引言
《中华人民共和国个人信息保护法》(下称“《个人信息保护法》”)第38条规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备以下条件之一:(1)通过国家网信部门组织的安全评估(下称“通过出境安全评估”);(2)按照国家网信部门的规定经专业机构进行个人信息保护认证(下称“经个人信息保护认证”);(3)与境外接收方订立国家网信部门制定的标准合同(下称“订立标准合同”);(4)法律、行政法规或者国家网信部门规定的其他条件。[1]
关于订立标准合同的个人信息出境路径,国家互联网信息办公室在2022年6月30日公布《个人信息出境标准合同规定(征求意见稿)》(下称“《征求意见稿》”)向社会公开征求意见,并于2023年2月24日正式发布了《个人信息出境标准合同办法》(下称“《标准合同办法》”)。《标准合同办法》规定了个人信息出境标准合同的适用范围、订立条件和备案要求,明确了标准合同范本,为向境外提供个人信息提供了具体指引,将于2023年6月1日起施行。[2]自此,《个人信息保护法》第38条规定的三项个人信息出境合规路径均得到细化,相关配套规范文件梳理如下:
值此新规落地之际,本文拟梳理近期关于个人信息出境路径的一些高频问题,以期为实务中个人信息跨境业务的开展提供具有现实价值的参考。
问题1:《标准合同办法》对比《征求意见稿》有哪些重要变化?
解读:
相较于《征求意见稿》,作为正式版本的《标准合同办法》除了从文本措辞层面进行了精简、统一、修正以外,在规定内容层面也对业界长期引发热论的问题予以了明确回应。
在正文规范部分,《标准合同办法》进一步厘清了订立标准合同路径的适用范围、衔接流程、整改期限等重点要素,关键变化包括:
-
强调了订立标准合同和通过出境安全评估两条路径的适用界限,强调不得通过数量拆分等形式将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供;
-
调整了网信部门有权采取的行政监管手段,新增约谈措施,删除“书面通知个人信息处理者终止个人信息出境活动”的措施;
- 新设“整改期”,如果已经开展的个人信息出境活动不符合《标准合同办法》规定的,应当自《标准合同办法》施行之日起6个月内完成整改。
在附件标准合同范本部分,《标准合同办法》加强了与《个人信息保护法》之间的衔接,提高了合同实际履约过程中的可操作性,关键变化包括:
-
强调了个人信息处理者在基于个人同意向境外提供个人信息时,应取得个人信息主体单独同意这一法定义务;
-
增加了个人信息主体行使法定权利的兜底条款;
- 补充了境外接收方因所在国家/地区政策因素导致无法履约的合同解除情形,删除了因境外接收方破产、解散等组织结构因素而导致的合同解除情形。
问题2:如果个人信息处理者在《标准合同办法》发布前,已经参考《征求意见稿》附件合同范本,与境外接收方签署合同等法律文件,现在是否需要重签?
解读:
在《征求意见稿》发布后,基于个人信息跨境业务的实际需求,部分企业可能已经参考《征求意见稿》附件中的标准合同范本,准备相关合同并已与境外接收方进入合同磋商环节。此外,企业如需通过出境安全评估或经个人信息保护认证,同样需要满足与境外接收方签署合同等法律文件的合规要求,因此也可能参考了《征求意见稿》中的附件合同范本。
在此,我们首先对三项出境合规路径中有关签署合同等法律文件的要求梳理如下:
根据上述规范要求可知,基于个人信息出境的不同合规路径,个人信息处理者应当采取与之相对应的方案:
-
如果适用订立标准合同路径,现应严格按照《标准合同办法》中的合同范本与境外接收方签订合同。
如果个人信息处理者选择订立标准合同的合规路径,并且已经参考《征求意见稿》附件合同范本与境外接收方签订相关合同的,根据即将生效的《标准合同办法》规定(国家网信部门在“答记者问”时也对该规定予以强调)[6],应当严格按照最新出台的标准合同范本重新签署合同。否则,我们理解,个人信息处理者准备的合同将存在无法通过备案的风险。
-
如果适用其他两项出境路径,无需采用《标准合同办法》的合同范本与境外方订立合同,但仍应符合相关路径下的合同签署要求。
在通过出境安全评估和经个人信息保护认证这两项路径下,个人信息处理者可参考标准合同范本拟定合同等法律文件,但这不是强制性规范要求。相关合同的准备仍应以符合各项路径下的要求为优先考量。因此,如果个人信息处理者目前已经按照安全评估或个人信息保护认证相关要求,与境外接收方签署相关合同的,即使参考了《征求意见稿》合同范本,原则上也不会受到《标准合同办法》实施的影响。不过,有鉴于标准合同范本由网信部门制定,且能够覆盖另两项路径下对于合同等法律文件的要求,因此我们理解,直接参考标准合同范本,也将有助于个人信息处理者达成另两项路径下的相应文件要求。
问题3:能否对标准合同范本进行修改?
解读:
实践中,境内个人信息处理者和境外接收方之间不乏存在标准合同范本以外的具体约定事宜。在此需明确,《标准合同办法》一方面要求不得对标准合同范本进行修改,另一方面也为合同订立主体保留了补充约定的空间。[7]在不与标准合同相冲突的前提下,个人信息处理者可以与境外接收方通过填写标准合同“附录二:双方约定的其他条款”,约定补充条款,但该等条款不得与标准合同范本正文部分产生冲突。
问题4:标准合同生效后何时需要补充或重新订立标准合同?
解读:
标准合同的效力以及获得备案的范围,以其所覆盖的个人信息出境业务相关事实情况为限。如果存在以下情形,个人信息处理者应当补充或重新订立标准合同,并履行备案手续:
-
向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
-
境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
- 可能影响个人信息权益的其他情形。[8]
问题5:个人信息保护影响评估和《数据出境安全评估办法》中的风险自评估有什么异同?
解读:
在个人信息出境的各项合规路径下,企业都需自行完成相关评估并形成记录。《数据出境安全评估办法》同时适用于重要数据以及符合一定条件的个人信息出境情形,提出了由数据处理者进行数据出境风险自评估的要求。实务中,企业不免对该项评估要求和个人信息保护影响评估的关系产生疑惑,也存在提高个人信息出境业务合规性管理效率的实际需求。在此,我们对两项评估的主要异同之处梳理如下:
1. 相同点
两项评估都是个人信息处理者对于拟将开展的个人信息出境活动所进行的事前评估。
2. 不同点
就适用范围而言,个人信息处理者在向境外提供个人信息的所有情形下,都须进行个人信息保护影响评估。[9]也即无论选择何种出境路径,都以完成个人信息保护影响评估为前提。而进行风险自评估,则是通过出境安全评估这一出境路径下的特殊要求。
就具体评估要求,如果个人信息处理者须通过安全评估,那么除依据《数据出境安全评估办法》第5条规定的重点评估事项进行风险自评估,并向网信部门提交相应报告外,还需依据《个人信息保护法》第56条规定进行个人信息保护影响评估。关于个人信息保护影响评估工作的开展,可以参考推荐性国家标准《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020),实操中仍具有一定的灵活性。企业在进行上述两项评估工作时,评估事项、评估的事实依据等存在一定重合,因此,企业的风险自评估报告内容可能覆盖个人信息保护影响评估内容。如果适用订立标准合同或经个人信息保护认证的路径,那么个人信息处理者应当分别依据《标准合同办法》和《网络安全标准实践指南—个人信息跨境处理活动安全认证规范 V2.0》中更为细化的要求开展个人信息保护影响评估。
就评估目的,个人信息保护影响评估主要关注个人信息出境活动对于个人信息保护所产生的影响,进而防范对个人信息权益所造成的风险。而风险自评估还需额外考虑对于国家安全、公共利益、组织合法权益带来的风险。
问题6:对于订立标准合同和个人信息保护认证这两项路径,该如何选择?
解读:
从理论上来说,在未触发须通过出境安全评估的情形下,企业可以任意选择订立标准合同或经个人信息保护认证以实现个人信息出境的合规性。
初步来看,选择订立标准合同的路径具有快捷高效的优势,因标准合同范本由国家网信部门直接设计而存在强制效力,个人信息处理者与境外接收方仅能通过附录进行补充,在较大程度上减少了谈判的空间。就目前实践而言,企业对这项路径的接受度更高。而就个人信息保护认证而言,企业在申请认证后,认证机构可以对企业的个人信息跨境处理活动进行合规性查验,有助于企业发现自身存在的问题并予以完善。
就两项路径的落实情况而言,国家及地方网信部门尚未发布有关标准合同备案的办理渠道和规范流程(参考国家网信部门在《数据出境安全评估办法》正式施行前发布《数据出境安全评估申报指南(第一版)》,预计有关部门将于《标准合同办法》实施日2023年6月1日前,就标准合同备案事宜正式发布办事指南以明确相关流程);个人信息保护认证的规范体系则仍待完善,而且目前已获认证资格的专业机构非常有限。
当然,值得强调的是,企业获得合规性评价的个人信息出境活动,是以标准合同备案或个人信息保护认证所覆盖的出境业务范围为限。如果相关事实情况存在变化,那么便存在补充或重新签订标准合同并备案,或者申请认证变更的必要。
问题7:如何理解通过出境安全评估和订立标准合同路径中的整改要求?
解读:
《数据出境安全评估办法》和《标准合同办法》都设置了整改要求,也即在上述规范正式实施前已经开展个人信息出境活动的企业,应当在上述规范施行之日起6个月内完成整改工作,具体而言:
1. 通过出境安全评估相关整改要求
如触发安全评估情形,个人信息处理者应当在2023年3月1日之前,对在此之前开展的出境活动完成整改。[10]具体就“完成整改”而言,根据目前国家及省级网信部门的安全评估工作开展情况,[11]我们倾向于将其理解为“启动”安全评估申报相关工作,避免构成未依法开展申报的违规行为,而并非指“通过”安全评估。
2. 订立标准合同相关整改要求
如选择订立标准合同的出境路径,个人信息处理者应当在2023年12月1日之前,对在此之前开展的出境活动完成整改。[12]对此可以理解为,在上述期限内,个人信息处理者应当对已开展的个人信息出境活动完成个人信息保护影响评估并出具报告,并且与境外接收方订立标准合同,进入备案程序。
以上整改要求在一定程度上突破了安全评估和订立标准合同的“前置性”,也即个人信息处理者本应在开展个人信息出境活动之前达成相应合规条件;网信部门现根据实际情况,设定过渡期,在相关规范实施之前已经开展个人信息出境活动的企业,应当在给定期限内,通过整改,以符合个人信息出境的合规要求。
注释:
[1] 参见《个人信息保护法》第三十八条
[2] 参见国家互联网信息办公室:《个人信息出境标准合同办法》,http://www.cac.gov.cn/2023-02/24/c_1678884831596384.htm
[3] 参见《数据出境安全评估办法》第五条至第九条,其中第九条规定了该等法律文件必须包括的内容;《数据出境安全评估申报指南(第一版)》附件《二、数据出境安全评估申报表》第13项填报内容“相关条款在法律文件中的页码及条款”则对第九条规定内容进行细化。
[4] 参见《个人信息出境标准合同办法》第六条至第七条
[5] 参见《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(V2.0-202212)第5.1条
[6] 参见国家互联网信息办公室:“《个人信息出境标准合同办法》答记者问”,http://www.cac.gov.cn/2023-02/24/c_1678884829601935.htm
[7] 参见《个人信息出境标准合同办法》第六条
[8] 参见《个人信息出境标准合同办法》第八条
[9] 参见《个人信息保护法》第五十五条
[10] 参见《数据出境安全评估办法》第十七条
[11] 参见网信北京:《<办法>施行将满6个月数据出境需依法申报评估》,https://mp.weixin.qq.com/s/UCHITtp3dK2KVHtLQFAF2Q
[12] 参见《个人信息出境标准合同办法》第十三条