個人信息出境不再需要簽署標準合同?答案比較復雜
作者:吳鵬飛 吳金冬 2023-10-11附《規范和促進數據跨境流動規定(征求意見稿)》思維導圖
國慶假期前一天,國家互聯網信息辦公室發布了《規范和促進數據跨境流動規定(征求意見稿)》(下稱“征求意見稿”),引起了極大的關注。征求意見稿對于現有的兩部法規《個人信息出境標準合同辦法》和《數據出境安全評估辦法》進行了重大的調整,但是其不可能突破上位法,即《個人信息保護法》和《數據安全法》,這一點對于我們全面理解征求意見稿和監管的態度至關重要。而且,征求意見稿中仍有一些未厘清的問題。
澄清了一些困惑,且評估/備案要求有所放松
這是大家討論最多的內容,我們也同意征求意見稿首要的兩個關鍵詞是“澄清”和“松綁”。
1、 澄清。征求意見稿前三條澄清了在實務中很多企業都會有的困惑,尤其是重要數據的認定。
2、松綁。實踐中大多數外資企業最常見的個人信息出境場景,一個是員工個人信息出境,一個是供應商/客戶聯系人個人信息出境。如果出境信息涉及的人數符合征求意見稿第五條的規定,看上去未來不再需要簽署標準合同并辦理備案,這對于面臨《個人信息出境標準合同辦法》規定的11月底這一整改限期的企業,無疑是重大利好。
征求意見稿共十一條,其他條款也都是干貨,很多文章都有介紹,本文就不展開了。我們制作了一份思維導圖,方便大家更清晰地了解征求意見稿的結構和內容。
法律規定中的合規義務未有變化
征求意見稿對于現有的兩個法規進行了重大的調整,但是其不可能突破《個人信息保護法》和《數據安全法》這兩部法律,這一點對于我們全面理解征求意見稿和監管的態度至關重要。舉例來說,征求意見稿下對評估和備案要求雖有松綁,但并未完全突破《個人信息保護法》第38條所規定的向境外提供個人信息所需適用的三種合規路徑,即申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。
《個人信息保護法》中規定的以下義務也未有變化,這些義務就是企業應完成的合規工作:
第一,根據《個人信息保護法》第39條,個人信息處理者應盡到告知義務,并取得個人的單獨同意。這一點征求意見稿也再次強調“基于個人同意向境外提供個人信息的,應當取得個人信息主體同意”。
第二,根據《個人信息保護法》第55條,應當事先進行個人信息保護影響評估。而針對向境外提供個人信息的情況,企業應如何進行個人信息保護影響評估呢。目前來看,最有參考價值的仍然是《個人信息出境標準合同備案指南(第一版)》中個人信息保護影響評估報告模板(出境版)。如何進行個人信息保護影響評估,也可以參考我們此前的另外一篇文章《企業如何進行出境場景下的個人信息保護影響評估》。
第三,盡管征求意見稿規定的特定情形下不需要簽署標準合同,但按照《個人信息保護法》里的相關規定以及個人信息保護影響評估的要求,個人信息處理者與境外接收方之間仍然需要對一些事項進行約定。當然,這種約定的形式可以是一份合同或者是適用于雙方的集團的相關制度。企業仍然可以考慮參考個人信息出境標準合同,并在此基礎上進行修改。
第四,《個人信息保護法》和《數據安全法》規定的個人信息/數據保護義務,包括《個人信息保護法》第五章、《數據安全法》第四章等的相關規定。
其實征求意見稿也強調了數據保護義務和加強常態化監管,至于監管部門今后如何實現常態化監管,可能有待于觀察征求意見稿正式出臺后一段時間內的執法實踐。
尚未厘清的問題
首當其沖當然是征求意見稿何時會正式出臺。我們預計征求意見稿應該會于11月底前正式出臺,以起到在《個人信息出境標準合同辦法》規定的整改期限前調整法規內容的效果。當然,這只是我們的猜測。就具體內容而言,我們認為仍有以下問題尚未厘清。
第一,是否違反上位法規定?征求意見稿所作出的豁免(即規定部分情形下無需適用三種合規路徑),是否與《個人信息保護法》第38條規定相違背,還是可以視為第38條第四款提到的“網信部門規定的其他條件”,值得商榷。
第二,是否任何情況下個人信息出境均需要取得個人的同意?征求意見稿第四條中的幾種情形,是否還需要取得個人的同意?這一點源于對《個人信息保護法》第13條的不同理解。征求意見稿中沒有單獨強調需要取得個人的同意,我們也認為無需取得同意;但是在以往安全評估審查實踐中,網信辦還是要求取得個人同意的。
第三,第四條所規定的幾種情形,是否需要考慮出境信息涉及的人數?我們認為并不需要。那如何理解“必須向境外提供個人信息的”范圍?這一點也是網信辦在以往安全評估審查中非常關注的問題。征求意見稿是否完全授權給企業自行判斷?考慮到《個人信息保護法》確立的最小必要原則,我們理解在第四條所規定的幾種情形下,企業還是應謹慎、合理地判斷必須要向境外提供的個人信息的范圍。
第四,第五條、第六條里提到的涉及人數是應該按照企業個人信息出境的不同場景下涉及人數合并計算,還是分場景計算?舉個例子,如果同一個企業有員工個人信息出境和供應商個人信息出境兩種場景,兩種場景下涉及人數合計超過一萬人,但供應商個人信息出境場景下不足一萬人:如果根據第四條認為員工個人信息出境無需申報,而只考慮供應商個人信息出境,那也無需申報;如果合并考慮兩種場景下個人信息出境涉及的人數,那就應該適用第六條辦理標準合同備案。
第五,已經提交安全評估申報和標準合同備案的企業怎么辦?此前發布的評估和備案的指南是否仍然適用?如果已經提交安全評估申報的,按照征求意見稿只需辦理標準合同備案,我們預測,應該可以與網信辦溝通,撤回申報的申請,重新提交標準合同備案,變化不大。如果原先已經提交標準合同備案的,按照征求意見稿無需簽署標準合同,我們預測應撤回備案,但如同我們前面所論述,前期的合規動作(包括個人信息保護影響評估和簽署標準合同)并非多余;當然,企業可以從自身角度考慮是否進行調整。
此外,還有一些細節問題需要解釋或者澄清,不再贅述。希望上面這些問題能在正式稿出臺時得到解決,也可能在今后的實踐中答案才會逐步清晰。建議有個人信息出境需求的企業將這一領域的合規作為長期工作,持續密切關注立法和執法的動向。
