《個人信息出境標準合同辦法》二十大癥結(jié)問題解讀
作者:張丹 夏星悅 2023-03-072023年2月22日,《個人信息出境標準合同辦法》發(fā)布,該辦法將于2023年6月1日起正式實施,有關(guān)《個人信息出境標準合同辦法》的解讀文章在網(wǎng)絡(luò)上已比比皆是,本文僅就執(zhí)業(yè)過程中遇到的企業(yè)容易產(chǎn)生困惑的二十個問題進行解讀,以饗讀者。
問題1 企業(yè)如何選擇數(shù)據(jù)出境路徑,哪種路徑是更優(yōu)解?
從下表可以看出,不同路徑的適用對象和場景有所不同,處理重要數(shù)據(jù)和個人信息達量的企業(yè)僅能選擇安全評估路徑,就此已有大量文章分析解讀,這里不贅述;由于企業(yè)對于認證路徑的難度、時間均無法把握,目前僅有少量企業(yè)開始嘗試,該路徑通常被認為適用于集團企業(yè)內(nèi)個人信息頻繁跨境流動的場景,優(yōu)點是企業(yè)尚無需按照標準合同條款簽署具有約束力的法律文件;標準合同路徑應(yīng)適用于大多數(shù)個人信息處理數(shù)量較少的企業(yè),其優(yōu)點顯而易見,只需要企業(yè)自行進行個人信息保護影響評估并簽署標準合同,無需外部機構(gòu)的介入,亦不需要前置性的審批或認證,操作較為靈活,缺點是標準合同對境外接收方約定了較為嚴苛的條款,且不允許企業(yè)自行調(diào)整。企業(yè)可依據(jù)自身的實際情況選擇更優(yōu)的數(shù)據(jù)出境路徑。
問題2重要數(shù)據(jù)出境簽署的法律文件是否需要遵循《個人信息出境標準合同》? 《個人信息出境標準合同辦法》的適用對象是個人信息而非重要數(shù)據(jù),尚沒有出臺針對重要數(shù)據(jù)出境的標準合同,《數(shù)據(jù)出境安全評估辦法》第九條規(guī)定了數(shù)據(jù)處理者在與境外接收方訂立的法律文件中應(yīng)當約定的數(shù)據(jù)安全保護責任義務(wù)。 我們認為,個人信息由于涉及個人信息主體權(quán)益,相對重要數(shù)據(jù)體現(xiàn)了更多的合規(guī)細節(jié),從與個人信息保護相關(guān)的規(guī)定遠多于重要數(shù)據(jù)相關(guān)規(guī)定的數(shù)量可以窺見一斑,因而有必要通過標準合同的形式對個人信息出境活動進行相應(yīng)的約束,這也是借鑒了歐盟SCCs的做法;且由于所有重要數(shù)據(jù)的出境均經(jīng)過監(jiān)管部門的事前評估,特定領(lǐng)域還需要其他主管部門的審批,因而重要數(shù)據(jù)的出境活動本身已被嚴監(jiān)管,不存在企業(yè)通過協(xié)議的方式將重要數(shù)據(jù)自由出境的情形。但我們認為重要數(shù)據(jù)出境所簽署的法律文件亦可參考借鑒標準合同。
問題3境外接收方是否可以是受托人?
從《個人信息出境標準合同》第三條第(二)款規(guī)定可知,境外接收方包含了受個人信息處理者委托處理個人信息的受托人,其應(yīng)按照與個人信息處理者的約定處理個人信息,不得超出與個人信息處理者約定的處理目的、處理方式等處理個人信息。 實踐中,個人信息處理者委托境外接收方處理個人信息,如云服務(wù)商等,也應(yīng)簽署標準合同,但受托人往往不愿承擔標準合同中的多重義務(wù);此外,還存在個人信息處理者與境外接收方在境內(nèi)的代理機構(gòu)簽署服務(wù)合同的情形,該種場景下,由于個人信息處理者與境外接收方?jīng)]有直接的合同關(guān)系,較難與境外接收方溝通協(xié)調(diào),如此恐怕需要企業(yè)做出必要的商業(yè)調(diào)整。
問題4如何理解《個人信息出境標準合同辦法》第四條中的“數(shù)量拆分”?
《個人信息出境標準合同辦法》第四條規(guī)定,個人信息處理者不得采取數(shù)量拆分等手段,將依法應(yīng)當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供。 在申請數(shù)據(jù)出境安全評估的過程中,部分企業(yè)將本應(yīng)合并計算的個人信息出境數(shù)量通過在下屬子公司以及關(guān)聯(lián)公司之間的刻意分配來達到無需申報出境安全評估的目的。我們認為,雖有如此禁止性規(guī)定,但企業(yè)如系正常的系統(tǒng)拆分、業(yè)務(wù)劃分、生產(chǎn)條線轉(zhuǎn)移等商業(yè)措施引起的“數(shù)量拆分”,不應(yīng)被認為不合理的手段;此處的“數(shù)量拆分”應(yīng)指企業(yè)將與其他公司無關(guān)的個人信息處理活動嫁接到其他公司名下等不合理手段使得企業(yè)本應(yīng)統(tǒng)計的個人信息可以減量。
問題5 如何理解《個人信息出境標準合同辦法》第六條中的“不得與標準合同相沖突”?
《個人信息出境標準合同辦法》第六條規(guī)定,標準合同應(yīng)當嚴格按照本辦法附件訂立。國家網(wǎng)信部門可以根據(jù)實際情況對附件進行調(diào)整;個人信息處理者可以與境外接收方約定其他條款,但不得與標準合同相沖突。 我們認為,個人信息處理者與境外接收方擬定的其他條款不能與標準合同相沖突,意味著《個人信息出境標準合同》中規(guī)定的個人信息處理者和境外接收方的義務(wù)不能減少或豁免,尤其是境外接收方的相關(guān)安全保障義務(wù),雙方可能僅能就具體規(guī)則的實施方式進行細化或就法定以外的其他責任在雙方之間進行分配而進一步在附錄中約定,也就是說只能做加法不能做減法。
問題6 標準合同生效后備案前,企業(yè)是否可以開展個人信息出境活動?
根據(jù)《個人信息出境標準合同辦法》第六條,標準合同生效后企業(yè)就可以開展個人信息出境活動,標準合同的備案并不是企業(yè)開展個人信息出境活動的前置條件。但企業(yè)仍需按照規(guī)定在標準合同生效后10個工作日內(nèi)向所在地省級網(wǎng)信部門備案。
問題7 數(shù)據(jù)出境的數(shù)量發(fā)生變化,是否需要補充或重新訂立標準合同?
根據(jù)《個人信息出境標準合同辦法》第八條,向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發(fā)生變化,或者延長個人信息境外保存期限的,個人信息處理者應(yīng)當重新開展個人信息保護影響評估,補充或者重新訂立標準合同。 征求意見稿中曾包含“數(shù)量”,但是在正式稿中刪除了,我們理解,在個人信息出境活動中,數(shù)量很難保持一個固定的數(shù)值,比如員工、用戶個人信息的處理,數(shù)量始終在不斷變化當中,如果數(shù)量發(fā)生變化就需要補充或重新訂立標準合同,會導(dǎo)致企業(yè)頻繁重新備案,此外,選擇標準合同路徑的企業(yè)本身就是由于未達量無需申報安全評估的企業(yè),無論數(shù)量如何變化,始終低于申報安全評估的閾值,一定程度上可以理解為安全風險在可控范圍內(nèi)。
問題8 企業(yè)未簽署標準合同及備案的法律后果?
對于選擇標準合同路徑進行個人信息出境的企業(yè),應(yīng)嚴格按照《個人信息出境標準合同》范本的格式填寫相應(yīng)內(nèi)容并簽署合同,請勿自行調(diào)整或刪除《個人信息出境標準合同》范本正文及附錄一中已設(shè)定內(nèi)容項,避免發(fā)生后續(xù)因企業(yè)訂立的個人信息出境合同不符合前述范本的格式及內(nèi)容填寫要求而在網(wǎng)信部門進行出境備案材料審查時作出不予受理決定的情形。但是對于與《個人信息出境標準合同》范本不相沖突的其他條款,企業(yè)可以自主添加進標準合同中。 如企業(yè)雖簽訂有標準合同,但未按照《個人信息出境標準合同辦法》的規(guī)定在標準合同生效之日起10個工作日內(nèi)向所在地省級網(wǎng)信部門進行備案,或是在發(fā)生《個人信息出境標準合同辦法》第八條規(guī)定的需要補充或重新簽訂標準合同并履行相應(yīng)備案手續(xù)的,《個人信息出境標準合同辦法》也設(shè)定了兩種監(jiān)管機制,一種是其他組織或個人的舉報路徑;另一種是網(wǎng)信部門對于個人信息出境活動存在較大風險時的主動介入,約談境內(nèi)個人信息處理者并要求其整改。
問題9 是否可能出現(xiàn)因出境個人信息不滿足最小必要原則而無法出境/備案的情況?備案是否可能具有實質(zhì)性審查功能?
“最小必要”原則作為《個人信息保護法》項下處理個人信息的一般原則,無論企業(yè)通過《個人信息保護法》第三十八條規(guī)定中哪條路徑選擇個人信息出境,均應(yīng)事先評估其個人信息出境行為是否滿足前述“最小必要”原則,對于不滿足“最小必要”原則的個人信息出境場景/類型,建議將個人信息進行境內(nèi)存儲并尋求替代性方案,而非直接進行個人信息的出境。 關(guān)于標準合同的備案,由于行政備案原則上實行事后備案,行政機關(guān)根據(jù)公民、法人或者其他組織依法報送或者申請的相關(guān)材料,經(jīng)審核予以存檔備查。因此對于企業(yè)遞交備案的申請材料,更多依賴于企業(yè)自身對于材料內(nèi)容真實性、準確性的把握,并且《個人信息出境標準合同辦法》亦規(guī)定有企業(yè)違反該辦法的監(jiān)管機制及相應(yīng)的法律責任,故企業(yè)應(yīng)重視對于標準合同及相關(guān)備案申請材料的準備,確保其真實、準確、完備。
問題10 網(wǎng)信部門發(fā)現(xiàn)個人信息出境活動存在較大風險或者發(fā)生個人信息安全事件的,企業(yè)是否必須終止數(shù)據(jù)出境活動?
正式稿中的一大亮點是增加了“約談?wù)摹睓C制,給予企業(yè)消除隱患的機會。《個人信息出境標準合同辦法》第十一條規(guī)定,省級以上網(wǎng)信部門發(fā)現(xiàn)個人信息出境活動存在較大風險或者發(fā)生個人信息安全事件的,可以依法對個人信息處理者進行約談。個人信息處理者應(yīng)當按照要求整改,消除隱患。 我們認為,這與《網(wǎng)信部門行政執(zhí)法程序規(guī)定(征)》的規(guī)定相呼應(yīng),其中第三十七條及三十三條規(guī)定,網(wǎng)信部門對當事人作出行政處罰決定前,可以根據(jù)有關(guān)規(guī)定對其實施約談,談話結(jié)束后制作執(zhí)法約談筆錄。違法行為情節(jié)輕微并及時改正,沒有造成危害后果,不予行政處罰;當事人有證據(jù)足以證明沒有主觀過錯的,不予行政處罰。 相較征求意見稿,“約談?wù)摹睓C制更加適配出境活動中不可控的安全風險,如企業(yè)能夠及時整改,消除隱患,仍舊可以繼續(xù)數(shù)據(jù)出境活動。
問題11 如何理解《個人信息出境標準合同》第二條第(一)款中的“最小范圍”?
《個人信息出境標準合同》第二條第(一)款規(guī)定,按照相關(guān)法律法規(guī)規(guī)定處理個人信息,向境外提供的個人信息僅限于實現(xiàn)處理目的所需的最小范圍。 《個人信息保護法》第六條規(guī)定,處理個人信息應(yīng)當具有明確、合理的目的,并應(yīng)當與處理目的之間相關(guān),采取對個人權(quán)益影響最小的方式。收集個人信息,應(yīng)當限于處理目的的最小范圍,不得過度收集個人信息。 由此推斷,此處的“最小范圍”應(yīng)包含兩層含義,一是個人信息處理者向境外接收方提供個人信息應(yīng)當具有明確、合理的目的,二是個人信息處理者向境外接收方提供的個人信息應(yīng)當是實現(xiàn)該目的所需的必要信息,非必要信息不應(yīng)跨境傳輸。
問題12 基于同意以外的其他合法性基礎(chǔ)向境外提供個人信息是否需要取得單獨同意?
《個人信息出境標準合同》第二條第(三)款規(guī)定,基于個人同意向境外提供個人信息的,應(yīng)當取得個人信息主體的單獨同意。單獨同意的前提是基于同意作為合法性基礎(chǔ),如果是基于其他合法性基礎(chǔ),可以不取得個人信息主體的單獨同意。根據(jù)《個人信息保護法》第十三條,企業(yè)還可以依據(jù)履行合同所必需等其他合法性基礎(chǔ)向境外提供個人信息而無須取得個人信息主體的同意,如基于履行合同所必需向跨境電商提供收件人信息。
問題13 何為第三方受益人?
《個人信息出境標準合同》的正式版本保留了此前征求意見稿中關(guān)于合同第三方受益人的機制。如我們此前寫作的文章《數(shù)據(jù)出境安全評估實務(wù)問題56問》中所提到,從《個人信息出境標準合同》的內(nèi)容來看,標準合同的第三方受益人即是指在涉數(shù)據(jù)跨境的個人信息處理活動中,個人信息處理者和境外接收方簽訂具有法律約束力文件中被個人信息處理者處理個人信息的個人信息主體,個人信息主體依據(jù)相關(guān)法律法規(guī),擁有知情權(quán)、決定權(quán)、有權(quán)限制或者拒絕他人對其個人信息進行處理,有權(quán)要求查閱、復(fù)制、更正、補充、刪除其個人信息,以及要求對其個人信息處理規(guī)則進行解釋說明的權(quán)利等。如果個人信息主體未在三十天內(nèi)明確拒絕該等身份,則可以依據(jù)標準合同的約定享有第三方受益人的權(quán)利。
問題14 如何落實《個人信息出境標準合同》第二條第(四)款向個人信息主體告知合同第三方受益人事宜的義務(wù)?
數(shù)據(jù)出境安全評估工作中,一般會經(jīng)過內(nèi)部評估后,并就個人信息保護政策/個人信息保護通知等文件予以完善后并再履行向個人信息主體告知并獲得其單獨同意(基于其他合法性基礎(chǔ)而無需征得同意的除外)的義務(wù)。實踐中,企業(yè)可能會進行出境的個人信息一般包含內(nèi)部員工的個人信息,以及外部人士的個人信息。企業(yè)可分別針對這兩類個人信息主體選擇相適合的告知方式。 如未來標準合同簽署生效,針對(1)個人信息主體為外部人士的:企業(yè)可在考慮個人信息保護政策中,增加第三方受益人告知條款,將這部分條款連同個人信息跨境傳輸條款作彈窗提示,同時賦予個人信息主體拒絕的相關(guān)按鈕或者機制;(2)個人信息主體為企業(yè)內(nèi)部員工的:企業(yè)可考慮在《員工個人信息保護告知同意書》或其他員工數(shù)據(jù)合規(guī)文件中增加第三方受益人告知條款,設(shè)計勾選框請員工予以確認是否接受或拒絕成為標準合同第三方受益人,以確保這兩類個人信息主體均可以向個人信息處理者提出拒絕成為標準合同第三方受益人的請求。
問題15 什么叫“保密商務(wù)信息”?
《個人信息出境標準合同辦法》及其附件的《個人信息出境標準合同》范本均有提及“保密商務(wù)信息”,并與“商業(yè)秘密”一詞并列出現(xiàn)。根據(jù)前述規(guī)定,網(wǎng)信部門及其人員在履職過程中知悉的保密商務(wù)信息應(yīng)依法予以保密;且如涉及保密商務(wù)信息,在不影響個人信息主體理解的前提下,個人信息處理者在應(yīng)個人信息主體要求向其提交標準合同副本之前,可對該合同副本相關(guān)內(nèi)容進行適當處理。此外,“保密商務(wù)信息”一詞還出現(xiàn)在《數(shù)據(jù)安全法》、《行政許可法》、《數(shù)據(jù)出境安全評估辦法》等法律法規(guī)規(guī)定中,但這些規(guī)定均未明確該詞語的法律含義。 參照中美雙方在2020年1月16日簽訂的《中華人民共和國政府和美利堅合眾國政府經(jīng)濟貿(mào)易協(xié)議》中關(guān)于“保密商務(wù)信息”的含義,“保密商務(wù)信息”是指“涉及或與如下情況相關(guān)的信息:任何自然人或法人的商業(yè)秘密、流程、經(jīng)營、作品風格或設(shè)備,或生產(chǎn)、商業(yè)交易,或物流、客戶信息、庫存,或收入、利潤、損失或費用的金額或來源,或其他具備商業(yè)價值的信息,且披露上述信息可能對持有該信息的自然人或法人的競爭地位造成極大損害”。
問題16境外接收方對個人信息的處理期滿后,是否可以匿名化處理個人信息?
《個人信息出境標準合同》的正式版本取消了原先征求意見稿中關(guān)于“境外接收方對個人信息處理期滿后,可以采用匿名化處理的方式”的規(guī)定,而僅保留“對個人信息(包括所有備份)進行刪除或予以返還(后者僅適用于受托處理個人信息的情形)”這兩種方式,并進一步規(guī)定,如刪除個人信息從技術(shù)上難以實現(xiàn)的,應(yīng)當停止除刪除和采取必要的安全保障措施之外的處理。 我們理解,刪除“匿名化”可能有兩層原因,一是是否達到“匿名化”的標準無法界定,需要評估確認無法再次識別到自然人,尤其在不同的法域下,對匿名化的理解會有差異性;二是作為境外接收方,在處理目的實現(xiàn)或存儲期滿后,沒有必要繼續(xù)保留任何數(shù)據(jù),包括匿名化后的數(shù)據(jù)。
問題17 境外接收方將個人信息再傳輸至境外第三方是否必須簽署標準合同?
《個人信息出境標準合同辦法》及其附件《個人信息出境標準合同》并未強制要求在本題題述情形發(fā)生時必須簽署標準合同,但應(yīng)保證境外接收方與該境外第三方簽訂有書面協(xié)議,確保該第三方的個人信息處理活動達到中華人民共和國相關(guān)法律法規(guī)的個人信息保護標準,并承擔因向該境外第三方提供個人信息而侵害個人信息主體享有權(quán)利的法律責任。此外,《個人信息出境標準合同》中亦規(guī)定,對于境外接收方與該境外第三方達成的書面協(xié)議,在個人信息主體請求時,境外接收方應(yīng)向個人信息主體提供該書面協(xié)議的副本。
問題18 簽署標準合同前需要做哪些準備工作?
企業(yè)在簽署標準合同前應(yīng)結(jié)合企業(yè)自身情況,做好以下各項準備工作: 梳理數(shù)據(jù)出境場景,并判斷是否適合選擇標準合同路徑進行個人信息出境; 開展個人信息保護影響評估,并留存評估報告和處理情況記錄; 與境外接收方溝通標準合同的文本內(nèi)容、各方權(quán)利義務(wù)的約定等; 評估是否需要完善企業(yè)的個人信息保護政策/個人信息保護通知等文件; 履行向個人信息主體告知并獲得其單獨同意的義務(wù)(有其他合法性基礎(chǔ)而無需獲得個人信息主體“同意”的除外); 其他:完善關(guān)于企業(yè)數(shù)據(jù)合規(guī)(特別是數(shù)據(jù)及個人信息出境相關(guān)的)內(nèi)部管理制度和操作流程,以及制定和評估關(guān)于個人信息安全事件的應(yīng)急預(yù)案。
問題19 已簽訂有出境合同版本的企業(yè)應(yīng)如何應(yīng)對《個人信息出境標準合同辦法》帶來的影響?
與《數(shù)據(jù)出境安全評估辦法》相同,《個人信息出境標準合同辦法》也將辦法生效后設(shè)定了六個月的窗口期供企業(yè)整改。對于已與境外接收方簽訂有出境合同版本的企業(yè)而言,企業(yè)可根據(jù)業(yè)務(wù)合作情況、個人信息出境傳輸需求及出境合同的簽署情況作出相應(yīng)舉措與調(diào)整: (1)對于業(yè)務(wù)合作及現(xiàn)有出境合同均將在六個月整改窗口期滿前到期的,企業(yè)可繼續(xù)使用現(xiàn)有出境合同,或企業(yè)可自行選擇是否改簽標準合同已替代現(xiàn)有出境合同; (2)若現(xiàn)有出境合同將在六個月整改窗口期滿前到期的,但企業(yè)經(jīng)評估仍打算保持與該境外接收方的業(yè)務(wù)合作或繼續(xù)有個人信息出境需求的,則企業(yè)應(yīng)利用前述整改窗口期著手開展簽訂標準合同的準備工作,具體準備工作的開展可參考本文問題18的解答,并在標準合同簽署生效后及時完成相應(yīng)的備案手續(xù); (3)若業(yè)務(wù)合作及現(xiàn)有出境合同在六個月整改窗口期滿時仍未到期的,則企業(yè)亦應(yīng)利用前述整改窗口期進行簽訂標準合同的準備及簽署工作,并在標準合同簽署生效后及時完成相應(yīng)的備案手續(xù)。
問題20:有何內(nèi)容建議添加進《個人信息出境標準合同》的附錄二?
《個人信息出境標準合同》的附錄二的設(shè)定目的是為了將企業(yè)與境外接收方約定的且不與標準合同正文沖突的其他條款約定在此處。除企業(yè)根據(jù)自身業(yè)務(wù)合作情況與投資關(guān)系可將相關(guān)商務(wù)條款(如需)填寫在附錄二之外,企業(yè)亦可考慮在附錄二中安排定制化的法律條款內(nèi)容,包括但不限于如下: 明確寫明企業(yè)與境外接收方在個人信息處理活動中的角色關(guān)系,是委托/被委托關(guān)系、共同個人信息處理者、亦或是雙方均是獨立的個人信息處理者; 境外接收方應(yīng)積極協(xié)助、配合個人信息處理者完成初次個人信息傳輸前及后續(xù)個人信息處理活動發(fā)生變化時的個人信息保護影響評估工作,并應(yīng)個人信息處理者的要求提供必要的、合法的、真實有效的文件以供其開展前述個人信息保護影響評估工作; 境外接收方接收個人信息處理者分享的個人信息,以及境外接收方后續(xù)進行的數(shù)據(jù)處理活動,均不會違反所有適用的司法管轄區(qū)法律; 境外接收方的個人信息權(quán)益保護工作、機制、配套系統(tǒng)開展及運營、配合審計等部分的費用應(yīng)由境外接收方自行承擔; 境外接收方在實際控制權(quán)或者經(jīng)營范圍發(fā)生實質(zhì)性變化,或者所在國家、地區(qū)數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境發(fā)生變化以及發(fā)生其他不可抗力情形導(dǎo)致難以保障數(shù)據(jù)安全時,應(yīng)當采取的安全措施; 在負面輿情事件發(fā)生時的及時通知義務(wù)、應(yīng)對機制及責任承擔; 如涉及境外接收方向境外第三方提供個人信息的情形時,應(yīng)確保境外接收方與該境外第三方進行個人信息傳輸前應(yīng)征得境內(nèi)個人信息處理者的書面同意,且境外接收方與境外第三方簽訂的書面協(xié)議中的個人信息處理活動的內(nèi)容、范圍不超過境外接收方披露給境內(nèi)個人信息處理者的內(nèi)容等,且確保第三方的個人信息處理活動達到不低于標準合同條款中約定的個人信息保護標準; 關(guān)于違約責任部分“損失”范圍的界定,損失是否包含個人信息主體的索賠款項、暫停或終止運營所致成本支出、行政處罰罰款、合理的維權(quán)成本(律師費、鑒定費、公證費等)等各類直接和間接損失等; 約定個人信息處理者與境外接收方在不同場景下的內(nèi)部責任分攤的方式與比例。
