早于2022年6月30日,国家网信办便发布了《个人信息出境标准合同规定(征求意见稿)》。历经半年有余,2023年2月22日,网信办正式发布了《个人信息出境标准合同办法》(以下简称《标准合同办法》),并明确《标准合同办法》将于2023年6月1日开始生效施行。《标准合同办法》作为受到国家强监管的格式合同,其正式发布意味着继《数据出境安全评估办法》、《网络安全标准实践指南——个人信息跨境处理活动认证规范V2.0》后,《个人信息保护法》第三章第三十八条所确立的个人信息跨境提供三大机制全面落地。本团队特撰写此文,对个人信息出境标准合同的适用场景,正式文本与征求意见稿相比内容的变化,以及标准合同语境下个人信息出境的合规要点进行专业解读。
01
《标准合同办法》的适用场景
(一)什么是“跨境提供”?
首先,《个人信息保护法》第三十八条和《数据出境评估办法》第二条明确指出,其规制的是数据的“提供”行为。在《数据出境安全评估申报指南(第一版)》(简称《申报指南》)中明确指出,以下情形属于数据出境行为:
> 数据处理者将在境内运营中收集和产生的数据传输、存储至境外;
> 数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、*载下**、导出;
> 国家网信办规定的其他数据出境行为。
可见,数据出境主要包含两种方式:一种是跨越国境、边境或政治边界的数据流动。另一种是指随着经济全球化的发展与数据处理技术的应用,在数据不发生地理位置转移的情况下,仍可被境外主体掌控或访问的场景。
在实践中,数据出境的常见场景及其具体表现:
1.数据主动出境
数据处理者将在境内运营中收集和产生的数据传输、存储至境外。包括境内主体使用专用于数据传递功能的软件或硬件介质,向境外主体提供数据、境内主体使用服务器位于海外的信息系统、软件平台时产生的数据上载或存储。
2.数据被动出境
数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、*载下**、导出。主要包括公开网页访问、境外访问数据处理者部署于境内的服务器/数据库/信息系统。
3.其他特殊情形
如境外信息境内加工再传输至境外,即在中国境内对数据进行加工处理,涉及境内产生的个人信息或其他数据,且将加工后的数据传输至境外。
(二)个人信息出境的三种主要途径
目前,对于个人信息,我国已形成了以《网络安全法》、《数据安全法》、《个人信息保护法》三部法律为基本指导,《数据出境安全评估办法》、《个人信息处境标准合同办法》等规章为具体指引的法律规范体系。
根据《个人信息保护法》第三十八条规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(1)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(2)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(3)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(4)法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
目前个人信息主要可以通过三种方式出境,即数据安全评估、保护认证、标准合同。根据相关法律规范内容,这三种个人信息出境方式的适用条件、场景有所差异,具体表现为:
(三)《标准合同办法》的适用场景
根据《个人信息出境标准合同办法》第四条规定,《标准合同办法》的适用应当同时符合以下条件:
(1)非关键信息基础设施运营者;
(2)处理个人信息不满100万人的;
(3)自上年1月1日起累计向境外提供个人信息不满10万人的;
(4)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
可见,《标准合同办法》主要适用于短期、临时性的中小型企业个人信息出境行为,或跨境交易中场景清晰的个人信息出境。从跨境数据处理者类型并结合实际情况来看,目前国内互联网企业或TOC类型的大中型企业所掌握的用户数量普遍超过100万人;其次,重知识产权和高研发投入企业往往涉及重要数据(如汽车数据)或大量敏感个人信息(人脸数据),极易落入《数据出境安全评估办法》的监管范围;再次,关于关键信息基础设施的判断,其法律依据为《关键信息基础设施安全保护条例》。关键信息基础设施主要涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。如大型国防企业、电信公司、金融机构以及医疗机构因其行业属性和行业地位亦有较高几率构成关键信息基础设施运营者,进而被排除在标准合同的适用范围之外。
02
正式文本相较征求意见稿的核心变化
早于2022年6月30日,国家网信办便发布了《个人信息出境标准合同规定(征求意见稿)》,距离此次《标准合同办法》正式文本发布已过去了半年有余。将《征求意见稿》与《标准合同办法》内容进行对比发现,正式文本主要发生了如下核心变化:
· 进一步强调与数据出境安全评估的适用条件差异,并新增例外情形
正式文本新增了禁止个人信息处理者采取数量拆分等手段规避申报安全评估的规定,并就《标准合同办法》的适用范围增加了“法律、行政法规或者国家网信部门另有规定的,从其规定”的例外规定。应当认为,企业正常的系统拆分、业务划分、生产条线转移等商业措施引起的“数量拆分”,不应被认为不合理的手段。此处的“数量拆分”应指企业将与其他公司无关的个人信息处理活动嫁接到其他公司名下等不合理手段使得企业本应统计的个人信息可以减量,即将本应合并计算的个人信息出境数量通过在下属子公司以及关联公司之间的刻意分配来达到无需申报出境安全评估的目的。
· 明确《标准合同办法》文本不可修改
《标准合同办法》第六条明确规定,标准合同应当严格按照本办法附件订立。国家网信部门可以根据实际情况对附件进行调整;个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。个人信息处理者与境外接收方拟定的其他条款不能与标准合同相冲突,意味着《标准合同办法》中规定的个人信息处理者和境外接收方的义务不能减少或豁免,尤其是境外接收方的相关安全保障义务。双方可能仅能就具体规则的实施方式进行细化或就法定以外的其他责任在双方之间进行分配而进一步约定,且约定内容不能与标准合同原有内容相冲突。
· 新增重新开展个人信息保护影响评估的义务
《标准合同办法》第八条规定,如触发法定事项,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续。可见,相较征求意见稿所明确的“补充或重新订立并重新备案”外,正式稿明确提出个人信息处理者还应重新开展个人信息保护影响评估。
· 删除“数量发生变化”时需要补充或重新订立标准合同
根据《个人信息出境标准合同办法》第八条,向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同。
征求意见稿中曾包含“数量变化”这一场景,但是在正式稿中删除了。这一变动可能是考虑到在个人信息出境活动中,数量很难保持一个固定的数值。如果数量发生变化就需要补充或重新订立标准合同,会导致企业频繁重新备案。此外,选择标准合同路径的企业本身就是由于未达量无需申报安全评估的企业,无论数量如何变化,始终低于申报安全评估的阈值,一定程度上可以理解为安全风险在可控范围。
· 新增“约谈并要求整改”的风险控制手段
《标准合同办法》第十一条规定,省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改,消除隐患。
除了《标准合同办法》以上核心内容的变化,《标准合同》条文内容也发生了如下改变:
· 明确单独同意仅适用于以个人同意为合法性基础的处理活动
《标准合同》第二条第三款明确规定,基于个人同意向境外提供个人信息的,应当取得个人信息 主体的单独同意。事实上,自《个人信息保护法》出台以后,关于“单独同意”与合法性基础的争论方兴未艾。此次《标准合同》正式明确“基于同意向境外提供个人信息的”,才需取得单独同意。
· 明确以境内数据处理者为主要抓手,监管境外个人信息处理活动
如《标准合同》第二条第(七)项删除征求意见稿中关于境外接收方答复监管机构询问的例外情形,进一步体现以境内处理者作为监管抓手的趋势。
· 在合规的前提下提供更灵活的义务履行方式
如《标准合同》第二条第(九)项及第三条第(三)项将“遮蔽处理”调整“适当处理”;第三条第(五)项将“删除或匿名化处理”调整为“应当删除,如删除从技术上难以实现,应停止除存储和采取必要安全保护措施之外的处理”。
· 对标《个人信息保护法》调整境外接收方的合同权利与义务
如《标准合同办法》第三条下新增要求“境外接收方受托处理个人信息不得超出约定的处理目的、处理方式”;第(四)项新增要求“境外接收方采取对个*权人**益影响最小的方式处理”。
· 调整合同解除的情形
《标准合同办法》第七条新增因境外接收方所在国或地区政策或法规变化导致无法履约的合同解除情形;删除了境外接收方破产、解散或清算及因监管机构原因导致的合同解除情形。
· 简化责任形式
相较于征求意见稿对违约责任的繁杂规定,《标准合同》第八条明确双方应就违反本合同给对方造成的损失承担责任,且民事责任的承担不影响个人信息处理者应承担的行政、刑事责任。同时,连带责任需依法确定,并提出“对外连带,对内按份”的归责原则。
03
《标准合同办法》的合规要点解读
前文对《标准合同办法》的适用场景及正式文本相较于征求意见稿的核心变化。下文将结合《标准合同办法》及《标准合同》的具体内容,探讨标准合同语境下的合规要点,以期为境内个人信息处理者个人信息跨境传输标准合同路径指明方向和避免法律风险。
· 尽早完成个人信息跨境传输合规整改
根据《标准合同办法》第十三条规定,本办法施行前已经开展的个人信息出境活动,不符合本办法 规定的,应当自本办法施行之日起6个月内完成整改。合规整改需根据个人信息保护影响评估的情况,针对个人信息处理者及境外接收方的合规差距,制定合规整改计划表,并推进整改工作。包括但不限于起草隐私政策等告知文本,制定同意/其他合法性基础方案,设计产品交互界面(如需),落实行权响应机制,采取管理措施和技术措施,并逐项审查落实《标准合同》为缔约双方设定的义务清单等。
· 完成个人信息保护影响评估
根据《标准合同办法》第七条规定,个人信息处理者在标准合同备案时应同时提交个人信息保护影响评估报告。同时,根据《标准合同办法》第五条,个人信息保护影响评估应重点围绕以下内容进行:
(1)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
(2)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;
(3)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
(4)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(5)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
(6)其他可能影响个人信息出境安全的事项。
· 开展《标准合同》及个人信息保护影响评估报告的备案工作
根据《标准合同办法》第七条规定,个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案,且个人信息处理者应当对所备材料真实性负责。
· 重新开展评估、备案
根据《标准合同办法》第八条规定,在个人信息出境安全风险发生变化的场合,个人信息处理者应当重新开展个人信息保护影响评估,补充或重新订立标准合同,并履行相应备案手续。安全风险发生变化的情景包括:
(1)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用 途、方式发生变化,或者延长个人信息境外保存期限的;
(2)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
(3)可能影响个人信息权益的其他情形。
· 履行《标准合同》中强制性义务规定
《标准合同》为个人信息处理者和境外接收方设置了一系列强制性义务,经疏理,主要包括以下内容:(1)信息处理活动的合法性、最小性、透明性及其他限制;(2)信息跨境安全保障;(3)个人信息主体权益保护;(4)合同履行的协助义务与举证责任;(5)接受监管及信息透明义务等方面。具体而言:
本文作者:阮紫晴 上海申浩律师事务所 孙俊律师团队实习律师,苏州大学刑法学硕士研究生。主要研究领域为行政刑法、刑事合规、数据犯罪等领域。
孙俊 上海申浩律师事务所合伙人,上海交通大学法律硕士研究生,香港大学财务与投资管理硕士。2016年开始关注区块链方面的政策与法律,并购买了大量的比特矿机和莱特矿机进行挖矿。2017年在区块链行业从事投资收购工作,收购金额达到百亿。2018年-至今专注因为电信诈骗和网络赌博引起的洗钱风险研究以及处理过很多大型的经济金融领域的刑事犯罪,参与过很多解冻卡业务。