您的位置 : 环球研究 / 环球评论 / 新闻详情
出境在歧路,合规启山林 | 标准合同下的企业合规义务及备案指南
2023年05月31日孟洁 | 殷坤 | 鲁裕鑫

引言

 

2023年2月24日,国家互联网信息办公室(以下简称“网信办”)发布了《个人信息出境标准合同办法》(以下简称“《标准合同办法》”),将于明天(即2023年6月1日)起生效。为此,网信办于2023年5月30日发布了《个人信息出境标准合同备案指南(第一版)》(以下简称“《备案指南第一版》”),以明确《标准合同办法》的适用范围、备案方式和备案流程等内容。

 

纵观我国数据合规法律体系,以《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》(以下简称“《个保法》”)三驾马车为核心的立法框架已被大家所熟知;根据《个保法》,当确需向境外提供个人信息时,需要履行的三项保护性措施之一(1)通过出境安全评估;(2)进行个人信息保护认证;和(3)与境外接收方订立标准合同,也随着《标准合同办法》和《备案指南第一版》的出台,构建起完整的版图。我们此前已经对出境安全评估和个人信息保护认证规则进行过解读,详见《环球合规与风控 | 数据出境合规指引之二——依规开展数据出境安全评估》《环球合规与风控 | 数据合规领域认证制度观察(上):察今以知古——我国数据合规认证制度的形成与发展》

 

图片

图1 个人信息出境前提条件及相关配套法规

 

本文将结合《标准合同办法》和《备案指南第一版》的内容,从以下几个方面对个人信息出境标准合同及备案要求进行解读和总结:

 

一、适用条件

 

当数据处理者不符合《数据出境安全评估办法》(以下简称“《评估办法》”)第四条时,根据《标准合同办法》第四条[1]和《备案指南第一版》第一条,如果同时符合以下条件,可以通过订立标准合同的方式向境外提供个人信息:(一)非关键信息基础设施运营者(以下简称“CIIO”);(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供不满10万人个人信息的;(四)自上年1月1日起累计向境外提供不满1万人敏感个人信息的。

 

图片

图2 个人信息出境前提条件适用规则

 

如果上图所示,如果四个条件中有一个答案为“是”,则个人信息向境外传输前只能通过申报出境安全评估后方能进行,无法采用与境外接收方通过订立标准合同的方式作为个该企业人信息跨境传输的保护措施。换言之,若仅采取订立标准合同的方式对于上述四类情形的保护程度是不够充分的。

 

如果其他法律法规有特殊规定的,个人信息处理者还应当一并进行考虑。例如,根据《中华人民共和国保守国家秘密法》第三十条,机关、单位对外交往与合作中需要提供国家秘密事项,或者任用、聘用的境外人员因工作需要知悉国家秘密的,应当报国务院有关主管部门或者省、自治区、直辖市人民政府有关主管部门批准,并与对方签订保密协议。又如,根据《国家健康医疗大数据标准、安全和服务管理办法(试行)》第三十条,相关企业应当将健康医疗大数据存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。再如,根据《中华人民共和国生物安全法》第五十七条,将我国人类遗传资源信息向境外组织、个人及其设立或者实际控制的机构提供或者开放使用的,应当向国务院科学技术主管部门事先报告并提交信息备份。

 

针对上述条件的重要内容,我们简要说明如下:

 

第一,如果所在企业属于关键信息基础设施运营者(CIIO),则企业在中华人民共和国境内运营中收集和产生的个人信息无法通过订立标准合同的保护机制实施个人信息出境。作为CIIO,原则上,在中华人民共和国境内运营中收集和产生的个人信息和重要数据均应当在境内存储。确有需要向境外提供该等数据时,不论数据类型为个人信息或重要数据,不论数据量多少,均须向网信部门申报出境安全评估。并且,只有在安全评估通过后,CIIO方可向境外传输其在境内运营中收集和产生的个人信息。

 

第二,《标准合同办法》和《备案指南第一版》的适用条件之一“处理个人信息不满100万人的”规制的对象是处理个人信息到某种程度的个人信息处理者。根据《网络数据安全管理条例(征求意见稿)》,“数据处理者处理一百万人以上个人信息的,应当遵守该条例对于重要数据处理者的规定”。因此从立法趋势看,对于处理个人信息达到100万人以上(此处应当“含100万人”)的个人信息处理者,因其可能对国家和社会产生一定影响,已经成为监管的重点。只要个人信息处理者已经处理过达到100万人的个人信息,无论向境外传输多少数据量和多少自然人的个人信息,均需要向网信部门申报出境安全评估,而不得适用签署跨境标准合同的方式。

 

举例来说,对于用户注册人数已超过100万的网站、App、小程序等互联网产品,无论其向境外传输的单次数据量情况如何,均需要根据《评估办法》申报出境安全评估,不能仅通过订立标准合同的方式履行合规义务。对于处理个人信息主体的数量不满或暂未达到100万人的个人信息处理者,即使其拟出境的个人信息字段超出100万个,也仍然可以在三项保护性措施之中任选一项出境合规机制。当然,在满足《标准合同办法》的适用条件且没有其他特殊规定的情况下,与境外接收方订立标准合同可能会成为多数企业有意向选择的方案。

 

第三,《标准合同办法》和《备案指南第一版》再次确认“累计向境外提供个人信息”的主体数量为自上一年1月1日开始起算至订立标准合同之日止这一区间内的数量。举例来说,《标准合同办法》将于2023年6月1日起施行,某企业计划向境外传输个人信息的时间为2023年6月11日,当其在2023年5月31日开展内部自评估时,需要通过企业后台系统统计(1)公司已经处理个人信息对应的主体数量;(2)从2022年1月1日起至2023年5月31日公司已经累计向境外传输个人信息和敏感个人信息相对应的个人信息主体数量。如果已经处理的个人信息主体数量还未达到100万人,则再看累计向境外传输个人信息的主体数量是否已经达到10万人(含)或者敏感个人信息主体人数已经达到1万人(含)。若统计(1)时已经达到了处理100万人的标准,则应当根据《评估办法》依流程向网信部门申报出境安全评估。如果2023年5月31日得出的自评估报告显示,该企业已处理的个人信息主体数量不满100万人,且从2022年1月1日起至2023年5月31日累计向境外传输的个人信息和敏感个人信息对应的主体数量分别不满10万人和1万人的,那么该企业同时还应当预估2023年5月31日至2023年6月10日期间公司可能向境外传输的个人信息主体的数量。如果根据以往数据或产品推广计划或结合两者进行预判,企业所运营的产品在未来10日内注册的用户人数总量将有可能突破100万,或向境外传输个人信息主体数量将达到10万人或传输敏感个人信息人数将有望达到1万人,则应当考虑调整出境合规机制,根据《评估办法》依流程向网信部门申报出境安全评估,而不是依然采取签署标准合同的策略。

 

根据上述分析,我们初步判断,能够通过订立标准合同向境外传输个人信息的企业,其传输个人信息的频率一般不会太高,而且传输个人信息的主体数量不多,或者向境外传输的个人信息基本不属于敏感个人信息。但凡规模较大且将个人信息出境作为业务需求常态化的企业,大多还是需要通过出境安全评估,方可进行跨境传输个人信息的活动。那么企业是否可以通过拆分、剥离等方式来规避出境安全评估申报,而仅采取标准合同方式呢?答案是否定的。这不仅与出境合同机制的设立初衷相悖,严重的还可能危害国家安全和公共利益。因此,《标准合同办法》也对此进行了严令禁止:个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。《备案指南第一版》对此也进行了再一次重申。

 

需要注意的是,《备案指南第一版》对个人信息出境行为进行了明确界定,即(一)个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外;(二)个人信息处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;(三)国家网信办规定的其他个人信息出境行为。这与网信办在《评估办法》答记者问时对“数据出境活动”的释义是一致的。此外,《备案指南第一版》还补充了“国家网信办规定的其他个人信息出境行为”这一兜底条款,以应对数据处理活动情况的多样性和灵活性。

 

另外,根据《个人信息出境标准合同》第一条,个人信息处理活动中的受托处理者是无法直接通过订立标准合同的方式再次转委托境外主体处理个人信息的。我们建议企业还应当根据业务变化与发展,动态观测拟向境外传输数据的情况,实施周期性评估和措施调整,以免未尽注意义务而引发风险。

 

二、开展个人信息保护影响评估

 

《标准合同办法》第五条规定,在个人信息出境前,应当开展个人信息保护影响评估;在《备案指南第一版》附件3中还进一步明确要求个人信息保护影响评估应当为备案之日前3个月内完成,且至备案之日未发生重大变化。

 

根据《个保法》第五十五条,向境外提供个人信息的,应当事前进行个人信息保护影响评估,并对处理情况进行记录。我们比对了《评估办法》《标准合同办法》和《网络安全标准 个人信息跨境处理活动认证技术规范V2.0》(以下简称“《认证规范V2.0》”)中对于出境场景下企业自行组织的评估要求,做出如下具体提示:

 

 

如上文所述,能够符合《标准合同办法》适用条件的企业基本上属于处理个人信息所对应的主体人数较少、向境外传输情况不太复杂、处理个人信息同时需遵守重要数据处理者义务的概率低的情况。通过上表的对比也可以看出,《标准合同办法》未明确要求企业开展自评估时应当包括评估个人信息出境给“国家安全”“公共利益”“组织的合法权益”带来风险这一项;在最新公布的《备案指南第一版》附件5“个人信息保护影响评估报告(模板)”中也仅提到了“个人信息出境可能对个人信息权益带来的风险”,未要求对“国家安全”“公共利益”“组织的合法权益”进行评估。

 

此外,《标准合同办法》要求企业还应对个人信息出境的合法性、正当性、必要性、依据境外接收方所在国家或者地区的个人信息保护政策法规对履行标准合同的影响、境外接收方履行个人信息保护义务(包括管理方面和技术方面措施)程度和个人行权通道的通畅性等维度进行评估。同时,在网信办发布的《数据出境风险自评估报告(模板)》和《认证规范2.0》中也均要求说明“境外接收方所在国家或地区数据安全保护政策法规和网络安全环境情况”。可见,无论企业最终采取何种出境合规机制,都需要针对境外接收方所在国家或者地区的个人信息保护政策法规进行自评估,这也类似欧盟在Schrems II案中提出的跨境传输影响评估(TIA)要求。如果企业自己对此评估有难度,实践中也可以考虑引入外部评估机构协助开展自评估。

 

个人信息保护影响评估是《个保法》下的法定义务,并且向境外传输个人信息是触发个人信息保护影响评估的情形之一。因此,企业可以参考《个人信息影响评估指南》最新版本(现行版本为:GB/T 39335-2020),或者《备案指南第一版》附件5“个人信息保护影响评估报告(模板)”,从以下几方面重点进行评估:

  • 个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
  • 出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;
  • 境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
  • 个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
  • 境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
  • 其他可能影响个人信息出境安全的事项。

《数据出境安全评估申报指南(第一版)》中的“数据出境风险自评估报告”与《备案指南第一版》中的“个人信息保护影响评估报告”整体区别不大。相较于“数据出境风险自评估报告”,“个人信息保护影响评估报告”更聚焦于个人信息,在“拟出境个人信息情况”中补充了个人信息的特殊要求,即“处理敏感个人信息和利用个人信息进行自动化决策”的情况。而“数据出境风险自评估报告”则需要考虑不同的数据类别及其影响,比如需要在“数据出境风险自评估报告”中明确数据分类分级的情况,并且需要重点关注数据出境对国家安全、公共利益带来的风险。

 

三、具体合同内容

 

根据《标准合同办法》附件,目前版本的标准合同内容主要包括:(一)个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名/职务、联系方式;(二)个人信息出境的目的、方式、规模、种类、传输方式、保存期限和地点等;(三)个人信息处理者和境外接收方保护个人信息的义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等;(四)境外接收方所在国家或者地区的个人信息保护政策法规对合同履行的影响;(五)个人信息主体的权利,以及保障个人信息主体权利的途径和方式;(六)救济、合同解除、违约责任、争议解决等。

 

由于个人信息出境(跨境传输)是个人信息处理活动的一类,应当遵循《个保法》对于个人信息处理活动的基本要求。因此,《个保法》对于个人信息处理活动的一般原则也体现在了标准合同模板的部分条款中。具体而言,标准合同主要规定出境方与接收方对于跨境传输个人信息应当履行的义务,未针对双方在数据处理活动中的权利作出明确指引,这些内容可由双方通过附件或者其他合同进行补充细化。需要注意的是,根据《标准合同办法》第六条,个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。如果标准合同在达成或订立时与合同双方已存在的任何其他协议发生冲突,标准合同的条款需要优先适用。

 

四、备案要求

 

《标准合同办法》创新地提出了对签署后的标准合同进行备案的要求。根据《标准合同办法》第三条,相关企业通过订立标准合同的方式作为个人信息出境活动合规措施的,应坚持自主缔约与备案管理相结合的模式。欧盟《通用数据保护条例》(以下简称“GDPR”)第46条亦规定数据出口方与数据进口方通过签署欧盟委员会发布或成员国监管机构发布且经欧盟委员会批准的标准合同条款(Standard Contractual Clauses,以下简称“SCC”)作为个人信息跨境传输的合规机制之一,以允许数据处理者在满足特定条件下,向未被欧盟认定为具有“足够的数据保护水平”的国家、地区或国际组织转移个人信息。从《标准合同办法》看,我国的标准合同机制与GDPR下的SCC还不完全相同。在GDPR下,当企业开展了数据保护影响评估(DPIA)、履行了数据跨境传输评估(TIA)、根据自身数据传输链路情况选用并签署了由欧盟数据保护委员会(EDPB)发布的一款适用的SCC模板后,不需要向监管机构另行履行备案手续。而我国《标准合同办法》要求对标准合同进行(行政)备案也不类同于基于GDPR由EDPB批准其他跨境传输机制的性质。

 

目前尚无针对企业签署标准合同后履行行政备案程序性质的明确定性,参考部分地方性法规针对行政备案作出的规定[2]可知,备案主要是为了加强行政监督管理,要求行政相对人通过向有关行政机关提交报送有关材料的方式,以备行政机关事后监督和检查,但并不等同于事前的行政审批。《国务院关于加快推进政务服务标准化规范化便利化的指导意见》也将行政备案、行政许可和行政确认进行并列叙述,因此行政备案并非行政许可和行政确认,并不创设或确认任何权利义务关系。

 

该性质具体到数据跨境传输行为,体现在标准合同备案和生效日期的时间差上。根据《标准合同办法》第六条和第七条,个人信息处理者在标准合同生效后方可开展个人信息出境活动,在标准合同生效之日起10个工作日内,个人信息处理者应当向所在地省级网信部门提交标准合同和个人信息保护影响评估报告进行备案。整体流程可以总结为“订立合同→合同生效→开展个人信息出境活动→合同备案”,可见行政备案本身并不是标准合同生效的必要条件。

 

《备案指南第一版》对《标准合同办法》中的流程进行了补充,即个人信息处理者需要通过送达书面材料(包括:1.统一社会信用代码证件影印件;2.法定代表人身份证件影印件;3.经办人身份证件影印件;4.经办人授权委托书;5.承诺书;6.标准合同;7.《个人信息保护影响评估报告》)并附带材料电子版的方式进行备案。从表述来看,我们理解可能是需要通过线下窗口进行提交,或者通过邮寄送达方式,具体可能有赖于各省级网信部门的进一步实践。根据《备案指南第一版》,省级网信办收到材料后,在15个工作日内完成材料完备性查验,并通知个人信息处理者备案结果。具体流程如下:

 

图片

图3 标准合同备案流程示意图

 

根据《标准合同办法》第十二条,如果企业未履行备案,将面临行政处罚,构成犯罪的,还可能承担刑事责任,但这并不影响合同的效力,即合同生效后即可开展个人信息出境活动,除非企业自愿先履行备案手续再开展个人信息出境活动,充分体现了《标准合同办法》第三条原则中的理念,即既坚持自主缔约与备案管理相结合、保护权益与防范风险相结合,以保障个人信息跨境安全与自由流动。

 

五、救济方式、罚则和其他

 

《标准合同办法》第八条和《备案指南第一版》规定了重新开展个人信息保护影响评估、补充或者重新订立标准合同并履行备案手续的情形,包括:(一)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;(二)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;(三)可能影响个人信息权益的其他情形。

 

值得注意的是:当出现上述情形时,不仅首先需要补充或者重新订立标准合同并备案,个人信息处理者内部还应当重新开展个人信息保护影响评估;相较于《个人信息出境标准合同规定(征求意见稿)》,《标准合同办法》删除了“向境外提供个人信息的‘数量’发生变化”的情形。的确,关于出境个人信息的数量变化在实践中确实存在界定困难的情况,“数量”发生变化具体是数据量大小还是人数多少发生变化也很困惑。如果只要数量多一人或少一人,就需要重新备案也将给业务连续性造成很大不便。虽然《标准合同办法》删除了数量变化的情形,但针对大规模数量激增的情形(如向境外提供个人信息对应的主体数量从2000人增加到9万人)是否需要重新开展个人信息保护影响评估,补充或者重新订立标准合同,有待《标准合同办法》实施一段时间后,网信部门就更多的实践中疑惑作进一步释明。根据《备案指南第一版》,个人信息处理者在标准合同有效期内补充订立标准合同的,应当向所在地省级网信办提交补充材料;重新订立标准合同的,应当重新备案;前述补充或者重新备案的材料的查验时间均为15个工作日。

 

《标准合同办法》未对“委托处理”和“对外提供”数据处理模式进行区分,而是将个人信息跨境传输作为一项特殊的数据处理活动,因此未像欧盟针对不同数据处理关系制定不同版本的SCC,而无论是个人信息处理者还是境外的接收方均需要对个人信息处理活动承担责任。如果个人信息处理者与境外接收方的数据链路在实际上属于委托处理关系的,建议境内个人信息处理者在与境外数据接收方订立的标准合同中,以明确列举的方式约定境内个人信息处理者认可境外接收方聘用第三方(即分处理者或次处理者)处理个人信息的范围,例如在标准合同附录一第(六)项中限定境外接收方将会向哪些第三方提供由境内个人信息处理者向其传输的个人信息。

 

《标准合同办法》第九条还要求网信部门及其工作人员对其在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等依法予以保密,不得泄露或者非法向他人提供、非法使用。

 

从救济方式看,《标准合同办法》第十条和第十一条分别规定了组织和个人有权进行举报,以及当网信部门依职权发现个人信息出境活动存在较大风险或者发生个人信息安全事件时,有权依法对个人信息处理者进行约谈并要求整改。《标准合同办法》虽然未再提及个人信息处理者应当根据网信部门的通知终止个人信息出境活动,但对于个人信息出境活动存在较大风险或者发生个人信息安全事件的,个人信息处理者是否在被网信部门约谈后自行实施整改措施,还是需要根据网信部门约谈过程中提出的具体整改要求进而实施,有待在实践中进一步观察。

 

《标准合同办法》不再对违法情形作具体说明,即对于所有违反办法的行为,都将依据《个保法》等法律法规被进行处罚;构成犯罪的,将会被依法追究刑事责任。

 

结语

 

随着个人信息出境相关法律法规及配套文件的逐步出台,对于个人信息出境的合规要求和操作路径也已初步确定。针对处理个人信息对应人数及规模较小的主体而言,可充分考虑基于企业数据传输活动的不同情形,将标准合同与个人信息保护认证、个人信息保护影响评估等合规手段相结合。目前《备案指南第一版》虽然已发布,但针对具体操作情况,仍然需要通过实践中出现的问题不断细化备案指南。但对企业而言,《标准合同办法》6月1日开始实施和提前2天发布《备案指南第一版》,已经代表着一个信号,即企业存在数据出境情形的,无论最终采取哪一套数据跨境保护性措施,均已经需要刻不容缓地对出境数据进行识别和风险排查,并通过增强自身的风险管控能力和采取安全措施,合法合规地处理个人信息出境活动,避免受到监管处罚和舆情风波。

 

注释:

[1] 《数据出境安全评估办法》第四条 数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:

(一)数据处理者向境外提供重要数据;

(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;

(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;

(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。

[2] 根据《国务院办公厅关于推广行政备案规范管理改革试点经验的通知》,对行政备案事项,不得规定经行政机关审查同意,企业和群众方可从事相关特定活动。根据《河北省行政备案管理办法》第二条,行政备案是指行政机关或者法律、法规、规章授权的组织,依法接受公民、法人或者其他组织(以下简称行政相对人)报送其从事特定活动的有关材料,并将备案资料存档以备事后监督的行为。《广州市行政备案管理办法(2019修订)》第二条也对行政备案进行了定义,即行政机关为了加强行政监督管理,依法要求公民、法人和其他组织报送其从事特定活动的有关材料,并将报送材料存档备查的行为。