本文將分為上下兩篇,上篇重點解讀適用《標準合同辦法》的核心關(guān)注點、下篇預測《標準合同》談判簽署中可能的疑難條款,為企業(yè)使用標準合同實現(xiàn)個人信息出境合規(guī)提供參考。關(guān)于安全評估、認證的解讀,請見往期文章《數(shù)據(jù)流動的分寸:評析〈數(shù)據(jù)出境安全評估辦法〉》和《跨境認證——解讀個人信息出境的第三條路》。
上篇:作為出境機制的標準合同
《標準合同辦法》明確了標準合同作為一種個人信息出境機制的適用門檻、備案要求、條款內(nèi)容、自評估要求等內(nèi)容,為標準合同的落地實施奠定了基礎(chǔ)。
一、適用門檻與安全評估涇渭分明
標準合同與安全評估的適用條件相對立(詳見下表)。企業(yè)如果未達到安全評估的申報門檻,才可以選擇標準合同作為個人信息出境的合規(guī)機制。
此外,《標準合同辦法》中特別強調(diào)企業(yè)不得采取數(shù)量拆分等手段,規(guī)避安全評估的適用。根據(jù)我們的實踐經(jīng)驗,數(shù)量拆分可能包括如下情形:(1)將個人信息拆分至不同的公司實體,從而降低每個實體所處理或出境的個人信息數(shù)量;(2)將個人信息拆分至不同的時間周期,從而降低特定區(qū)間所涉的個人信息數(shù)量。
在實踐中,大型集團公司的組織架構(gòu)與IT架構(gòu)比較復雜,可能存在多個公司實體、多條業(yè)務(wù)線共用信息系統(tǒng)、個人信息的情形。對此,企業(yè)在進行數(shù)據(jù)盤點時需要區(qū)分符合實際情況的“客觀型拆分”、為了繞開安全評估的“規(guī)避型拆分”,可以考慮以下因素:(1)處理目的:企業(yè)是否需要在業(yè)務(wù)中使用個人信息;(2)數(shù)據(jù)控制力:企業(yè)是否分別控制不同的服務(wù)器、信息系統(tǒng)(物理隔離),或者在同一信息系統(tǒng)中具有清晰的權(quán)限區(qū)分(邏輯隔離)。
(1)事實情況變化:向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發(fā)生變化,或者延長個人信息境外保存期限的。
請注意,從《標準合同辦法》字面來看,出境個人信息“規(guī)模/數(shù)量”發(fā)生變化不在此列;但另一方面,如果出境數(shù)量到達10萬人個人信息或1萬人敏感個人信息(自上年1月1日起算),則將適用安全評估。
(2)境外接收地法律變化:境外接收方所在國家或者地區(qū)的個人信息保護政策和法規(guī)發(fā)生變化等,可能影響個人信息權(quán)益的。
請注意,只有政策法規(guī)變化且可能影響個人信息權(quán)益的方在此列。
(3)其他:可能影響個人信息權(quán)益的其他情形。
三、標準合同帶來的便捷與挑戰(zhàn)
針對個人信息出境,關(guān)于安全評估、標準合同、認證的配套法規(guī)均在《個人信息保護法》的基礎(chǔ)上擴展了自評估的內(nèi)容,且自評估的內(nèi)容具有較高重合度(詳見下表),有需要的企業(yè)或可在設(shè)計自評估模板時進行通盤考慮。
、
為開展自評估,企業(yè)需要對以下情況進行盤點與分析:
(1)數(shù)據(jù)出境的基礎(chǔ)事實:包括個人信息的種類、數(shù)量、敏感程度,處理的目的、方式,境外接收方的范圍等;
(2)數(shù)據(jù)出境的合規(guī)性:包括個人信息出境的合法性(如告知個人、滿足合法性基礎(chǔ)等),正當性(如目的正當、手段正當、過程正當),必要性(如數(shù)據(jù)類型、數(shù)量級、保存期限的最小必要);
(3)數(shù)據(jù)出境的風險:包括正常情況下數(shù)據(jù)出境本身對于個人信息權(quán)益的風險,以及發(fā)生數(shù)據(jù)安全事件的風險、對個人權(quán)益的影響及維權(quán)渠道;
(4)境外接收方的情況:包括境外接收方關(guān)于個人信息的管理措施、技術(shù)措施、保護水平(即硬實力),以及境外接收方通過《標準合同》等法律文件承擔的數(shù)據(jù)安全與保護義務(wù)(即約束力);
(5)境外接受地的法治情況:包括境外接收地關(guān)于個人信息保護的立法與監(jiān)管情況,是否會影響境外接收方履行本《標準合同》。詳見“四、2. 傳輸影響評估/TIA”。
(1)針對境外接受地的宏觀評估:TIA應(yīng)當評估境外接受地關(guān)于個人信息保護的立法與標準、國際組織與國際承諾、執(zhí)法及司法機構(gòu)。但從字面上看,并不包含對于法律實踐情況的整體評估。
(2)針對特定數(shù)據(jù)出境活動的個案評估:TIA應(yīng)當結(jié)合本《標準合同》項下數(shù)據(jù)出境活動的事實情況,以及該特定境外接收方的數(shù)據(jù)保護能力、關(guān)于數(shù)據(jù)安全事件、政府數(shù)據(jù)調(diào)取的負面歷史。
京ICP備05019364號-1 
京公網(wǎng)安備110105011258
