个人信息出境标准合同落地,企业应对的“道”与“法”
个人信息出境标准合同落地,企业应对的“道”与“法”
《个人信息保护法》第三十八条确立了个人信息出境的四条合规路径,即:(1)通过网信部门组织的安全评估;(2)通过专业机构的保护认证;(3)签订网信部门制定的标准合同;(4)符合法律、行政法规或网信部门规定的其他条件。
2023年2月24日,国家网信办公布《个人信息出境标准合同办法》(以下简称“《办法》”),正式宣告个人信息跨境传输“四选一”的第三条路径——个人信息跨境传输标准合同——开始落地。结合实务经验,本文对《个人信息出境标准合同》(以下简称“标准合同”)的重点内容进行了逐一分析,希望能对相关企业开展数据出境合规工作有所帮助。
一、标准合同的特点
(1)国家“格式条款”
“意思自治”原则是现代社会合同法的基石,这一原则几乎被所有国家的立法和判例以及国际条约所认可。除违反效力性强制规定而导致合同无效的情形以外,合同当中的绝大多数商业安排可以由合同双方自由约定。但与之并存的是格式合同。格式合同最初是为了提高交易效率,提供标准化服务而由合同一方当事人创设的。随后为了平衡交易双方的地位,保护弱者利益,由国家制定的格式合同也相继出台。此前中国也曾发布《特定资产管理合同内容与格式指引》《网络交易平台合同格式条款规范指引》用以规制特殊领域的合同格式。
而标准合同无疑是目前中国法下最严格的格式合同。其内容完整、全面,且境内个人信息主体与境外接收方须严格按照国家网信办提供的制式条款签订与履行。企业在签订标准合同或进行补充约定时,注意两层“不得冲突”得要求:
* 合同双方在补充约定时,不得与标准合同中的制式条款相冲突。依据《办法》第六条以及官方答记者问,有权变更标准合同的主体是国家网信办,企业在签订标准合同时可以约定其他条款,但不能与标准合同当中的制式条款相冲突。即制式条款优先适用于双方约定的其他条款。
* 合同双方的其他“法律文件”不得与标准合同相冲突。依据《个人信息出境标准合同》第九条第(一)项,《个人信息出境标准合同》将优先于双方所签署的其他任何“法律文件”适用。即:合同双方签订的《个人信息出境标准合同》生效后,优先于合同双方之间的其他协议、制度或政策适用。
鉴于上述两层“不得冲突”的要求,《个人信息出境标准合同》虽名为“合同”,但 “法定赋权”的色彩却十分浓厚。相反,其赋予合同双方自由约定的空间却十分有限。
(2)行政备案
除对合同内容的规制外,个人信息处理者被要求在所签署标准合同生效之日起10个工作日内向所在地省级网信部门备案。
合同备案并非标准合同首创,在专利许可、商标许可、建设工程领域,合同备案往往是合同双方确权的有效保护手段。但又有所区别的是,标准合同备案所具备的行政管理色彩浓厚。结合《个人信息出境标准合同办法》和《个人信息保护法》的相关规定,未完成标准合同备案义务可能面临警告、罚款、吊销业务许可、公示信用档案记录等处罚,构成犯罪的,依法追究刑事责任。
此外,值得注意的是,标准合同备案并非一劳永逸。在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新履行相应备案手续:
(一)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
(二)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
(三)可能影响个人信息权益的其他情形。
这意味着合同双方在签署标准合同时,应具备对个人信息出境后处理条件变化的前瞻和预判,为合同履行提前预留一定余裕空间;而在标准合同签署后,需要建立有关内外部流程,密切跟进个人信息处理实况以及境外接收方所在地法律环境的变化情况,防止未能及时重新备案而导致的违法结果。
(3)利益第三人合同
《个人信息出境标准合同》在内容设置上,主要体现为三方的权利义务关系,即:境内个人信息处理者的义务、境外接收方的义务以及个人信息主体的权利与救济。境内个人信息处理者与境外接收方作为合同相对方签订并履行协议,而个人信息主体则作为第三方受益人,通过合同双方的约定被赋予了相应的权利。
原则上,合同具有相对性,用以规制当事人发生权利义务关系。当事人只能向合同相对方提出请求或提起诉讼,不能向没有合同关系的第三人提出基于合同关系的请求,也不能擅自为第三人设定合同义务。但出于对个人信息主体的保护,标准合同直接吸收了《民法典》第522条利益第三人合同的精神,赋予了个人信息主体直接起诉个人信息处理者与境外接收方的权利。此外,标准合同还设置了连带责任条款,为个人信息主体行使诉讼权利提供了便利。尤其值得注意的是,主流国家对合同约定事项的认可程度极高,个人信息主体以标准合同作为诉讼请求权基础为,无疑更有利于个人信息主体向境外接收方行使有关的诉讼救济权利。
二、标准合同的适用场景
2022年《数据出境安全评估办法》出台之际,我们已发表解读文章《谋定后动、知止有得——三法齐出,企业如何有效选择数据跨境方案》,对企业适用三种数据出境路径进行分析和典型场景解读,帮助企业选择合适的数据跨境之路。从正式生效的《办法》规定来看,标准合同主要适用于两类场景:
中小型企业的个人信息跨境传输
根据《办法》规定,适用标准合同需要同时满足以下四个条件:(1)个人信息处理者并非关键信息基础设施运营者;(2)个人信息处理者处理个人信息不满100万人;(3)个人信息处理者两年内累计向境外提供个人信息不满10万人次;及(4)个人信息处理者两年累计向境外提供敏感个人信息不满1万人次。换言之,标准合同为《数据出境安全评估办法》适用情形的“补集”,企业只有在无需申报数据出境安全评估的前提下,才能选择适用标准合同。
从跨境数据处理者类型并结合实际情况分析,目前国内互联网企业或TO C类型的大中型企业所掌握的用户数量普遍超过100万人;其次,重知识产权和高研发投入企业往往涉及重要数据(如汽车数据)或大量敏感个人信息(人脸数据),极易落入《数据出境安全评估办法》的监管范围;再次,大型国防企业、电信公司、金融机构以及医疗机构因其行业属性和行业地位亦有较高几率构成关键信息基础设施运营者,进而被排除在标准合同的适用范围之外。
因此,标准合同的适格主体将以中小型企业居多,而适用的情形则限于少量个人信息与敏感个人信息的跨境传输。
跨境投资并购交易
在跨境投资并购交易中,尤其是中国企业境外投资或收购境外企业时,个人信息多由境外流入境内,需出境的个人信息数量不大,往往可通过一次性的交易安排完成。在该场景下建议境内企业选择适用标准合同作为个人信息跨境传输的合规路径。
当然,在个人信息双向跨境的交易中,买卖双方均受限于本国的数据隐私法律要求,谈判签署标准合同对于交易本身而言增加了一道关卡,故相关合同的谈判磋商亦是该场景下的重点问题。
无法适用的场景
《办法》特别指出,个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。至此,关于集团公司等通过将个人信息出境业务拆分给其他分子公司,以此降低个人信息出境数量,从而规避数据出境安全评估的行为是否涉嫌违法,已有定论。企业应当如实、严格评估其跨境传输的个人信息数量,切勿存在侥幸心理。
三、适用标准合同的合规落地建议
标准合同看似仅一纸合同,却内容覆盖丰富。从合同全面履行的角度,我们认为标准合同对合同双方设置了极高的合同责任和义务。从境内个人信息处理者的角度出发,我们特谨提出三个“尽早”,以期为企业及时、有效打通个人信息跨境传输第三条路提供一点启发和帮助。
(1)尽早梳理数据资产与个人信息跨境传输数量
《办法》将于2023年6月1日起施行。施行前已经开展的个人信息出境活动但应签而未签署标准合同的企业,应当自《办法》施行之日起6个月内完成整改。换言之,标准合同的整改期至2023年12月1日为止。
结合我们在数据出境安全评估工作中的经验,监管一般会要求符合条件的企业尽早完成整改,在截至日期前申报并拿到受理通知。故应用到标准合同备案流程中,我们有理由认为,企业应当为有关路径确认以及相关材料准备留出充足的时间,勿以2023年12月1日为冲刺目标。
我们建议,企业应当尽早对其数据资产、数据出境情况进行全面、清晰的梳理,并确定其所适用的个人信息跨境传输合规路径。
(2)尽早推进标准合同的谈判与签署
标准合同的落地并非一蹴而就。
首先,境外接收方往往为外国机构,以外文为工作语言。目前国家尚未发布标准合同的官方英文翻译,考虑到网信办对标准合同制式条款的严苛限定,合同双方可能需要一定时间对合同内容逐项说明,达成一致理解;
其次,标准合同条款的强制性可能影响企业正在进行或计划进行的商业安排,合同双方应妥善协商商业部分的调整;
再次,在涉及到个人信息双向跨境传输的场景下,境内个人信息处理者可能面临签署“海外版”SCC或配合境外接收方履行外国法相关合规义务的要求。境内个人信息处理者应谨慎评估其签署的其他文件或履行的合规义务是否可能违背包括《办法》在内的中国强制法的要求;
最后,根据《办法》,个人信息处理者在合同备案时需同时提交个人信息保护影响评估报告。境内个人信息处理者在推进签署标准合同的同时,还需兼顾个人信息保护影响评估事宜。
综上所述,选择适用标准合同路径进行数据出境的企业应尽快推进合同的谈判与签署,为合同签署前的准备工作预留充足的时间。
(3)尽早部署标准合同所需的企业内控措施
标准合同既是意思自治的产物又是合规监管的法定要求,企业在签署标准合同前,应当确保已经具备履行合同条款所设定义务的能力,并对合同义务的履行承担举证责任。我们梳理了六项标准合同内嵌的合规措施,供境内个人信息处理者对照参考:
第一,履行告知义务
境内个人信息处理者负有告知义务。除法律、行政法规规定不需要告知的情形外,境内个人信息处理者应向个人信息主体告知以下内容:
* 境外接收方的名称或者姓名、联系方式、个人信息出境的处理目的、处理方式、个人信息的种类、保存期限,以及行使个人信息主体权利的方式和程序等事项;
* 个人信息主体为标准合同的第三方受益人,可以依据该合同享有第三方受益人的权利;
* 如境内个人信息处理者计划向境外提供敏感个人信息,还应当向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响。
第二,取得合法性基础
《个人信息保护法》第十三条规定了七类个人信息处理的合法性基础。境内个人信息处理者当且仅当具备合法性基础时,才能开展个人信息处理活动,包括跨境传输个人信息。
在以“同意”作为合法性基础情形下,境内个人信息处理者需取得个人信息主体的单独同意。所谓单独同意,其排斥的是一揽子同意、概括式同意,一键勾选式同意。因此,在个人信息跨境传输之类强监管场景下,我们建议企业采用单独的文本形式取得个人信息主体的同意。如涉及不满十四周岁未成年人个人信息跨境传输的,境内个人信息处理者应当取得未成年人的父母或者其他监护人的单独同意。
此外,法律、行政法规规定应当取得书面同意的,应当取得书面同意。例如,《征信业管理条例》规定,征信机构采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息的,应当取得个人的书面同意;《人类遗传资源管理条例》规定,采集我国人类遗传资源的,也应取得人类遗传资源提供者书面同意。对于跨境传输前述个人信息的场景,我们理解也应当取得个人信息主体的书面同意。
第三,审慎选择境外接收方并做好评估记录
根据标准合同,境外接收方应当具备充分的安全管理制度、技术手段和保障能力,且需达到中国相关法律法规规定的个人信息保护标准。因此,选择具备保障能力的境外接收方对于标准合同的落地至关重要。
在基于第三方供应链出境导致的个人信息“被动跨境”的场景下,境内个人信息处理者通常具有较高的话语权以选择适格的软硬件供应商,建议处理者应详细评估境外接收方(软硬件供应商)的相关资质;而在数据处理者“主动跨境”传输个人信息的场景下,企业应与境外接收方妥善协商,辅导、帮助境外接收方建立符合标准合同所要求的安全管理制度、完善其技术保障能力。
具体而言,境内接收方可以从以下方面评估境外接收方:
* 是否采取例如加密、匿名化、去标识化等技术措施;
* 是否设计任何定期进行检查机制,确保出境的个人信息安全;
* 是否以任何形式对授权处理个人信息的境外接收方人员施以履行保密义务;
* 是否建立最小授权的访问控制权限;
* 此前是否有类似的个人信息跨境传输和处理相关经验;
* 是否曾发生个人信息安全相关事件及是否进行了及时有效地处置;
* 是否曾收到其所在国家或者地区公共机关要求其提供个人信息的请求,以及及境外接收方应对的情况。
第四,评估境外接收方所在国/地区的法律环境对合同履行的影响
对境外接收方所处法律环境的评估是标准合同的重要条款。具体表现在:
* 境外接收方遵守合同将违反其所在国家或者地区的法律规定的,个人信息处理者有权直接解除合同;
* 境外接收方所处法律环境变动导致其无法履行本合同的,个人信息处理者有权暂停跨境传输,直至违约行为被改正或者合同被解除。
因此,在签署标准合同前对境外接收方所处法律环境开展全面、前瞻性地评估对于标准合同全面、持续地履行至关重要。在具体评估中,境内个人信息处理者应当考虑以下要素:
* 境外接收方所在国家/地区现行的个人信息保护法律、法规及普遍适用的标准,包括任何提供个人信息的要求或者授权公共机关访问个人信息的规定;
* 境外接收方所在国家或者地区加入的区域性或者全球性的个人信息保护方面的组织,以及所作出的具有约束力的国际承诺;
* 境外接收方所在国家或者地区落实个人信息保护的机制,如是否具备个人信息保护的监督执法机构和相关司法机构等;
除以上三点要素,我们建议境内个人信息处理者进一步查阅过往案例或执法记录,确定境外司法或监管机构是否有较大可能,认定以中国法为准据法的合同存在无效的风险。
第五,建立个人信息主体行权机制
境内个人信息处理者应当在签署标准合同之前建立有效的个人信息主体行权机制。具体包括以下方面:
* 保障个人信息主体的知情权、决定权,限制或者拒绝他人对其个人信息进行处理的权利,查阅、复制、更正、补充、删除其个人信息权利;
* 就合同双方个人信息处理规则向个人信息主体进行解释和说明;
* 就个人信息主体行权与境外接收方建立良好的沟通渠道。当个人信息主体直接向境外接收方行权,或境内个人信息处理者无法实现个人信息主体的行权要求时,能够通知并要求境外接收方协助实现。
第六,完成个人信息保护影响评估
根据《办法》的规定,标准合同的备案材料包括个人信息保护影响评估报告,且个人信息处理者需要对所备案材料的真实性负责。
通过梳理《办法》对个人信息保护影响评估的重点要求,不难发现其本质与标准合同对合同双方设定的义务有着异曲同工之处。因此,境内个人信息处理者协商推进合同签署、部署上述合规内控措施的过程实质上也是对其个人信息跨境处理活动进行个人信息保护影响评估的过程。
为及时输出真实、完整、准确的个人信息保护影响评估报告,存在个人信息出境相关业务的企业应当及时开展个人信息跨境处理全流程的尽职调查、合规分析,并完成相关整改工作。
结语
随着《网信部门行政执法程序规定》等法规的出台,2023年将开启 “执法元年”。网信办作为执法主体所依据的行政执法程序将真正落地,并加强对数据违法违规活动的行政执法力度。尽管正式稿中对于征求意见稿中的违规处罚措施进行了修订,从“禁止跨境”改为“约谈或整改”,但我们认为这仅是正式稿遵循了《行政处罚法》的立法规则而进行的修订,并非对此类违规行为的“缓和措施”。
标准合同的正式落地,标志着规制个人信息跨境活动的法规“拼图”已不存在空缺。不同跨境量级的企业都应当按照适用的合规路径完成申报或备案。对于各类有数据跨境需求或场景的企业而言,切勿因不及时或怠于整改而导致数据合规工作存在“阿喀琉斯之踵”。