2023年2月24日,国家互联网信息办公室发布了《个人信息出境标准合同办法》(“《办法》”)以及相应的个人信息出境标准合同文本(“标准合同”)。相较于数据出境安全评估、个人信息保护认证,企业与境外数据接收方签订标准合同是一条操作便利、成本较低的路径。本文将对《办法》及标准合同的适用范围、重点内容等进行解析,为企业数据出境提供助益。
根据《办法》第四条,个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形:
由此可见,标准合同主要适用于数据出境规模较小的企业,或偶发性与境外企业进行涉及个人信息跨境传输的业务合作,例如:
外资企业基于人力资源管理需求,需将员工数据传输至或存储在境外服务器上,或给予境外总部访问境内存储的员工档案等数据的权限,涉及的数据量未达数据出境安全评估标准;
医学研究、境内企业赴境外参展、业务研讨等可能涉及个人信息传输;
在该业务中,涉及境内外企业职工、经营等数据交换,可采用签订标准合同满足我国对于个人信息数据的保护要求。
需注意的是,《办法》第四条明确规定,个人信息处理者不得采用数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。鉴于实务场景复杂,企业难以判断是否落入规避监管的范围,建议由律师评估并结合监管部门咨询答复、行业惯例等因素综合考量后,决定采取何种数据出境路径。
根据标准合同第二条第2、3款的约定,个人信息出境需取得个人的单独同意。签署标准合同前,个人信息处理者应当向个人信息主体告知境外接收方的相关情况,以及行使个人信息主体权利的方式和程序等事项,并已取得个人单独同意。建议企业将告知类条款纳入隐私政策或用户协议中,并通过个人签署、确认的方式获得个人信息主体及未成年人父母或监护人的单独同意。
除上述单独同意的限制要求外,在标准合同模板中还约定了个人信息处理者和境外数据接收方需要向个人承担的义务及个人的权利。在个人权利救济方面,其可以通过诉讼或向监管机构投诉的方式来获得救济;任何一方因违反标准合同而侵害个人享有的权利,应当对个人承担民事法律责任。若双方依法承担连带责任,个人有权请求任何一方或者双方承担责任。
根据《办法》第六条,标准合同应当严格按照《办法》附件订立。国家网信部门可以根据实际情况对附件进行调整。个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。
企业应严格按照标准合同模板订立标准合同,不得随意修改。对于标准合同中未约定部分,双方可以在标准合同附录二处进行进一步约定。根据标准合同第九条第1款“如本合同与双方订立的任何其他法律文件发生冲突,本合同的条款优先适用”,标准合同的效力将优先于合同双方之间的其他协议、备忘录等。因此,企业在开展业务时应将数据合规纳入整体考虑范围内,避免产生文件之间的冲突,造成时间、经济、精力等浪费。
根据《办法》第五条,个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估。个人信息处理者可以参照《个人信息安全影响评估指南》和《信息安全技术个人信息安全规范》中的指引和标准,从个人信息的处理目的、处理方式等是否合法、正当、必要,对个人权益的影响及安全风险、所采取的保护措施是否合法、有效并与风险程度相适应等方面开展个人信息保护影响评估。具体分析详见下述第三章。
根据《办法》第七条,个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案应当提交以下材料:(一)标准合同;(二)个人信息保护影响评估报告。
备案不是标准合同生效的前置条件,企业在开展个人信息保护影响评估并在标准合同生效后便可开展个人信息出境活动。《办法》并未规定网信部门对备案材料进行实质审查,也未将合同备案作为相关数据出境的前置条件,但我们建议企业按法律规定在《标准合同》生效之日起10个工作日内向所在地省级网信部门备案,并提交《标准合同》文本及个人信息保护影响评估报告。若在符合规定的情形下不进行备案,依据《个人信息保护法》等法律法规,企业将面临罚款、停业整顿、吊销营业执照等行政处罚;构成犯罪的,将被追究刑事责任。
备案并非一劳永逸,根据《办法》第八条,在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:(一)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;(二)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;(三)可能影响个人信息权益的其他情形。
企业应对个人信息出境后可能出现的各类情况有合理预期,定期跟进境外接收方的个人信息处理过程以及所在地法律、政策环境的变化情况,防患于未然。
根据《办法》第五条,个人信息保护影响评估应重点评估以下内容:
梳理业务场景与相关业务合同;
通过问卷、访谈、数据库扫描等途径收集所需信息,包括信息系统、拟出境数据情况、数据安全保障能力、境外接收方情况等;
开展技术、法律尽职调查并进行整改;
建立个人信息保护、数据安全等企业内部合规制度;
与境外信息接收方签订法律文件;
出具个人信息保护影响评估报告。依据企业规模、数据出境场景复杂程度、企业内部效率等因素,该评估预计在2-5个月不等。
《办法》自2023年6月1日起施行。施行前已经开展的个人信息出境活动但不符合《办法》规定的企业,应当自本办法施行之日起6个月内完成整改。根据我们的过往项目经验,整改工作涉及技术及法律层面的尽职调查、制度建立、对外协商沟通、法律文件签署、网络安全等级保护测评等多个方面。具体工作内容主要包括:
(1)内部制度建立
根据《个人信息保护法》《数据安全法》等法律法规要求,建立数据出境安全制度,包括但不限于风险评估制度、全流程管理制度、数据分类分级管理制度、数据安全应急处置制度、个人信息权益保护制度等。在企业内部设立数据安全管理部门,落实责任划分。
(2)数据保护系统搭建
若企业尚不具备数据安全技术能力,包括数据收集、存储、使用、加工、传输、提供、公开、删除等全流程所涉及的安全技术措施等,可聘请技术公司协助搭建并完成数据安全保障措施有效性证明,例如开展数据安全风险评估、数据安全能力认证、数据安全检查测评、数据安全合规审计、网络安全等级保护测评等。
(3)法律文件准备
根据《个人信息保护法》要求,境内个人信息处理者需取得个人信息主体的单独同意。故企业还需起草隐私协议、用户协议、个人信息处理告知书等法律文件,作为签订标准合同的前置文件。
考虑到企业评估、整改的工作复杂、耗时长且需要不同团队,不同业务部门的配合。企业应结合数据出境业务的实际情况,制定明确的整改工作时间表,尽早开展推进,务必于2023年12月1日前完成整改工作。
企业应尽早梳理出境数据的规模、范围、种类、敏感程度,确定其所适用的个人信息跨境传输合规路径。
鉴于个人信息保护应纳入涉外业务的准备范畴中,交易对手极有可能将数据保护要求作为业务谈判的争议点,因此境内企业需就标准合同中的条款逐一与对手方达成一致意见,应尽早与对手方梳理外国法相关合规义务的要求,谨慎评估其签署的其他文件或履行的合规义务是否可能违背包括《办法》在内的中国强制法的要求,为整体业务推进预留充足的时间(至少3个月)。
境内企业在选择境外交易对手时,应谨慎衡量境外接收方履行责任义务的管理和技术措施、能力等,评判能否保障出境数据的安全,并事先对交易对手所处的国家地区数据安全保护政策法规、网络安全环境和监督执法机构及相关司法机构进行评估。
《办法》的正式落地标志着我国个人信息保护和数据出境法律法规的进一步完善,是我国推动个人信息跨境流动合规的一项重要举措。在全球化重启的2023年,境内企业与境外企业之间联系与依存的程度将在既有基础上进一步加深,这也将带来更为紧密、频繁的跨境合作。对此,我们建议企业尽快根据《办法》要求,建立和完善企业内部合规体系,保障数据出境相关业务的顺利进行,积极融入数字经济全球化发展的浪潮。
-
joranwu@hengtai-law.com
-
021-68816261
-
Corporate and M&A/Private Equity and Investment Funds/Dispute Resolution/Securities and Capital Market/Intellectual Property/Family Law
-
Chinese、English
-
gufei@hengtai-law.com
-
021-68816261
-
Dispute Resolution/Securities and Capital Market
-
Chinese、English
-
gracieguo@hengtai-law.com
-
021-68816261
-
Corporate and M&A/Private Equity and Investment Funds/Dispute Resolution/Securities and Capital Market
-
Chinese