中國關(guān)于個人信息跨境傳輸機制的最新進展
根據(jù)《個人信息保護法》(“《個保法》”)第38條,個人信息處理者向中華人民共和國境外(“中國”,僅為本文之目的,不含香港特別行政區(qū)、澳門特別行政區(qū)和臺灣省)提供個人信息,應(yīng)當具備下列條件之一:通過國家網(wǎng)信部門組織的安全評估、經(jīng)專業(yè)機構(gòu)進行個人信息保護認證、與境外接收方訂立標準合同、或滿足其他法定條件。
2022年6月24日,全國信息安全標準化技術(shù)委員會秘書處發(fā)布了《網(wǎng)絡(luò)安全標準實踐指南—個人信息跨境處理活動安全認證規(guī)范》(“《認證規(guī)范》”),以落實《個保法》的個人信息保護認證制度,標志著我國進一步探索個人信息跨境的可行路徑,為認證機構(gòu)實施認證提供依據(jù)、亦為企業(yè)開展合規(guī)工作提供參考。如下要點值得特別關(guān)注。
其一,《認證規(guī)范》具有特定的適用范圍。
1. 跨國公司或者同一經(jīng)濟、事業(yè)實體下屬子公司或關(guān)聯(lián)公司之間的跨境處理活動。并且,《認證規(guī)范》要求處理者與境外接收方之間簽訂“具有法律約束力和執(zhí)行力的文件”,并不限于“協(xié)議”,這與歐盟GDPR下的“有約束力的公司準則(BCRs)”或有相通之處,值得跨國公司關(guān)注。
2. 受《個保法》域外管轄的境外處理活動。此時涉及頗具爭議的一個問題——從境外直接收集個人信息是否適用《個保法》第三章的跨境規(guī)則。可能的解釋包括:(1)從境外直接收集境內(nèi)自然人的個人信息時,境外處理者即適用跨境規(guī)則,并由其在境內(nèi)設(shè)置的專門機構(gòu)或指定代表作為境內(nèi)處理者;(2)個人信息出境后再次傳輸時,境外處理者才適用跨境規(guī)則,認證則是一種可行路徑。
其二,《認證規(guī)范》數(shù)次強調(diào)監(jiān)管響應(yīng)與法律責任承擔。
一方面,以境內(nèi)實體作為我國監(jiān)管的抓手:《認證規(guī)范》要求由跨國公司的境內(nèi)公司、或境外處理者在境內(nèi)的專門機構(gòu)或指定代表申請認證,并由上述境內(nèi)實體承擔法律責任。該等法律責任帶來的衍生效果包括,無關(guān)聯(lián)關(guān)系的境內(nèi)主體(如專業(yè)中介機構(gòu))對擔任境外處理者的指定代表有較多顧慮,而沒有境內(nèi)關(guān)聯(lián)實體的境外處理者在指定代表時可能面臨困境。
另一方面,個人信息處理者和境外接收方均需承諾:遵守中國關(guān)于個人信息保護的法律與行政法規(guī)的保護標準,接受中國認證機構(gòu)的監(jiān)督(如答復(fù)詢問、例行檢查),并接受中國的司法管轄。
其三,《認證規(guī)范》重申、細化或提高了《個保法》關(guān)于個人信息跨境的合規(guī)要求。
《認證規(guī)范》的基本要求包括:個人信息處理者和境外接收方均應(yīng)指定個人信息保護負責人(由決策層成員擔任)和保護機構(gòu),簽訂具有法律約束力和執(zhí)行力的文件(“法律文件”),明確各方統(tǒng)一遵守的個人信息跨境處理規(guī)則(包括個人信息的類型與數(shù)量、處理目的與方式、存儲期限、中轉(zhuǎn)地、個人信息主體權(quán)益保障、安全事件處理等),并由處理者事先開展個人信息保護影響評估。
此外,《認證規(guī)范》特別強調(diào)對個人信息主體權(quán)益的保障,將《個保法》下的個人信息主體權(quán)利(包括提起訴訟)的行使擴展至境外接收方;同時,明確個人作為上述法律文件中涉及個人信息主體權(quán)益相關(guān)條款的受益人,有權(quán)要求獲取該等條款的副本。該等要求與《個人信息出境標準合同(征求意見稿)》的思路亦有相通之處。
2022年6月30日,國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《個人信息出境標準合同規(guī)定(征求意見稿)》(“《規(guī)定》”)及《個人信息出境標準合同(征求意見稿)》(“《標準合同》”),為《個保法》下個人信息跨境條件之一的“標準合同”提供了落地方案。
《標準合同》在相當程度上借鑒了歐盟標準合同條款(“SCC”),同時體現(xiàn)了我國個人信息保護與監(jiān)管的特色與側(cè)重點。海問律師已協(xié)助眾多中國企業(yè)落地歐盟SCC,特別是Schrems II案后應(yīng)對額外的實質(zhì)保障與補充措施要求。企業(yè)可以參考《規(guī)定》及《標準合同》所體現(xiàn)的最新趨勢,提前開展個人信息跨境提供的合規(guī)部署工作,并對基于歐盟GDPR的跨境框架(如有)進行相應(yīng)的調(diào)整。其中,如下要點值得特別關(guān)注。
1.厘定標準合同的適用范圍,大量出境個人信息的企業(yè)或難適用標準合同
根據(jù)《規(guī)定》,適用標準合同的個人信息處理者(“處理者”或“境內(nèi)提供方”)需同時符合以下情形:(1)非關(guān)鍵信息基礎(chǔ)設(shè)施運營者,(2)處理個人信息不滿100萬人,(3)自上年1月1日起累計向境外提供未達到10萬人個人信息,且(4)自上年1月1日起累計向境外提供未達到1萬人敏感個人信息。
與上述任一情形相反,即為《數(shù)據(jù)出境安全評估辦法(征求意見稿)》(“《評估辦法》”)的適用范圍,需通過網(wǎng)信部門進行安全評估。但《規(guī)定》就出境累計計算新增了“自上年1月1日起”的限定,即累計期間最多不超過2年,適當放松了對出境活動的監(jiān)管。不過,基于我國的人口基數(shù),上述100萬、10萬、1萬的門檻實際較低,并且以處理者整體為單位,并不區(qū)分業(yè)務(wù)場景,因此,實踐中大量企業(yè)可能無法適用標準合同,而需進行安全評估。
此外,標準合同與安全評估在實踐中仍有相通之處。例如,《評估辦法》要求處理者與境外接收方擬訂合同等具有法律效力的文件,且對合同內(nèi)容的要求與《標準合同》存在大量重合之處。《標準合同》由國家網(wǎng)信部門制定,企業(yè)即使不直接適用標準合同,也可以參考《標準合同》來擬定數(shù)據(jù)出境相關(guān)合同。
2.標準合同要求備案,為事后監(jiān)管提供抓手
《規(guī)定》對標準合同采用“自主締約與備案管理相結(jié)合”的監(jiān)管路徑。一方面,標準合同無需事前審批即可生效。另一方面,境內(nèi)提供方應(yīng)在標準合同生效之日起10個工作日內(nèi),向所在地省級網(wǎng)信部門備案,備案時應(yīng)提交標準合同(除格式條款外,還包含個案具體的保護措施及出境情況說明)、個人信息保護影響評估報告。
對比歐盟GDPR,在Schrems II案后,歐盟固然對SCC提出了更高的要求——境內(nèi)提供方需證明個人數(shù)據(jù)出境后實質(zhì)上可達到歐盟同等保護水平,而非僅是形式上簽署SCC文本,但仍不要求備案SCC。
《規(guī)定》要求備案標準合同,雖然區(qū)別于安全評估的個案事前審批,但給監(jiān)管留足了事后審查的抓手——省級以上網(wǎng)信部門發(fā)現(xiàn)個人信息出境活動不再符合監(jiān)管要求,則書面通知處理者終止出境活動。處理者違反備案要求的,責令限期改正;拒不改正或損害個人信息權(quán)益的,責令停止個人信息出境活動,依法予以處罰;構(gòu)成犯罪的,依法追究刑事責任。
3.細化出境場景下的個人信息保護影響評估,且評估報告要求備案
《個保法》提出了個人信息保護影響評估(“PIA”),并規(guī)定了各個適用場景通用的評估項:(1)處理目的、處理方式等是否合法、正當、必要,(2)對個人權(quán)益的影響及安全風(fēng)險,(3)保護措施是否合法、有效并與風(fēng)險程度相適應(yīng)。
《規(guī)定》針對出境場景,進一步細化了PIA的評估項,額外強調(diào)了:(1)境外接收方對履行個人信息保護義務(wù)與責任的承諾、措施、能力,(2)個人信息出境后被泄露、損毀、篡改、濫用等風(fēng)險,(3)境外接收方所在國家或地區(qū)(“境外接收地”)的個人信息保護政策法規(guī)對履行標準合同的影響。《規(guī)定》要求處理者備案PIA報告,但并未具體規(guī)定報告的顆粒度,這可能成為企業(yè)合規(guī)實踐的關(guān)注重點之一。
《規(guī)定》的PIA與《評估辦法》的數(shù)據(jù)出境風(fēng)險自評估的評估項多有相似,不同之處在于,后者額外強調(diào)評估數(shù)據(jù)出境對國家安全、公共利益、個人或組織合法權(quán)益的風(fēng)險,或許是安全評估還涉及重要數(shù)據(jù)、大量數(shù)據(jù)的特殊性質(zhì)使然。
4.中國版TIA:評估境外接收地的個人信息保護政策法規(guī)對履行標準合同的影響
《規(guī)定》要求處理者在PIA中評估境外接收地的個人信息保護政策法規(guī)對履行標準合同的影響,并在《標準合同》第4條規(guī)定了評估的具體內(nèi)容。究其淵源,歐盟在Schrems II案中對SCC這一跨境工具進行加碼,額外要求對數(shù)據(jù)接收地的法律及實踐是否妨礙數(shù)據(jù)接收方履行合同義務(wù)進行評估(“傳輸影響評估/TIA”),TIA亦成為最新版SCC的組成部分。
中國版TIA已在歐盟的基礎(chǔ)上進行了簡化,但于企業(yè)而言仍屬于高難度的合規(guī)動作,我們結(jié)合基于GDPR的跨境框架開展TIA的實踐經(jīng)驗,提示在我國《標準合同》下開展TIA的核心考慮點如下。
5.采取合適的技術(shù)、管理措施,切實保障個人信息安全
標準合同并不限于單純的文本,其中約定的技術(shù)、管理措施是降低個人信息出境安全風(fēng)險更為直接、有效的方式,也是合同履行與合規(guī)實踐中的重難點。《標準合同》要求由締約方自行列明所采取的技術(shù)、管理措施,并提供加密、匿名化、去標識化、訪問控制作為示例。歐盟在SCC附錄二、EDPB關(guān)于補充措施的指南中對該等措施進行了詳細的提示,在實踐中可供企業(yè)參考。
安全并非絕對的概念,《標準合同》也對技術(shù)、管理措施進行了限定:一方面,境內(nèi)提供方需盡“合理的”努力確保境外接收方采取安全措施,且安全措施系綜合考慮個人信息出境的具體事實進行個案選擇。另一方面,境外接收方需采取“有效的”措施,并定期檢查以維持“適當?shù)摹卑踩健嵺`中,安全措施的把握尺度必將成為重點課題,也不太可能有標準答案。
6.具體規(guī)制個人信息出境后的二次傳輸,以書面協(xié)議保障同等保護水平
《個保法》對處理者“向境外提供”個人信息進行了規(guī)制,而除了個人信息從我國境內(nèi)到境外的“一次傳輸”,《評估辦法》已注意到了數(shù)據(jù)出境后的“再轉(zhuǎn)移”問題,《標準合同》則在境外接收方的義務(wù)中規(guī)制個人信息的“再提供”(即“二次傳輸”)。
根據(jù)《標準合同》,境外接收方不得將個人信息提供給位于中國境外的第三方,除非同時符合以下要求:(1)確有業(yè)務(wù)需要;(2)已告知個人,并取得單獨同意(除非法律法規(guī)另有規(guī)定);(3)與第三方達成書面協(xié)議,確保第三方達到同等保護水平,并承擔連帶責任;(4)向境內(nèi)提供方提供與第三方的協(xié)議副本。并且,《標準合同》附錄一要求說明該等第三方。
我國試圖通過境外接收方的合同義務(wù),在二次傳輸環(huán)節(jié)延展我國的個人信息保護標準,但實踐中可能存在以下難點:(1)在簽訂標準合同時,境外接收方難以準確預(yù)估二次傳輸?shù)男枨螅绕涫堑谌降木唧w身份(歐盟SCC則允許僅向個人告知第三方的類型);(2)《標準合同》并未指明“單獨”同意的顆粒度;(3)二次傳輸要求簽訂協(xié)議,但并未指明可否適用《個保法》第38條的其他條件(歐盟SCC則允許二次傳輸使用GDPR下的多項跨境傳輸工具)。
7.擴張審計的適用,境外接收方有義務(wù)就合同項下的處理活動接受審計
在個人信息保護的語境下,“審計”是相對較新的概念,也是比較強勢的合規(guī)監(jiān)督措施。《個保法》提出了處理者針對自身處理活動的合規(guī)審計,國家標準《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273-2020)提出了處理者對于受托方、第三方接入工具(如SDK)的審計。
《標準合同》進一步擴張了審計的應(yīng)用場景,可能成為雙方簽約的談判難點。境外接收方無論是獨立的處理者還是委托處理的受托方,均有義務(wù)允許并配合境內(nèi)提供方對本合同涵蓋的處理活動進行審計,且境內(nèi)提供方有義務(wù)根據(jù)相關(guān)法律法規(guī)要求向我國監(jiān)管機構(gòu)提供該等審計結(jié)果。對比歐盟SCC,僅受托方有義務(wù)允許該等審計,兩個獨立的處理者之間并不要求審計,除非監(jiān)管機構(gòu)要求對境外接收方進行審計。
此外,《標準合同》規(guī)定了境外接收方需向境內(nèi)提供方提供審計報告的兩種情形:(1)合同解除時,對個人信息進行銷毀或匿名化處理;(2)作為受托方,在超出存儲期限后,對個人信息進行刪除或匿名化處理。在類似情形下,歐盟SCC僅要求境外接收方進行“證明(certify)”,而《標準合同》進一步要求“提供審計報告”,這也體現(xiàn)了監(jiān)管機構(gòu)對于審計這一形式的認可。
8.個人有權(quán)要求雙方提供具體的合同副本,進一步落實知情權(quán)
《個保法》明確了個人的知情權(quán),并要求處理者公開個人信息處理規(guī)則。《標準合同》則進一步提出,境內(nèi)提供方、境外接收方均有義務(wù)經(jīng)個人要求而提供標準合同副本。歐盟SCC也有類似要求,據(jù)觀察實踐中尚未得到充分落實。
合同副本不限于網(wǎng)信辦制定的格式條款,也包括標準合同中針對個案具體的保護措施及出境情況說明,這是保障個人對其個人信息處理活動的知情權(quán)的應(yīng)有之義。同時,《標準合同》也考慮到了企業(yè)保護商業(yè)秘密或其他機密信息的需求,允許對合同副本進行適當遮蔽,但仍需向個人提供有效摘要以助其理解合同內(nèi)容。
企業(yè)在擬定標準合同時可以就此提前籌劃:一方面,合理設(shè)計標準合同副本,平衡個人知情權(quán)與企業(yè)機密保護;另一方面,合理設(shè)計個人身份及其個人信息所涉出境活動的確認機制,有針對性地提供副本,避免企業(yè)標準合同的大規(guī)模流通。
京ICP備05019364號-1 
京公網(wǎng)安備110105011258
近日,北京市海問律師事務(wù)所(“本所”)發(fā)現(xiàn),網(wǎng)絡(luò)上存在將一家名為“廣州海問睿律咨詢顧問有限公司”的主體與本所進行不當關(guān)聯(lián)的大量不實信息,導(dǎo)致社會公眾產(chǎn)生混淆與誤解,也對本所的聲譽及正常執(zhí)業(yè)活動造成不良影響。
本所特此澄清,本所與“廣州海問睿律咨詢顧問有限公司”(成立于2025年11月)不存在任何隸屬、投資、關(guān)聯(lián)、合作、授權(quán)或品牌許可關(guān)系,亦從未授權(quán)任何主體以“海問”的名義提供法律咨詢服務(wù),該公司的任何行為與本所無關(guān)。更多詳情,請點擊左下方按鈕查看。
