題21-1_畫(huà)板 1 副本.png)
題21-1_畫(huà)板 1.png)
本文將分為上下兩篇,上篇重點(diǎn)解讀適用《標(biāo)準(zhǔn)合同辦法》的核心關(guān)注點(diǎn)、下篇預(yù)測(cè)《標(biāo)準(zhǔn)合同》談判簽署中可能的疑難條款,為企業(yè)使用標(biāo)準(zhǔn)合同實(shí)現(xiàn)個(gè)人信息出境合規(guī)提供參考。關(guān)于安全評(píng)估、認(rèn)證的解讀,請(qǐng)見(jiàn)往期文章《數(shù)據(jù)流動(dòng)的分寸:評(píng)析〈數(shù)據(jù)出境安全評(píng)估辦法〉》和《跨境認(rèn)證——解讀個(gè)人信息出境的第三條路》。
上篇:作為出境機(jī)制的標(biāo)準(zhǔn)合同
《標(biāo)準(zhǔn)合同辦法》明確了標(biāo)準(zhǔn)合同作為一種個(gè)人信息出境機(jī)制的適用門(mén)檻、備案要求、條款內(nèi)容、自評(píng)估要求等內(nèi)容,為標(biāo)準(zhǔn)合同的落地實(shí)施奠定了基礎(chǔ)。
一、適用門(mén)檻與安全評(píng)估涇渭分明
標(biāo)準(zhǔn)合同與安全評(píng)估的適用條件相對(duì)立(詳見(jiàn)下表)。企業(yè)如果未達(dá)到安全評(píng)估的申報(bào)門(mén)檻,才可以選擇標(biāo)準(zhǔn)合同作為個(gè)人信息出境的合規(guī)機(jī)制。
此外,《標(biāo)準(zhǔn)合同辦法》中特別強(qiáng)調(diào)企業(yè)不得采取數(shù)量拆分等手段,規(guī)避安全評(píng)估的適用。根據(jù)我們的實(shí)踐經(jīng)驗(yàn),數(shù)量拆分可能包括如下情形:(1)將個(gè)人信息拆分至不同的公司實(shí)體,從而降低每個(gè)實(shí)體所處理或出境的個(gè)人信息數(shù)量;(2)將個(gè)人信息拆分至不同的時(shí)間周期,從而降低特定區(qū)間所涉的個(gè)人信息數(shù)量。
在實(shí)踐中,大型集團(tuán)公司的組織架構(gòu)與IT架構(gòu)比較復(fù)雜,可能存在多個(gè)公司實(shí)體、多條業(yè)務(wù)線共用信息系統(tǒng)、個(gè)人信息的情形。對(duì)此,企業(yè)在進(jìn)行數(shù)據(jù)盤(pán)點(diǎn)時(shí)需要區(qū)分符合實(shí)際情況的“客觀型拆分”、為了繞開(kāi)安全評(píng)估的“規(guī)避型拆分”,可以考慮以下因素:(1)處理目的:企業(yè)是否需要在業(yè)務(wù)中使用個(gè)人信息;(2)數(shù)據(jù)控制力:企業(yè)是否分別控制不同的服務(wù)器、信息系統(tǒng)(物理隔離),或者在同一信息系統(tǒng)中具有清晰的權(quán)限區(qū)分(邏輯隔離)。
(1)事實(shí)情況變化:向境外提供個(gè)人信息的目的、范圍、種類、敏感程度、方式、保存地點(diǎn)或者境外接收方處理個(gè)人信息的用途、方式發(fā)生變化,或者延長(zhǎng)個(gè)人信息境外保存期限的。
請(qǐng)注意,從《標(biāo)準(zhǔn)合同辦法》字面來(lái)看,出境個(gè)人信息“規(guī)模/數(shù)量”發(fā)生變化不在此列;但另一方面,如果出境數(shù)量到達(dá)10萬(wàn)人個(gè)人信息或1萬(wàn)人敏感個(gè)人信息(自上年1月1日起算),則將適用安全評(píng)估。
(2)境外接收地法律變化:境外接收方所在國(guó)家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)發(fā)生變化等,可能影響個(gè)人信息權(quán)益的。
請(qǐng)注意,只有政策法規(guī)變化且可能影響個(gè)人信息權(quán)益的方在此列。
(3)其他:可能影響個(gè)人信息權(quán)益的其他情形。
三、標(biāo)準(zhǔn)合同帶來(lái)的便捷與挑戰(zhàn)
針對(duì)個(gè)人信息出境,關(guān)于安全評(píng)估、標(biāo)準(zhǔn)合同、認(rèn)證的配套法規(guī)均在《個(gè)人信息保護(hù)法》的基礎(chǔ)上擴(kuò)展了自評(píng)估的內(nèi)容,且自評(píng)估的內(nèi)容具有較高重合度(詳見(jiàn)下表),有需要的企業(yè)或可在設(shè)計(jì)自評(píng)估模板時(shí)進(jìn)行通盤(pán)考慮。
、
為開(kāi)展自評(píng)估,企業(yè)需要對(duì)以下情況進(jìn)行盤(pán)點(diǎn)與分析:
(1)數(shù)據(jù)出境的基礎(chǔ)事實(shí):包括個(gè)人信息的種類、數(shù)量、敏感程度,處理的目的、方式,境外接收方的范圍等;
(2)數(shù)據(jù)出境的合規(guī)性:包括個(gè)人信息出境的合法性(如告知個(gè)人、滿足合法性基礎(chǔ)等),正當(dāng)性(如目的正當(dāng)、手段正當(dāng)、過(guò)程正當(dāng)),必要性(如數(shù)據(jù)類型、數(shù)量級(jí)、保存期限的最小必要);
(3)數(shù)據(jù)出境的風(fēng)險(xiǎn):包括正常情況下數(shù)據(jù)出境本身對(duì)于個(gè)人信息權(quán)益的風(fēng)險(xiǎn),以及發(fā)生數(shù)據(jù)安全事件的風(fēng)險(xiǎn)、對(duì)個(gè)人權(quán)益的影響及維權(quán)渠道;
(4)境外接收方的情況:包括境外接收方關(guān)于個(gè)人信息的管理措施、技術(shù)措施、保護(hù)水平(即硬實(shí)力),以及境外接收方通過(guò)《標(biāo)準(zhǔn)合同》等法律文件承擔(dān)的數(shù)據(jù)安全與保護(hù)義務(wù)(即約束力);
(5)境外接受地的法治情況:包括境外接收地關(guān)于個(gè)人信息保護(hù)的立法與監(jiān)管情況,是否會(huì)影響境外接收方履行本《標(biāo)準(zhǔn)合同》。詳見(jiàn)“四、2. 傳輸影響評(píng)估/TIA”。
(1)針對(duì)境外接受地的宏觀評(píng)估:TIA應(yīng)當(dāng)評(píng)估境外接受地關(guān)于個(gè)人信息保護(hù)的立法與標(biāo)準(zhǔn)、國(guó)際組織與國(guó)際承諾、執(zhí)法及司法機(jī)構(gòu)。但從字面上看,并不包含對(duì)于法律實(shí)踐情況的整體評(píng)估。
(2)針對(duì)特定數(shù)據(jù)出境活動(dòng)的個(gè)案評(píng)估:TIA應(yīng)當(dāng)結(jié)合本《標(biāo)準(zhǔn)合同》項(xiàng)下數(shù)據(jù)出境活動(dòng)的事實(shí)情況,以及該特定境外接收方的數(shù)據(jù)保護(hù)能力、關(guān)于數(shù)據(jù)安全事件、政府?dāng)?shù)據(jù)調(diào)取的負(fù)面歷史。
京ICP備05019364號(hào)-1 .png "備案圖標(biāo).png"){kind=small}
京公網(wǎng)安備110105011258
近日,北京市海問(wèn)律師事務(wù)所(“本所”)發(fā)現(xiàn),網(wǎng)絡(luò)上存在將一家名為“廣州海問(wèn)睿律咨詢顧問(wèn)有限公司”的主體與本所進(jìn)行不當(dāng)關(guān)聯(lián)的大量不實(shí)信息,導(dǎo)致社會(huì)公眾產(chǎn)生混淆與誤解,也對(duì)本所的聲譽(yù)及正常執(zhí)業(yè)活動(dòng)造成不良影響。
本所特此澄清,本所與“廣州海問(wèn)睿律咨詢顧問(wèn)有限公司”(成立于2025年11月)不存在任何隸屬、投資、關(guān)聯(lián)、合作、授權(quán)或品牌許可關(guān)系,亦從未授權(quán)任何主體以“海問(wèn)”的名義提供法律咨詢服務(wù),該公司的任何行為與本所無(wú)關(guān)。更多詳情,請(qǐng)點(diǎn)擊左下方按鈕查看。
