2022年6月30日���,國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布了《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定(征求意見(jiàn)稿)》(“《規(guī)定》”)及《個(gè)人信息出境標(biāo)準(zhǔn)合同(征求意見(jiàn)稿)》(“《標(biāo)準(zhǔn)合同》”),為《個(gè)保法》下個(gè)人信息跨境條件之一的“標(biāo)準(zhǔn)合同”提供了落地方案。
《標(biāo)準(zhǔn)合同》在相當(dāng)程度上借鑒了歐盟標(biāo)準(zhǔn)合同條款(“SCC”)�����,同時(shí)體現(xiàn)了我國(guó)個(gè)人信息保護(hù)與監(jiān)管的特色與側(cè)重點(diǎn)�����。海問(wèn)律師已協(xié)助眾多中國(guó)企業(yè)落地歐盟SCC,特別是Schrems II案后應(yīng)對(duì)額外的實(shí)質(zhì)保障與補(bǔ)充措施要求�。企業(yè)可以參考《規(guī)定》及《標(biāo)準(zhǔn)合同》所體現(xiàn)的最新趨勢(shì)���,提前開(kāi)展個(gè)人信息跨境提供的合規(guī)部署工作���,并對(duì)基于歐盟GDPR的跨境框架(如有)進(jìn)行相應(yīng)的調(diào)整����。其中����,如下要點(diǎn)值得特別關(guān)注。
1.厘定標(biāo)準(zhǔn)合同的適用范圍�����,大量出境個(gè)人信息的企業(yè)或難適用標(biāo)準(zhǔn)合同
根據(jù)《規(guī)定》����,適用標(biāo)準(zhǔn)合同的個(gè)人信息處理者(“處理者”或“境內(nèi)提供方”)需同時(shí)符合以下情形:(1)非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者,(2)處理個(gè)人信息不滿(mǎn)100萬(wàn)人����,(3)自上年1月1日起累計(jì)向境外提供未達(dá)到10萬(wàn)人個(gè)人信息����,且(4)自上年1月1日起累計(jì)向境外提供未達(dá)到1萬(wàn)人敏感個(gè)人信息���。
與上述任一情形相反�����,即為《數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》(“《評(píng)估辦法》”)的適用范圍���,需通過(guò)網(wǎng)信部門(mén)進(jìn)行安全評(píng)估。但《規(guī)定》就出境累計(jì)計(jì)算新增了“自上年1月1日起”的限定,即累計(jì)期間最多不超過(guò)2年,適當(dāng)放松了對(duì)出境活動(dòng)的監(jiān)管��。不過(guò)���,基于我國(guó)的人口基數(shù),上述100萬(wàn)、10萬(wàn)����、1萬(wàn)的門(mén)檻實(shí)際較低�����,并且以處理者整體為單位���,并不區(qū)分業(yè)務(wù)場(chǎng)景��,因此���,實(shí)踐中大量企業(yè)可能無(wú)法適用標(biāo)準(zhǔn)合同�,而需進(jìn)行安全評(píng)估�。
此外,標(biāo)準(zhǔn)合同與安全評(píng)估在實(shí)踐中仍有相通之處��。例如����,《評(píng)估辦法》要求處理者與境外接收方擬訂合同等具有法律效力的文件����,且對(duì)合同內(nèi)容的要求與《標(biāo)準(zhǔn)合同》存在大量重合之處。《標(biāo)準(zhǔn)合同》由國(guó)家網(wǎng)信部門(mén)制定,企業(yè)即使不直接適用標(biāo)準(zhǔn)合同�����,也可以參考《標(biāo)準(zhǔn)合同》來(lái)擬定數(shù)據(jù)出境相關(guān)合同��。
2.標(biāo)準(zhǔn)合同要求備案����,為事后監(jiān)管提供抓手
《規(guī)定》對(duì)標(biāo)準(zhǔn)合同采用“自主締約與備案管理相結(jié)合”的監(jiān)管路徑�。一方面,標(biāo)準(zhǔn)合同無(wú)需事前審批即可生效��。另一方面���,境內(nèi)提供方應(yīng)在標(biāo)準(zhǔn)合同生效之日起10個(gè)工作日內(nèi)��,向所在地省級(jí)網(wǎng)信部門(mén)備案��,備案時(shí)應(yīng)提交標(biāo)準(zhǔn)合同(除格式條款外,還包含個(gè)案具體的保護(hù)措施及出境情況說(shuō)明)����、個(gè)人信息保護(hù)影響評(píng)估報(bào)告�����。
對(duì)比歐盟GDPR����,在Schrems II案后,歐盟固然對(duì)SCC提出了更高的要求——境內(nèi)提供方需證明個(gè)人數(shù)據(jù)出境后實(shí)質(zhì)上可達(dá)到歐盟同等保護(hù)水平��,而非僅是形式上簽署SCC文本,但仍不要求備案SCC��。
《規(guī)定》要求備案標(biāo)準(zhǔn)合同�����,雖然區(qū)別于安全評(píng)估的個(gè)案事前審批��,但給監(jiān)管留足了事后審查的抓手——省級(jí)以上網(wǎng)信部門(mén)發(fā)現(xiàn)個(gè)人信息出境活動(dòng)不再符合監(jiān)管要求�����,則書(shū)面通知處理者終止出境活動(dòng)�。處理者違反備案要求的�,責(zé)令限期改正;拒不改正或損害個(gè)人信息權(quán)益的�,責(zé)令停止個(gè)人信息出境活動(dòng),依法予以處罰���;構(gòu)成犯罪的�,依法追究刑事責(zé)任����。
3.細(xì)化出境場(chǎng)景下的個(gè)人信息保護(hù)影響評(píng)估�,且評(píng)估報(bào)告要求備案
《個(gè)保法》提出了個(gè)人信息保護(hù)影響評(píng)估(“PIA”)����,并規(guī)定了各個(gè)適用場(chǎng)景通用的評(píng)估項(xiàng):(1)處理目的�、處理方式等是否合法、正當(dāng)、必要��,(2)對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn)����,(3)保護(hù)措施是否合法�����、有效并與風(fēng)險(xiǎn)程度相適應(yīng)�����。
《規(guī)定》針對(duì)出境場(chǎng)景���,進(jìn)一步細(xì)化了PIA的評(píng)估項(xiàng)���,額外強(qiáng)調(diào)了:(1)境外接收方對(duì)履行個(gè)人信息保護(hù)義務(wù)與責(zé)任的承諾��、措施����、能力,(2)個(gè)人信息出境后被泄露、損毀�、篡改、濫用等風(fēng)險(xiǎn),(3)境外接收方所在國(guó)家或地區(qū)(“境外接收地”)的個(gè)人信息保護(hù)政策法規(guī)對(duì)履行標(biāo)準(zhǔn)合同的影響��?��!兑?guī)定》要求處理者備案PIA報(bào)告,但并未具體規(guī)定報(bào)告的顆粒度�,這可能成為企業(yè)合規(guī)實(shí)踐的關(guān)注重點(diǎn)之一。
《規(guī)定》的PIA與《評(píng)估辦法》的數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估的評(píng)估項(xiàng)多有相似����,不同之處在于,后者額外強(qiáng)調(diào)評(píng)估數(shù)據(jù)出境對(duì)國(guó)家安全�、公共利益、個(gè)人或組織合法權(quán)益的風(fēng)險(xiǎn)����,或許是安全評(píng)估還涉及重要數(shù)據(jù)���、大量數(shù)據(jù)的特殊性質(zhì)使然。
4.中國(guó)版TIA:評(píng)估境外接收地的個(gè)人信息保護(hù)政策法規(guī)對(duì)履行標(biāo)準(zhǔn)合同的影響
《規(guī)定》要求處理者在PIA中評(píng)估境外接收地的個(gè)人信息保護(hù)政策法規(guī)對(duì)履行標(biāo)準(zhǔn)合同的影響�,并在《標(biāo)準(zhǔn)合同》第4條規(guī)定了評(píng)估的具體內(nèi)容。究其淵源����,歐盟在Schrems II案中對(duì)SCC這一跨境工具進(jìn)行加碼,額外要求對(duì)數(shù)據(jù)接收地的法律及實(shí)踐是否妨礙數(shù)據(jù)接收方履行合同義務(wù)進(jìn)行評(píng)估(“傳輸影響評(píng)估/TIA”)����,TIA亦成為最新版SCC的組成部分。
中國(guó)版TIA已在歐盟的基礎(chǔ)上進(jìn)行了簡(jiǎn)化����,但于企業(yè)而言仍屬于高難度的合規(guī)動(dòng)作,我們結(jié)合基于GDPR的跨境框架開(kāi)展TIA的實(shí)踐經(jīng)驗(yàn)�,提示在我國(guó)《標(biāo)準(zhǔn)合同》下開(kāi)展TIA的核心考慮點(diǎn)如下��。
5.采取合適的技術(shù)���、管理措施����,切實(shí)保障個(gè)人信息安全
標(biāo)準(zhǔn)合同并不限于單純的文本��,其中約定的技術(shù)����、管理措施是降低個(gè)人信息出境安全風(fēng)險(xiǎn)更為直接、有效的方式�,也是合同履行與合規(guī)實(shí)踐中的重難點(diǎn)���。《標(biāo)準(zhǔn)合同》要求由締約方自行列明所采取的技術(shù)���、管理措施��,并提供加密��、匿名化�����、去標(biāo)識(shí)化�����、訪問(wèn)控制作為示例��。歐盟在SCC附錄二���、EDPB關(guān)于補(bǔ)充措施的指南中對(duì)該等措施進(jìn)行了詳細(xì)的提示,在實(shí)踐中可供企業(yè)參考。
安全并非絕對(duì)的概念,《標(biāo)準(zhǔn)合同》也對(duì)技術(shù)�、管理措施進(jìn)行了限定:一方面��,境內(nèi)提供方需盡“合理的”努力確保境外接收方采取安全措施�����,且安全措施系綜合考慮個(gè)人信息出境的具體事實(shí)進(jìn)行個(gè)案選擇�����。另一方面��,境外接收方需采取“有效的”措施���,并定期檢查以維持“適當(dāng)?shù)摹卑踩?��。?shí)踐中���,安全措施的把握尺度必將成為重點(diǎn)課題,也不太可能有標(biāo)準(zhǔn)答案�����。
6.具體規(guī)制個(gè)人信息出境后的二次傳輸���,以書(shū)面協(xié)議保障同等保護(hù)水平
《個(gè)保法》對(duì)處理者“向境外提供”個(gè)人信息進(jìn)行了規(guī)制,而除了個(gè)人信息從我國(guó)境內(nèi)到境外的“一次傳輸”��,《評(píng)估辦法》已注意到了數(shù)據(jù)出境后的“再轉(zhuǎn)移”問(wèn)題�����,《標(biāo)準(zhǔn)合同》則在境外接收方的義務(wù)中規(guī)制個(gè)人信息的“再提供”(即“二次傳輸”)���。
根據(jù)《標(biāo)準(zhǔn)合同》�,境外接收方不得將個(gè)人信息提供給位于中國(guó)境外的第三方����,除非同時(shí)符合以下要求:(1)確有業(yè)務(wù)需要�;(2)已告知個(gè)人�����,并取得單獨(dú)同意(除非法律法規(guī)另有規(guī)定)���;(3)與第三方達(dá)成書(shū)面協(xié)議,確保第三方達(dá)到同等保護(hù)水平�,并承擔(dān)連帶責(zé)任�;(4)向境內(nèi)提供方提供與第三方的協(xié)議副本����。并且���,《標(biāo)準(zhǔn)合同》附錄一要求說(shuō)明該等第三方���。
我國(guó)試圖通過(guò)境外接收方的合同義務(wù),在二次傳輸環(huán)節(jié)延展我國(guó)的個(gè)人信息保護(hù)標(biāo)準(zhǔn)���,但實(shí)踐中可能存在以下難點(diǎn):(1)在簽訂標(biāo)準(zhǔn)合同時(shí)����,境外接收方難以準(zhǔn)確預(yù)估二次傳輸?shù)男枨?�,尤其是第三方的具體身份(歐盟SCC則允許僅向個(gè)人告知第三方的類(lèi)型);(2)《標(biāo)準(zhǔn)合同》并未指明“單獨(dú)”同意的顆粒度;(3)二次傳輸要求簽訂協(xié)議����,但并未指明可否適用《個(gè)保法》第38條的其他條件(歐盟SCC則允許二次傳輸使用GDPR下的多項(xiàng)跨境傳輸工具)。
7.擴(kuò)張審計(jì)的適用,境外接收方有義務(wù)就合同項(xiàng)下的處理活動(dòng)接受審計(jì)
在個(gè)人信息保護(hù)的語(yǔ)境下��,“審計(jì)”是相對(duì)較新的概念��,也是比較強(qiáng)勢(shì)的合規(guī)監(jiān)督措施�?�!秱€(gè)保法》提出了處理者針對(duì)自身處理活動(dòng)的合規(guī)審計(jì)����,國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273-2020)提出了處理者對(duì)于受托方��、第三方接入工具(如SDK)的審計(jì)����。
《標(biāo)準(zhǔn)合同》進(jìn)一步擴(kuò)張了審計(jì)的應(yīng)用場(chǎng)景,可能成為雙方簽約的談判難點(diǎn)��。境外接收方無(wú)論是獨(dú)立的處理者還是委托處理的受托方�����,均有義務(wù)允許并配合境內(nèi)提供方對(duì)本合同涵蓋的處理活動(dòng)進(jìn)行審計(jì),且境內(nèi)提供方有義務(wù)根據(jù)相關(guān)法律法規(guī)要求向我國(guó)監(jiān)管機(jī)構(gòu)提供該等審計(jì)結(jié)果��。對(duì)比歐盟SCC�����,僅受托方有義務(wù)允許該等審計(jì)���,兩個(gè)獨(dú)立的處理者之間并不要求審計(jì)��,除非監(jiān)管機(jī)構(gòu)要求對(duì)境外接收方進(jìn)行審計(jì)��。
此外���,《標(biāo)準(zhǔn)合同》規(guī)定了境外接收方需向境內(nèi)提供方提供審計(jì)報(bào)告的兩種情形:(1)合同解除時(shí),對(duì)個(gè)人信息進(jìn)行銷(xiāo)毀或匿名化處理;(2)作為受托方���,在超出存儲(chǔ)期限后�����,對(duì)個(gè)人信息進(jìn)行刪除或匿名化處理�。在類(lèi)似情形下,歐盟SCC僅要求境外接收方進(jìn)行“證明(certify)”���,而《標(biāo)準(zhǔn)合同》進(jìn)一步要求“提供審計(jì)報(bào)告”��,這也體現(xiàn)了監(jiān)管機(jī)構(gòu)對(duì)于審計(jì)這一形式的認(rèn)可���。
8.個(gè)人有權(quán)要求雙方提供具體的合同副本,進(jìn)一步落實(shí)知情權(quán)
《個(gè)保法》明確了個(gè)人的知情權(quán)����,并要求處理者公開(kāi)個(gè)人信息處理規(guī)則?!稑?biāo)準(zhǔn)合同》則進(jìn)一步提出,境內(nèi)提供方���、境外接收方均有義務(wù)經(jīng)個(gè)人要求而提供標(biāo)準(zhǔn)合同副本����。歐盟SCC也有類(lèi)似要求��,據(jù)觀察實(shí)踐中尚未得到充分落實(shí)�����。
合同副本不限于網(wǎng)信辦制定的格式條款,也包括標(biāo)準(zhǔn)合同中針對(duì)個(gè)案具體的保護(hù)措施及出境情況說(shuō)明�����,這是保障個(gè)人對(duì)其個(gè)人信息處理活動(dòng)的知情權(quán)的應(yīng)有之義�����。同時(shí)�����,《標(biāo)準(zhǔn)合同》也考慮到了企業(yè)保護(hù)商業(yè)秘密或其他機(jī)密信息的需求�����,允許對(duì)合同副本進(jìn)行適當(dāng)遮蔽�,但仍需向個(gè)人提供有效摘要以助其理解合同內(nèi)容�。
企業(yè)在擬定標(biāo)準(zhǔn)合同時(shí)可以就此提前籌劃:一方面,合理設(shè)計(jì)標(biāo)準(zhǔn)合同副本����,平衡個(gè)人知情權(quán)與企業(yè)機(jī)密保護(hù)�����;另一方面��,合理設(shè)計(jì)個(gè)人身份及其個(gè)人信息所涉出境活動(dòng)的確認(rèn)機(jī)制���,有針對(duì)性地提供副本����,避免企業(yè)標(biāo)準(zhǔn)合同的大規(guī)模流通�。
題21-1_畫(huà)板 1 副本.png)
題21-1_畫(huà)板 1.png)
.png "備案圖標(biāo).png"){kind=small}
