您的位置 : 环球研究 / 环球评论 / 新闻详情
论企业如何有效选择适当的数据跨境传输合规方案——对《个人信息出境标准合同办法》的评析
2023年02月27日孟洁 | 殷坤 | 鲁裕鑫

引言

 

2023年2月24日,国家互联网信息办公室(以下简称“网信办”)在发布《个人信息出境标准合同规定(征求意见稿)》(以下简称“《标准合同规定征求意见稿》”)8个月后,正式公布了《个人信息出境标准合同办法》(以下简称“《标准合同办法》”)。根据《中华人民共和国个人信息保护法》(以下简称“《个保法》”)第三十八条,因业务需要,确需向境外提供个人信息的,需要具备以下条件之一:(一)通过出境安全评估;(二)进行个人信息保护认证;(三)与境外接收方订立标准合同;(四)法律、行政法规或者国家网信部门规定的其他条件。此次《标准合同办法》的出台,意味着我国数据跨境传输安全保护机制的完整版图已经构建,企业应当根据《个保法》《数据出境安全评估办法》(以下简称“《评估办法》”)《标准合同办法》以及《网络安全标准 个人信息跨境处理活动认证技术规范V2.0》(以下简称“《认证规范2.0》正确履行数据出境合规义务。

 

 

图片

图1 个人信息出境前提条件及相关配套法规

 

我们此前曾对《评估办法》进行过解读(详见《环球合规与风控 | 数据出境合规指引之二——依规开展数据出境安全评估》);同时也对个人信息保护认证规则进行过解读(详见《环球合规与风控 | 数据合规领域认证制度观察(上):察今以知古——我国数据合规认证制度的形成与发展》)。为了方便读者对《标准合同办法》的要点进行全面把握,本文将结合《标准合同办法》对《标准合同规定征求意见稿》的修订,从以下几个方面进行解读和总结:

 

一、适用条件

 

根据《标准合同办法》第四条,个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形:(一)非关键信息基础设施运营者(以下简称“CIIO”);(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供不满10万人个人信息的;(四)自上年1月1日起累计向境外提供不满1万人敏感个人信息的。

 

根据《评估办法》第四条,有以下情形之一的,数据处理者应当申报数据出境安全评估:(一)向境外提供重要数据;(二)CIIO和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。

 

因此,就个人信息出境情形,比对上方两份文件(同属网信办发布的部门规章)的要求,在涉及个人信息出境的情况下,企业应重点考虑以下四项因素:

 

  1. 个人信息处理者是否被认定为CIIO;
     
  2. 处理的个人信息所对应的主体是否达到100万人;
     
  3. 累计向境外提供的个人信息所对应的主体是否达到10万人以上(自上年1月1日起);
     
  4. 累计向境外提供的敏感个人信息对应的主体是否达到1万人以上(自上年1月1日起)。

 

如果上述四个问题中有一个答案为“是”,则个人信息向境外传输前只能通过申报出境安全评估后方能进行,无法采用与境外接收方通过订立标准合同的方式作为个该企业人信息跨境传输的保护措施。换言之,若仅采取订立标准合同的方式对于上述四类情形的保护程度是不够充分的,因此仍然需要向网信部门申报出境安全评估,才符合法律要求。如果上述问题的答案均为“否”,且法律、行政法规或者国家网信部门针对该出境情形没有其他特殊规定的,则可以采用与境外接收方签署标准合同的措施后,向境外接收方传输个人信息。

 

如果其他法律法规有特殊规定的,个人信息处理者还应当一并进行考虑。例如,根据《中华人民共和国保守国家秘密法》第三十条,机关、单位对外交往与合作中需要提供国家秘密事项,或者任用、聘用的境外人员因工作需要知悉国家秘密的,应当报国务院有关主管部门或者省、自治区、直辖市人民政府有关主管部门批准,并与对方签订保密协议。又如,根据《国家健康医疗大数据标准、安全和服务管理办法(试行)》第三十条,相关企业应当将健康医疗大数据存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。再如,根据《中华人民共和国生物安全法》第五十七条,将我国人类遗传资源信息向境外组织、个人及其设立或者实际控制的机构提供或者开放使用的,应当向国务院科学技术主管部门事先报告并提交信息备份。

 

图片

图2 个人信息出境前提条件适用规则

 

以下我们将进一步针对上述四项因素进行逐一释义:

 

针对第1项因素,《标准合同办法》主要依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《个保法》的相关规定,明确CIIO在中华人民共和国境内运营中收集和产生的个人信息无法通过订立标准合同的保护机制实施个人信息出境。作为CIIO,原则上,在中华人民共和国境内运营中收集和产生的个人信息和重要数据均应当在境内存储。确有需要向境外提供该等数据时,不论数据类型为个人信息或重要数据,不论数据量多少,都应向网信部门申报出境安全评估。并且,只有在安全评估通过后,CIIO方可向境外传输其在境内运营中收集和产生的个人信息。

 

针对第2项因素,《标准合同办法》的表述为“处理个人信息不满100万人的”,《评估办法》的表达为“处理100万人以上个人信息的数据处理者向境外提供个人信息”。一方面,从上述表达来看,对于出境安全保护措施的选择,法规规制的对象是处理个人信息到某种程度的个人信息处理者,而非针对处理行为,而该类个人信息处理者需要具备处理了个人信息已达到100万自然人的特征。另一方面,网信办于2021年11月14日发布了《网络数据安全管理条例(征求意见稿)》,第二十六条规定“数据处理者处理一百万人以上个人信息的,还应当遵守该条例对于重要数据的处理者的规定”。也就是说,从立法趋势来看,对于处理个人信息达到100万人以上(此处应当“含100万人”)的个人信息处理者,法律还将要求其履行与重要数据处理者相当的义务,即无论出境的个人信息主体人数是否达到100万,只要个人信息处理者已经处理过达到100万人的个人信息,无论向境外传输多少数据量和多少自然人的个人信息,均需要向网信部门申报出境安全评估并且遵守重要数据处理者的相关要求。

 

根据上述理解,我们建议企业注意以下两点:其一,对于处理个人信息主体的数量达到100万人的个人信息处理者,只要其向境外提供个人信息,无论数量多少,都应当申报出境安全评估,而不能选择订立标准合同。举例来说,对于用户注册人数已超过100万的网站、App、小程序等互联网产品,无论其向境外传输的单次数据量情况如何,均需要根据《评估办法》申报出境安全评估,不能仅通过订立标准合同的方式履行合规义务。其二,对于处理个人信息主体的数量不满或暂未达到100万人的个人信息处理者,即使其拟出境的个人信息字段超出100万个,也仍然可以根据《个保法》第三十八条,任选一种个人信息出境的合规机制。当然,在满足《标准合同办法》的适用条件且没有其他特殊规定的情况下,与境外接收方订立标准合同可能会成为多数企业有意向选择的方案。

 

针对第3和第4项因素,此次《标准合同办法》再次确认“累计向境外提供个人信息”的主体数量,应当自上一年1月1日开始起算至订立标准合同之日止这一区间内的数量。举例来说,《标准合同办法》将于2023年6月1日起施行,某企业计划向境外传输个人信息的时间为2023年6月11日,当其在2023年2月27日开展内部自评估时,需要通过企业后台系统从2022年1月1日起至2023年2月27日统计已处理个人信息对应的主体数量和已经累计向境外传输个人信息和敏感个人信息相对应的个人信息主体数量。如果已经处理的个人信息主体数量还未达到100万人,则再看累计向境外传输个人信息的主体数量是否已经达到10万人(含)或者敏感个人信息主体人数已经达到1万人(含)。若达到上述标准,则应当根据《评估办法》依流程向网信部门申报出境安全评估。如果2023年2月27日得出的自评估报告显示,该企业已处理的个人信息主体数量不满100万人,且从2022年1月1日起至2023年2月27日累计向境外传输的个人信息和敏感个人信息对应的主体数量分别不满10万人和1万人的,那么该企业同时还应当预估2023年2月27日至2023年6月10日期间可能向境外传输的个人信息主体的数量。如果根据以往数据或产品推广计划或结合两者进行预判,企业所运营的产品在未来3个月内的注册的用户人数总量将有可能突破100万,或向境外传输个人信息主体数量将达到10万人或传输敏感个人信息人数将达到1万人,则应当调整出境合规机制,根据《评估办法》依流程向网信部门申报出境安全评估,而不是依然采取签署标准合同方式。

 

根据上述分析,我们初步判断,选择订立标准合同还是申报出境安全评估,其考量因素中大部分都与其自身处理个人信息主体的数量,以及跨境传输的个人信息主体数量密切相关。能够通过订立标准合同向境外传输个人信息的企业,其传输频率一般不会太高,而且传输个人信息的主体数量不多,或者向境外传输的个人信息基本不属于敏感个人信息。但凡规模较大且将个人信息出境作为业务需求常态化的企业,大多还是需要通过出境安全评估,方可进行跨境传输个人信息的活动。那么企业是否可以考虑通过拆分、剥离等方式来规避申报出境安全评估呢?答案显然是否定的。这不仅与出境合同机制的设立初衷相悖,严重的还可能会危害国家安全和公共利益。因此,《标准合同办法》也对此进行了严令禁止:个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。

 

此外,需要注意的是,根据此次公布的《个人信息出境标准合同》第一条,合同中所指的“个人信息处理者”是个人信息处理活动中自主决定处理目的、处理方式的,向中华人民共和国境外提供个人信息的组织、个人。由此可见,个人信息处理活动中的受托处理者是无法直接通过订立标准合同的方式再次转委托境外主体处理个人信息的。我们建议企业还应当根据业务变化与发展,动态观测拟向境外传输数据的情况,实施周期性评估和措施调整,以免未尽注意义务而引发风险。

 

二、开展个人信息保护影响评估

 

《标准合同办法》第五条规定,在个人信息出境前,应当开展个人信息保护影响评估。根据《个保法》第五十五条,向境外提供个人信息的,应当事前进行个人信息保护影响评估,并对处理情况进行记录。我们比对了《评估办法》《标准合同办法》和《认证规范V2.0》中对于出境场景下企业自行组织的评估要求,做出如下具体提示:

 

 

个人信息保护影响评估是《个保法》下的法定义务,并且向境外传输个人信息是触发个人信息保护影响评估的情形之一。因此,企业可以参考《个人信息影响评估指南》最新版本(现行版本为:GB/T 39335-2020),评估向境外提供个人信息活动是否合法、正当、必要,所采取的保护措施是否有效并与风险程度相适应等,并根据《标准合同办法》第七条的要求,将个人信息保护影响评估报告提交备案。尽管《评估办法》《标准合同办法》和《认证规范V2.0》所指引的个人信息保护影响评估的重点内容各有侧重,但总体来看差距不大。为了防范评估时企业处理个人信息的情况还处于不断变化和更新中,实务中,我们建议企业针对个人信息出境事宜开展的个人信息保护影响评估所采用的评估清单应尽可能全面、细致,将几类情况都提前覆盖,否则遗漏了其中一项或几项评估要点,可能影响整体的个人信息合规出境安排。总结来看,至少应包括下列评估事项:

 

  1. 向境外提供个人信息是否符合法律、行政法规;
     
  2. 个人信息出境及境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
     
  3. 出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对国家安全、公共利益、其他组织的合法权益带来的风险,以及对个人权益带来的影响;
     
  4. 境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境数据的安全;
     
  5. 个人信息出境中和出境后遭到篡改、破坏、泄露、丢失、转移、被非法获取/利用的风险,个人维护个人信息权益的渠道是否通畅等;
     
  6. 与境外接收方订立的法律文件是否充分约定了数据安全保护责任义务,或者标准合同中是否提及了额外的数据安全保护责任义务;
     
  7. 境外接收方所在国家和地区的法律环境、网络安全环境等对个人信息出境、个人权益保护、(标准)合同履行情况的影响等。

 

通过比对可知,除了关注出境对个人权益的影响外,《评估办法》相比较其他两者,涉及自评估内容中还强调企业应当重点评估对国家安全、公共利益、组织的合法权益可能产生的风险或影响。究其原因,一方面由于《评估办法》的规制对象不仅包括个人信息,还包括重要数据等。另一方面,能够符合《标准合同办法》适用条件的企业基本上属于处理个人信息所对应的主体人数较少、向境外传输情况不太复杂、因处理个人信息人数而达到需遵守重要数据处理者义务的概率低(除非该企业真正掌握重要数据)的情况。因此,《标准合同办法》未明确要求企业开展自评估时应当包括评估个人信息出境给“国家安全”“公共利益”“组织的合法权益”带来风险这一项。

 

此外,《标准合同办法》还要求企业对境外接收方所在国家或者地区的个人信息保护政策法规对标准合同的履行或境外接收方履行个人信息保护义务和保障个人信息权益的影响进行评估。虽然在《评估办法》第五条并没有明确提及这一点,但网信办发布的《数据出境风险自评估报告(模板)》中已明确要求申报主体说明“境外接收方所在国家或地区数据安全保护政策法规和网络安全环境情况”,并且此项内容也是网信办进行数据出境安全评估的评估项之一。同时,《认证规范2.0》也提出了同样要求。因此,无论企业最终采取何种出境合规机制,都需要针对境外接收方所在国家或者地区的个人信息保护政策法规进行自评估,这也类似欧盟在Schrems II案中提出的跨境传输影响评估(TIA)的要求。如果企业自己对此评估有难度,在实践中也可以考虑引入外部评估机构协助评估。

 

三、具体合同内容

 

相较于《标准合同规定征求意见稿》,《标准合同办法》正文没有对合同的内容进行穷尽式地列举,可能是为了根据实施后的效果,对具体合同内容进一步修订、补充与更新留下转圜余地和灵活操作空间。根据此次公布的《标准合同办法》附件,目前版本的标准合同内容主要包括:(一)个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名/职务、联系方式;(二)个人信息出境的目的、方式、规模、种类、传输方式、保存期限和地点等;(三)个人信息处理者和境外接收方保护个人信息的义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等;(四)境外接收方所在国家或者地区的个人信息保护政策法规对合同履行的影响;(五)个人信息主体的权利,以及保障个人信息主体权利的途径和方式;(六)救济、合同解除、违约责任、争议解决等。

 

由于个人信息出境(跨境传输)是个人信息处理活动的一类,应当遵循《个保法》对于个人信息处理活动的基本要求。因此,《个保法》对于个人信息处理活动的一般原则也体现在了标准合同模板的部分条款中。具体而言,标准合同主要规定出境方与接收方对于跨境传输个人信息应当履行的义务,未针对双方在数据处理活动中的权利作出明确指引,这些内容可由双方通过其他合同进行补充细化。需要注意的是,根据《标准合同办法》第六条,个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。并且,如果标准合同在达成或订立时与合同双方已存在的任何其他协议发生冲突,标准合同的条款需要优先适用。

 

四、备案要求

 

《标准合同办法》创新地提出了对签署后的标准合同进行的备案要求。根据《标准合同办法》第三条的规定,相关企业通过订立标准合同的方式作为个人信息出境活动合规措施的,应坚持自主缔约与备案管理相结合的模式。欧盟《通用数据保护条例》(以下简称“GDPR”)第46条亦规定数据出口方与数据进口方通过签署欧盟委员会发布(adopted)或成员国监管机构发布且经欧盟委员会批准的标准合同条款(Standard Contractual Clauses,以下简称“SCC”)作为个人信息跨境传输的合规机制之一,以允许数据处理者在满足特定条件下,向未被欧盟认定为具有“足够的数据保护水平”的国家、地区或国际组织转移个人信息。从《标准合同办法》看,我国的标准合同机制与GDPR下的SCC还不完全相同。在GDPR下,当企业开展了数据保护影响评估(DPIA)、履行了数据跨境传输评估(TIA)、根据自身数据传输链路情况选用并签署了由欧盟数据保护委员会(EDPB)发布的一款适用的SCC模板后,不需要向监管机构另行履行备案手续。而我国《标准合同办法》要求的对标准合同进行(行政)备案也不同于基于GDPR由EDPB批准其他跨境传输机制的性质。

 

根据《河北省行政备案管理办法》第二条,行政备案是指行政机关或者法律、法规、规章授权的组织,依法接受公民、法人或者其他组织(以下简称行政相对人)报送其从事特定活动的有关材料,并将备案资料存档以备事后监督的行为。《广州市行政备案管理办法(2019修订)》第二条也对行政备案进行了定义,即行政机关为了加强行政监督管理,依法要求公民、法人和其他组织报送其从事特定活动的有关材料,并将报送材料存档备查的行为。由于目前尚无针对企业签署标准合同后履行行政备案程序性质的明确定性,参考部分地方性法规针对行政备案作出的规定可知,备案主要是为了加强行政监督管理,要求行政相对人通过向有关行政机关提交报送有关材料的方式,以备行政机关事后监督和检查,但并不等同于事前的行政审批。《国务院关于加快推进政务服务标准化规范化便利化的指导意见》也将行政备案、行政许可和行政确认进行并列叙述,因此行政备案并非行政许可和行政确认,并不创设或确认任何权利义务关系。

 

具体到数据跨境传输行为,也体现在标准合同备案和生效日期的时间差上。根据《标准合同办法》第六条和第七条,个人信息处理者在标准合同生效后方可开展个人信息出境活动,在标准合同生效之日起10个工作日内,个人信息处理者应当向所在地省级网信部门提交标准合同和个人信息保护影响评估报告进行备案。整体流程可以总结为“订立合同→合同生效→开展个人信息出境活动→合同备案”或“订立合同→合同生效→合同备案→开展个人信息出境活动”,可见行政备案本身并不是标准合同生效的必要条件。

 

根据《标准合同办法》第十二条,违反办法规定的,依据《个保法》等法律法规处理;构成犯罪的,依法追究刑事责任。

 

结合上述规定来看,如果企业未履行备案,将面临行政处罚,构成犯罪的,还可能承担刑事责任,但其并不影响合同的效力,即合同生效后即可开展个人信息出境活动,除非企业自愿先履行备案手续再开展个人信息出境活动。这充分体现了《标准合同办法》第三条原则中的理念,即既坚持自主缔约与备案管理相结合、保护权益与防范风险相结合,又保障个人信息跨境安全与自由流动相结合。

 

五、救济方式、罚则和其他

 

《标准合同办法》第八条规定了重新开展个人信息保护影响评估、补充或者重新订立标准合同并履行备案手续的情形,包括:(一)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;(二)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;(三)可能影响个人信息权益的其他情形。

 

值得注意的是:首先,当出现上述情形时,不仅需要补充或者重新订立标准合同并备案,个人信息处理者内部还应当重新开展个人信息保护影响评估;其次,相较于《标准合同规定征求意见稿》,《标准合同办法》删除了“向境外提供个人信息的‘数量’发生变化”的情形。的确,关于出境个人信息的数量变化在实践中确实存在界定困难的情况,“数量”发生变化具体是数据量大小还是人数多少发生变化也很困惑。以及,是否只要数量多一人或少一人,就需要重新备案也不明确。虽然《标准合同办法》删除了数量变化的情形,但针对大规模数量激增的情形(如向境外提供个人信息对应的主体数量从2000人增加到9万人)是否需要重新开展个人信息保护影响评估,补充或者重新订立标准合同,有待《标准合同办法》实施一段时间后,网信部门就更多的实践中疑惑作进一步释明。

 

《标准合同办法》第九条还要求网信部门及其工作人员对其在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等依法予以保密,不得泄露或者非法向他人提供、非法使用。

 

从救济方式看,《标准合同办法》第十条和第十一条分别规定了组织和个人有权进行举报,以及当网信部门依职权发现个人信息出境活动存在较大风险或者发生个人信息安全事件时,有权依法对个人信息处理者进行约谈并要求整改。相较于《标准合同规定征求意见稿》,《标准合同办法》删除了个人信息处理者应当根据网信部门的通知终止个人信息出境活动的规定。对于个人信息出境活动存在较大风险或者发生个人信息安全事件的,个人信息处理者是否在被网信部门约谈后自行采取整改措施,还是应当根据网信部门在约谈过程中提出的具体要求进行执行,也有待在实践中进一步观察。

 

此外,相较于《标准合同规定征求意见稿》,《标准合同办法》省略了对违法情形的具体说明,即对于所有违反办法规定的行为,都将依据《个保法》等法律法规进行处罚;构成犯罪的,将会被依法追究刑事责任。

 

结语

 

我国《个保法》第二十一条和第二十三条分别规定了“委托处理”和“对外提供”两种数据处理模式,但在《标准合同办法》中并未对此进行明显区分,更多是将个人信息跨境传输作为一项特殊的数据处理活动,规定了境内外双方不同于一般委托处理、对外提供关系下的义务模式(例如答复监管机构询问等)。与欧盟GDPR语境下的SCC区分“数据控制者”和“数据处理者”,以及香港《私隐条例》语境下的SCC区分“资料使用者”和“资料处理者”不同,《标准合同办法》并没有针对不同数据处理关系制定不同版本的SCC,无论是个人信息处理者还是境外的接收方均需要对个人信息处理活动承担责任。因此,对于跨境传输个人信息,是否有必要考虑在一定程度上针对境内外双方之间的处理关系进行区分对待、制定不同版本的标准合同,也是《标准合同办法》实施后根据后续情况,监管部门可能会考量的问题。

 

如果个人信息处理者与境外接收方在数据链路上属于委托处理关系的,建议境内个人信息处理者在与境外数据接收方订立的标准合同中,以明确列举的方式约定境内个人信息处理者认可境外第三方(即分处理者或次处理者)处理个人信息的范围,例如在标准合同附录一第(六)项中限定境外接收方将会向哪些第三方提供由境内个人信息处理者向其传输的个人信息,避免重复签订标准合同或补充协议以及向网信部门多次备案。

 

总之,随着个人信息出境相关法律法规及配套文件的逐步出台,对于个人信息出境的合规要求和操作路径也已初步确定。针对处理个人信息对应人数及规模较小的主体而言,可充分考虑基于企业数据传输活动的不同情形,将标准合同与个人信息保护认证、个人信息保护影响评估等合规手段相结合;并且密切关注最新法律法规的动向,参考网信部门后续可能发布的配套指引及相关文件,进一步在实践中对《标准合同办法》和合规义务进行细化和落地,增强自身的风险管控能力,更加严格和谨慎地处理个人信息出境活动,以符合法律法规的要求。

 

请点击文末“相关下载”,查阅附件一:《标准合同规定征求意见稿》与《标准合同办法》对比表格及附件二:新旧《个人信息出境标准合同》对比表格

 

相关下载