2023年2月22日,國(guó)家互聯(lián)網(wǎng)信息辦公室(“網(wǎng)信辦”)發(fā)布了《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》(“《標(biāo)準(zhǔn)合同辦法》”)及其附件《個(gè)人信息出境標(biāo)準(zhǔn)合同》(“《標(biāo)準(zhǔn)合同》”)。《標(biāo)準(zhǔn)合同辦法》將于2023年6月1日起施行�����,并對(duì)此前已開(kāi)展的個(gè)人信息出境活動(dòng)予以6個(gè)月的整改寬限期��,即應(yīng)在2023年12月1日前完成整改��。
至此,我國(guó)《個(gè)人信息保護(hù)法》關(guān)于個(gè)人信息出境的三大合規(guī)機(jī)制——安全評(píng)估、認(rèn)證�����、標(biāo)準(zhǔn)合同均進(jìn)入落地階段����。其中,標(biāo)準(zhǔn)合同作為目前最新落地的合規(guī)機(jī)制,因其生效無(wú)需監(jiān)管審批(或第三方認(rèn)證)���、準(zhǔn)備工作相對(duì)輕量化等特性,而備受企業(yè)關(guān)注與期待。此外�����,由于歐盟標(biāo)準(zhǔn)合同條款(“SCC”)在域外已廣泛應(yīng)用����,無(wú)論企業(yè)是否使用標(biāo)準(zhǔn)合同作為合規(guī)機(jī)制,在與境外接收方、利益相關(guān)方的溝通談判中��,《標(biāo)準(zhǔn)合同》都將是無(wú)法繞開(kāi)的重點(diǎn)話題之一�����。
本文分為上下兩篇���,重點(diǎn)解讀適用《標(biāo)準(zhǔn)合同辦法》的核心關(guān)注點(diǎn)、并預(yù)測(cè)《標(biāo)準(zhǔn)合同》談判簽署中可能的疑難條款����,為企業(yè)使用標(biāo)準(zhǔn)合同實(shí)現(xiàn)個(gè)人信息出境合規(guī)提供參考�。關(guān)于《標(biāo)準(zhǔn)合同辦法》的重點(diǎn)解讀�����,請(qǐng)見(jiàn)《上篇:作為出境機(jī)制的標(biāo)準(zhǔn)合同》�。本篇將對(duì)《標(biāo)準(zhǔn)合同》的條款進(jìn)行深入解讀�,通過(guò)與征求意見(jiàn)稿的對(duì)比,洞察網(wǎng)信辦所釋放的積極信號(hào)����;并結(jié)合海問(wèn)協(xié)助中國(guó)企業(yè)落地歐盟SCC的經(jīng)驗(yàn)�����,辨析《標(biāo)準(zhǔn)合同》談判簽署中的“偽痛點(diǎn)”與“真難點(diǎn)”�����,為企業(yè)使用標(biāo)準(zhǔn)合同實(shí)現(xiàn)個(gè)人信息出境合規(guī)提供參考�。
下篇:作為協(xié)議條款的標(biāo)準(zhǔn)合同
釋放積極信號(hào):合理減輕雙方義務(wù)����,降低適用成本《標(biāo)準(zhǔn)合同》相較其征求意見(jiàn)稿����,在合法性基礎(chǔ)��、責(zé)任承擔(dān)等多個(gè)重點(diǎn)條款中合理減輕了境內(nèi)外雙方的義務(wù),有助于降低適用成本����、并為意思自治保留更大空間以應(yīng)對(duì)多樣化的實(shí)踐場(chǎng)景����,釋放出了積極的監(jiān)管信號(hào)��。
(一) 明確單獨(dú)同意范圍:基于“個(gè)人同意”才需取得“單獨(dú)同意”《標(biāo)準(zhǔn)合同》多處新增規(guī)定“基于個(gè)人同意處理個(gè)人信息的���,應(yīng)當(dāng)取得個(gè)人信息主體的單獨(dú)同意”�,由此從監(jiān)管側(cè)正式明確了:(1)除個(gè)人同意外���,亦可基于其他合法性基礎(chǔ)向境外提供個(gè)人信息�����,例如���,為履行合同所必需����、按照勞動(dòng)規(guī)章制度實(shí)施人力資源管理所必需�、合理使用已公開(kāi)個(gè)人信息等;(2)基于個(gè)人同意才需取得單獨(dú)同意���,如基于其他合法性基礎(chǔ)向境外提供個(gè)人信息,則可避免觸及“單獨(dú)同意”這一存在較高落地難度的法定要求���。(二) 雙方責(zé)任解耦合:不再要求境內(nèi)提供方無(wú)條件“先行賠付”《標(biāo)準(zhǔn)合同》將境內(nèi)外雙方的責(zé)任解耦合,不再要求境內(nèi)提供方承擔(dān)實(shí)質(zhì)意義上的“連帶責(zé)任”���,即針對(duì)境外接收方因違反標(biāo)準(zhǔn)合同而對(duì)個(gè)人造成的損害��,境內(nèi)提供方有義務(wù)根據(jù)個(gè)人主張向其先行賠付�,再向境外接收方追償�。除雙方依法承擔(dān)連帶責(zé)任的情形外(例如,《個(gè)人信息保護(hù)法》第20條 共同處理個(gè)人信息的情形)�����,不再通過(guò)《標(biāo)準(zhǔn)合同》作出嚴(yán)于上位法的責(zé)任分配規(guī)定����,為雙方意思自治保留更大空間。因此,在未來(lái)簽署《標(biāo)準(zhǔn)合同》時(shí)�����,在不貶損個(gè)人信息權(quán)益的前提下����,建議對(duì)雙方之間的數(shù)據(jù)法律關(guān)系及責(zé)任分配方式進(jìn)行具體補(bǔ)充約定,盡可能減少爭(zhēng)議。(三) 境外方自證成本降低:以“書(shū)面說(shuō)明”取代“審計(jì)報(bào)告”在個(gè)人信息保護(hù)的語(yǔ)境下��,審計(jì)是一種較為強(qiáng)勢(shì)的合規(guī)監(jiān)管措施�����,審計(jì)報(bào)告雖具備更強(qiáng)的合規(guī)證明效果����,但同時(shí)也伴隨著更高的合規(guī)成本投入�����。相較征求意見(jiàn)稿�����,《標(biāo)準(zhǔn)合同》相對(duì)限縮了審計(jì)的應(yīng)用場(chǎng)景,在以下兩種情形下,僅要求境外接收方提供“書(shū)面說(shuō)明”,而不再?gòu)?qiáng)制要求提供“審計(jì)報(bào)告”:(1)作為受托人(相當(dāng)于GDPR中的“processor”)的境外接收方��,保存期限屆滿后刪除或向境內(nèi)提供方返還個(gè)人信息�����;(2)作為個(gè)人信息處理者(相當(dāng)于GDPR中的“controller”)或受托人的境外接收方�,在合同解除后刪除或向境內(nèi)提供方返還個(gè)人信息�。前述修改為雙方意思自治保留了更大空間,視實(shí)踐場(chǎng)景不同,雙方既可僅保留格式條款���,對(duì)境外接收方的書(shū)面說(shuō)明不作進(jìn)一步的限定,從而避免因境外接收方自證成本過(guò)高阻礙談判;也可進(jìn)行補(bǔ)充約定���,例如要求境外接收方提供審計(jì)報(bào)告,從而實(shí)現(xiàn)更加有效的合規(guī)約束。(四) 合同摘要不再必需:提供合同副本不影響理解即可為保障個(gè)人信息主體的知情權(quán),《標(biāo)準(zhǔn)合同》規(guī)定境內(nèi)提供方與境外接收方均有義務(wù)根據(jù)個(gè)人要求���,向個(gè)人提供標(biāo)準(zhǔn)合同副本。相較征求意見(jiàn)稿,《標(biāo)準(zhǔn)合同》在堅(jiān)持“結(jié)果導(dǎo)向”的同時(shí)�,放寬了對(duì)實(shí)現(xiàn)方式的限制:從要求企業(yè)如提供遮密副本則須同時(shí)承諾提供合同摘要�����,改為“在不影響個(gè)人信息主體理解的前提下,可對(duì)本合同副本內(nèi)容進(jìn)行適當(dāng)處理”�����。在平衡個(gè)人知情權(quán)與企業(yè)機(jī)密保護(hù)的前提下�,為企業(yè)實(shí)際履行標(biāo)準(zhǔn)合同義務(wù)留下更大的彈性空間。
借鑒歐盟經(jīng)驗(yàn):“偽痛點(diǎn)”與SCC同源���,談判難度可控標(biāo)準(zhǔn)合同作為出境合規(guī)機(jī)制的基本邏輯為:通過(guò)合同義務(wù)的形式,約定法定義務(wù)的實(shí)質(zhì),從而約束境外接收方實(shí)現(xiàn)不低于本國(guó)法的個(gè)人信息保護(hù)標(biāo)準(zhǔn)�����。在此邏輯下����,如何盡可能約束“鞭長(zhǎng)莫及”的境外接收方實(shí)際履行合同����、如何對(duì)其進(jìn)行監(jiān)管、發(fā)生違約時(shí)如何使其承擔(dān)責(zé)任等問(wèn)題�,就成為各國(guó)權(quán)威機(jī)關(guān)設(shè)計(jì)標(biāo)準(zhǔn)合同制度時(shí)的重點(diǎn)�����。
《標(biāo)準(zhǔn)合同》在此方面多處借鑒了歐盟SCC的成熟經(jīng)驗(yàn),規(guī)定了境外接收方需承諾接受中國(guó)監(jiān)管機(jī)構(gòu)的監(jiān)督管理���、接受個(gè)人信息主體在中國(guó)境內(nèi)提起訴訟等合同條款。盡管此類條款直觀而言對(duì)境外接收方較為嚴(yán)格����,但鑒于其系標(biāo)準(zhǔn)合同內(nèi)在邏輯所必需�,且此類條款在歐盟SCC中均有嚴(yán)格程度不遜于《標(biāo)準(zhǔn)合同》的原型規(guī)定(示例如下)����,若境外接收方此前已簽署歐盟SCC,則我們理解與境外接收方談判簽署《標(biāo)準(zhǔn)合同》時(shí)此類“偽痛點(diǎn)”并不會(huì)造成實(shí)質(zhì)性的阻礙����。尚存部分難點(diǎn):《標(biāo)準(zhǔn)合同》的額外要求與模糊地帶(一) 保存期限需明確約定�����,并向個(gè)人具體告知
相較征求意見(jiàn)稿,《標(biāo)準(zhǔn)合同》簡(jiǎn)化了境內(nèi)提供方需向個(gè)人信息主體告知的事項(xiàng)����,除“保存期限”外,其他告知事項(xiàng)均曾在上位法《個(gè)人信息保護(hù)法》第39條中被明確列舉�����。針對(duì)境外接收方向境外第三方提供個(gè)人信息(即再轉(zhuǎn)移)的情形��,《標(biāo)準(zhǔn)合同》亦新增了“保存期限”的告知要求��。在附錄一“個(gè)人信息出境說(shuō)明”中��,也需就保存期限予以明確約定。相較征求意見(jiàn)稿���,《標(biāo)準(zhǔn)合同》新增了填寫(xiě)提示,將“出境后保存期限”進(jìn)一步細(xì)化為“ 年 月 日至 年 月 日”�。相較征求意見(jiàn)稿��,《標(biāo)準(zhǔn)合同》進(jìn)一步凸顯了監(jiān)管機(jī)構(gòu)對(duì)于“保存期限”的關(guān)注,結(jié)合海問(wèn)協(xié)助企業(yè)申報(bào)數(shù)據(jù)出境安全評(píng)估的經(jīng)驗(yàn)��,我們理解����,如何確定具體、合理�、可落實(shí)的保存期限�����,在明確的監(jiān)管要求與復(fù)雜的企業(yè)實(shí)踐之間找到平衡點(diǎn),可能構(gòu)成部分企業(yè)未來(lái)實(shí)踐中的難點(diǎn)之一�。鑒于《標(biāo)準(zhǔn)合同》的配套規(guī)定正在制定當(dāng)中�,不排除監(jiān)管機(jī)構(gòu)未來(lái)適當(dāng)放寬對(duì)于保存期限顆粒度的要求��。但萬(wàn)變不離其宗����,鑒于保存期限在三大機(jī)制中均成為監(jiān)管機(jī)構(gòu)明確的關(guān)注重點(diǎn)���,構(gòu)建完善的數(shù)據(jù)留存期限制度��,已是企業(yè)在數(shù)據(jù)出境合規(guī)新常態(tài)下無(wú)法回避的一項(xiàng)重要工作。(二) 部分條款未區(qū)分境外方類型(C-C/C-P),義務(wù)與場(chǎng)景可能不匹配簽訂《標(biāo)準(zhǔn)合同》的境內(nèi)提供方須為個(gè)人信息處理者(controller)�����,而境外接收方則可為個(gè)人信息處理者或受托人(processor)�,即《標(biāo)準(zhǔn)合同》適用于“個(gè)人信息處理者—個(gè)人信息處理者(C-C)”和“個(gè)人信息處理者—受托人(C-P)”兩種場(chǎng)景。然而,相較于歐盟SCC采取模塊化的方式針對(duì)不同的場(chǎng)景規(guī)定差異化合同條款�,《標(biāo)準(zhǔn)合同》選擇以統(tǒng)一的合同條款兼顧C(jī)-C及C-P兩種場(chǎng)景�。受制于該體例����,因《標(biāo)準(zhǔn)合同》的部分條款未基于兩種場(chǎng)景進(jìn)行區(qū)分,境外接收方在特定實(shí)踐中可能面臨義務(wù)過(guò)重或履約不能的情況。例如:在境外方履約證明條款中,《標(biāo)準(zhǔn)合同》未加區(qū)分地要求境外接收方:(1)承諾向境內(nèi)方提供證明履約的必要信息;(2)允許境內(nèi)方對(duì)必要數(shù)據(jù)文件和文檔進(jìn)行查閱��;(3)允許境內(nèi)方對(duì)合同所涉處理活動(dòng)進(jìn)行合規(guī)審計(jì)��。當(dāng)境外接收方作為個(gè)人信息處理者“自主”開(kāi)展個(gè)人信息處理活動(dòng)�,而非僅作為受托人“從屬于”境內(nèi)提供方時(shí)����,說(shuō)服境外接收方接受該條款可能存在一定的難度,特別是有關(guān)開(kāi)展合規(guī)審計(jì)的要求。在個(gè)人信息安全事件條款中�����,《標(biāo)準(zhǔn)合同》未加區(qū)分地要求境外接收方根據(jù)中國(guó)法就個(gè)人信息安全事件報(bào)告中國(guó)監(jiān)管機(jī)構(gòu)����、并通知個(gè)人信息主體,然而《個(gè)人信息保護(hù)法》僅規(guī)定個(gè)人信息處理者有義務(wù)通知履行個(gè)人信息保護(hù)職責(zé)的部門(mén)和個(gè)人,而未要求受托人履行同等義務(wù)。但考慮到《標(biāo)準(zhǔn)合同》該條款尚存一定的解釋空間,在不貶損個(gè)人信息權(quán)益的前提下�����,雙方在實(shí)踐中可就個(gè)人信息安全事件的應(yīng)對(duì)作出適當(dāng)?shù)难a(bǔ)充約定����,以緩解境外接收方義務(wù)過(guò)重或履約不能的擔(dān)憂�。(三) 部分條款約定過(guò)于具體,自行補(bǔ)充約定空間有限《標(biāo)準(zhǔn)合同》部分條款的內(nèi)容過(guò)于具體����,限制了雙方自行補(bǔ)充約定的空間��,可能對(duì)于實(shí)踐造成一定的不利影響。例如:《標(biāo)準(zhǔn)合同》第六條第(一)項(xiàng):“境外接收方應(yīng)當(dāng)確定一個(gè)聯(lián)系人���,授權(quán)其答復(fù)有關(guān)個(gè)人信息處理的詢問(wèn)或者投訴��,……。境外接收方應(yīng)當(dāng)……���,并以簡(jiǎn)潔易懂的方式,通過(guò)單獨(dú)通知或者在其網(wǎng)站公示��,告知個(gè)人信息主體該聯(lián)系人信息……”從文義而言���,“其網(wǎng)站”的限定����,意味著如選擇網(wǎng)站公示方式,則僅能使用境外方網(wǎng)站,而不得使用境內(nèi)方網(wǎng)站。盡管該等限定未必完全合理(通過(guò)境內(nèi)方中文網(wǎng)站公示效果可能更佳),但鑒于《標(biāo)準(zhǔn)合同辦法》明確要求任何補(bǔ)充約定不得與標(biāo)準(zhǔn)合同相沖突���,為避免不必要的合規(guī)風(fēng)險(xiǎn),企業(yè)需仔細(xì)審視各類補(bǔ)充約定與《標(biāo)準(zhǔn)合同》之間是否協(xié)調(diào)、無(wú)沖突�����。
題21-1_畫(huà)板 1 副本.png)
題21-1_畫(huà)板 1.png)
.png "備案圖標(biāo).png"){kind=small}
