《個人信息出境標準合同辦法》解讀
作者:吳衛明 李勝男 2023-02-272023年2月24日,國家互聯網信息辦公室(以下簡稱“國家網信辦”)發布了《個人信息出境標準合同辦法》(以下簡稱“《標準合同辦法》”)及其附件《個人信息出境標準合同》(以下簡稱“《標準合同》”)。《標準合同辦法》是落實《中華人民共和國個人信息保護法》(以下簡稱“《個人信息保護法》”)關于個人信息出境規則中標準合同制度的舉措,與《數據出境安全評估辦法》《個人信息保護認證實施規則》共同組成了我國個人信息出境的完整監管體系。
為幫助個人信息出境企業迅速了解《標準合同辦法》的合規要點及《標準合同》簽署的實踐操作,本文將從個人信息出境的路徑現狀、《標準合同》的適用范圍、《標準合同》備案與合同效力、開展個人信息保護影響評估的要求、法律責任、整改期限、《標準合同》的主要內容等維度進行解讀。
一、個人信息出境的路徑現狀
根據《個人信息保護法》第三十八條的規定,個人信息處理者向境外提供個人信息的,應當采取以下三種路徑之一,目前三種路徑的實踐情況具體如下:
二、《標準合同》適用范圍的法律及實踐要點
(一)需同時滿足的四個條件 根據《標準合同辦法》第四條的規定,向境外提供個人信息的主體,需要同時滿足“非關鍵信息基礎設施運營者;處理個人信息不滿100萬人;自上年1月1日起累計向境外提供個人信息不滿10萬人;自上年1月1日起累計向境外提供敏感個人信息不滿1萬人。”四個條件,才能采取訂立《標準合同》的方式進行個人信息出境活動。如果不能滿足上述任一條件,則需要按照2022年9月1 日實施的《數據出境安全評估辦法》的要求通過所在地省級網信部門向國家網信部門申報數據出境安全評估。 1. 非關鍵信息基礎設施運營者的認定 在實踐中,企業可能遇到的常見難題之一就是如何判斷自己屬于“非關鍵信息基礎設施運營者”。根據《關鍵信息基礎設施安全保護條例》第十條的規定:“保護工作部門根據認定規則負責組織認定本行業、本領域的關鍵信息基礎設施,及時將認定結果通知運營者,并通報國務院公安部門。”保護工作部門會在認定該企業為關鍵信息基礎設施運營者時,向企業發出通知,如果企業尚未被保護工作部門認定為關鍵信息基礎設施運營者,也尚未接到保護工作部門認定其為關鍵信息基礎設施運營者的通知,則可判斷企業不屬于關鍵信息基礎設施運營者。 2. 處理個人信息不滿100萬人 對于企業來說,如何正確理解“處理個人信息不滿100萬人”這一條件十分重要。根據我們對立法本意的解讀以及實踐的總結,我們認為正確理解該條件應重點關注以下幾點:(1)100萬的衡量指標是100萬名個人信息主體,而不是100萬條個人信息;(2)100萬的計算范圍是處理的個人信息數量而不是出境的個人信息數量;(3)如果企業處理超過100萬人個人信息,那么即使僅出境一條個人信息,也需要申報數據出境安全評估。 3.自上年1月1日起累計向境外提供個人信息不滿10萬人、提供敏感個人信息不滿1萬人的認定 從文義解釋的角度來看,該條件可以理解為“自上一年度(2022年)1月1日起到2023年2月27日(假設2023年2月27日為企業評估判斷之日),企業向境外提供個人信息不滿10萬人、提供敏感個人信息不滿1萬人的”即滿足該條件,可以通過簽訂《標準合同》的方式開展個人信息出境活動。但是從公司的業務持續和穩定發展來看,為了避免企業出現因未滿足監管要求而被要求終止數據出境的情況,我們建議企業應當根據以往業務開展的實際情況,估算完整兩年的跨境個人信息數量,估算自身是否觸發數據出境安全評估申報義務,在未達到數據出境安全評估申報義務前按照法律規定簽署《標準合同》,在將要達到數據出境安全評估申報的數量級時,提前準備數據出境安全評估材料進行申報,以保障業務的順利有序進行。 (二)新增禁止采取數量拆分等手段 國家網信辦曾于2022年6月30日發布《個人信息出境標準合同規定(征求意見稿)》(以下簡稱“征求意見稿”)。與征求意見稿相比,《標準合同辦法》第四條第三款新增“個人信息處理者不得采取數量拆分等手段,將依法應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供。”該款主要針對實踐中部分企業可能通過業務拆分、主體拆分等方式,將個人信息出境數量降低到出境安全評估標準之下,通過簽訂《標準合同》的方式規避數據出境安全評估義務的情形。
三、對《個人信息保護法》下個人信息保護影響評估的細化 《標準合同辦法》第五條規定了向境外提供個人信息前開展個人信息保護影響評估的重點評估內容,該條系對《個人信息保護法》第五十五條、五十六條的落實和進一步細化。與《個人信息保護法》相比,向境外提供個人信息前,開展個人信息保護影響評估應當包括的內容更加詳細,具體見下表:
四、《標準合同》備案與合同效力
《標準合同辦法》第六條、第七條規定了《標準合同》訂立及備案要求,本文以時間軸的方式梳理了《標準合同》訂立、生效、備案各個環節的法律要求及注意事項,詳情見下圖:
五、法律責任的寬嚴相濟
相較于征求意見稿對法律責任的規定,《標準合同辦法》展現了寬嚴相濟的指導思想,對企業的“寬”體現在針對“存在較大風險或者發生個人信息安全事件”的情況,從征求意見稿的“應當終止個人信息出境活動”[1],到《標準合同辦法》第十一條[2]規定的“可以進行約談”“按照要求整改,消除隱患”,明顯可以看出監管部門從一刀切的終止出境活動到約談、整改的執法思路轉變。與此同時,《標準合同辦法》也保留了征求意見稿“嚴”的一面,明確規定“違反本辦法規定的,依據《個人信息保護法》等法律法規處理;構成犯罪的,依法追究刑事責任。”不排除企業違法行為嚴重時承擔刑事責任、行政責任及巨額賠償的可能。 六、整改期限的理解
《標準合同辦法》第十三條規定:“本辦法自2023年6月1日起施行。本辦法施行前已經開展的個人信息出境活動,不符合本辦法規定的,應當自本辦法施行之日起6個月內完成整改。”對于該條的理解,我們認為2023年6月1日之前的個人信息出境活動,應該在2023年12月1日前整改完成,2023年6月1日之后的個人信息出境活動,則應該按照該辦法的規定,簽訂《標準合同》并予以備案,《標準合同》生效后方可開展個人信息出境活動。 七、個人信息出境標準合同的主要內容
根據《標準合同辦法》的附件,《標準合同》主要內容包括合同相關定義和基本要素、個人信息處理者和境外接收方的合同義務、境外接收方所在國家或者地區個人信息保護政策和法規對合同履行的影響、個人信息主體的權利和相關救濟,以及合同解除、違約責任、爭議解決等事項,并設計了個人信息出境說明、雙方約定的其他條款等兩個附錄。詳情見附件《個人信息出境標準合同》模板。 注釋 [1] 《個人信息出境標準合同規定(征求意見稿)》第十一條 省級以上網信部門發現通過簽訂標準合同的個人信息出境活動在實際處理過程中不再符合個人信息出境安全管理要求的,應當書面通知個人信息處理者終止個人信息出境活動。個人信息處理者應當在收到通知后立即終止個人信息出境活動。 [2]《個人信息出境標準合同辦法》第十一條 省級以上網信部門發現個人信息出境活動存在較大風險或者發生個人信息安全事件的,可以依法對個人信息處理者進行約談。個人信息處理者應當按照要求整改,消除隱患。
