汉盛法评 | 数据出境标准合同核心逻辑与合规要点
2023年2月24日,国家网信办正式公布《个人信息出境标准合同办法》(下称《标准合同办法》),明确了个人信息出境标准合同(下称“标准合同”)的订立、备案等要求。自此,标准合同、安全评估、保护认证共同构成了个人信息出境三条路径。本办法将于2023年6月1日施行,为个人信息处理者设置了6个月的过渡期。企业若选用标准合同作为数据出境的合规路径,须在过渡期内签署并完成备案手续。本文将针对数据出境标准合同制度的核心逻辑,标准合同的前置性准备、签署与备案、事后跟进中的合规要点,从实务角度进行分析,以供读者参考。数据出境前期准备工作的相关流程已在前几期中详述。
一、数据出境标准合同制度的核心逻辑
(一)针对非高风险场景
我国在数据出境监管上采用了分级治理逻辑,针对不同风险级别的数据出境行为,采取差异化的规制措施。不同于数据出境安全评估,标准合同主要针对数据规模较小、对国家与公共利益的影响较低的非高风险场景:
非特殊处理者(CIIO、达量数据处理者或国家机关);
非特殊数据类型(重要数据);
非特殊数据规模(个人信息与敏感个人信息分别达量)。
需要指出的是,《标准合同办法》第4条明确指出个人信息处理者不得采取数量拆分等手段规避数据出境安全评估。这意味着个人信息出境活动采用的是基于事实的“实质审查”,难以通过形式隔离规避监管要求。
(二)适度的行政监管
标准合同制度的制度逻辑是以合同意定法律责任,即把我国个人信息保护的法律规定转化为具体的合同责任,通过合同约束力将境内管辖权延伸至境外。《标准合同办法》第6条规定,个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突,因此合同双方自由约定的空间十分有限。此外,标准合同第9条还明确,双方订立的任何其他法律文件与本合同发生冲突时,本合同的条款优先适用。与《数据出境安全评估办法》所确立的事前审批机制不同,标准合同所要求的备案程序是一种事后机制,目的是在不影响正常业务活动的同时,将跨境个人信息处理活动纳入监管机构的视野,并对监管机构保持透明性。
二、数据出境标准合同制度的合规流程
企业若采用标准合同的方式进行数据出境,则合规工作大致可分为四个阶段。具体而言,第一阶段为数据出境场景的梳理,第二阶段为前置性准备工作,第三阶段为标准合同的促成、签署,第四阶段为事后持续跟进。为便于理解,可参见下图:
三、数据出境标准合同的合规要点
要点一:数据出境标准合同的前置性准备
1.履行告知义务
数据处理者的告知义务,有两大来源:
一是《个人信息保护法》第17条规定了个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人履行相关告知义务。根据《个人信息保护法》第39条,数据处理者应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项。
二是标准合同第2条引入了第三方受益人的概念与机制,突破了合同相对性原则。为了落实“第三方受益人”机制,个人信息处理者需要向个人信息主体告知其“第三方受益人”身份,辅以个人对该身份30天的拒绝期,即如果个人信息主体未在30日内明确拒绝,则享有第三方受益人权利。
2.获得单独同意
《个人信息保护法》第39条规定,个人信息处理者向境外提供个人信息的,在履行告知义务的基础上,还须取得个人的单独同意。此前,实务对于单独同意能否被豁免的问题存在争议。《个人信息出境标准合同》第2条明确“但相关法律法规规定不需要取得个人单独同意的除外”,这意味着数据出境能适用《个人信息保护法》第13条规定的豁免情形。例如,企业在向境外传输人力资源管理信息,可适用“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”。
3.个人信息保护影响评估(PIA)
个人信息保护影响评估是《个人信息保护法》第56条规定的法定义务,属于依法开展个人信息出境活动的重要一环。《个人信息标准合同办法》第5条明确了个人信息保护影响评估的重点评估事项,包括三性判断(合法性、正当性、必要性)、个人信息权益风险、接收方的安全保障能力、行权渠道的通畅性、境外法律环境对标准合同履行的影响等。
目前我国监管机构尚未对数据出境的个人信息保护影响评估工作作出细化规定,企业在开展个人信息保护影响评估时可以参照2020年11月发布的《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020)。不过,该标准发布于《个人信息保护法》出台前,因此企业在实际适用时仍需结合其他标准与业务实际。由于个人信息保护影响评估同时涉及技术与法律问题,建议有数据出境需求的企业寻求专业人士协助完成PIA。
要点二:签署标准合同时的注意事项
1. 与境外接收方沟通工作
标准合同中第三条的“境外接收方的义务”部分涉及非常具体的义务要求,包括对境外接收方提出了个人信息保存期限及过期删除要求,对其开展个人信息处理活动要求进行客观记录且需要记录保存至少3年,以及要求境外接收方同意接受监管机构(网信办)的监督管理。这些不能修改的条款本身对合同协商和签署工作带来很大的难度。
故此,标准合同签署时,企业需与境外接收方沟通标准合同的文本内容、各方权利义务的约定等。企业可以考虑的沟通要点包括但不限于:
(1)向境外接收方详细介绍中国相关法律法规对个人信息出境的要求。
(2)在业务协议中,企业和境外接收方可以就数据收集、使用、存储、转移等方面的具体细节进行协商和约定。双方应协商解决可能存在的分歧,确保在个人信息出境的过程中,数据处理符合各项法律法规要求。
(3)如果标准合同无法满足业务需要,企业可以在标准合同的附录中添加必要的补充约定,以保证合同更加符合业务需要。
(4)如果企业和境外接收方无法就标准合同中的某些条款达成一致,企业可以结合具体业务项目,重新确认个人信息出境的必要性,并寻找其他替代方案。
2. 标准合同中技术和管理措施应如何约定
作为个人信息处理者的境内企业是网信部门落实出境监管的重要抓手,若在标准合同中境内外企业之间对于技术措施的约定不明确,可能导致境内企业在应对监管时处于被动地位。标准合同中对技术及管理措施进行了示范性列举,例如加密、匿名化、去标识化、访问控制等,故建议企业注意如下:
(1)采取的措施应与个人信息出境活动的风险相适应,主要考虑个人信息处理目的、个人信息的种类、规模、范围及敏感程度、数据传输的数量和频率、个人信息传输及境外接收方的保存期限等可能带来的个人信息安全风险;
(2)在附件二中补充,境外接收方对采取技术管理措施的安全性说明,并提供对相关内容的证明文件,以及发生安全事件的处置及责任分摊说明。
要点三:标准合同签署后应注意的事项
1.标准合同的备案工作
《标准合同办法》第7条中规定了个人信息处理者应在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案材料不仅包括个人信息处理者与境外接收者之间根据标准合同实际签订的出境合同,还包括对应的PIA报告。虽然备案并非标准合同的生效要件,但其是企业自证合规的重要依据。结合《标准合同办法》和《个人信息保护法》的相关规定,未完成标准合同备案义务可能面临警告、罚款、吊销业务许可、公示信用档案记录等处罚。因此,我们建议,企业应根据PIA过程中发现的问题进行查缺补漏,而且不仅是对当次个人信息出境活动进行合规优化,更应该根据每次PIA对企业内部整体的合规管理进行迭代完善。
2.履行标准合同中的义务
标准合同规定由个人信息处理者承担标准合同条款的履约举证责任。因此若个人信息处理者举证不能,则可能要面临被约谈或是被处罚的不利后果。故个人信息处理者作为合同一方必须做到全面履约、工作留痕。现总结标准合同中个人信息处理者与境外接收方的合规义务如下:
3.动态关注数据出境情况
《标准合同办法》第8条规定了重新签订并备案,即在可能影响个人信息权益的相关因素发生变化时,个人信息处理者应当重新签订标准合同并备案。首先,从全球个人信息保护领域来看,相关政策法规均在以较高的频率更新变化;其次,互联网科技仍在迅速发展,企业的业务模式变动活跃,因此极有可能导致向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式等发生变化。综合两点因素,企业可能面临频繁的重签和备案工作。
相关研究
-
11-052020
工程量清单项目特征描述不准确导致的争议及规避措施
工程量清单项目的特征决定了工程实体的实质内容,直接决定了工程实体的自身价值(价格),应予以详细而准确的表述和说明。 -
05-292020
企业赴美上市指南
美国的资本市场是以投资人选择为导向,以注册制为原则,赴美上市成功的关键在于企业的基本面和投资人的认可。 -
10-292020
《民法典》《九民纪要》下合同不成立、无效、被撤销或确定不发生效力的情形和法律后果简析
本文重点参考《<民法典>理解与适用》及《<九民纪要>理解与适用》中的观点,并简析《民法典》《九民纪要》下,合同不成立、无效、被撤销或确定不发生效力的情形和法律后果。 -
02-192020
《治安管理处罚法》五十一条第一款第一项不宜随意适用
这段时间,各地均采取了非常严格的防控措施,两高也相继出台文件,要求严打防控期间的种种破坏防疫工作的违法行为。我们也看到很多媒体在一些短视频平台或者微博这样的社交媒体上,发布一些破坏社会秩序、以及不服执法人员管控的视频,最终这些人都受到了法律的制裁。 -
04-222020
建设工程项目部印章对合同效力的影响及使用时的注意事项
本文将对盖章行为不规范引起的合同效力问题进行分析,主要讨论盖章主体没有权限以及使用未经备案公章盖章的行为效力。
沪公网安备 31011502009353号