《個人信息出境標準合同備案指南(第一版)》解讀
作者:吳衛明 李勝男 2023-05-312023年5月30日,國家互聯網信息辦公室(以下簡稱“國家網信辦”)發布了《個人信息出境標準合同備案指南(第一版)》(以下簡稱“《備案指南》”)。《備案指南》的發布,對即將在2023年6月1日實施的《個人信息出境標準合同辦法》的具體落地提供了實操指引。
本文將在實操角度對《備案指南》中規定的個人信息出境標準合同的適用范圍、備案方式、備案流程、備案材料、個人信息保護影響評估報告(模板)等內容進行詳細解讀。
一、個人信息出境標準合同的適用范圍
(一)重申了需同時滿足的四個條件
《備案指南》重申了《個人信息出境標準合同辦法》中規定的“個人信息處理者通過訂立標準合同的方式向境外提供個人信息的,應當同時符合下列情形:(一)非關鍵信息基礎設施運營者;(二)處理個人信息不滿100萬人的;(三)自上年1月1日起累計向境外提供個人信息不滿10萬人的;(四)自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的。”如果不能滿足上述任一條件,則需要按照2022年9月1日實施的《數據出境安全評估辦法》的要求通過所在地省級網信部門向國家網信部門申報數據出境安全評估。
(二)重申法律法規另有規定除外以及禁止采取數量拆分等手段
《備案指南》重申了《個人信息出境標準合同辦法》中規定的“法律、行政法規或者國家網信部門另有規定的,從其規定。”該規定系為了解決可能出現的法律沖突問題,對于醫療行業、金融行業等特殊領域或上位法律法規的特殊個人信息出境要求(例如強制本地化存儲要求),應予以優先適用。
《備案指南》重申了“不得采取數量拆分等手段,將依法應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供。”該規定目的是防止企業以“數量拆分”(例如把個人信息拆分到不同的公司,或者把某一業務場景拆分到不同的公司)或者其他手段規避安全評估。
(三)重申個人信息出境行為
《備案指南》再次重申了個人信息出境行為的具體類型,該出境行為的表述與數據出境安全評估申報指南(第一版)(以下簡稱“《申報指南》”)保持一致,相較于2022年7月7日國家網信辦負責人就《數據出境安全評估辦法》答記者問的表述,《備案指南》將“訪問或者調用”細化為“查詢、調取、下載、導出”,并且增加了國家網信辦規定的個人信息出境行為。
二、個人信息出境標準合同的備案方式及備案材料
(一)書面材料并附帶材料電子版
《備案指南》要求個人信息處理者需通過“送達書面材料并附帶材料電子版的方式”向省級網信辦備案,該備案方式與《申報指南》要求一致,雖然《備案指南》沒有對紙質材料裝訂及電子版材料的具體形式提出明確要求,但是建議實踐中可以參考數據出境安全評估申報的相關要求,并電話或郵件聯系網信部門進一步溝通確認(電子郵箱:bzht@cac.gov.cn;聯系電話:010-55627565)。
例如:參考上海市互聯網信息辦公室在2023年2月1日發布的數據出境安全評估申報工作實務問答(二)中的具體要求:
“申報材料紙質件如何進行裝幀、打包?答:數據處理者裝幀申報材料形式無限制,可采用長尾票夾、回形針、訂書針、文件袋等,建議不要采用形式奇特、過于精美繁復的裝幀。如申報材料較多,請使用無文字及圖案標記的純色紙箱打包。”
“申報材料電子版的提交要求是什么?答:刻錄在光盤中進行提交。若一次提交涉及多個場景,可刻錄在一張光盤中,不同場景設置單獨的文件夾,每個場景文件夾內需包含《申報指南(第一版)》附件1提到的一整套材料。需要確保PDF版本材料和紙質件一致(帶公章、簽字等)。此外,建議附上WORD版本材料。”
(二)備案需提交的具體材料
根據《備案指南》的要求,個人信息處理者進行標準合同備案時,應當提交如下表所述材料。并且應提供標準合同、承諾書、授權委托書等文件原件,因此,個人信息處理者在與境外接收方簽署標準合同、承諾書等文件時,不僅應按照《備案指南》中提供的模板予以簽署,還應該注意材料的原件份數,至少保證一式三份,個人信息處理者兩份,境外接收方一份,個人信息處理者內部留存一份、備案提交一份。
三、個人信息出境標準合同的備案流程
(一)備案流程圖
根據《備案指南》的規定,個人信息出境標準合同的備案流程具體如下:
(二)補充或者重新備案
在標準合同有效期內出現下列情形之一的,個人信息處理者應當重新開展個人信息保護影響評估,補充或者重新訂立標準合同,并履行相應備案手續:
1.向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發生變化,或者延長個人信息境外保存期限的;
2.境外接收方所在國家或者地區的個人信息保護政策和法規發生變化等可能影響個人信息權益的;
3.可能影響個人信息權益的其他情形。
個人信息處理者在標準合同有效期內補充訂立標準合同的,應當向所在地省級網信辦提交補充材料;重新訂立標準合同的,應當重新備案。補充或者重新備案的材料查驗時間為15個工作日。
四、個人信息出境標準合同的備案結果及法律責任
備案結果分為通過、不通過。通過備案的,省級網信辦向個人信息處理者發放備案編號;不通過備案的,個人信息處理者將收到備案未成功通知及原因或者要求補充完善材料的通知。
個人信息處理者對所提交材料的真實性負責,提交虛假材料的,按照備案不通過處理,并依法追究相應法律責任。根據《個人信息出境標準合同辦法》第十一條、第十二條[1]的規定,網信部門既可能對個人信息處理者進行約談,也有可能依據《個人信息保護法》追究相應的法律責任,例如:責令改正、給予警告、沒收違法所得、責令暫停相關業務、停業整頓、并處五千萬元以下或者上一年度營業額百分之五以下罰款、吊銷相關業務許可、吊銷營業執照等,構成犯罪的,承擔刑事責任。
五、個人信息保護影響評估模板
《備案指南》附件5個人信息保護影響評估報告(模板)系在《申報指南》附件4數據出境風險自評估報告(模板)基礎上進行的微調,兩者存在的區別主要有以下幾點:
第一,標準合同備案中的個人信息保護影響評估集中關注對個人信息權益帶來的風險,而數據出境風險自評估還會關注對國家安全、公共利益、組織合法權益的風險,需考慮的風險范圍更廣。第二,標準合同中的個人信息保護影響評估僅涉及個人信息的合規要求,但是數據出境風險自評估報告除了涉及個人信息還涉及重要數據、核心數據的相關合規要求。第三,由于標準合同已由網信辦給出適用模板,因此個人信息保護影響評估主要關注對合同履行的影響,而安全評估路徑下,無強制適用的標準法律文件,因此需額外評估雙方擬訂立的法律文件內容是否符合監管標準。
注釋
[1] 《個人信息出境標準合同辦法》第十一條 省級以上網信部門發現個人信息出境活動存在較大風險或者發生個人信息安全事件的,可以依法對個人信息處理者進行約談。個人信息處理者應當按照要求整改,消除隱患。
第十二條違反本辦法規定的,依據《中華人民共和國個人信息保護法》等法律法規處理;構成犯罪的,依法追究刑事責任。
