个人信息出境标准合同规定(征求意见稿)要点简述


2022年07月03日

作者:董皓、戴博文

2022年6月30日,国家互联网信息办公室(下称“网信办”)公布了《个人信息出境标准合同规定(征求意见稿)》(下称“《征求意见稿》”)以及《个人信息出境标准合同》模板(下称“《标准合同》”),向社会征求意见。意见反馈的截止日为2022年7月29日。

我们建议有个人信息跨境需求的境内外公司对其保持关注,并可结合实践积极提交反馈意见。

标准合同的适用范围

我国《个人信息保护法》(下称“《个保法》”)第三十八条规定,当个人信息处理者(下称“境内传输方”)出于业务需求等原因,需要向境外接收方提供个人信息时,应当采取以下三种途径之一:(一)通过国家网信部门组织的安全评估;(二)通过指定机构的个人信息保护认证;(三)依照网信部门制定的标准合同与境外接收方订立合同。相较于前两种方式,签订标准合同的成本较低,将会是境内传输方最青睐的跨境合规途径。

不过,《征求意见稿》对标准合同的适用范围进行了限制。境内传输方需要同时满足以下条件,才可以通过标准合同实现个人信息的跨境提供:

  1. 不属于关键信息基础设施运营者;
  2. 处理个人信息不满100万人;
  3. 自上年1月1日起累计向境外提供未达到10万人个人信息;
  4. 自上年1月1日起累计向境外提供未达到1万人敏感个人信息。

我们认为,《征求意见稿》中对《标准合同》适用范围的上述限制值得商榷和进一步研讨。有关企业可以根据实践及时向监管机关提出自己的意见。

境内传输方的备案义务《征求意见稿》中要求境内传输方在其与数据接收方签订的标准合同生效之日起10个工作日内,向所在地省级网信部门备案。备案材料主要包括两项:一是所签订的标准合同,二是个人信息保护影响评估报告。

从《征求意见稿》的表述来看,标准合同生效后境内传输方即可开展个人信息出境活动,属于先跨境,后备案,即“事后监督”式的备案。不过,如何防止“备案”成为事实上的行政审批程序,仍可能是实践中的一个痛点。

事实上,采用“备案”形式究竟是否能够为监管带来助益,是一个需要进一步仔细研讨的课题。有关企业可以根据实践及时向监管机关提出自己的意见。

此外,《征求意见稿》要求相关的数据出境个人信息保护影响评估报告包括以下内容:

–  境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力是否保障出境个人信息的安全;

–  个人信息出境后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;

–  境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响。

上述增加的评估内容似乎是在对标GDPR下的Transfer Impact Assessment(TIA),用来确保境内境外接收方可以履行标准合同项下的义务。对横跨多个国家和地区经营的企业来说,这一项评估内容需由同时熟悉中国和个人信息输出地法律的律师来共同协作完成。

《标准合同》模板中应注意的条款

–  境内传输方需要答复监管机构关于境外接收方的个人信息处理活动的询问,除非数据传输双方同意由境外接收方答复(《标准合同》第2.6条)

–  数据传输双方均需保存个人信息保护影响评估报告至少3年(第2.7、3.11条)

–  经个人信息主体要求,数据传输双方须向其提供标准合同的副本(可遮蔽商业秘密和机密信息)(第2.8、3.2条)

–  境内传输方需承担标准合同义务已履行的举证责任(第2.9条)

–  当境外接收方处发生了数据泄露,其应当立即通知境内传输方,并向我国监管机构报告(第3.6条)

–  若境外接收方是受境内传输方委托处理个人信息,在转委托第三方处理时,需事先征得境内传输方的同意(第3.8条)

–  境内传输方进行个人信息保护影响评估时,需考虑境外接收方曾如何应对数据泄露事件,及境外接收方是否曾收到其所在国家或者地区公共机关要求提供个人信息请求及境外接收方应对的情况(第4.2条)

–  如果境外接收方违反其在标准合同项下的义务,则境内传输方可以暂停向其传输个人信息,直至违约行为被更正或者合同被解除(第7.1条)

–  如果数据传输双方之间有在先达成的合同与标准合同发生冲突,以标准合同的条款优先适用(第9.1条)

–  标准合同适用中国法律(第9.2条)

*     *     *     *     *

作者董皓系中国和美国纽约州执业律师,拥有多年的专业经验,专注于贸易合规、数据隐私和知识产权领域。


返回