《个人信息出境标准合同办法》二十大症结问题解读
作者:张丹 夏星悦 2023-03-072023年2月22日,《个人信息出境标准合同办法》发布,该办法将于2023年6月1日起正式实施,有关《个人信息出境标准合同办法》的解读文章在网络上已比比皆是,本文仅就执业过程中遇到的企业容易产生困惑的二十个问题进行解读,以飨读者。
问题1 企业如何选择数据出境路径,哪种路径是更优解?
从下表可以看出,不同路径的适用对象和场景有所不同,处理重要数据和个人信息达量的企业仅能选择安全评估路径,就此已有大量文章分析解读,这里不赘述;由于企业对于认证路径的难度、时间均无法把握,目前仅有少量企业开始尝试,该路径通常被认为适用于集团企业内个人信息频繁跨境流动的场景,优点是企业尚无需按照标准合同条款签署具有约束力的法律文件;标准合同路径应适用于大多数个人信息处理数量较少的企业,其优点显而易见,只需要企业自行进行个人信息保护影响评估并签署标准合同,无需外部机构的介入,亦不需要前置性的审批或认证,操作较为灵活,缺点是标准合同对境外接收方约定了较为严苛的条款,且不允许企业自行调整。企业可依据自身的实际情况选择更优的数据出境路径。
问题2重要数据出境签署的法律文件是否需要遵循《个人信息出境标准合同》? 《个人信息出境标准合同办法》的适用对象是个人信息而非重要数据,尚没有出台针对重要数据出境的标准合同,《数据出境安全评估办法》第九条规定了数据处理者在与境外接收方订立的法律文件中应当约定的数据安全保护责任义务。 我们认为,个人信息由于涉及个人信息主体权益,相对重要数据体现了更多的合规细节,从与个人信息保护相关的规定远多于重要数据相关规定的数量可以窥见一斑,因而有必要通过标准合同的形式对个人信息出境活动进行相应的约束,这也是借鉴了欧盟SCCs的做法;且由于所有重要数据的出境均经过监管部门的事前评估,特定领域还需要其他主管部门的审批,因而重要数据的出境活动本身已被严监管,不存在企业通过协议的方式将重要数据自由出境的情形。但我们认为重要数据出境所签署的法律文件亦可参考借鉴标准合同。
问题3境外接收方是否可以是受托人?
从《个人信息出境标准合同》第三条第(二)款规定可知,境外接收方包含了受个人信息处理者委托处理个人信息的受托人,其应按照与个人信息处理者的约定处理个人信息,不得超出与个人信息处理者约定的处理目的、处理方式等处理个人信息。 实践中,个人信息处理者委托境外接收方处理个人信息,如云服务商等,也应签署标准合同,但受托人往往不愿承担标准合同中的多重义务;此外,还存在个人信息处理者与境外接收方在境内的代理机构签署服务合同的情形,该种场景下,由于个人信息处理者与境外接收方没有直接的合同关系,较难与境外接收方沟通协调,如此恐怕需要企业做出必要的商业调整。
问题4如何理解《个人信息出境标准合同办法》第四条中的“数量拆分”?
《个人信息出境标准合同办法》第四条规定,个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。 在申请数据出境安全评估的过程中,部分企业将本应合并计算的个人信息出境数量通过在下属子公司以及关联公司之间的刻意分配来达到无需申报出境安全评估的目的。我们认为,虽有如此禁止性规定,但企业如系正常的系统拆分、业务划分、生产条线转移等商业措施引起的“数量拆分”,不应被认为不合理的手段;此处的“数量拆分”应指企业将与其他公司无关的个人信息处理活动嫁接到其他公司名下等不合理手段使得企业本应统计的个人信息可以减量。
问题5 如何理解《个人信息出境标准合同办法》第六条中的“不得与标准合同相冲突”?
《个人信息出境标准合同办法》第六条规定,标准合同应当严格按照本办法附件订立。国家网信部门可以根据实际情况对附件进行调整;个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。 我们认为,个人信息处理者与境外接收方拟定的其他条款不能与标准合同相冲突,意味着《个人信息出境标准合同》中规定的个人信息处理者和境外接收方的义务不能减少或豁免,尤其是境外接收方的相关安全保障义务,双方可能仅能就具体规则的实施方式进行细化或就法定以外的其他责任在双方之间进行分配而进一步在附录中约定,也就是说只能做加法不能做减法。
问题6 标准合同生效后备案前,企业是否可以开展个人信息出境活动?
根据《个人信息出境标准合同办法》第六条,标准合同生效后企业就可以开展个人信息出境活动,标准合同的备案并不是企业开展个人信息出境活动的前置条件。但企业仍需按照规定在标准合同生效后10个工作日内向所在地省级网信部门备案。
问题7 数据出境的数量发生变化,是否需要补充或重新订立标准合同?
根据《个人信息出境标准合同办法》第八条,向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同。 征求意见稿中曾包含“数量”,但是在正式稿中删除了,我们理解,在个人信息出境活动中,数量很难保持一个固定的数值,比如员工、用户个人信息的处理,数量始终在不断变化当中,如果数量发生变化就需要补充或重新订立标准合同,会导致企业频繁重新备案,此外,选择标准合同路径的企业本身就是由于未达量无需申报安全评估的企业,无论数量如何变化,始终低于申报安全评估的阈值,一定程度上可以理解为安全风险在可控范围内。
问题8 企业未签署标准合同及备案的法律后果?
对于选择标准合同路径进行个人信息出境的企业,应严格按照《个人信息出境标准合同》范本的格式填写相应内容并签署合同,请勿自行调整或删除《个人信息出境标准合同》范本正文及附录一中已设定内容项,避免发生后续因企业订立的个人信息出境合同不符合前述范本的格式及内容填写要求而在网信部门进行出境备案材料审查时作出不予受理决定的情形。但是对于与《个人信息出境标准合同》范本不相冲突的其他条款,企业可以自主添加进标准合同中。 如企业虽签订有标准合同,但未按照《个人信息出境标准合同办法》的规定在标准合同生效之日起10个工作日内向所在地省级网信部门进行备案,或是在发生《个人信息出境标准合同办法》第八条规定的需要补充或重新签订标准合同并履行相应备案手续的,《个人信息出境标准合同办法》也设定了两种监管机制,一种是其他组织或个人的举报路径;另一种是网信部门对于个人信息出境活动存在较大风险时的主动介入,约谈境内个人信息处理者并要求其整改。
问题9 是否可能出现因出境个人信息不满足最小必要原则而无法出境/备案的情况?备案是否可能具有实质性审查功能?
“最小必要”原则作为《个人信息保护法》项下处理个人信息的一般原则,无论企业通过《个人信息保护法》第三十八条规定中哪条路径选择个人信息出境,均应事先评估其个人信息出境行为是否满足前述“最小必要”原则,对于不满足“最小必要”原则的个人信息出境场景/类型,建议将个人信息进行境内存储并寻求替代性方案,而非直接进行个人信息的出境。 关于标准合同的备案,由于行政备案原则上实行事后备案,行政机关根据公民、法人或者其他组织依法报送或者申请的相关材料,经审核予以存档备查。因此对于企业递交备案的申请材料,更多依赖于企业自身对于材料内容真实性、准确性的把握,并且《个人信息出境标准合同办法》亦规定有企业违反该办法的监管机制及相应的法律责任,故企业应重视对于标准合同及相关备案申请材料的准备,确保其真实、准确、完备。
问题10 网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,企业是否必须终止数据出境活动?
正式稿中的一大亮点是增加了“约谈整改”机制,给予企业消除隐患的机会。《个人信息出境标准合同办法》第十一条规定,省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改,消除隐患。 我们认为,这与《网信部门行政执法程序规定(征)》的规定相呼应,其中第三十七条及三十三条规定,网信部门对当事人作出行政处罚决定前,可以根据有关规定对其实施约谈,谈话结束后制作执法约谈笔录。违法行为情节轻微并及时改正,没有造成危害后果,不予行政处罚;当事人有证据足以证明没有主观过错的,不予行政处罚。 相较征求意见稿,“约谈整改”机制更加适配出境活动中不可控的安全风险,如企业能够及时整改,消除隐患,仍旧可以继续数据出境活动。
问题11 如何理解《个人信息出境标准合同》第二条第(一)款中的“最小范围”?
《个人信息出境标准合同》第二条第(一)款规定,按照相关法律法规规定处理个人信息,向境外提供的个人信息仅限于实现处理目的所需的最小范围。 《个人信息保护法》第六条规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的之间相关,采取对个人权益影响最小的方式。收集个人信息,应当限于处理目的的最小范围,不得过度收集个人信息。 由此推断,此处的“最小范围”应包含两层含义,一是个人信息处理者向境外接收方提供个人信息应当具有明确、合理的目的,二是个人信息处理者向境外接收方提供的个人信息应当是实现该目的所需的必要信息,非必要信息不应跨境传输。
问题12 基于同意以外的其他合法性基础向境外提供个人信息是否需要取得单独同意?
《个人信息出境标准合同》第二条第(三)款规定,基于个人同意向境外提供个人信息的,应当取得个人信息主体的单独同意。单独同意的前提是基于同意作为合法性基础,如果是基于其他合法性基础,可以不取得个人信息主体的单独同意。根据《个人信息保护法》第十三条,企业还可以依据履行合同所必需等其他合法性基础向境外提供个人信息而无须取得个人信息主体的同意,如基于履行合同所必需向跨境电商提供收件人信息。
问题13 何为第三方受益人?
《个人信息出境标准合同》的正式版本保留了此前征求意见稿中关于合同第三方受益人的机制。如我们此前写作的文章《数据出境安全评估实务问题56问》中所提到,从《个人信息出境标准合同》的内容来看,标准合同的第三方受益人即是指在涉数据跨境的个人信息处理活动中,个人信息处理者和境外接收方签订具有法律约束力文件中被个人信息处理者处理个人信息的个人信息主体,个人信息主体依据相关法律法规,拥有知情权、决定权、有权限制或者拒绝他人对其个人信息进行处理,有权要求查阅、复制、更正、补充、删除其个人信息,以及要求对其个人信息处理规则进行解释说明的权利等。如果个人信息主体未在三十天内明确拒绝该等身份,则可以依据标准合同的约定享有第三方受益人的权利。
问题14 如何落实《个人信息出境标准合同》第二条第(四)款向个人信息主体告知合同第三方受益人事宜的义务?
数据出境安全评估工作中,一般会经过内部评估后,并就个人信息保护政策/个人信息保护通知等文件予以完善后并再履行向个人信息主体告知并获得其单独同意(基于其他合法性基础而无需征得同意的除外)的义务。实践中,企业可能会进行出境的个人信息一般包含内部员工的个人信息,以及外部人士的个人信息。企业可分别针对这两类个人信息主体选择相适合的告知方式。 如未来标准合同签署生效,针对(1)个人信息主体为外部人士的:企业可在考虑个人信息保护政策中,增加第三方受益人告知条款,将这部分条款连同个人信息跨境传输条款作弹窗提示,同时赋予个人信息主体拒绝的相关按钮或者机制;(2)个人信息主体为企业内部员工的:企业可考虑在《员工个人信息保护告知同意书》或其他员工数据合规文件中增加第三方受益人告知条款,设计勾选框请员工予以确认是否接受或拒绝成为标准合同第三方受益人,以确保这两类个人信息主体均可以向个人信息处理者提出拒绝成为标准合同第三方受益人的请求。
问题15 什么叫“保密商务信息”?
《个人信息出境标准合同办法》及其附件的《个人信息出境标准合同》范本均有提及“保密商务信息”,并与“商业秘密”一词并列出现。根据前述规定,网信部门及其人员在履职过程中知悉的保密商务信息应依法予以保密;且如涉及保密商务信息,在不影响个人信息主体理解的前提下,个人信息处理者在应个人信息主体要求向其提交标准合同副本之前,可对该合同副本相关内容进行适当处理。此外,“保密商务信息”一词还出现在《数据安全法》、《行政许可法》、《数据出境安全评估办法》等法律法规规定中,但这些规定均未明确该词语的法律含义。 参照中美双方在2020年1月16日签订的《中华人民共和国政府和美利坚合众国政府经济贸易协议》中关于“保密商务信息”的含义,“保密商务信息”是指“涉及或与如下情况相关的信息:任何自然人或法人的商业秘密、流程、经营、作品风格或设备,或生产、商业交易,或物流、客户信息、库存,或收入、利润、损失或费用的金额或来源,或其他具备商业价值的信息,且披露上述信息可能对持有该信息的自然人或法人的竞争地位造成极大损害”。
问题16境外接收方对个人信息的处理期满后,是否可以匿名化处理个人信息?
《个人信息出境标准合同》的正式版本取消了原先征求意见稿中关于“境外接收方对个人信息处理期满后,可以采用匿名化处理的方式”的规定,而仅保留“对个人信息(包括所有备份)进行删除或予以返还(后者仅适用于受托处理个人信息的情形)”这两种方式,并进一步规定,如删除个人信息从技术上难以实现的,应当停止除删除和采取必要的安全保障措施之外的处理。 我们理解,删除“匿名化”可能有两层原因,一是是否达到“匿名化”的标准无法界定,需要评估确认无法再次识别到自然人,尤其在不同的法域下,对匿名化的理解会有差异性;二是作为境外接收方,在处理目的实现或存储期满后,没有必要继续保留任何数据,包括匿名化后的数据。
问题17 境外接收方将个人信息再传输至境外第三方是否必须签署标准合同?
《个人信息出境标准合同办法》及其附件《个人信息出境标准合同》并未强制要求在本题题述情形发生时必须签署标准合同,但应保证境外接收方与该境外第三方签订有书面协议,确保该第三方的个人信息处理活动达到中华人民共和国相关法律法规的个人信息保护标准,并承担因向该境外第三方提供个人信息而侵害个人信息主体享有权利的法律责任。此外,《个人信息出境标准合同》中亦规定,对于境外接收方与该境外第三方达成的书面协议,在个人信息主体请求时,境外接收方应向个人信息主体提供该书面协议的副本。
问题18 签署标准合同前需要做哪些准备工作?
企业在签署标准合同前应结合企业自身情况,做好以下各项准备工作: 梳理数据出境场景,并判断是否适合选择标准合同路径进行个人信息出境; 开展个人信息保护影响评估,并留存评估报告和处理情况记录; 与境外接收方沟通标准合同的文本内容、各方权利义务的约定等; 评估是否需要完善企业的个人信息保护政策/个人信息保护通知等文件; 履行向个人信息主体告知并获得其单独同意的义务(有其他合法性基础而无需获得个人信息主体“同意”的除外); 其他:完善关于企业数据合规(特别是数据及个人信息出境相关的)内部管理制度和操作流程,以及制定和评估关于个人信息安全事件的应急预案。
问题19 已签订有出境合同版本的企业应如何应对《个人信息出境标准合同办法》带来的影响?
与《数据出境安全评估办法》相同,《个人信息出境标准合同办法》也将办法生效后设定了六个月的窗口期供企业整改。对于已与境外接收方签订有出境合同版本的企业而言,企业可根据业务合作情况、个人信息出境传输需求及出境合同的签署情况作出相应举措与调整: (1)对于业务合作及现有出境合同均将在六个月整改窗口期满前到期的,企业可继续使用现有出境合同,或企业可自行选择是否改签标准合同已替代现有出境合同; (2)若现有出境合同将在六个月整改窗口期满前到期的,但企业经评估仍打算保持与该境外接收方的业务合作或继续有个人信息出境需求的,则企业应利用前述整改窗口期着手开展签订标准合同的准备工作,具体准备工作的开展可参考本文问题18的解答,并在标准合同签署生效后及时完成相应的备案手续; (3)若业务合作及现有出境合同在六个月整改窗口期满时仍未到期的,则企业亦应利用前述整改窗口期进行签订标准合同的准备及签署工作,并在标准合同签署生效后及时完成相应的备案手续。
问题20:有何内容建议添加进《个人信息出境标准合同》的附录二?
《个人信息出境标准合同》的附录二的设定目的是为了将企业与境外接收方约定的且不与标准合同正文冲突的其他条款约定在此处。除企业根据自身业务合作情况与投资关系可将相关商务条款(如需)填写在附录二之外,企业亦可考虑在附录二中安排定制化的法律条款内容,包括但不限于如下: 明确写明企业与境外接收方在个人信息处理活动中的角色关系,是委托/被委托关系、共同个人信息处理者、亦或是双方均是独立的个人信息处理者; 境外接收方应积极协助、配合个人信息处理者完成初次个人信息传输前及后续个人信息处理活动发生变化时的个人信息保护影响评估工作,并应个人信息处理者的要求提供必要的、合法的、真实有效的文件以供其开展前述个人信息保护影响评估工作; 境外接收方接收个人信息处理者分享的个人信息,以及境外接收方后续进行的数据处理活动,均不会违反所有适用的司法管辖区法律; 境外接收方的个人信息权益保护工作、机制、配套系统开展及运营、配合审计等部分的费用应由境外接收方自行承担; 境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施; 在负面舆情事件发生时的及时通知义务、应对机制及责任承担; 如涉及境外接收方向境外第三方提供个人信息的情形时,应确保境外接收方与该境外第三方进行个人信息传输前应征得境内个人信息处理者的书面同意,且境外接收方与境外第三方签订的书面协议中的个人信息处理活动的内容、范围不超过境外接收方披露给境内个人信息处理者的内容等,且确保第三方的个人信息处理活动达到不低于标准合同条款中约定的个人信息保护标准; 关于违约责任部分“损失”范围的界定,损失是否包含个人信息主体的索赔款项、暂停或终止运营所致成本支出、行政处罚罚款、合理的维权成本(律师费、鉴定费、公证费等)等各类直接和间接损失等; 约定个人信息处理者与境外接收方在不同场景下的内部责任分摊的方式与比例。