1.引言

我国《个人信息保护法》第38条规定了“通过国家网信部门组织的安全评估”、“个人信息保护认证”、“按照国家网信部门制定的标准合同与境外接收方订立合同”三种个人信息跨境合规机制。自其颁布以来,业界翘首以盼落实个人信息跨境合规机制的执行细则。继《数据出境安全评估办法(征求意见稿)》(以下简称“《安全评估办法》”)和《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(以下简称“《认证规范》”)发布后,2022年6月30日,国家互联网信息办公室发布了《个人信息出境标准合同规定(征求意见稿)》(以下简称“《合同规定》”)以及《个人信息出境标准合同》(模板)(以下简称“《合同模板》”),明确了标准合同的适用细则。至此,《个人信息保护法》第38条规定的三种数据跨境传输机制都有了可行的落地方案。

2.适用范围与效力

2.1.与安全评估和认证的适用关系

数据出境安全评估、认证与标准合同虽然是平行的三种数据跨境传输机制,但其侧重点和适用范围有所不同。其中,数据出境安全评估在保护个人信息权益的同时,还旨在“维护国家安全和社会公共利益”,因而其适用具有强制性,即凡是达到《安全评估办法》规定门槛的,必须在数据出境前进行安全评估。

《数据出境安全评估办法(征求意见稿)》第4条

数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;

(二)出境数据中包含重要数据;

(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;

(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;

(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。

认证机制和标准合同则侧重个人信息保护,旨在保护个人信息权益,促进个人信息跨境安全、自由流动。《认证规范》明确指出:“需要通过国家网信部门组织的安全评估的个人信息跨境处理活动,应当向国家网信部门申报安全评估”。《合同规定》则指出,同时符合“非关键信息基础设施运营者、处理个人信息不满100万人的、自上年1月1日起累计向境外提供未达到10万人个人信息的、自上年1月1日起累计向境外提供未达到1万人敏感个人信息的”个人信息处理者,可以通过签订标准合同的方式向境外提供个人信息。

综上,安全评估、认证和标准合同这三种数据跨境传输合规机制的适用关系如下图所示:

此外,由于标准合同的适用情形必须满足“自上年1月1日起累计向境外提供未达到10万人个人信息的”且“自上年1月1日起累计向境外提供未达到1万人敏感个人信息的”,我们理解,大规模处理个人信息/对外提供个人信息的个人信息处理者(特别是大型互联网企业等)可能无法选择标准合同作为合规机制

2.2.与《认证规范》和《安全评估办法》中规定的合同的适用关系

《安全评估办法》与《认证规范》也分别有关于合同的规定,且合同内容与标准合同条款存在不少重合。但应当注意的是,标准合同是由国家网信部门制定的一种独立的数据跨境传输机制,其模板内容具有一定强制性,而安全评估下的合同是为了约定境外接收方的数据安全保护责任义务,认证下的标准合同则是为了在个人信息跨境处理活动的相关方之间建立“约束力和执行力”。

《安全评估办法》

数据处理者与境外接收方拟订立的合同或者其他具有法律效力的文件

数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务,应当包括但不限于以下内容……(第9条)

《认证规范》

参与个人信息跨境处理活动的相关方之间应当签订具有法律约束力和执行力的文件

参与个人信息跨境处理活动的相关方之间应当签订具有法律约束力和执行力的文件,确保个人信息主体权益得到充分的保障……(第4.1条)

2.3.与双方签订的其他合同的适用关系

根据《合同规定》第2条第2款,个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。因此,个人信息处理者在签署其他合同时,须检查其他合同各项条款是否与标准合同相冲突、是否符合《合同规定》相关规定。

3.合同相对方

《合同模板》规定的合同双方为“个人信息处理者”与“境外接收方”。根据《个人信息保护法》第73条,“个人信息处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人,与GDPR中的“数据控制者”概念相似。根据《合同模板》第1条第5项,“境外接收方”是指位于中华人民共和国境外并自个人信息处理者处接收个人信息的组织或个人。文本中此处没有使用“境外处理者”的措辞,而是与《出境安全评估》和《认证规范》保持一致,使用了“数据接收方”。我们理解,这里的数据接收方应当既包括可以自主决定处理目的、处理方式的组织、个人(即“个人信息处理者),也包括受个人信息处理者委托处理个人信息的受托人。因此,签订标准合同的双方可能有“处理者—受托人”和“处理者—处理者”两种情形,也就是说,境内受委托人处理个人信息的受托人不能作为标准合同的相对方,转委托境外主体处理个人信息。

境内

境外

个人信息处理者

受托人

个人信息处理者

个人信息处理者

还应当注意,在“一国两制”框架下,香港特区和澳门特区分别属于独立的司法辖区,制定有各自的个人信息(资料)保护法律,位于港澳的个人信息处理者或者受托人也属于“境外接收方”。

4.适用前准备:个人信息保护影响评估

企业在选定标准合同作为个人信息跨境传输合规机制的情况下,需要首先进行个人信息保护影响评估,该规定是对《个人信息保护法》第55条个人信息保护影响评估的落实。个人信息保护影响评估(“PIA”)是指针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。在跨境传输场景中,PIA在国际实践中已经是规定动作。如欧盟在Schrems II案后最新发布的标准合同模板SCC将传输影响评估(Transfer Impact Assessment,TIA)作为组成条款,英国在脱欧后就个人数据从英国向第三国的跨境转移进行的公开咨询中,也将数据转移的风险评估(Transfer Risk Assessment,TRA)作为组成部分。

根据《合同规定》第5条,使用标准合同前进行的PIA应当重点评估的内容如下表左侧所示。与数据出境安全评估相比,除了较少关注对国家安全、公共利益的风险之外,标准合同前进行的PIA还应当特别评估“境外接收方所在国家或者地区的个人信息保护法规政策对标准合同履行的影响”。对此,《合同模板》第4条还为境外接收方设置了提供信息等义务。

《合同规定》第5条

《安全评估办法》第5条

1.个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;

1.数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;

2.出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险;

2. 出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;

3.境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全;

3. 数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;

4.个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;

4. 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;

5.境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响;

5. 数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;

6. 其他可能影响个人信息出境安全的事项。

6.与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。

关于适用标准合同的PIA具体指引,虽然我国信安标委已发布有《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020),但目前尚且未出台关于个人信息跨境传输场景中的具体评估指南。我们理解,企业可同时参照国外较为成熟的数据跨境传输风险评估制度,丰富具体的评估项。

5.合同内容要点

《合同规定》第6条规定了标准合同应当包括的六项主要内容,可分为以下几类:(1)个人信息出境的基本情况,包括个人信息处理者和境外接收方的基本信息,个人出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等;(2)个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等;(3)境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响;(4)个人信息主体的权利以及保障个人信息主体权利的途径和方式;以及(5)民事合同的常规条款,如救济、合同解除、违约责任、争议解决等。其中,值得重点关注的有以下几点:

其一,标准合同设定了境内个人信息处理者配合监管和境外接收方接受监管的义务。其中,境内个人信息处理者是配合监管机构询问的首要主体,除了要答复监管机构对其自身进行的询问外,在境外接收方超期未答复的情况下,个人信息处理者还需要根据其合理掌握的信息在合理期限内做出答复。此外,个人信息处理者还需要向监管机构提供审计结果,这意味着若选取标准合同作为跨境传输机制,审计可能成为境内个人信息处理者的必备合规动作。

其二,技术和管理措施或成为类似于欧盟SCC“补充措施”的必选项。《合同模板》第二条和第三条规定,境外接收方要采取有效的技术和管理措施,以确保个人信息的安全,包括防止个人信息遭到意外或非法破坏、丢失、篡改、未经授权提供或访问;个人信息处理者还应“尽合理的努力确保”境外接收方“采取技术和管理措施”。至于何为“有效的技术和管理措施”,目前国内尚未规范性文件指引。欧盟数据保护机构EDPB在Schrems II判决后于2021年6月发布的《关于数据跨境传输补充措施的最终建议》或许可以作为目前的参考。

其三,PIA中关于“境外接收方所在国家或者地区的个人信息保护法规政策对标准合同履行的影响”将延伸至标准合同的签订实施过程中。关于该项的影响,合同双方除了审查境外接收方所在国家或者地区的个人信息保护政策法规外,还需要审查境外接收方接收跨境传输数据的记录情况和境外接收方的安全管理制度和技术手段保障能力,方可保证“经过合理努力仍不知晓境外接收方所在国家或者地区的个人信息保护政策法规(包括任何提供个人信息的要求或授权公共机关访问个人信息的规定),会阻止境外接收方履行本合同规定的义务”;而且,当境外接收方所在国家或地区的个人信息保护政策法规发生变化,导致境外接收方无法履行本合同的,应该在知道政策法规发生变化后立即通知个人信息处理者。

其四,合同双方需将个人信息主体约定为第三方受益人,并为个人信息主体行使权利提供便利。如《合同模板》第6条第1项规定,境外接收方应在组织内部确定一个联系人,答复有关个人信息处理的询问或投诉。个人信息主体既可以向个人信息处理者主张权利,也可以向境外接收方主张权利。我们理解,境内个人信息处理者可能需要在隐私政策或者其他向个人信息主体公布的文件中公开境外数据接收方数据保护官或其他数据保护负责人的姓名、联系方式等信息。

6.备案与生效

根据《合同规定》第7条,个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门提交标准合同与个人信息保护影响评估报告备案;而且,标准合同生效后个人信息处理者即可开展个人信息出境活动。从文义上理解,《合同规定》并未提到合同双方是否可以就现有模板进行修订补充以及生效的前提,省级网信部门的备案仅是进行形式审查,不会对合同生效产生影响,即合同应当自签订后就生效。

值得注意的是,欧盟SCC允许合同双方自由地将SCC纳入更广泛的合同,并增加其他条款或者额外保障措施。但经合同双方修订后的合同需要通过各欧盟成员国的数据保护机构批准方可生效。实践中,微软、谷歌等均将SCC纳入了其数据传输协议,作为更广泛的协议的一部分。

微软

谷歌

此外,根据《合同规定》第8条,在标准合同有效期内出现以下情况的,个人信息处理者应当重新签订标准合同并备案:(1)向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;(2)境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的;(3)可能影响个人信息权益的其他情况。我们理解,境内个人信息处理者在履行本条规定的义务时,可能面临着难以发现境外接收方对出境后的个人信息处理用途和方式变化的困难,需要个人信息处理者与境外接收方就及时告知事项达成一致并建立定期或不定期沟通机制。

7.法律责任

个人信息处理者和境外接收方违反合同约定,可能面临对个人信息主体的损害赔偿责任和对合同向对方的违约责任两种民事责任。其中,境内个人信息处理者的责任更重。《合同模板》规定,虽然境外接收方因违反本合同导致个人信息主体遭受损害,个人信息主体可以直接向境外接收方主张责任,但无论是个人信息处理者、境外接收方因违反本合同单独导致还是共同导致个人信息主体遭受损害,个人信息主体均有权向个人信息处理者主张损害赔偿责任。个人信息处理者有权向境外接收方追偿。就违约责任而言,个人信息处理者与境外接收方应就其因违反本合同而给对方造成的任何损害向另一方承担民事违约责任。

个人信息处理者违反合同约定和规定,还可能需要承担相应的行政责任和刑事责任。根据《合同规定》第12条,个人信息处理者出现(1)未履行备案程序或者提交虚假材料进行备案的;(2)未履行标准合同约定的责任义务,侵害个人信息权益造成损害的;以及(3)影响个人信息权益的其他情形的,由省级以上网信部门依照《中华人民共和国个人信息保护法》的规定,责令限期改正;拒不改正或者损害个人信息权益的,责令停止个人信息出境活动,依法予以处罚。以上三种情形中,若构成犯罪的,还将面临刑事责任,可能触犯的罪名包括但不限于侵犯公民个人信息罪、非法采集人类遗传资源、走私人类遗传资源材料罪等。

8.结语

标准合同作为数据跨境流动合规机制之一在国际领域有诸多实践。近年来,东盟、欧盟、英国和我国香港特区等都颁布了各自版本的标准合同。由于简单便利、成本低廉,标准合同更是成为我国企业出海最为青睐的选择。《合同规定》和《合同模板》的出台,为企业(特别是中小企业)的数据跨境传输活动提供了更加明确的指引,完善了我国数据跨境传输规制框架。《合同规定》和《合同模板》与国际上标准合同内容的相应衔接也为我国数据跨境传输机制的互操作性提供了可行空间。《合同规定》和《合同模板》将于2022年7月29日征求意见结束,我们期待之后更为完备和充实的正式标准合同规定和模板。

参考文献

1. 《个人信息出境标准合同规定(征求意见稿)》。

2. 《国家互联网信息办公室关于<个人信息出境标准合同规定(征求意见稿)>公开征求意见的通知》,http://www.cac.gov.cn/2022-06/30/c_1658205969531631.htm。

3. 《数据出境安全评估办法(征求意见稿)》。

4. 《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》。

5. 《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020)。

6. European Union: Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council (Text with EEA relevance), https://op.europa.eu/en/publication-detail/-/publication/55862dbf-c72b-11eb-a925-01aa75ed71a1.

7. Google Cloud: 《欧盟标准合同条款》,https://cloud.google.com/security/compliance/eu-scc

8. ICO: ICO consults on how organisations can continue to protect people’s personal data when it’s transferred outside of the UK, https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2021/08/ico-consults-on-data-transferred-outside-of-the-uk/.

9. Microsoft: European Union Model Clauses, https://docs.microsoft.com/en-us/compliance/regulatory/offering-eu-model-clauses.

10. European Data Protection Board: Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en.

声明:本文来自数据信任与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。