邓志松等:标准合同办法补全第三条路径,完成个人信息出境法律监管拼图

发布时间: 2023.03.24

个人信息出境是企业日常运营中的常见场景,也是法律实务中的合规焦点之一。2021年11月1日生效的《个人信息保护法》(“《个保法》”)确定了个人信息出境的三条路径:安全评估、认证和标准合同。为落实前述路径,国家互联网信息办公室(“网信办”)等主管部门近期密集出台了多部实施细则。

迄今为止,安全评估路径方面,网信办已于2022年出台《数据出境安全评估办法》(“《安全评估办法》”)《数据出境安全评估申报指南(第一版)》(“《安全评估申报指南》”),且实施已逾半年;认证路径方面,网信办及全国信息安全标准化技术委员会已于2022年出台《个人信息保护认证实施规则》(“《认证规则》”)《网络安全标准实践指南——个人信息跨境处理活动安全认证规范 V2.0》(“《认证指南》”),并指定中国网信安全审查技术与认证中心(CCRC)为认证机构,但相关工作尚未大规模展开;标准合同路径方面,网信办已于2023年2月24日出台《个人信息出境标准合同办法》(“《标准合同办法》”)以及个人信息出境标准合同文本,同年6月1日起施行。为此,本文将立足新规,基于个人信息出境的三条路径,对我国个人信息出境合规作实务解读。




一、立法背景与历史沿革


与其他司法辖区不同,我国数据出境和个人信息出境规则呈现二元架构,即分属两种不同的出境规则体系。2021年,《个保法》《数安法》相继出台,使个人信息和数据在我国明确成为了两种不同的法律概念。个人信息属于个人权益,重要数据则是国家安全考量的产物。在数据出境和个人信息出境二元架构下,不同的出境对象需要适用不同的法律规则。就个人信息出境来说,其宏观架构是基于一致性保护的出境原则,即要求境外接收方处理个人信息的活动达到《个保法》规定的个人信息保护标准。

从历史沿革来看,个人信息出境限制大致可以分为三个发展阶段。早在十多年之前,我国就有了关于个人信息出境的限制性规定,例如《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知 (2011)》,但是这些早期规定都散见于各类行业规定中。直至2017年6月1日,《网安法》生效实施,首次从立法层面对个人信息出境作了限制,但仅适用于关键信息基础设施运营者(“CIIO”),要求CIIO因业务需要向境外提供个人信息需先经过安全评估。2021年11月1日,《个保法》生效实施,对个人信息出境作了全面的限制,要求所有个人信息出境必须通过安全评估、标准合同或认证。


二、个人信息出境路径解读




(一)概述

从现有法律框架看,我国个人信息出境必须通过以下三条路径之一:(1)安全评估:通过网信部门组织的安全评估;(2)标准合同:按照网信部门制定的标准合同与境外接收方订立合同;(3)认证:按照网信部门规定经专业机构进行个人信息保护认证。其中,安全评估强制适用于CIIO和处理个人信息达到网信办规定数量的公司的个人信息出境活动(详见下文),性质为行政许可。相关主体需要准备好材料提交给省级网信部门并经网信办审查,最终获得许可或禁止。标准合同和认证均适用于未达安全评估标准的个人信息出境活动。其中,标准合同需要向省级网信部门备案。

安全评估涉及两类评估:(1)企业风险自评估(需在申报数据出境安全评估前开展);(2)网信部门安全评估。标准合同涉及一类评估,也即《个保法》规定的个人信息处理者向境外提供个人信息应当事前进行的个人信息保护影响评估(“PIPIA”)。

三者评估要点对比如下:

图片

三种评估本质一致,都是通过对于数据处理活动的梳理来发现潜在的风险,判断所采取的管理措施是否充分,但也存在一定的区别。宏观层面,PIPIA以《个保法》为依据,仅衡量数据处理活动是否会对个人信息主体的权益造成损害或减损,不会涉及重要数据。而企业风险自评估、网信部门组织的安全评估以《网安法》《数安法》《个保法》为依据,会涉及重要数据。微观层面,三者的评估要点整体差别不大,但略有区别,例如网信部门组织的安全评估关注境外接收方所在国家或者地区数据保护安全、个人信息保护政策的影响;境外接收方的数据保护水平是否达到我国法律、行政法规和强制性国家标准的要求;境外接收方遵守我国法律法规的情况。另外两项评估关注数据出境对国家、个人信息权益造成的影响(详见上表斜体内容)。



(二)强制申报路径:安全评估

不同于标准合同和认证,安全评估强制适用于CIIO和处理个人信息达到网信办规定数量的公司的个人信息出境活动。这里的“网信办规定数量”具体是指:(1)处理100万人以上个人信息;(2)自上年1月1日起累计向境外提供10万人个人信息;或(3)自上年1月1日起累计向境外提供1万人敏感个人信息。后两者为动态标准,累计两年清零。累计的具体计算方法有待进一步解释,例如向多个境外接收方传输同一个人的个人信息是否仍算是向境外提供一个人的个人信息,而非多个人的个人信息。

关于安全评估的实体和程序要求,《安全评估办法》作了详细的规定,流程图示如下:


由于安全评估属于行政许可,申报主体可在收到评估结果后15日内向网信办申请复议,复议结果为最终结论。评估有效期为2年,但在数据目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全,延长个人信息境外保存期限等情况下,仍需要重新申报评估。

为指导、规范企业申报数据出境安全评估,网信办于2022年8月31日,发布了《安全评估申报指南》。指南进一步明确了数据出境行为的具体情形(包括境外访问),以及申报材料的具体要求(形式:书面+电子;内容:4项身份/授权文件+申报书+出境合同或其他法律文件+自评估报告+其他),并在附件中提供了包含数据出境安全评估申报表(含填表说明)、风险自评估报告在内的4个模板。另外,指南还提供了申报咨询的电子邮箱和联系方式。

迄今为止,安全评估办法及指南生效已逾半年,6个月的整改宽限期已截止,各省及国家网信办都在紧锣密鼓地开展安全评估审查工作。2023年2月22日,北京网信办发布新闻,称其已收到48家单位正式提交的申报材料,35家单位正在补充完善申报材料,并要求数据出境活动尚不符合规定要求的数据处理者尽快启动相关工作。



(三)自主管理路径:标准合同和认证

标准合同和认证是个人信息出境合规的两条自主管理路径,均仅可在未达安全评估申报标准时适用,也即通过自主管理路径向境外提供个人信息的个人信息处理者必须同时符合四个条件:(1)非关键信息基础设施运营者;(2)处理个人信息不满100万人的;(3)自上年1月1日起累计向境外提供个人信息不满10万人的;(4)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

1. 标准合同

标准合同是目前实践中最受欢迎、应用最广(成本及难度低、便捷)的个人信息出境路径。在发布征求意见稿8个月后,正式的《标准合同办法》及标准合同文本终于2023年2月发布,并将于2023年6月1日起实施。

与欧盟SCC相比,我国的标准合同主要有三点不同:

(1)形式:标准合同是一个完整的合同,因此在签署标准合同时,缔约方仅可以通过附录二,增加与正文内容不相冲突的约定,而不得更改正文条款。而欧盟SCC仅是标准合同条款,可以自由地被纳入更宽泛的合同中。

(2)缔约方:标准合同仅适用于个人信息处理者的数据出境,不适用于受托处理数据的第三方的数据出境,而欧盟SCC区分了四种情形。

(3)备案:标准合同生效后,应在10个工作日内向所在地省级网信部门备案。备案材料包括标准合同和个人信息保护影响评估报告。而欧盟没有此种要求。

标准合同的正文包括(1)相关术语定义,(2)个人信息处理者的义务,(3)境外接收方的义务,(4)境外接收方所在国家或地区个人信息保护政策和法规对合同履行的影响,(5)个人信息主体的权利,(6)救济措施,(7)合同解除,(8)违约责任,(9)争议解决等其他条款;附录包括(1)个人信息出境说明;(2)双方约定的其他条款。

与草案相比,标准合同并未减轻境外接收方的负担。例如,境外接收方应:允许个人信息处理者对处理活动进行合规审计;接受监管机构的监督管理;在接到所在国家或地区的政府部门、司法机构关于提供个人信息的要求时立即通知个人信息处理者。另外,争议解决方式仍为向中国法院起诉,或向纽约公约成员的仲裁机构仲裁。

根据《标准合同办法》,如果出现了向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的,以及其他可能影响个人信息权益的其他情形的,则企业需要重新开展个人信息保护影响评估,补充或者重新订立标准合同。

与安全评估类似,标准合同办法也规定了6个月的整改期,对于不符合规定的企业,应当在2023年11月30日前整改完毕,完成标准合同签署。

2. 认证

对未达到安全评估标准的个人信息出境,除签订标准合同外,个人信息保护认证也是可选择的一种方式。

在适用范围方面,《认证指南》V2.0相较V1.0不再将认证主要限于关联公司之间的个人信息跨境处理活动,而是与标准合同的适用范围保持了一致。

在认证模式方面,包括技术验证+现场审核+获证后监督,具体实施程序如下:

(1)委托:个人信息处理者按照认证机构要求提交委托资料,后者确定认证方案。

(2)技术验证:认证机构确定的技术验证机构按照认证方案,实施技术验证,出具技术验证报告。

(3)现场审核:认证机构实施现场审核,出具现场审核报告。

(4)作出认证决定:认证机构结合委托资料、技术验证报告、现场审核报告,决定是否颁发认证证书(可要求限期整改)。

(5)获证后监督:有效期内,认证机构应按照合理的频次对获得认证的个人信息处理者进行持续监督,确保其持续符合认证要求。

当前,国家市场监督管理总局直属正司局级事业单位——中国网络安全审查技术与认证中心是网信办指定的唯一认证机构。认证证书的有效期为3年。证书到期还需延续使用的,个人信息处理者应在有效期届满前6个月内向认证机构提出认证申请。认证机构采用获证后监督的方式,对符合认证要求的委托换发新证书。

尽管随着《认证规则》和《认证指南》的发布以及认证机构的指定,个人信息保护认证的落地框架已经搭建完成,但从实践层面上看,相关认证工作目前尚未大规模展开。


三、结语


综上,当前我国个人信息出境必须通过安全评估、认证或标准合同三条路径之一,方可合法进行。迄今为止,安全评估实施已逾半年,6个月整改过渡期已过,大量企业已向网信部门提交申报;认证制度框架已搭建完成,但实践中相关工作尚未大规模展开;标准合同文本已正式出台,根据新规,通过该路径进行个人信息出境的企业应于2023年11月30日前整改完毕。考虑到《个保法》严厉的处罚机制(最高罚款可达企业年营业额的5%)以及趋严的执法趋势(例如滴滴此前因违反《个保法》等被罚逾80亿元),建议企业尽早咨询专业律师,启动自评估工作,并根据是否触发强制申报义务,开展申报或认证或标准合同的签订工作。



特别声明:

大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。





本文作者


大成能为您做什么?

联系我们 +