《个人信息出境标准合同备案指南(第一版)》解读
作者:吴卫明 李胜男 2023-05-312023年5月30日,国家互联网信息办公室(以下简称“国家网信办”)发布了《个人信息出境标准合同备案指南(第一版)》(以下简称“《备案指南》”)。《备案指南》的发布,对即将在2023年6月1日实施的《个人信息出境标准合同办法》的具体落地提供了实操指引。
本文将在实操角度对《备案指南》中规定的个人信息出境标准合同的适用范围、备案方式、备案流程、备案材料、个人信息保护影响评估报告(模板)等内容进行详细解读。
一、个人信息出境标准合同的适用范围
(一)重申了需同时满足的四个条件
《备案指南》重申了《个人信息出境标准合同办法》中规定的“个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形:(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供个人信息不满10万人的;(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。”如果不能满足上述任一条件,则需要按照2022年9月1日实施的《数据出境安全评估办法》的要求通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
(二)重申法律法规另有规定除外以及禁止采取数量拆分等手段
《备案指南》重申了《个人信息出境标准合同办法》中规定的“法律、行政法规或者国家网信部门另有规定的,从其规定。”该规定系为了解决可能出现的法律冲突问题,对于医疗行业、金融行业等特殊领域或上位法律法规的特殊个人信息出境要求(例如强制本地化存储要求),应予以优先适用。
《备案指南》重申了“不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。”该规定目的是防止企业以“数量拆分”(例如把个人信息拆分到不同的公司,或者把某一业务场景拆分到不同的公司)或者其他手段规避安全评估。
(三)重申个人信息出境行为
《备案指南》再次重申了个人信息出境行为的具体类型,该出境行为的表述与数据出境安全评估申报指南(第一版)(以下简称“《申报指南》”)保持一致,相较于2022年7月7日国家网信办负责人就《数据出境安全评估办法》答记者问的表述,《备案指南》将“访问或者调用”细化为“查询、调取、下载、导出”,并且增加了国家网信办规定的个人信息出境行为。
二、个人信息出境标准合同的备案方式及备案材料
(一)书面材料并附带材料电子版
《备案指南》要求个人信息处理者需通过“送达书面材料并附带材料电子版的方式”向省级网信办备案,该备案方式与《申报指南》要求一致,虽然《备案指南》没有对纸质材料装订及电子版材料的具体形式提出明确要求,但是建议实践中可以参考数据出境安全评估申报的相关要求,并电话或邮件联系网信部门进一步沟通确认(电子邮箱:bzht@cac.gov.cn;联系电话:010-55627565)。
例如:参考上海市互联网信息办公室在2023年2月1日发布的数据出境安全评估申报工作实务问答(二)中的具体要求:
“申报材料纸质件如何进行装帧、打包?答:数据处理者装帧申报材料形式无限制,可采用长尾票夹、回形针、订书针、文件袋等,建议不要采用形式奇特、过于精美繁复的装帧。如申报材料较多,请使用无文字及图案标记的纯色纸箱打包。”
“申报材料电子版的提交要求是什么?答:刻录在光盘中进行提交。若一次提交涉及多个场景,可刻录在一张光盘中,不同场景设置单独的文件夹,每个场景文件夹内需包含《申报指南(第一版)》附件1提到的一整套材料。需要确保PDF版本材料和纸质件一致(带公章、签字等)。此外,建议附上WORD版本材料。”
(二)备案需提交的具体材料
根据《备案指南》的要求,个人信息处理者进行标准合同备案时,应当提交如下表所述材料。并且应提供标准合同、承诺书、授权委托书等文件原件,因此,个人信息处理者在与境外接收方签署标准合同、承诺书等文件时,不仅应按照《备案指南》中提供的模板予以签署,还应该注意材料的原件份数,至少保证一式三份,个人信息处理者两份,境外接收方一份,个人信息处理者内部留存一份、备案提交一份。
三、个人信息出境标准合同的备案流程
(一)备案流程图
根据《备案指南》的规定,个人信息出境标准合同的备案流程具体如下:
(二)补充或者重新备案
在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:
1.向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
2.境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
3.可能影响个人信息权益的其他情形。
个人信息处理者在标准合同有效期内补充订立标准合同的,应当向所在地省级网信办提交补充材料;重新订立标准合同的,应当重新备案。补充或者重新备案的材料查验时间为15个工作日。
四、个人信息出境标准合同的备案结果及法律责任
备案结果分为通过、不通过。通过备案的,省级网信办向个人信息处理者发放备案编号;不通过备案的,个人信息处理者将收到备案未成功通知及原因或者要求补充完善材料的通知。
个人信息处理者对所提交材料的真实性负责,提交虚假材料的,按照备案不通过处理,并依法追究相应法律责任。根据《个人信息出境标准合同办法》第十一条、第十二条[1]的规定,网信部门既可能对个人信息处理者进行约谈,也有可能依据《个人信息保护法》追究相应的法律责任,例如:责令改正、给予警告、没收违法所得、责令暂停相关业务、停业整顿、并处五千万元以下或者上一年度营业额百分之五以下罚款、吊销相关业务许可、吊销营业执照等,构成犯罪的,承担刑事责任。
五、个人信息保护影响评估模板
《备案指南》附件5个人信息保护影响评估报告(模板)系在《申报指南》附件4数据出境风险自评估报告(模板)基础上进行的微调,两者存在的区别主要有以下几点:
第一,标准合同备案中的个人信息保护影响评估集中关注对个人信息权益带来的风险,而数据出境风险自评估还会关注对国家安全、公共利益、组织合法权益的风险,需考虑的风险范围更广。第二,标准合同中的个人信息保护影响评估仅涉及个人信息的合规要求,但是数据出境风险自评估报告除了涉及个人信息还涉及重要数据、核心数据的相关合规要求。第三,由于标准合同已由网信办给出适用模板,因此个人信息保护影响评估主要关注对合同履行的影响,而安全评估路径下,无强制适用的标准法律文件,因此需额外评估双方拟订立的法律文件内容是否符合监管标准。
注释
[1] 《个人信息出境标准合同办法》第十一条 省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改,消除隐患。
第十二条违反本办法规定的,依据《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。