2023年2月22日���,國家互聯網信息辦公室(“網信辦”)發布《個人信息出境標準合同辦法》(“《標準合同辦法》”)及其附件《個人信息出境標準合同》(“《標準合同》”)?����!稑藴屎贤k法》將于2023年6月1日起施行����,并對此前已開展的個人信息出境活動予以6個月的整改寬限期��,即應在2023年12月1日之前完成整改�。至此��,隨著《數據出境安全評估辦法》《關于實施個人信息保護認證的公告》《個人信息跨境處理活動安全認證規范》《標準合同辦法》的相繼出臺與施行����,我國《個人信息保護法》關于個人信息出境的三大合規機制——安全評估����、認證、標準合同進入落地階段���。三種出境機制均涉及數據盤點、自評估��、法律文件簽署等前期工作��,需要預留充分的準備時間�����,企業已經來到了出境合規的關鍵時點。本文將分為上下兩篇,上篇重點解讀適用《標準合同辦法》的核心關注點���、下篇預測《標準合同》談判簽署中可能的疑難條款,為企業使用標準合同實現個人信息出境合規提供參考。關于安全評估��、認證的解讀�����,請見往期文章《數據流動的分寸:評析〈數據出境安全評估辦法〉》和《跨境認證——解讀個人信息出境的第三條路》。
《標準合同辦法》明確了標準合同作為一種個人信息出境機制的適用門檻���、備案要求、條款內容���、自評估要求等內容,為標準合同的落地實施奠定了基礎��。
一��、適用門檻與安全評估涇渭分明
標準合同與安全評估的適用條件相對立(詳見下表)��。企業如果未達到安全評估的申報門檻,才可以選擇標準合同作為個人信息出境的合規機制。
此外,《標準合同辦法》中特別強調企業不得采取數量拆分等手段�,規避安全評估的適用���。根據我們的實踐經驗�����,數量拆分可能包括如下情形:(1)將個人信息拆分至不同的公司實體���,從而降低每個實體所處理或出境的個人信息數量�;(2)將個人信息拆分至不同的時間周期�����,從而降低特定區間所涉的個人信息數量��。
在實踐中,大型集團公司的組織架構與IT架構比較復雜,可能存在多個公司實體�、多條業務線共用信息系統�、個人信息的情形����。對此��,企業在進行數據盤點時需要區分符合實際情況的“客觀型拆分”���、為了繞開安全評估的“規避型拆分”�,可以考慮以下因素:(1)處理目的:企業是否需要在業務中使用個人信息�����;(2)數據控制力:企業是否分別控制不同的服務器��、信息系統(物理隔離),或者在同一信息系統中具有清晰的權限區分(邏輯隔離)��。
《標準合同辦法》對標準合同采用“自主締約與備案管理相結合”的監管路徑。一方面�����,標準合同無需事前審批即可生效(對比:安全評估為事前審批)���,標準合同生效后可開展個人信息出境活動�。另一方面,企業應在標準合同生效之日起10個工作日內向所在地省級網信部門備案�����,提交(1)標準合同���、(2)個人信息保護影響評估(“自評估”或“PIA”)報告���。標準合同的備案為網信部門的事后監管提供了抓手——省級以上網信部門發現個人信息出境活動存在較大風險或者發生個人信息安全事件的�����,可以依法對個人信息處理者進行約談;個人信息處理者應當按照要求整改,消除隱患。相較于通過安全評估的結果有效期為2年,標準合同并沒有期限規定����,企業可以在標準合同中自主約定合同的有效期��。但簽訂標準合同并備案也并非一勞永逸,如果發生以下情形�,企業應重新開展自評估����、補充或重訂標準合同�、并履行備案手續。(1)事實情況變化:向境外提供個人信息的目的�����、范圍��、種類����、敏感程度���、方式�、保存地點或者境外接收方處理個人信息的用途����、方式發生變化���,或者延長個人信息境外保存期限的����。
請注意���,從《標準合同辦法》字面來看�����,出境個人信息“規模/數量”發生變化不在此列���;但另一方面��,如果出境數量到達10萬人個人信息或1萬人敏感個人信息(自上年1月1日起算),則將適用安全評估�����。
(2)境外接收地法律變化:境外接收方所在國家或者地區的個人信息保護政策和法規發生變化等�,可能影響個人信息權益的。
請注意,只有政策法規變化且可能影響個人信息權益的方在此列��。
(3)其他:可能影響個人信息權益的其他情形��。
三�、標準合同帶來的便捷與挑戰
標準合同應當嚴格按照網信辦制定的《標準合同》訂立���,不能修改既定的模板與條款�。與此同時,《標準合同》也給雙方留出了一定的靈活空間,設置了附錄二“雙方約定的其他條款(如需要)”,但不得與標準合同相沖突�。與之類似����,歐盟標準合同條款(SCC)也允許合同雙方在標準合同條款之外增加額外條款�����,只要該等條款不與既有條款相沖突、也不損害個人的基本權利與自由。根據我們的實踐經驗,境外接收方在履行《標準合同》個別既定條款時可能面臨挑戰���。關于《標準合同》疑難條款的解讀,請見本文《下篇:作為協議條款的標準合同》。《個人信息保護法》要求對影響較大的個人信息處理活動(包括但不限于出境)開展個人信息保護影響評估(“自評估”或“PIA”)����,并規定了自評估的通用內容:(1)個人信息的處理目的、處理方式等是否合法���、正當、必要���;(2)對個人權益的影響及安全風險;(3)所采取的保護措施是否合法��、有效并與風險程度相適應���。針對個人信息出境�,關于安全評估、標準合同����、認證的配套法規均在《個人信息保護法》的基礎上擴展了自評估的內容����,且自評估的內容具有較高重合度(詳見下表)����,有需要的企業或可在設計自評估模板時進行通盤考慮。
�、
為開展自評估�,企業需要對以下情況進行盤點與分析:
(1)數據出境的基礎事實:包括個人信息的種類�、數量����、敏感程度����,處理的目的���、方式����,境外接收方的范圍等;
(2)數據出境的合規性:包括個人信息出境的合法性(如告知個人���、滿足合法性基礎等),正當性(如目的正當����、手段正當�、過程正當)��,必要性(如數據類型�����、數量級、保存期限的最小必要)���;
(3)數據出境的風險:包括正常情況下數據出境本身對于個人信息權益的風險,以及發生數據安全事件的風險���、對個人權益的影響及維權渠道;
(4)境外接收方的情況:包括境外接收方關于個人信息的管理措施�����、技術措施�、保護水平(即硬實力)����,以及境外接收方通過《標準合同》等法律文件承擔的數據安全與保護義務(即約束力);
(5)境外接受地的法治情況:包括境外接收地關于個人信息保護的立法與監管情況��,是否會影響境外接收方履行本《標準合同》�����。詳見“四�����、2. 傳輸影響評估/TIA”。
歐盟在Schrems II案中對標準合同條款(SCC)這一跨境工具進行加碼,額外要求對境外接收地的法律及實踐(尤其是政府機構調取數據的權力)是否妨礙境外接收方履行合同義務進行評估(“傳輸影響評估/TIA”),TIA亦成為最新版SCC的組成部分。究其根源�����,即便合同對境外接收方施加了約束�����、且境外接收方真誠地愿意履行合同義務�,但如果境外接受地的法治環境發生重大變化�,境外接收方仍可能因為國家監管層面的“不可抗力”而無法履行合同義務,從而無法保障數據安全�。我國《標準合同》第四條也專門規定了“境外接收方所在國家或者地區個人信息保護政策和法規對合同履行的影響”��,包括如下兩個層面。中國版TIA結合了宏觀評估與個案評估��,對于整體法治環境一般的境外接受地�����,也可能因個案情況不敏感、境外接收方的相關記錄良好而得出比較樂觀的評估結論。(1)針對境外接受地的宏觀評估:TIA應當評估境外接受地關于個人信息保護的立法與標準����、國際組織與國際承諾�����、執法及司法機構��。但從字面上看,并不包含對于法律實踐情況的整體評估。
(2)針對特定數據出境活動的個案評估:TIA應當結合本《標準合同》項下數據出境活動的事實情況��,以及該特定境外接收方的數據保護能力����、關于數據安全事件、政府數據調取的負面歷史。
對比此前的征求意見稿,《標準合同》第四(六)條額外強調了境外接收方在接到當地政府部門��、司法機構的數據調取要求時應立即通知個人信息處理者(境內提供方)的義務��。歐盟在SCC及TIA中也重點關注外國政府數據調取����,并在SCC第15條中具體約定了境外接收方的及時通知����、合理抗辯、數據最小化等義務����,可供中國企業參考�����。(未完待續。敬請期待《下篇:作為協議條款的標準合同》)
