中国版标准合同条款揭开面纱,能否成为个人信息出境的通途(一)?
中国版标准合同条款揭开面纱,能否成为个人信息出境的通途(一)?
国家互联网信息办公室于6月30日公布《个人信息出境标准合同规定(征求意见稿)》(“标准合同规定”),并公开征求意见,中国版的标准合同条款揭开面纱。自2021年11月1日《个人信息保护法》(“个保法”)生效,关于第三章所确立的个人信息跨境提供的规则的落地细则,即成为社会关注的焦点。在个保法第三章所确立的三项个人信息跨境传输机制中,数据出境安全评估属于法定适用,只要达到法律规定的条件,就必须申报数据出境安全评估;对于认证机制,属于国家推荐的自愿性的认证,主要适用于具有稳定管理或业务关系的跨国公司或关联公司间的个人信息跨境处理;而对于标准合同条款,由于其适用场景的广泛性和应用的便捷性,成为企业最为关注的一种机制。我们理解,标准合同条款可能会成为个人信息跨境处理活动中最基础和最为普遍采用的一种合法路径。
一、合同目标:实现同等保护原则
在网信办公布的《个人信息出境标准合同》(“标准合同条款”)的起始段落,就开宗明义地阐明了标准合同条款的目标追求,即“为了确保境外接收方处理个人信息的活动达到中华人民共和国相关法律法规规定的个人信息保护标准”,标准合同条款实质上是实施个保法所确立的同等保护原则的一种手段或机制。即,考虑到境外接收方所在国家或地区在个人信息保护立法或执法保护水平上存在的不足,通过标准合同条款,把个保法等法律法规所确立的个人信息保护基准要求转化为对境外接收方具有法律约束力和可执行的合同条款。
标准合同条款是一种纳入强监管的合同,为了达到同等保护的目标,在标准合同条款的实施机制中,极大地限缩了合同意思自治的空间。比如,标准合同规定第二条规定,个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同条款相冲突;标准合同条款第九条第(一)项规定,如果本合同在达成或签订时与合同双方已存在的任何其他协议发生冲突,本合同的条款优先适用。虽然标准合同条款看似也预留了一块“自留地”,即附件二双方约定的其他条款,供双方在标准合同条款之外进行额外的约定,但是,附件二的条款不能与标准合同条款本身冲突,也不能规避标准合同条款的实施,更不能限缩个人信息主体所享有的权益。
尽管以上,标准合同条款仍属于合同性质,对于合同双方的争议解决仍采用了民事争议惯用的解决机制:仲裁或者诉讼。考虑到标准合同条款的履行与中国具有最直接的关联性,标准合同条款规定诉讼必须在中国法院开展,仲裁可以选择中国国际经济贸易仲裁委员会、中国海事仲裁委员会或北京仲裁委员会,亦或选择《承认及执行外国仲裁裁决公约》成员的仲裁机构。如此规定仲裁方式,一方面是给予双方一定的意思自治空间,增加合同双方利益的平衡性,另一方面也保证仲裁解决能通过公约加以执行,进而确保标准合同条款的可执行性。当然,标准合同条款要适用中国法。
二、适用场景:与安全评估构成两层次适用规则
依照标准合同规定的要求,我们可以理解,标准合同条款机制与安全评估机制构成了两个层次的个人信息跨境处理的规则:
第一层次,即标准合同条款的适用场景:(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供未达到10万人个人信息的;(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。以上四个条件要同时满足,一旦任一条件不满足,就会强制性地触发安全评估机制的适用。因此,标准合同条款适用于非特殊身份(CIIO)的个人信息处理者,且数据处理数量不超标(分别对应100万、10万和1万)的场景。
第二层次,即安全评估适用的场景。简单理解,对于除标准合同条款可适用的场景,就会强制性触发安全评估要求。与标准合同规定的首要立法宗旨(保护个人信息权益)不同,《数据出境安全评估办法(征求意见稿)》的立法宗旨还增加了“维护国家安全和社会公共利益”,即数据出境安全评估将重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险。可见,安全评估既评估个人信息主体权益的保障,更重要地,还要评估国家安全和公共利益风险。当然,安全评估机制的监管要比标准合同条款更为严格。
关于标准合同条款适用标准的数量的计算,我们理解如下:
关于“处理个人信息不满100万人”,指的是境内个人信息处理者目前所处理个人信息包含的总人数不足100万,而非指个人信息的条数。另外,100万总数的计算,不是按照业务线或产品线来计算,而是按照个人信息处理者的实体来计算。若涉及集团公司或关联公司的,如果各个公司是独立法人,且各个关联公司处理数据活动没有数据混同或融合的情形,我们倾向于认为应当按照独立实体各自的数量来计算,而非整个集团来计算。
关于“自上年1月1日起累计向境外提供未达到10万人个人信息”,指的是出境个人信息所涉总人数的累计计算,且累计期限为两年。此种累计计算的方式,有一种定期清零的效果,对很多中小企业来讲是个利好的安排。关于1万人敏感个人信息的计算,逻辑一致。
如果在标准合同条款有效期间,个人信息处理者所处理的个人信息或跨境累计的个人信息超过规定数量应如何处理呢? 比如,境内的个人信息处理者业务得到发展,处理的个人信息量超过了100万人,或者在两年期间,累计向境外传输的个人信息超过了10万人或1万人(敏感个人信息)。我们理解,此种情形下,标准合同条款适用的前提条件已经不复存在,标准合同条款需要转化为安全评估机制,如此,个人信息跨境处理才可以继续。我们也期待在后续的修改中,网信办能够对此问题进一步明确。
三、监管抓手:合同备案与设定接受监管的合同义务
标准合同条款虽是合同性质,但涉及到个保法同等保护原则的适用,因此,个人信息监管机构对标准合同条款的实施也设定了若干监管手段:
一是标准合同条款的备案。按照标准合同规定第七条规定,个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案。备案应当提交所签署的标准合同及个人信息保护影响评估(PIA)报告。个人信息处理者对所备案材料的真实性负责。根据标准合同规定第十二条规定,未履行备案程序或者提交虚假材料进行备案的,会导致相应的法律责任。备案程序不影响合同的效力,标准合同条款一旦签署即生效并可以开始执行。我们理解,标准合同规定所要求的备案程序,是为了将跨境个人信息处理活动纳入监管机构的视野,并对监管机构保持透明性,这也是监管机构开展监管执法的依据。
二是标准合同条款设定了境外接收方接受监管的义务。标准合同条款第三条规定了境外接收方的义务,第一款第(十二)项规定,(境外接收方)同意在监督本合同实施的相关程序中接受监管机构的监督管理,包括但不限于答复监管机构询问,配合监管机构检查,服从监管机构采取的措施或作出的决定,并提供已采取必要行动的书面证明。我们理解,标准合同条款通过合同条款设定了境外接收方接受监管的义务,等同于把个保法规定的监管权力通过合同义务延伸到境外。
另外,标准合同条款亦设定了个人信息处理者应配合监管的义务。毫无疑问,个人信息处理者在境内处理个人信息,适用个保法,必须依法接受监管机构的监管,此乃法定义务。标准合同条款规定,个人信息处理者亦有义务答复来自监管机构关于境外接收方的个人信息处理活动的询问。也就是说,个人信息处理者仍是监管机构进行标准合同条款监管的主要抓手。
关于监管程序中的举证义务,标准合同条款要求个人信息处理者承担证明本合同义务已经履行的举证责任。反过来讲,如果个人信息处理者举证不能,就可能要承担监管处罚的后果。这一举证责任的安排,要求个人信息处理者在个人信息处理过程中,要配备必要的评估、记录程序,做到合规看得见。而对于境外的接收方,标准合同条款也要求其对开展的个人信息处理活动进行客观记录,保存记录至少三年;按相关法律法规要求直接或通过个人信息处理者向监管机构提供相关记录文件。
四、国际视野:标准合同条款与GDPR SCCs的横向比较
对个人数据跨境传输的监管一直是欧盟数据保护立法框架下的重点,相关监管制度体系早于1995年颁布的《第95/46/EC号保护个人在数据处理和此类数据自动流动中权利的指令》(以下简称为“95指令”)中就已确立。欧盟《通用数据保护条例》(General Data Protection Regulation, 以下简称为“GDPR”)又在此基础上进行了完善。GDPR项下常用的个人数据跨境传输保障机制主要包括充分性决定(Adequacy Decision)、具有约束力的公司规则(Binding Corporate Rules, BCRs)和标准合同条款(Standard Contractual Clauses, SCCs)。充分性决定适用于欧盟委员会认定某一国家/地区等具备充分的个人数据保护水平的情形,个人数据可以向此类国家/地区传输且无需特别授权;具有约束力的公司规则适用于集团内部之间的个人数据传输,但须经监管机构批准;签订欧盟委员会制定的向第三国转移个人数据的标准合同条款是当前企业广为采用的传输保障机制。
考虑到很多国际企业和在欧盟市场开展业务的中国公司多采用SCCs作为跨境传输机制以满足GDPR的要求,我们对比了中国版标准合同条款与GDPR SCCs的主要异同,以期为国内立法及企业实践提供借鉴和参考。
点击可查看大图
结语
自2021年11月个保法生效后,社会即密切关注并期待个人信息跨境处理规则的早日落地。我们理解,个保法规定的各项跨境传输机制的配套规则将会在近期逐次落地,以解决跨国企业面临的“数据跨境监管有法律规定但无执行机制”的尴尬局面。为了更进一步理解标准合同条款,我们将在下一篇文章中就《个人信息出境标准合同规定(征求意见稿)》关于个人信息主体权利保护、个人信息处理者及境外接收方责任义务等作进一步解读。
[注]