您的位置 : 环球研究 / 环球评论 / 新闻详情
个人信息出境合规指引之一——签署“中国版”个人信息出境标准合同
2022年07月06日孟洁 | 殷坤 | 鲁裕鑫

2022年6月30日,国家互联网信息办公室(以下简称“网信办”)发布了《个人信息出境标准合同规定(征求意见稿)》(以下简称“《标准合同规定征求意见稿》”),并公开向社会征求意见。

 

根据《中华人民共和国个人信息保护法》(以下简称“《个保法》”)第三十八条,因业务需要,确需向境外提供个人信息的,需要具备以下条件之一:(一)通过出境安全评估;(二)进行个人信息保护认证;(三)与境外接收方订立标准合同;(四)法律、行政法规或者国家网信部门规定的其他条件。对于出境安全评估,自2017年起,国家就曾发布多份征求意见稿,其中最近的是网信办于2021年10月29日发布的《数据出境安全评估办法(征求意见稿)》(以下简称“《出境安全评估办法征求意见稿》”),我们此前也曾对该征求意见进行过解读(详见环球合规与风控 | 企业数据出境评估指引——暨《数据出境安全评估办法(征求意见稿)》解读)。对于个人信息保护认证,2022年6月24日,在对《网络安全标准 个人信息跨境处理活动认证技术规范(征求意见稿)》征求意见近2个月之后,全国信息安全标准化技术委员会发布了《网络安全标准 个人信息跨境处理活动认证技术规范》(以下简称“《认证规范》”,我们将于近期推出对其解读)。针对与境外接收方签署标准合同,此次《标准合同规定征求意见稿》与《认证规范》和正在征求意见中的《出境安全评估办法征求意见稿》共同组成个人信息跨境传输的保护措施,进一步补足、细化《个保法》第三十八条向境外提供个人信息的条件。以下,我们用图例表示个人信息出境相关机制与依据之间的关系。

 

图片

图1 个人信息出境前提条件及相关配套法规

 

为了对《标准合同规定征求意见稿》的相关要点有更全面的把握,以及个人信息出境方能够提前作出相关准备,本文将从如下几个方面进行解读和总结。

 

一、适用条件

 

根据《标准合同规定征求意见稿》第四条,同时符合如下情形的,可以通过签订标准合同的方式向境外提供个人信息:(一)非关键信息基础设施运营者(以下简称“CIIO”);(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供未达到10万人个人信息的;(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。

 

而根据《出境安全评估办法征求意见稿》第四条,符合以下情形之一的,应当申报数据出境安全评估:(一)CIIO收集和产生的个人信息和重要数据;(二)出境数据中包含重要数据;(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。

 

就个人信息的出境情形来看,比对上方两份文件(同属网信办发布的部门规章)的要求,可以发现,在涉及个人信息出境的情况下,需要重点考虑四点因素:

 

  1. 个人信息处理者是否被认定为CIIO;
  2. 处理的个人信息所对应的主体是否超出100万人;
  3. 累计向境外提供的个人信息所对应的主体是否达到10万人以上(自上年1月1日起);
  4. 累计向境外提供的敏感个人信息对应的主体是否达到1万人以上(自上年1月1日起)。

 

如果上述四个问题中有一个答案为“是”,则其数据向境外传输前只能通过申报出境安全评估后方能进行,无法采用订立标准合同的方式作为个人信息跨境传输的保护措施。换言之,采取订立标准合同的方式对于上述四类情形的保护是不够充分的,因此仍然需要向网信部门申请安全评估,才符合法律要求。如果上述问题的答案均为“否”,则才可以采用通过与境外接收方签署标准合同的措施,向境外接收方提供个人信息。

 

图片

图2 个人信息出境前提条件适用规则

 

注:

由于《个人信息出境标准合同规定(征求意见稿)》和《数据出境安全评估办法(征求意见稿)》目前均为征求意见稿阶段,本图仅根据征求意见稿初步制定。如正式稿公布后,适用规则可能会相应调整。

 

针对第1个问题,《标准合同规定征求意见稿》主要依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《个保法》的相关规定,明确CIIO在中华人民共和国境内运营中收集和产生的个人信息无法通过订立标准合同的机制实施个人信息出境。此外,除个人信息外,作为CIIO,原则上,在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。确有需要向境外提供数据时,不论数据类型为个人信息或重要数据,不论数据量多少,都应向网信部门申请安全评估。并且,在安全评估通过后,方才可以向境外传输。

 

针对第2个问题,《标准合同规定征求意见稿》的表述为“处理个人信息不满100万人的”,《出境安全评估办法征求意见稿》的表达为“处理个人信息达到一百万人的个人信息处理者向境外提供个人信息”。一方面,从上述表达来看,对于出境安全保护措施的选择问题,法律法规规制的对象是某一类个人信息处理者,而非某一类处理行为。该类个人信息处理者需要具备处理了个人信息已达到一百万人的特征。另一方面,网信办于2021年11月14日发布了《网络数据安全管理条例(征求意见稿)》,第二十六条规定“数据处理者处理一百万人以上个人信息的,还应当遵守该条例对于重要数据的处理者的规定”。也就是说,从立法趋势来看,对于处理个人信息达到100万人以上(此处应当“含100万人”)的个人信息处理者,法律将其与重要数据的处理者相提并论,无论出境的数据量是否达到100万,只要个人信息处理者所处理的个人信息对应的主体数量达到100万人,就需要向网信部门申请出境安全评估并且遵守重要数据处理者的相关要求。

 

根据上述理解,可进一步得出以下两个结论:1)对于处理个人信息主体的数量达到100万人的个人信息处理者,如果需要向境外提供个人信息,无论向境外提供的个人信息量是否达到100万,都应当申请出境安全评估,而不能选择适用标准合同的方式。举个例子,对于用户量已超过100万的网站、App、小程序等互联网产品,无论其向境外传输的单次数据量情况如何,均需要根据《出境安全评估办法征求意见稿》申请安全评估,不能仅通过签署标准合同的方式履行合规义务。2)对于处理个人信息主体的数量未达到或暂未达到100万人的个人信息处理者,即使其拟出境的个人信息超出100万个字段,也可以根据《个保法》第38条,任选一种个人信息出境的保护机制。当然,在满足《标准合同规定征求意见稿》第四条其他适用条件的情况下,与境外接收方签署标准合同可能成为多数企业有意向选择的方案。

 

针对第3个问题和第4个问题,此次《标准合同规定征求意见稿》解答了实务中出现的一些困惑。《出境安全评估办法征求意见稿》发布后,有些企业一度困惑于“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”的理解,起算时间是否为《出境安全评估办法征求意见稿》生效后。此次《标准合同规定征求意见稿》回应了这类疑虑:若生效版正式稿保持同样的要求,则企业应当计算自上一年1月1日起至该企业向境外传输数据之日止累计向境外提供个人信息的主体数量。举个实例,假设《标准合同规定征求意见稿》于2022年10月1日宣布生效并立即实施,某企业计划向境外传输个人信息的时间为2022年10月5日。当其在2022年7月4日进行企业内部自评估时,需要请后台统计从2021年1月1日起至2022年7月4日期间处理个人信息对应的主体数量和已经累计向境外传输个人信息和敏感个人信息相对应的主体数量,如果已经处理的个人信息主体的人数还未超过100万人,则再看累计向境外传输个人信息的主体人数是否已经达到10万人(含)或者敏感个人信息主体人数已经达到1万人(含),若达到了,则建议暂停向境外传输个人信息,该企业应当待《出境安全评估办法征求意见稿》生效后,依流程向网信部门申请出境安全评估,获得批准后再根据评估意见恢复个人信息传输出境。如果2022年7月4日得出的自评估报告显示,该企业处理的个人信息人数未达100万人、从2021年1月1日起至2022年7月4日止累计向境外传输的个人信息和敏感个人信息对应的主体数量分别未达10万人和1万人的,那么该企业同时还应当预估2022年7月5日至2022年9月30日期间可能向境外传输的个人信息主体的数量。如果根据往日数据预估,在未来3个月内注册用户人数可能突破一百万的,以及向境外传输个人信息的人数将达到10万人以上或传输敏感个人信息的人数将达到1万人以上,从谨慎起见,还是不建议在7月4日时决策采用订立标准合同的方式来完成将来的个人信息跨境传输,而应当待《出境安全评估办法征求意见稿》生效后,依流程向网信部门申请出境安全评估。

 

结合上述假设的案例来看,不难看出,相较于安全评估,适用订立标准合同的条件更为严苛,并且还会随着企业向境外传输数据的动态变化进而实施周期性的评估和调整措施。因此,我们初步判断,可选择采用订立标准合同作为个人信息出境安全措施的企业向境外传输的频率不高,而且传输个人信息的主体人数不多,或者向境外传输的个人信息基本不属于敏感个人信息的情况。但凡规模较大且有将个人信息出境作为常态化诉求的企业,基本都需要等待《出境安全评估办法征求意见稿》生效,并在通过出境安全评估之后,方可进行跨境传输个人信息的活动。

 

二、出境前的个人信息保护影响自评估

 

《标准合同规定征求意见稿》第五条规定,在个人信息出境前,应当事先开展个人信息保护影响评估。根据《个保法》第五十五条,向境外提供个人信息的,应当事前进行个人信息保护影响评估,并对处理情况进行记录。我们比对了《出境安全评估办法征求意见稿》《标准合同规定征求意见稿》和《认证规范》中对于出境场景下企业自行组织的评估要求,具体如下:

 

 

通过比对可知,除了关注出境对个人权益带来的影响外,《出境安全评估办法征求意见稿》相比较其他两者,自评估内容中还包括重点评估对国家安全、公共利益、组织的合法权益可能产生的风险或影响。究其原因,一方面是由于《出境安全评估办法征求意见稿》的规制对象不仅包括个人信息,还包括重要数据等。另一方面,能够符合适用《标准合同规定征求意见稿》的企业基本属于处理个人信息相对应的主体数据量较少,向境外传输情况不太复杂,因处理个人信息人数少进而达到重要数据处理者标准的概率较低(除非该企业单独掌握重要数据)的个人信息处理者。因此,《标准合同规定征求意见稿》未明确提及企业自评估的对象包括个人信息出境给“国家安全”“公共利益”“组织的合法权益”带来的风险。从立法本意看,当处理大量个人信息的个人信息处理者跨境传输个人信息或重要数据时,因后续需要向网信部门申请安全评估,企业自评估的内容需以网信部门评审的要求提前自检,即需结合个人信息出境对于国家安全和公共利益侧的影响评估与分析。此外,相较于《标准合同规定征求意见稿》,《出境安全评估办法征求意见稿》还强调了企业应当评估在数据转移环节的管理和技术措施是否充足,能否保障出境数据的安全。《标准合同规定征求意见稿》《认证规范》虽然未对上述评估内容有强制要求,但有分别要求企业从境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行是否造成影响以及境外接收方所在国家或者地区的网络安全环境是否将对个人信息主体权益造成影响等内容进行评估。

 

值得关注的是,《标准合同规定征求意见稿》还提到个人信息处理者应当评估境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响,这一点类似欧盟在Schrems II案中提出的传输影响评估(TIA),后续企业可以考虑引入外部评估机构进行协助。

 

个人信息保护影响评估是《个保法》下的法定义务,并且向境外传输个人信息是触发个人信息保护影响评估的情形之一,因此,企业可以参考《个人信息影响评估指南》最新版本(现行版本为:GB/T 39335-2020),评估向境外提供个人信息活动是否合法、正当、必要,所采取的保护措施是否有效并与风险程度相适应等,并根据《标准合同规定征求意见稿》第七条的要求,将个人信息保护影响评估报告提交备案。尽管《出境安全评估办法征求意见稿》《标准合同规定征求意见稿》和《认证规范》所指引的个人信息保护影响评估的重点内容各有侧重,但总体来看差距不大。为了防范在评估之时企业处理个人信息的情况还在不断变化和更新,实务中,我们建议企业针对个人信息出境事宜开展的个人信息保护影响评估所适用的评估清单应尽可能全面、细致,将几类情况都提前覆盖,否则遗漏了其中一项或几项评估要点,可能影响整体的个人信息出境安排。总结来看,至少应包括下列评估事项:

 

  1. 向境外提供个人信息是否符合法律、行政法规;
  2. 个人信息出境及境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
  3. 出境个人信息的数量、范围、种类、敏感程度,个人信息出境可能对国家安全、公共利益、其他组织的合法权益带来的风险,以及对个人权益带来的影响;
  4. 个人信息处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;
  5. 个人信息接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
  6. 个人信息出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
  7. 与境外接收方订立的个人信息出境相关合同是否充分约定了数据安全保护责任义务,或者标准合同中是否提及了额外的数据安全保护责任义务;
  8. 境外国家和地区的法律环境、网络安全环境等对个人信息出境、个人权益保护、(标准)合同履行情况的影响等。

 

三、备案要求

 

《标准合同规定征求意见稿》创新地提出了对标准合同的备案要求。根据《标准合同规定征求意见稿》第三条的规定,依据标准合同开展个人信息出境活动,应坚持自主缔约与备案管理相结合。欧盟《通用数据保护条例》(以下简称“GDPR”)第46条规定了个人信息跨境传输的相关机制,即允许个人信息在满足特定条件的情况下,向未被欧盟认定为具有“足够的数据保护水平”的国家、地区或国际组织转移,这些机制包括:(一)基于公共机构之间具有约束力和可执行力的协议进行跨境传输;(二)制定具有约束力的公司规则(Binding Corporate Rules,以下简称“BCRs”),且该BCRs获得了数据保护机关的批准(approve);(三)数据出口方与数据进口方签署了欧盟委员会发布(adopted)或成员国监管机构发布且经欧盟委员会批准的标准合同条款(Standard Contractual Clauses,以下简称“SCC”);(四)基于经批准(approve)的行为守则(code of conduct)进行跨境传输;以及(五)基于经批准(approve)的认证机制进行跨境传输。

 

从上述要求来看,我国的标准合同管理机制与GDPR下的SCC不完全相同,GDPR下由监管部门欧盟数据保护委员会(EDPB)发布SCC,此后不需要企业另行履行备案手续。此外,我国的标准合同管理机制需进行的(行政)备案也不同于GDPR下对于其他跨境传输机制所要求的批准。

我国目前尚未针对行政备案形成统一、明确的概念,仅由部分地方法规对此进行了定义。根据《河北省行政备案管理办法》第二条,行政备案是指行政机关或者法律、法规、规章授权的组织,依法接受公民、法人或者其他组织(以下简称行政相对人)报送其从事特定活动的有关材料,并将备案资料存档以备事后监督的行为。《广州市行政备案管理办法(2019修订)》第二条也对行政备案进行了定义,即行政机关为了加强行政监督管理,依法要求公民、法人和其他组织报送其从事特定活动的有关材料,并将报送材料存档备查的行为。

 

通过上述地方规定来看,备案主要是为了加强行政监督管理,要求行政相对人通过报送方式将有关材料向有关行政机关提交存储,以备事后监督和检查,并不等同于事前的行政审批。而《国务院关于加快推进政务服务标准化规范化便利化的指导意见》也将行政备案与行政许可、行政确认等进行了并列。换言之,行政备案并非行政许可和行政确认,并不创设或确认任何权利义务关系,行政备案本身不会使跨境传输无效。

具体到数据跨境传输行为,则体现在标准合同备案和生效日期的时间差上。根据《标准合同规定征求意见稿》第七条,个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门提交标准合同和个人信息保护影响评估报告,以进行备案。同时,个人信息处理者对所备案材料的真实性负责。标准合同生效后个人信息处理者即可开展个人信息出境活动。

 

根据《标准合同规定征求意见稿》第十二条,个人信息处理者未履行备案程序或者提交虚假材料进行备案的,由省级以上网信部门依照《中华人民共和国个人信息保护法》的规定,责令限期改正;拒不改正或者损害个人信息权益的,责令停止个人信息出境活动,依法予以处罚;构成犯罪的,依法追究刑事责任。

 

结合上述规定来看,如果企业未履行备案,将面临行政处罚,构成犯罪的,还可能承担刑事责任。但整体而言,不影响合同的效力,即合同生效后即可开展个人信息出境活动。这也体现了《标准合同规定征求意见稿》第一条的立法理念,即一方面需要促进个人信息的自由跨境流通,另一方面也要保护个人信息权益和个人信息安全。

 

此外,《标准合同规定征求意见稿》第八条还规定了重新签署合同并履行备案手续的情况,包括:(一)向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;(二)境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的;(三)可能影响个人信息权益的其他情况。其中,向境外提供个人信息的“数量”发生变化需要重新签订标准合同,可能较难界定,具体是数据量的大小还是人数的多少,没有明确的区间。实践中值得探讨的是,是否数量只要多一人或少一人,就需要重新备案?

 

同时,《标准合同规定征求意见稿》第九条也要求参与标准合同备案的机构和人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。

 

四、救济方式、罚则和其他

 

从救济方式来看,《标准合同规定征求意见稿》第十条和第十一条分别规定了组织和个人有权进行投诉举报,以及网信部门依职权发现违法行为后可书面通知个人信息处理者终止出境活动。

 

《标准合同规定征求意见稿》还规定了相关罚则,即个人信息处理者出现如下情形时,由省级以上网信部门依照《中华人民共和国个人信息保护法》的规定,责令限期改正;拒不改正或者损害个人信息权益的,责令停止个人信息出境活动,依法予以处罚;构成犯罪的,依法追究刑事责任:(一)未履行备案程序或者提交虚假材料进行备案的;(二)未履行标准合同约定的责任义务,侵害个人信息权益造成损害的;(三)出现影响个人信息权益的其他情形。

 

从上述规定来看,如果未履行相关责任义务,侵害个人信息权益,那么监管机关将直接对个人信息处理者进行处罚。同时,从标准合同第二条(六)、第八条(六)也可以看出,境内的个人信息处理者仍然需要作为兜底的外部责任直面方。对于是否可以直接处罚境外接收方,《标准合同规定征求意见稿》目前没有明确要求。因此,如因境外接收方未履行相关数据安全保护责任,造成侵害个人信息权益造成损害,根据《标准合同规定征求意见稿》,则由个人信息处理者承担责任,之后可根据《标准合同规定征求意见稿》中的《个人信息出境标准合同》第八条向境外接收方追偿。

 

五、具体合同内容

 

根据《标准合同规定征求意见稿》第六条,标准合同包括以下主要内容:(一)个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等;(二)个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等;(三)个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等;(四)境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响;(五)个人信息主体的权利,以及保障个人信息主体权利的途径和方式;(六)救济、合同解除、违约责任、争议解决等。

 

个人信息出境(跨境传输)作为个人信息处理活动中的一种,也应当遵循《个保法》对于个人信息处理活动的基本要求。因此,《个保法》中的对于个人信息处理活动的一般原则也在标准合同中的部分条款中予以了体现。《标准合同规定征求意见稿》以附件的形式公布了标准合同的具体条款。具体详见附件中的分析。

 

整体而言,标准合同的主要条款都集中在境内外双方对于跨境传输个人信息应当履行的义务,而没有对双方在数据处理活动中的权利等信息进行明确约定。这些未提及的内容就需要双方通过其他合同来进行进一步细化。需要注意的是,根据《标准合同规定征求意见稿》第二条,个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。并且,如果标准合同在达成或签订时与合同双方已存在的任何其他协议发生冲突,标准合同的条款需要优先适用。

 

结语

 

此次网信办公布标准合同,与欧盟SCC和香港近期公布的建议合约条文范本相比,最大的区别在于并未区分境内外主体在数据处理活动中的关系,即双方是否对于数据处理活动具有独立的决定权和掌握权,即GDPR语境下的“数据控制者”和“数据处理者”,以及香港《私隐条例》下的“资料使用者”和“资料处理者”。因此,无论是境内主体还是境外主体均需要对个人信息处理活动承担较重的责任,甚至在标准合同中有进一步加重境内主体责任的趋势。

 

我国《个保法》在第二十一条和第二十三条规定了类似委托处理和对外提供的两种数据处理模式。对于跨境传输个人信息,是否有必要考虑在一定程度上针对境内外双方之间的处理关系进行区分对待也是后续立法中可以考量的问题。尽管在标准合同的部分条款中有所体现,但是整体而言,标准合同似乎跳脱了传统的数据处理关系,将跨境传输作为一种特殊的处理活动,赋予了境内外双方各自不同于传统委托处理、对外提供关系下的新的义务(例如接受询问等)。

 

总而言之,随着个人信息出境相关法律法规及配套文件的逐步出台,对于个人信息出境的合规要求和合规路径也日渐明晰。针对个人信息处理规模较小的主体而言,应充分考虑数据传输活动的不同情形,将标准合同与个人信息保护认证、个人信息保护影响评估等制度的实践情况相结合;并且密切关注最新法律法规的动向,参考网信办等部门后续可能会发布的配套指引性文件,进一步在实践中对于标准合同规定和合规义务进行细化和落地,增强自身的风险管控能力,更加严格和谨慎地处理个人信息出境活动。

 

请点击“相关下载”,查看附件内容:个人信息出境标准合同的条款分析。

相关下载