周亮等:人民币国际化及跨境融资系列文章之五十七——个人信息出境标准合同新 ...

发布时间: 2023.03.15

国家互联网信息办公室于2023年2月24日公布《个人信息出境标准合同办法》(以下简称“《办法》”)。《办法》明确了标准合同范本,对个人信息出境标准合同(以下简称“标准合同”)的适用范围、订立条件和备案要求等做出了具体说明。

就境外银行而言,不管是集团内部员工的个人信息传输,还是涉及境内主体的贷款项目,均有可能涉及到个人信息出境的情况。因此,境外银行需要关注订立标准合同的流程,并重点关注个人信息保护影响评估和境外接收方义务的问题。



一、《办法》出台背景


《个人信息保护法》第三十八条规定了“两类四种”个人信息出境方式:一类是个人信息处理者因业务等需要,确需向境外提供个人信息的,应该具备“安全评估”“个人信息保护认证”“标准合同”三种条件之一;另一类是我国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的,可以按照其规定执行。

而《办法》则是继《数据出境安全评估办法》之后,第二部落实《个人信息保护法》上述规定的专门性部门规章,主要明确了标准合同范本,并对标准合同的适用范围、订立条件和备案要求等方面做出了具体说明。



二、标准合同的适用场景


根据《办法》第4条,一般情况下,个人信息处理者仅在同时符合下列情形的情况下,方可通过订立标准合同的方式向境外提供个人信息:

  • 非关键信息基础设施运营者;

  • 处理个人信息不满100万人的;

  • 自上年1月1日起累计向境外提供个人信息不满10万人的;

  • 自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

可以看出,订立标准合同的方式更适合规模较小或个人信息处理量较少的企业。对于境外银行而言,通常其个人信息处理量较少,但在以下情况下,仍有可能涉及个人信息出境,因此标准合同这一机制为境外银行提供了合适的个人信息出境渠道:

  • 银行集团内部出于人力资源管理的需求,将境内分行员工的个人信息传输或存储至境外,或给予境外总部访问境内存储的员工档案的权限;

  • 在涉及到境内主体的贷款项目中(例如借款人为境内主体,或内保外贷项目中保证人为境内主体),需要境内分行向境外分行传输客户的个人信息数据(例如客户法定代表人的相关信息)。



三、订立标准合同的流程


根据《办法》的规定与我们的项目经验,境外银行的境内分行需按照以下步骤进行个人信息出境:

1. 确认是否可通过订立标准合同的方式进行个人信息出境

根据《办法》第4条规定,只有在满足4项条件的情况下才可通过订立标准合同的方式进行个人信息出境。结合《数据出境安全评估办法》的适用情形可以看出,对于具有特定身份,或个人信息处理量大的企业,一旦落入《数据出境安全评估办法》的适用范围,则应依法申报数据出境安全评估。因此,境内分行应首先对需传输的境内数据量进行评估,如不符合《办法》第4条规定条件的,则不能通过订立标准合同的方式进行个人信息出境。

2. 开展个人信息保护影响评估

《办法》第5条规定,个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估(“PIA”)。由于PIA是个人信息出境的重点环节,我们会在后文重点分析。

3. 在标准合同范本基础上协商签约

《办法》第6条规定,标准合同应当严格按照范本订立。但是,双方可以在范本的基础上约定与其文本不相冲突的其他条款。就境外银行而言,在常见的业务场景中,境内个人信息的提供方通常为境内分行,由于境内外分行属同一集团,我们理解通常不会因标准合同的协商产生分歧。但我们也建议如有需要,双方对义务的约定、责任的划分等重点条款进行补充约定,以避免后续不必要的纠纷。

4. 备案要求

《办法》第7条明确了个人信息处理者应当在标准合同生效之日起10个工作日内将标准合同和个人信息保护影响评估报告向所在地省级网信部门备案。且若在标准合同有效期内,出现如所提供的个人信息范围、种类、期限等发生变化的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行备案手续。



四、境外银行应关注的重点问题


1. 如何开展PIA

PIA是个人信息出境过程中的重要环节。就目前而言,开展PIA可参考的国家标准主要有《信息安全技术 个人信息安全规范》以及《信息安全技术 个人信息安全影响评估指南》,其对个人信息安全影响评估的场景和框架、评估流程、评估的具体实施方式等进行了详细的说明;而《信息安全技术 数据出境安全评估指南(征求意见稿)》则对个人信息及数据出境的安全评估流程、要点和方法进行了说明。

根据上述国家标准文件,境外银行的境内分行(作为境内的个人信息处理者)在进行PIA时,应重点关注以下五点内容:(1)处理目的与合法性基础;(2)告知与同意;(3)数据全生命周期对个人信息处理行为的合规风险;(4)个人权利响应;和(5)安全保障措施。

而评估流程方面则主要如下:

  • 选取需要评估的具体业务场景(如具体场景为个人信息出境);

  • 通过不同的调研方式,就上述场景中涉及到的五点重点内容进行取证;

  • 将取证后的结果与国家标准文件的规定进行差距分析;

  • 对上述场景中涉及到的具体风险进行识别和评估,分析该等风险对个人信息主体的权益所可能带来的危害;

  • 根据风险高低采取相应的安全控制措施或改善措施进行风险处置。

由于PIA涉及内容较多,为避免评估流于形式,境内分行可考虑选聘外部第三方(如律所、技术咨询机构)协助PIA开展。此外,根据《办法》第5条规定,PIA内容还应包括“境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响”。因此,PIA的工作还依赖于境外律师的配合与合作,对境外银行个人信息保护能力,及其所在国家/地区个人信息保护法律法规进行整体评估。

2. 境外接收方的义务

除PIA的开展外,境外接收方的义务也是境外银行在进行境内个人信息出境过程中应关注的重点问题。

标准合同范本中第三条的“境外接收方的义务”部分规定了具体的境外接收方义务,包括个人信息保存期限及过期删除要求,对数据采取加密、匿名化等技术和管理措施,以及要求境外接收方同意接受监管机构(网信办)的监督管理。因此,境外银行在进行境内个人信息出境前,应充分了解所需履行的义务。如有部分义务无法满足规定要求的,应重新考虑个人信息出境的必要性以及是否存在其他替代方案。



五、小结


由于境外银行通常个人信息出境规模较小,标准合同制度的落地为境外银行的数据出境提供了适用的途径,不仅提高了商业效率,同时也明确了个人信息保护义务的履行标准。而境外银行在进行数据出境的过程中,应重点关注PIA的开展及境外接收方的义务,以保证业务合规。


特别声明:

大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。



本文作者



大成能为您做什么?

联系我们 +