成為監(jiān)管機構(gòu)明確的關(guān)注重點,構(gòu)建完善的數(shù)據(jù)留存期限制度,已是企業(yè)在數(shù)據(jù)出境合規(guī)新常態(tài)下無法回避的一項重要工作。(二) 部分條款未區(qū)分境外方類型(C-C/C-P),義務(wù)與場景可能不匹配簽訂《標準合同》的境內(nèi)提供方須為個人信息處理者(controller),而境外接收方則可為個人信息處理者或受托人(processor),即《標準合同》適用于“個人信息處理者—個人信息處理者(C-C)”和“個人信息處理者—受托人(C-P)”兩種場景。然而,相較于歐盟SCC采取模塊化的方式針對不同的場景規(guī)定差異化合同條款,《標準合同》選擇以統(tǒng)一的合同條款兼顧C-C及C-P兩種場景。受制于該體例,因《標準合同》的部分條款未基于兩種場景進行區(qū)分,境外接收方在特定實踐中可能面臨義務(wù)過重或履約不能的情況。例如:在境外方履約證明條款中,《標準合同》未加區(qū)分地要求境外接收方:(1)承諾向境內(nèi)方提供證明履約的必要信息;(2)允許境內(nèi)方對必要數(shù)據(jù)文件和文檔進行查閱;(3)允許境內(nèi)方對合同所涉處理活動進行合規(guī)審計。當境外接收方作為個人信息處理者“自主”開展個人信息處理活動,而非僅作為受托人“從屬于”境內(nèi)提供方時,說服境外接收方接受該條款可能存在一定的難度,特別是有關(guān)開展合規(guī)審計的要求。在個人信息安全事件條款中,《標準合同》未加區(qū)分地要求境外接收方根據(jù)中國法就個人信息安全事件報告中國監(jiān)管機構(gòu)、并通知個人信息主體,然而《個人信息保護法》僅規(guī)定個人信息處理者有義務(wù)通知履行個人信息保護職責的部門和個人,而未要求受托人履行同等義務(wù)。但考慮到《標準合同》該條款尚存一定的解釋空間,在不貶損個人信息權(quán)益的前提下,雙方在實踐中可就個人信息安全事件的應(yīng)對作出適當?shù)难a充約定,以緩解境外接收方義務(wù)過重或履約不能的擔憂。(三) 部分條款約定過于具體,自行補充約定空間有限《標準合同》部分條款的內(nèi)容過于具體,限制了雙方自行補充約定的空間,可能對于實踐造成一定的不利影響。例如:《標準合同》第六條第(一)項:“境外接收方應(yīng)當確定一個聯(lián)系人,授權(quán)其答復(fù)有關(guān)個人信息處理的詢問或者投訴,……。境外接收方應(yīng)當……,并以簡潔易懂的方式,通過單獨通知或者在其網(wǎng)站公示,告知個人信息主體該聯(lián)系人信息……”從文義而言,“其網(wǎng)站”的限定,意味著如選擇網(wǎng)站公示方式,則僅能使用境外方網(wǎng)站,而不得使用境內(nèi)方網(wǎng)站。盡管該等限定未必完全合理(通過境內(nèi)方中文網(wǎng)站公示效果可能更佳),但鑒于《標準合同辦法》明確要求任何補充約定不得與標準合同相沖突,為避免不必要的合規(guī)風險,企業(yè)需仔細審視各類補充約定與《標準合同》之間是否協(xié)調(diào)、無沖突。
京公網(wǎng)安備110105011258
