中国版标准合同条款尘埃落定,如何开启个人信息出境的通途
中国版标准合同条款尘埃落定,如何开启个人信息出境的通途
2023年2月24日,国家网信办发布《个人信息出境标准合同办法》(以下简称“《办法》”)及其附件《个人信息出境标准合同》(以下简称“《标准合同》”),并于6月1日正式实施。正式稿尘埃落定,也意味着继《数据出境安全评估办法》、《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》(以下简称“《认证规范》”)后,《个人信息保护法》(以下简称“《个保法》”)第三章所确立的个人信息跨境传输三大机制正式落地。
整体上,本次正式稿沿用了《个人信息出境标准合同规定(征求意见稿)》的立法理念、规则框架以及监管模式,关于此部分的解读,请见此前文章:
中国版标准合同条款揭开面纱,能否成为个人信息出境的通途(一)?
中国版标准合同条款揭开面纱,能否成为个人信息出境的通途(二)?
本文将就企业应对《办法》的相关焦点问题进行解读,并结合我们的跨境项目经验,为企业提供具有针对性的实操应对方案。
一、如何适配三种数据跨境传输机制?三种数据跨境机制有何差别?
针对个人信息及重要数据[1]出境活动,《个保法》《数据出境安全评估办法》确立了“申报安全评估”“订立标准合同并备案”“开展个人信息保护认证”三种数据跨境传输机制,结合我们在大量跨境项目中的实战经验,建议企业在适配出境机制时可遵循“两步走”原则,第一步为识别法定触发场景,第二步为选择最佳出境机制。
第一步:识别法定触发场景
企业应首先识别出境场景是否属于依法需申报安全评估的情形,如触发,则直接选择申报安全评估作为出境机制。需注意,企业不得采取数量拆分等手段规避安全评估的申报(《办法》第四条)。
第二步:选择最佳出境机制
如未触发申报安全评估,则可进入第二步,结合本次出境所涉及的业务活动及数据情况,针对性地选择最佳出境机制,即订立《标准合同》或开展个人信息保护认证。具体可参考如下因素:
一是考虑个人信息出境活动的期限和频次。对于短期、临时性的个人信息出境行为,或跨境交易中场景清晰的个人信息出境,作为基础性机制,《标准合同》具有时效快(合同生效后即可出境)、成本低的优点,适合企业在开展跨境业务时,将其作为附件与业务活动的主合作协议一并进行磋商、签署,而无需第三方认证机构介入。
二是考虑开展个人信息出境活动的主体。针对集团关联公司之间的跨境传输,鉴于集团关联公司间的业务关系较为稳定,制定并遵循统一的个人信息跨境处理规则较易实现,采用个人信息保护认证的方式有助于“一揽子”解决多个境内实体的出境问题。此外,以跨境活动作为产业生态链的企业,亦宜选择个人信息保护认证作为出境机制。
具体见下图:
点击可查看大图
针对三种跨境机制,其主要差别如下表:
点击可查看大图
二、相比征求意见稿,正式稿有哪些核心变化?
针对《办法》,正式稿主要有如下核心变化:
-
进一步强调与申报安全评估的分野,并新增例外情形。正式稿新增了禁止个人信息处理者采取数量拆分等手段规避申报安全评估的规定,并就《标准合同》的适用范围增加了“法律、行政法规或者国家网信部门另有规定的,从其规定”的例外规定。(《办法》第四条)
-
明确《标准合同》文本不可修改。缔约双方可以约定与《标准合同》不相冲突的其他条款,但不得修改《标准合同》文本;同时,国家网信部门有权对《标准合同》文本进行调整。(《办法》第六条)
-
新增重新开展个人信息保护影响评估的义务。如触发法定事项,除征求意见稿所明确的“补充或重新订立《标准合同》并重新备案”外,正式稿提出个人信息处理者还应重新开展个人信息保护影响评估。(《办法》第八条)
-
新增“约谈并要求整改”的风险控制手段。正式稿新增规定,对于个人信息出境活动存在较大风险或者发生个人信息安全事件时,网信办可以采取约谈手段,并要求个人信息处理者相应整改以消除隐患。(《办法》第十一条)
-
新增6个月整改期限。正式稿明确《办法》自2023年6月1日起施行,此前已经开展的个人信息出境活动,不符合《办法》规定的,应自施行之日起6个月内完成整改。(《办法》第十三条)
针对《标准合同》,正式稿主要有如下核心变化:
-
明确单独同意仅适用于以同意为合法性基础的处理活动。《个保法》出台以后,关于“单独同意”与合法性基础的争论方兴未艾,此次《标准合同》第二条第(三)项正式明确“基于同意向境外提供个人信息的”,才需取得单独同意。
-
调整缔约双方协助义务,明确以境内数据处理者为抓手,监管境外个人信息处理活动。如《标准合同》第二条第(七)项删除征求意见稿中关于境外接收方答复监管机构询问的例外情形,进一步体现以境内处理者作为监管抓手的趋势。
-
贴合企业实践,在合规的前提下提供更灵活的义务履行方式。如《标准合同》第二条第(九)项及第三条第(三)项将“遮蔽处理”调整“适当处理”;第三条第(五)项将“删除或匿名化处理”调整为“应当删除,如删除从技术上难以实现,应停止除存储和采取必要安全保护措施之外的处理”。
-
对标《个保法》等适用法律法规调整境外接收方的合同权利与义务,增加“目的限定”“最小必要”等原则的落实。如《标准合同》第三条下新增要求“境外接收方受托处理个人信息不得超出约定的处理目的、处理方式”;第(四)项新增要求“境外接收方采取对个人权益影响最小的方式处理”。
-
调整合同解除情形。《标准合同》第七条新增因境外接收方所在国或地区政策或法规变化导致无法履约的合同解除情形;删除了境外接收方破产、解散或清算及因监管机构原因导致的合同解除情形。
-
调整责任形式。《标准合同》第八条删除了征求意见稿中繁杂的责任分配机制,明确连带责任需依法确定,并提出“对外连带,对内按份”的归责原则。
除上述核心变化外,我们在此前的分析中详细对比了正式稿与征求意见稿的区别,具体请见:修改对比及要点速览 |《个人信息出境标准合同办法》发布[2] 。
三、《标准合同》为个人信息处理者和境外接收方设定了哪些义务?
《标准合同》为个人信息处理者和境外接收方设定了一系列义务,经梳理,主要包括1)处理活动的透明性、合法性、必要性及其他限制;2)个人信息安全保障;3)个人信息权益保护;4)合同履行的协助义务和举证责任;5)接受监管及信息透明义务五个方面,具体如下:
(一)处理活动的透明性、合法性、必要性及其他限制
点击可查看大图
(二)个人信息安全保障
点击可查看大图
(三)个人信息权益保护
点击可查看大图
(四)合同履行的协助义务和举证责任
点击可查看大图
(五)接受监管与信息透明义务
点击可查看大图
四、如何开展个人信息保护影响评估(PIA)?
《个保法》第五十五条设定了个人信息处理者在向境外提供个人信息前事前进行个人信息保护影响评估(Personal Information Protection Impact Assessment,以下或称“PIA”),并对处理情况进行记录的义务,但该义务相对具有内部性,企业往往对此项合规工作的“优先级”不够重视。此次《办法》第七条将个人信息保护影响评估报告作为备案标准合同时必须提交的材料之一,这实际上意味着网信部门针对个人信息跨境场景下的PIA(以下简称“跨境PIA”)已有监管抓手。
具体而言,企业可按照如下方式开展跨境PIA:
1. 以《个保法》及《个人信息安全影响评估指南》为依据,搭建PIA基础制度。
实践中,企业多以2020年11月发布的GB/T39335-2020《信息安全技术个人信息安全影响评估指南》(以下简称“《个人信息安全影响评估指南》”)作为开展PIA的主要参考。我们理解,《个人信息安全影响评估指南》作为普适性指南,可支撑企业搭建基础PIA制度。但《个人信息安全影响评估指南》发布于《个保法》出台之前,且其附录A中明确“个人信息出境场景的评估可参照有关国家标准执行”,因而还需结合其他相关标准、规范,确定跨境PIA的具体评估要点。
2. 结合《个保法》《办法》《认证规范》《数据出境安全评估办法》的要求,就跨境PIA的主要评估内容事先进行准备。
目前,监管部门尚未发布《标准合同》路径下的跨境PIA报告模板。在具体模板出台前,企业可结合《个保法》《办法》《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》(以下简称“《认证规范》”)《数据出境安全评估办法》的要求,就PIA的主要评估内容事先进行准备。前述文件对PIA评估要点的列举具体如下表所示。
PIA评估要点对比表(实质性差异以蓝色字体标注)
经对比,三种出境路径下的评估要点相对具有一致性,企业可暂时以网信部门发布的《数据出境风险自评估报告(模板)》为底稿开展PIA,但需注意:
1) 评估范围仅限于个人信息,重点应侧重于个人信息出境活动对个人信息主体权益的影响;
2) 无需再评估法律合同是否充分约定了数据安全保护责任义务;
3) 对境外接收方法律环境的评估应着重考虑其对标准合同履行的影响。
我们理解,企业可结合《标准合同》第四条第(二)项及《认证规范》第5.4条e)项确定前述第3)点的具体评估内容。此外,欧盟就依据标准合同作为数据跨境传输保障机制时应进行的数据跨境传输评估(Transfer Impact Assessment,以下或称“TIA”)同样涉及对第三国法律环境的评估。由于欧盟标准合同机制与我国标准合同机制均追求同等保护标准,具有相同的价值取向,故TIA提出的关于第三国法律环境的评估因素,也可作为企业评估境外接收方所在国家或地区法律环境的参考。前述文件对法律环境评估要点如下表所示。
法律环境评估要点对比表
此外,虽然《办法》第五条第(五)项将法律环境评估范围限定为“个人信息”相关,但我们理解境外接收方所在国家或地区的网络安全及域外管辖相关法律环境等也可能对合同履行产生影响,如是否存在相关阻断法律适用规定、境外司法或监管机构是否有可能认定以中国法为准据法的合同无效等。
五、缔约双方是否可修改《标准合同》条款的文本?
根据《办法》第六条,《标准合同》应当严格按照《办法》附件文本进行订立,缔约双方不得更改现有合同文本,但可约定与《标准合同》不相冲突的其他条款。这意味着过去企业希望在既有数据出境合同中以新增条款的形式涵盖《标准合同》要点的做法,可能无法满足《办法》的要求,企业必须按照《标准合同》文本进行签署,在此之外可约定补充条款。可见,《标准合同》作为一种纳入强监管的合同,极大地限缩了合同意思自治的空间,以确保同等保护标准的实现。
值得一提,根据《办法》第六条第一款,国家网信部门有权进一步调整《标准合同》的文本。由于缔约双方不可更改文本,一旦调整,企业可能会面临新版本《标准合同》的换签问题。此等“预留修订空间”的规定在我国部门规章层级中并不多见。我们理解,本次《标准合同》正式发布的大背景在于尽快落实“跨境三件套”,以确保我国跨境机制监管的全面落地和实施。在此背景下,我国对于《标准合同》的出境路径仍处于探索阶段;即使是在国际上,欧盟委员会亦根据企业所面临的数据跨境传输实践,对已施行近二十年的SCCs进行调整,并于2021年适时颁布了新版GDPR SCCs。据此,“预留修订空间”实乃本土实践及国际经验的应有之义。此外,从跨国企业的实践来看,在规章层面作出此等明文规定,亦有益于企业在与境外接收方磋商换签事宜时提出“调整合同文本系中国法所明确要求”,以降低沟通成本,帮助企业更顺利地推进出境合同的订立和实施。
六、如何理解备案管理机制?监管部门会对出境活动做实质性审查吗?
与《数据出境安全评估办法》所确立的事前审查机制不同,《办法》所要求的备案程序是一种事后机制,目的是为了在不影响正常业务活动的同时将跨境个人信息处理活动纳入监管机构的视野,并对监管机构保持透明性。针对高风险或违规出境活动,才会进一步采取约谈等监管手段,或课以行政处罚。
根据《办法》第六条、第七条,企业在开展个人信息保护影响评估并经《标准合同》生效后,即可开展个人信息出境活动,但个人信息处理者应当在《标准合同》生效之日起10个工作日内向所在地省级网信部门备案,并提交《标准合同》文本及个人信息保护影响评估报告。
此外,《办法》第八条规定,当个人信息出境活动发生实质性变化时,需重新开展个人信息保护影响评估,补充或者重新订立《标准合同》,并重新备案。具体而言,“实质性变化”即指出境活动发生了可能影响个人信息权益的情形,具体包括:
-
事实变化:境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限;
-
法律变化:境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益;
-
其他可能影响个人信息权益的变化。
具体备案及重新备案流程如下图:
点击可查看大图
七、6个月整改期内,企业有哪些To-Do-List?
第一,全面识别数据出境场景,适配数据出境机制。企业应首先全量梳理业务活动中所涉及的数据出境场景,明确是否构成特殊主体(关键信息基础设施运营者),盘点所出境的数据资产,准确统计跨境传输的数量(如涉及个人信息),并适配相应数据出境机制(适配方案具体见“一、如何适配三种数据跨境传输机制?”)。
第二,积极推动订立《标准合同》的签署工作,衔接现有出境合同文本(如有)。实践中,如何“说服”境外接收方同意订立《标准合同》往往成为该等出境机制落实过程中的关键。建议可考虑法律合规性和业务必要性等因素进行磋商,并引入第三方律所等专业人士对于《标准合同》的重点内容进行说明和阐释,以最大程度提高境外接收方就《标准合同》文本达成共识的效率。此外,针对已部署GDPR SCCs等出境合同文本的跨国公司,还需考虑如何与现有文本相衔接(具体见“九、《标准合同》与GDPR SCCs有哪些区别?已建立GDPR SCCs的企业应如何应对?”)。
第三,开展个人信息保护影响评估。关于开展个人信息保护影响评估的具体要求,请见“四、如何开展个人信息保护影响评估?”。
第四,开展合规整改。需根据个人信息保护影响评估的情况,针对个人信息处理者及境外接收方的合规差距,制定合规整改计划表,并推进整改工作。包括但不限于起草隐私政策等告知文本,制定同意/其他合法性基础方案,设计产品交互界面(如需),落实行权响应机制,采取管理措施和技术措施,并逐项审查落实《标准合同》为缔约双方设定的义务清单等。
第五,开展《标准合同》及个人信息保护影响评估报告的备案工作。关于备案的具体要求,请见“六、如何理解备案管理机制?”
第六,建立企业内部数据跨境的长效合规机制,包括但不限于数据跨境合规管理手册及定期评估机制。通过建立数据跨境合规管理手册,为业务部门提供个人信息跨境场景的识别指引及不同跨境机制下的适配方案,并就合规开展数据跨境传输提供具体指引,例如是否履行透明性要求并具备合法性基础,是否建立行权机制、是否建立数据安全事件响应机制等,确保业务部门“有章可循”,避免触发合规红线。此外,备案并非一劳永逸,企业应建立内部定期评估机制,跟踪自身出境活动的事实变化及域外法律变化,密切关注可能触发重新评估、重新备案的情形(《办法》第八条)等。
八、网信部门针对《办法》有哪些监管手段?如违反《办法》,缔约双方可能面临哪些责任?
由于备案管理相较申报安全评估,系一种更为中立的事后备案而非审查机制,为弥补此等机制的可能不足,《办法》进一步设定了两类监管手段:1)举报监督机制,网信部门可经举报获知个人信息处理者违规向境外提供个人信息的情况(《办法》第十条);2)主动发现机制,网信部门如发现个人信息出境活动存在较大风险或发生安全事件,将主动触发监管,采取约谈并要求整改(《办法》第十一条),我们理解,“发现”的方式可能包括查看备案材料、启动专项检查等。
如违反《办法》,缔约双方可能面临行政、刑事及民事责任。《办法》第十一条采取“较大风险或安全事件”而非“违法开展出境活动”的表述,我们倾向于认为此处并非指向违法出境后的行政责任,而是网信部门监管出境风险的手段。如企业违反《办法》开展出境活动的,仍需依据《个保法》承担相关行政责任,包括但不限于被要求终止个人信息出境活动[4]。如构成犯罪的,还可能依据《中华人民共和国刑法》承担刑事责任。针对民事责任,一方面,《标准合同》第八条设定了违约责任条款,缔约双方可能因违约而向对方或向个人信息主体承担违约责任;另一方面,缔约双方如违反《个保法》《办法》等法律法规侵犯个人信息主体权益的,还可能会承担侵权责任。
九、《标准合同》与GDPR SCCs有哪些区别?已建立GDPR SCCs的企业应如何应对?
标准合同条款(Standard Contractual Clauses, SCCs)为欧盟GDPR下常用的个人数据跨境传输保障机制之一。中国版《标准合同》与GDPR SCCs的主要异同如下所示。
点击可查看大图
可见,《标准合同》虽与GDPR SCCs整体取向一致,但仍在适用场景、责任分配、条款表述等方面存在较大差异。针对已建立GDPR SCCs的企业,鉴于《办法》第六条明确要求《标准合同》应当严格按照网信部门制定的模板订立,故我们理解很难通过修改GDPR SCCs框架下的SCCs条款文本以使之符合中国法下《办法》及《标准合同》的要求,而需重新订立中国版《标准合同》。
针对已签订集团间数据跨境传输框架协议的跨国集团而言,则可考虑将《标准合同》文本作为单独附件适用于中国法下的个人信息跨境传输场景。同时,企业应注意对跨境传输框架协议的总则条款进行审查,确保其不与《标准合同》冲突,特别是不得削弱或者减少一方在《标准合同》下规定的责任和义务;或可在中国专章中明确,当总则条款与《标准合同》冲突时,优先适用《标准合同》。
十、针对《办法》出台前的出境活动如何处理?是否仍需订立《标准合同》并备案?
《办法》第十三条明确了溯及既往的效力,即针对《办法》实施前的个人信息出境活动,同样需适用《办法》的相关规定订立《标准合同》、开展个人信息保护影响评估以及备案,并设定了6个月的整改期。可以发现,其与《数据出境安全评估办法》第二十条关于溯及力的规定采取了一致的逻辑。具体而言:
-
对于已经完成传输,且境外接收方已经删除或匿名化措施处理个人信息的出境活动,无需再适用《办法》。
-
对于已经完成传输、但境外接收方仍继续在存储或处理个人信息的出境活动:由于个人信息处理活动是一个连续的行为,境外接收方的后续处理行为仍可能对个人权益产生影响,我们倾向于认为《办法》适用于此种情形。
-
对于正在进行中的个人信息出境活动:在过渡期内,企业因业务需要需进行个人信息跨境传输的,仍可继续进行,但应在过渡期内订立《标准合同》、完成对现有个人信息出境行为的个人信息保护影响评估,并依法完成备案工作。
[注]