中国版标准合同条款揭开面纱,能否成为个人信息出境的通途(二)?
中国版标准合同条款揭开面纱,能否成为个人信息出境的通途(二)?
国家互联网信息办公室于6月30日公布《个人信息出境标准合同规定(征求意见稿)》(“标准合同规定”),并公开征求意见。我们在第(一)篇中主要从整体层面针对个人信息出境标准合同的性质进行解读,分析了其与安全评估的适用层次,以及标准合同条款的监管抓手,并对比了GDPR SCCs机制。本篇将聚焦网信办发布的《个人信息出境标准合同》(“标准合同条款”)中为个人信息处理者和境外接收方设定的责任和义务,以及为个人信息主体作为第三方受益人所设定的权利,并对标准合同条款中关于个人信息保护影响评估、境外接收方再转移以及双方责任分配等重点进行探讨,以期为立法及企业实践提供借鉴和参考。
一、个人信息处理者和境外接收方的义务设定
根据标准合同规定,标准合同条款具有优先适用性[1],个人信息处理者还应将标准合同向所在地省级网信部门备案,而省级网信部门且有权在跨境传输过程中进行监督,并有权要求终止个人信息出境活动。据此,标准合同条款是一种纳入强监管的合同,个人信息处理者和接收方必须履行标准合同条款的约定义务,否则将不仅面临违约责任,更将面临民事侵权或行政监管责任。
(一)个人信息处理者:适用个保法基础上的责任强化
标准合同条款第一条第(四)款即明确,“个人信息处理者”与《中华人民共和国个人信息保护法》(“个保法”)所规定的含义相同,个人信息处理者首先适用个保法并需遵循个保法所设定的一系列合规义务,且标准合同条款针对跨境活动所设定的各种义务亦适用。
针对标准合同条款为个人信息处理者设定的各项合同义务,我们梳理如下表
点击可查看大图
由于个人信息处理者需直接适用个保法,针对上述合同义务中与个保法相一致的部分,本文不再赘述;关于其他部分,我们认为需重点关注的问题如下:
1. 合法性基础:明确单独同意要求
标准合同条款第二条第(二)款规定,个人信息处理者向境外提供个人信息应当取得个人单独同意,但相关法律法规规定不需要取得个人单独同意的除外。个保法第十三条设定了处理个人信息的七项合法性基础,其中即包括履行合同所必需等同意之外的其他合法性基础。然而,个保法第三十九条规定跨境提供个人信息应取得单独同意,且未设定例外情形。
个保法第三十九条的现有表述直接导致了法律适用和理解上的争议,即,如果企业已具备其他合法性基础,是否在跨境个人传输中还必须履行单独同意的要求?对于这一点,标准合同条款第二条第(二)款的规定或许在一定程度上已给出答案,即:如果个人信息处理者已具备“法律法规规定的例外情形”,那么无需取得个人单独同意。标准合同条款的上述规定是否已实质蕴含了“如已具备同意之外的合法性基础,则无需就跨境再获单独同意”,目前还有待进一步明确。
2. 透明性要求:告知个人信息主体为第三方受益人
标准合同条款第二条第(三)款规定,个人信息处理者应当向个人信息主体告知其与境外接收方通过标准合同条款约定个人信息主体为第三方受益人,此乃标准合同条款就透明性要求层面在个保法第十七条和第三十九条基础上的进一步增强告知。
实践中,企业往往通过隐私政策等形式向用户告知关于跨境处理个人信息的规则,考虑到标准合同条款未来可能会成为个人信息跨境处理活动中最基础和最为普遍采用的一种合法路径,企业或可在选用标准合同机制后,通过更新隐私政策等形式以实现此等告知义务。
3. 举证责任:个人信息处理者应证明合同义务已履行
标准合同条款第二条第(九)款规定由个人信息处理者承担标准合同条款已履行的举证责任。如上文所述,根据该规定,如果个人信息处理者举证不能,就可能要承担监管处罚的后果,而这一举证责任的安排,要求个人信息处理者在个人信息处理过程中,要配备必要的评估、记录程序,做到合规看得见。
具体而言,企业如作为个人信息处理者,一方面自身应依法就跨境活动开展个人信息保护影响评估并记录相关个人信息处理活动,并保留相关材料;另一方面,可充分利用标准合同条款为境外接收方所设定的义务,并确保义务履行全过程的可追溯、可记录。例如:
1. 监督境外接收方是否履行义务,是否采取技术和管理措施(标准合同条款第二条第(四)款);
2. 查阅境外接收方的数据文件和文档,并对其数据处理活动开展合规审计,要求其提供已获资质认证情况(标准合同条款第三条第(十)款);
3. 要求境外接收方对个人信息处理活动进行记录并保存至少3年,并根据法律法规规定要求其提供相关记录文件(标准合同条款第三条(十一)款)。
(二)境外接收方:通过合同实现同等保护原则
相比个人信息处理者,由于境外接收方所处的政策法律环境不同,标准合同条款据此也从形式上为境外接收方设定了更多、更严苛的合同义务(例如自动化决策),进而从实质上使境外接收方达到个保法规定的同等保护水平。
针对标准合同条款为个人信息处理者设定的各项合同义务,我们梳理如下表。
点击可查看大图
关于境外接收方的义务,主要有如下问题可重点关注:
1. 改变合同范围处理个人信息
标准合同规定第三条第(一)款和第(四)款规定,境外接收方应当在标准合同条款约定范围内处理个人信息,除非已取得个人信息主体的事先同意;并且应当在实现处理目的所必要的最短时间内存储个人信息,除非已取得个人信息主体关于存储期限的单独同意。
从个人信息权利保护的角度分析,二者在同意的方式上存在差别。针对个人信息处理行为,如果境外接收方需改变处理活动,则应取得事先的同意,我们理解此种情形下境外接收方将就改变部分的处理活动构成单独的个人信息处理者,因此就该部分的合法性基础应由境外接收方取得;而就处理活动中的存储行为,实践中往往可能出于其他业务目的而需在本合同约定的必要存储时间之外继续存储,则应就此部分取得单独同意。
从民事合同法律关系的角度考虑,如果境外接收方超过标准合同条款约定的范围处理和存储个人信息,但已获得个人信息主体的有效同意,对于这部分合同之外的处理活动是否可能构成违约?从目前标准合同条款的设计来看,如果境外接收方对这部分合同之外的处理活动已取得同意,那么也应当属于本合同执行的预期范围内;但如果其未履行上述要求,则可能构成违约,而个人信息处理者亦可能对其行为向个人信息处理承担民事责任(具体见五、责任分配)。
2. 受托处理个人信息的特殊要求
相较GDPR SCCs根据数据出境方与境外接收方所形成的不同数据处理关系划分为四种个人信息跨境传输模式(C-C,C-P,P-P,P-C)[2],标准合同条款未就缔约双方的数据处理关系做进一步划分。根据我国个保法关于共同处理、委托处理、向第三方提供(有可能构成较为独立的处理关系)的数据处理关系设定及责任承担机制,不同处理关系下的权利义务应当有不同。尽管未作上述区分,标准合同条款仍对其中最具特殊性——无法决定数据处理目的、方式的境外接收方受托处理情形作进一步明确。包括:
1. 在删除或匿名化个人信息后,向个人信息处理者提供审计报告(标准合同条款第三条第(四)款);
2. 如境外接收方受托处理时发生个人信息泄露事件,应由个人信息处理者通知个人信息主体(标准合同条款第三条第(六)款);
3. 如欲转委托第三方处理个人信息,则应事先获得个人信息处理者同意,同时应确保第三方的处理活动在本合同约定范围内,并对其进行监督(标准合同条款第三条第(八)款)。
3. 域外监管效力的设定
除上述面向个人信息处理者和个人信息主体的义务外,标准合同条款第三条第(十二)款还设定了境外接收方同意接受中国监管机构监督的承诺,包括但不限于答复监管机构询问,配合监管机构检查,服从监管机构采取的措施或作出的决定,并提已采取必要行动的书面证明,我们理解上述规定实际上是对境外类似长臂管辖要求的回应。
二、个人信息主体权利:法定权利基础上增设第三方受益人
结合标准合同条款,个人信息主体可以要求获得签署的标准合同条款的副本(第二条第(八)款),亦有权(在未表示拒绝的情况下)向缔约双方行使如下权利:
1. 执行标准合同条款中关于个人信息保护义务(第五条第(一)款);
2. 提供标准合同副本(第二条第(八)款;第三条第(二)款);
3. 确认境外接收方所在国有关个人信息保护的政策法规对履行标准合同的影响(第四条);
4. 通过投诉、诉讼等方式获得救济(第六条第(三)款);
5. 在法定要件发生时主张解除标准合同(第七条第(三)款)。
就行权/追责对象,根据标准合同条款第五条第(二)款,个人信息主体可以向个人信息处理者或境外接收方中的任意一方行使权利,而不论缔约双方的数据处理关系。
就救济途径,标准合同条款第六条第(一)款要求境外接收方在组织内部确定联系人以答复并及时处理个人信息主体的询问或投诉,并通过单独通知或在官网公告的形式告知个人信息主体该联系人信息。
三、个人信息保护影响评估(PIA)
与个保法第五十五条、《数据出境评估办法(征求意见稿)》一脉相承,标准合同条款第二条第(七)款要求个人信息处理者应当针对跨境活动开展个人信息保护影响评估(personal information protection impact assessment,PIA),并在《数据出境评估办法(征求意见稿)》第五条的基础上增加了评估境外接收方当地个人信息保护政策对遵守标准合同条款可能造成的影响。结合个保法,参考《数据出境评估办法(征求意见稿)》等,总的来说,针对个人信息出境活动进行PIA主要需评估以下内容:1)个人信息出境活动的具体情况及相应的合法性、正当性、必要性;2)个人信息出境活动对个人信息主体权益的影响;3)个人信息处理者的数据安全保障能力;以及4)境外接收方的数据安全能力情况,包括所在国家/地区所在地的法律环境。
这一规定与Schrems II案后欧盟数据保护委员会(EDPB)所发布的建议[3],及据此更新的GDPR SCCs中要求在依据SCCs作为数据跨境传输保障机制时对数据跨境传输进行评估(transfer impact assessment,TIA)的要求十分类似,尤其强调要评估第三国的数据保护法律或实践,以保证数据接收方可以达到与传输方所在国家/地区的同等保护水平。需要注意的是,数据跨境传输并不属于GDPR项下必须进行数据保护影响评估(data protection impact assessment, DPIA)的场景[4],但TIA同样运用了DPIA的基本原理和方法论。
对于如何评估境外接收方当地个人信息保护政策法规对履行合同的影响,标准合同第四条规定需考虑出境的具体情况、境外接收方所在国家/地区的个人信息保护政策法规以及境外接收方的安全管理制度和技术手段保障能力。结合第四条的规定,参考EDPB相关建议[5]及其生效后部分实践,在评估境外接收方所在国家/地区个人信息保护相关法律环境时,至少需要考虑以下因素:1)当地现行的个人信息保护法律法规;2)加入区域或全球个人信息保护组织或做出相关国际承诺的情况;3)当地落实个人信息保护的机制;4)当地行政、监管或司法程序等要求调取个人信息的情况;5)个人信息主体在当地寻求司法救济的可行性等。
四、境外再转移
对于境外接收方可能将个人信息提供给位于中华人民共和国境外第三方的情形,标准合同在第三条境外接收方的义务中规定,境外接收方仅在同时满足以下条件时方可将个人信息提供给相关境外第三方:1)确有业务必要;2)满足个保法等相关法律法规对于告知及同意的要求;3)与第三方达成书面协议,确保第三方具备同等的保护水平,与第三方承担连带责任;4)向个人信息处理者提供协议副本;以及5)事先征得个人信息处理者同意(仅在受个人信息处理者委托处理个人信息时转委托第三方处理的情形下)。
对比GDPR SCCs对于境外再转移的规定,二者间具有相似性:
-
再转移的第三方位于中华人民共和国或EU/EEA境外;
-
本质上是要求再转移的第三方可以保证同等的保护水平。
但与GDPR SCCs不同的是:
-
由于标准合同的适用并不区分个人信息处理者与境外接收方之间的数据处理关系,导致无论在何种情形下,境外接收方向第三方转移个人数据均遵循一致的条件,即要求该第三方满足同等保护水平(通过SCCs或充分性认定等机制),并且数据接收方需保证跨境再转移需要满足标准合同条款中其他合规保障措施,特别是目的限制的规定(仅在受个人信息处理者委托处理个人信息时转委托第三方处理的情形下要求事先征得个人信息处理者的同意);
-
标准合同明确规定境外接收方与第三方承担连带责任,而GDPR SCCs仅在Clause 9:Use of Sub-processors中对于模式二(控制者-处理者)及模式三(处理者-处理者)下要求数据接收方须确保次级处理者(sub-processor)承担数据接收方根据SCCs所须承担的责任并就次级处理者对数据传输方义务的履行负全责;
-
标准合同中未提及境外接收方按照行政、监管或司法程序要求须向相关第三方转移个人数据的情况,对于此种情形下境外接收方如何处理仍有待进一步明确。
此外,欧盟委员会在更新SCCs时加入了对接条款(docking clauses),以便于已签署SCCs的各方在复杂的数据处理生命周期中在既有合同中加入新的签约方(既可以是数据传输方也可以是数据接收方)。新的签约方加入后,该签约方将根据其角色承担SCCs下的权利及义务[6]。我们理解,此条款将在一定程度上便利数据处理过程中第三方的加入,同时也可以保证第三方的数据保护水平。目前版本的标准合同中并无类似条款,且仅规定了境外接收方将个人信息再转移给其他第三方的情形,在履行过程中若需加入其他第三方,一方面需要严格满足标准合同所规定的条件,另一方面对于加入新的个人信息处理者(作为数据传输方)可能存在一定阻碍。
五、个人信息处理者和境外接收方的责任分配
标准合同条款第八条规定了个人信息处理者与境外接收方之间关于违约责任的分配,值得注意的是,不同于以往“合同责任限于缔约双方”的理论架构,由于本标准合同条款设定了个人信息主体作为第三方受益人,因此,个人信息处理者或境外接收方除需就自身违法行为依法对个人信息主体承担民事侵权责任或监管责任外,还将依据标准合同条款的约定对个人信息主体承担违约责任。
就面向个人信息主体所需承担的责任,主要包括以下情形:
原则上,缔约双方应对自身行为承担责任:标准合同条款第八条第(三)款规定,缔约双方因违反本合同而侵害个人信息主体作为第三方受益人而享有的权利,应当对个人信息主体承担责任;个人信息主体有权获得赔偿。
如果共同对损害负责,承担连带责任:标准合同条款第八条第(四)款规定,缔约双方对因违反本合同而共同对个人信息主体造成的损害负责的,应由缔约双方承担连带责任;我们理解这可能主要是指共同处理的情形,此规定亦与个保法第二十条关于共同处理个人信息的规定相一致。
个人信息处理者应承担先行赔偿责任:标准合同条款第八条第(六)款、第(七)款规定,不论缔约双方是否应最终承担连带责任,个人信息处理者均应就个人信息主体的损害负责人并承担赔偿责任;如损害系境外接收方造成,个人信息处理者有权向境外接收方追偿。
结语
伴随《数据出境安全评估办法(征求意见稿)》《个人信息出境标准合同规定(征求意见稿)》《个人信息跨境处理活动认证技术规范》的发布,尽管部分问题及实施程序仍有待网信办进一步明确,但个保法规定的各项跨境传输机制的配套规则将会在近期逐次落地,以解决跨国企业面临的“数据跨境监管有法律规定但无执行机制”的尴尬局面,跨国企业有必要着手落实符合自身特点的跨境合规管理机制,为数据跨境强监管的到来做好准备。
[注]
点击阅读