2023年2月22日,國家互聯網信息辦公室(“網信辦”)發布了《個人信息出境標準合同辦法》(“《標準合同辦法》”)及其附件《個人信息出境標準合同》(“《標準合同》”)。《標準合同辦法》將于2023年6月1日起施行,并對此前已開展的個人信息出境活動予以6個月的整改寬限期,即應在2023年12月1日前完成整改。
至此,我國《個人信息保護法》關于個人信息出境的三大合規機制——安全評估、認證、標準合同均進入落地階段。其中,標準合同作為目前最新落地的合規機制,因其生效無需監管審批(或第三方認證)、準備工作相對輕量化等特性,而備受企業關注與期待。此外,由于歐盟標準合同條款(“SCC”)在域外已廣泛應用,無論企業是否使用標準合同作為合規機制,在與境外接收方、利益相關方的溝通談判中,《標準合同》都將是無法繞開的重點話題之一。
本文分為上下兩篇,重點解讀適用《標準合同辦法》的核心關注點、并預測《標準合同》談判簽署中可能的疑難條款,為企業使用標準合同實現個人信息出境合規提供參考。關于《標準合同辦法》的重點解讀,請見《上篇:作為出境機制的標準合同》。本篇將對《標準合同》的條款進行深入解讀,通過與征求意見稿的對比,洞察網信辦所釋放的積極信號;并結合海問協助中國企業落地歐盟SCC的經驗,辨析《標準合同》談判簽署中的“偽痛點”與“真難點”,為企業使用標準合同實現個人信息出境合規提供參考。
《標準合同》相較其征求意見稿,在合法性基礎、責任承擔等多個重點條款中合理減輕了境內外雙方的義務,有助于降低適用成本、并為意思自治保留更大空間以應對多樣化的實踐場景,釋放出了積極的監管信號。
(一) 明確單獨同意范圍:基于“個人同意”才需取得“單獨同意”《標準合同》多處新增規定“基于個人同意處理個人信息的,應當取得個人信息主體的單獨同意”,由此從監管側正式明確了:(1)除個人同意外,亦可基于其他合法性基礎向境外提供個人信息,例如,為履行合同所必需、按照勞動規章制度實施人力資源管理所必需、合理使用已公開個人信息等;(2)基于個人同意才需取得單獨同意,如基于其他合法性基礎向境外提供個人信息,則可避免觸及“單獨同意”這一存在較高落地難度的法定要求。(二) 雙方責任解耦合:不再要求境內提供方無條件“先行賠付”《標準合同》將境內外雙方的責任解耦合,不再要求境內提供方承擔實質意義上的“連帶責任”,即針對境外接收方因違反標準合同而對個人造成的損害,境內提供方有義務根據個人主張向其先行賠付,再向境外接收方追償。除雙方依法承擔連帶責任的情形外(例如,《個人信息保護法》第20條 共同處理個人信息的情形),不再通過《標準合同》作出嚴于上位法的責任分配規定,為雙方意思自治保留更大空間。因此,在未來簽署《標準合同》時,在不貶損個人信息權益的前提下,建議對雙方之間的數據法律關系及責任分配方式進行具體補充約定,盡可能減少爭議。(三) 境外方自證成本降低:以“書面說明”取代“審計報告”在個人信息保護的語境下,審計是一種較為強勢的合規監管措施,審計報告雖具備更強的合規證明效果,但同時也伴隨著更高的合規成本投入。相較征求意見稿,《標準合同》相對限縮了審計的應用場景,在以下兩種情形下,僅要求境外接收方提供“書面說明”,而不再強制要求提供“審計報告”:(1)作為受托人(相當于GDPR中的“processor”)的境外接收方,保存期限屆滿后刪除或向境內提供方返還個人信息;(2)作為個人信息處理者(相當于GDPR中的“controller”)或受托人的境外接收方,在合同解除后刪除或向境內提供方返還個人信息。前述修改為雙方意思自治保留了更大空間,視實踐場景不同,雙方既可僅保留格式條款,對境外接收方的書面說明不作進一步的限定,從而避免因境外接收方自證成本過高阻礙談判;也可進行補充約定,例如要求境外接收方提供審計報告,從而實現更加有效的合規約束。(四) 合同摘要不再必需:提供合同副本不影響理解即可為保障個人信息主體的知情權,《標準合同》規定境內提供方與境外接收方均有義務根據個人要求,向個人提供標準合同副本。相較征求意見稿,《標準合同》在堅持“結果導向”的同時,放寬了對實現方式的限制:從要求企業如提供遮密副本則須同時承諾提供合同摘要,改為“在不影響個人信息主體理解的前提下,可對本合同副本內容進行適當處理”。在平衡個人知情權與企業機密保護的前提下,為企業實際履行標準合同義務留下更大的彈性空間。
借鑒歐盟經驗:“偽痛點”與SCC同源,談判難度可控標準合同作為出境合規機制的基本邏輯為:通過合同義務的形式,約定法定義務的實質,從而約束境外接收方實現不低于本國法的個人信息保護標準。在此邏輯下,如何盡可能約束“鞭長莫及”的境外接收方實際履行合同、如何對其進行監管、發生違約時如何使其承擔責任等問題,就成為各國權威機關設計標準合同制度時的重點。
《標準合同》在此方面多處借鑒了歐盟SCC的成熟經驗,規定了境外接收方需承諾接受中國監管機構的監督管理、接受個人信息主體在中國境內提起訴訟等合同條款。盡管此類條款直觀而言對境外接收方較為嚴格,但鑒于其系標準合同內在邏輯所必需,且此類條款在歐盟SCC中均有嚴格程度不遜于《標準合同》的原型規定(示例如下),若境外接收方此前已簽署歐盟SCC,則我們理解與境外接收方談判簽署《標準合同》時此類“偽痛點”并不會造成實質性的阻礙。相較征求意見稿,《標準合同》簡化了境內提供方需向個人信息主體告知的事項,除“保存期限”外,其他告知事項均曾在上位法《個人信息保護法》第39條中被明確列舉。針對境外接收方向境外第三方提供個人信息(即再轉移)的情形,《標準合同》亦新增了“保存期限”的告知要求。在附錄一“個人信息出境說明”中,也需就保存期限予以明確約定。相較征求意見稿,《標準合同》新增了填寫提示,將“出境后保存期限”進一步細化為“ 年 月 日至 年 月 日”。相較征求意見稿,《標準合同》進一步凸顯了監管機構對于“保存期限”的關注,結合海問協助企業申報數據出境安全評估的經驗,我們理解,如何確定具體、合理、可落實的保存期限,在明確的監管要求與復雜的企業實踐之間找到平衡點,可能構成部分企業未來實踐中的難點之一。鑒于《標準合同》的配套規定正在制定當中,不排除監管機構未來適當放寬對于保存期限顆粒度的要求。但萬變不離其宗,鑒于保存期限在三大機制中均成為監管機構明確的關注重點,構建完善的數據留存期限制度,已是企業在數據出境合規新常態下無法回避的一項重要工作。(二) 部分條款未區分境外方類型(C-C/C-P),義務與場景可能不匹配簽訂《標準合同》的境內提供方須為個人信息處理者(controller),而境外接收方則可為個人信息處理者或受托人(processor),即《標準合同》適用于“個人信息處理者—個人信息處理者(C-C)”和“個人信息處理者—受托人(C-P)”兩種場景。然而,相較于歐盟SCC采取模塊化的方式針對不同的場景規定差異化合同條款,《標準合同》選擇以統一的合同條款兼顧C-C及C-P兩種場景。受制于該體例,因《標準合同》的部分條款未基于兩種場景進行區分,境外接收方在特定實踐中可能面臨義務過重或履約不能的情況。例如:在境外方履約證明條款中,《標準合同》未加區分地要求境外接收方:(1)承諾向境內方提供證明履約的必要信息;(2)允許境內方對必要數據文件和文檔進行查閱;(3)允許境內方對合同所涉處理活動進行合規審計。當境外接收方作為個人信息處理者“自主”開展個人信息處理活動,而非僅作為受托人“從屬于”境內提供方時,說服境外接收方接受該條款可能存在一定的難度,特別是有關開展合規審計的要求。在個人信息安全事件條款中,《標準合同》未加區分地要求境外接收方根據中國法就個人信息安全事件報告中國監管機構、并通知個人信息主體,然而《個人信息保護法》僅規定個人信息處理者有義務通知履行個人信息保護職責的部門和個人,而未要求受托人履行同等義務。但考慮到《標準合同》該條款尚存一定的解釋空間,在不貶損個人信息權益的前提下,雙方在實踐中可就個人信息安全事件的應對作出適當的補充約定,以緩解境外接收方義務過重或履約不能的擔憂。(三) 部分條款約定過于具體,自行補充約定空間有限《標準合同》部分條款的內容過于具體,限制了雙方自行補充約定的空間,可能對于實踐造成一定的不利影響。例如:《標準合同》第六條第(一)項:“境外接收方應當確定一個聯系人,授權其答復有關個人信息處理的詢問或者投訴,……。境外接收方應當……,并以簡潔易懂的方式,通過單獨通知或者在其網站公示,告知個人信息主體該聯系人信息……”從文義而言,“其網站”的限定,意味著如選擇網站公示方式,則僅能使用境外方網站,而不得使用境內方網站。盡管該等限定未必完全合理(通過境內方中文網站公示效果可能更佳),但鑒于《標準合同辦法》明確要求任何補充約定不得與標準合同相沖突,為避免不必要的合規風險,企業需仔細審視各類補充約定與《標準合同》之間是否協調、無沖突。
京公網安備110105011258
