《个人信息出境标准合同办法》解读
作者:吴卫明 李胜男 2023-02-272023年2月24日,国家互联网信息办公室(以下简称“国家网信办”)发布了《个人信息出境标准合同办法》(以下简称“《标准合同办法》”)及其附件《个人信息出境标准合同》(以下简称“《标准合同》”)。《标准合同办法》是落实《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)关于个人信息出境规则中标准合同制度的举措,与《数据出境安全评估办法》《个人信息保护认证实施规则》共同组成了我国个人信息出境的完整监管体系。
为帮助个人信息出境企业迅速了解《标准合同办法》的合规要点及《标准合同》签署的实践操作,本文将从个人信息出境的路径现状、《标准合同》的适用范围、《标准合同》备案与合同效力、开展个人信息保护影响评估的要求、法律责任、整改期限、《标准合同》的主要内容等维度进行解读。
一、个人信息出境的路径现状
根据《个人信息保护法》第三十八条的规定,个人信息处理者向境外提供个人信息的,应当采取以下三种路径之一,目前三种路径的实践情况具体如下:
二、《标准合同》适用范围的法律及实践要点
(一)需同时满足的四个条件 根据《标准合同办法》第四条的规定,向境外提供个人信息的主体,需要同时满足“非关键信息基础设施运营者;处理个人信息不满100万人;自上年1月1日起累计向境外提供个人信息不满10万人;自上年1月1日起累计向境外提供敏感个人信息不满1万人。”四个条件,才能采取订立《标准合同》的方式进行个人信息出境活动。如果不能满足上述任一条件,则需要按照2022年9月1 日实施的《数据出境安全评估办法》的要求通过所在地省级网信部门向国家网信部门申报数据出境安全评估。 1. 非关键信息基础设施运营者的认定 在实践中,企业可能遇到的常见难题之一就是如何判断自己属于“非关键信息基础设施运营者”。根据《关键信息基础设施安全保护条例》第十条的规定:“保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。”保护工作部门会在认定该企业为关键信息基础设施运营者时,向企业发出通知,如果企业尚未被保护工作部门认定为关键信息基础设施运营者,也尚未接到保护工作部门认定其为关键信息基础设施运营者的通知,则可判断企业不属于关键信息基础设施运营者。 2. 处理个人信息不满100万人 对于企业来说,如何正确理解“处理个人信息不满100万人”这一条件十分重要。根据我们对立法本意的解读以及实践的总结,我们认为正确理解该条件应重点关注以下几点:(1)100万的衡量指标是100万名个人信息主体,而不是100万条个人信息;(2)100万的计算范围是处理的个人信息数量而不是出境的个人信息数量;(3)如果企业处理超过100万人个人信息,那么即使仅出境一条个人信息,也需要申报数据出境安全评估。 3.自上年1月1日起累计向境外提供个人信息不满10万人、提供敏感个人信息不满1万人的认定 从文义解释的角度来看,该条件可以理解为“自上一年度(2022年)1月1日起到2023年2月27日(假设2023年2月27日为企业评估判断之日),企业向境外提供个人信息不满10万人、提供敏感个人信息不满1万人的”即满足该条件,可以通过签订《标准合同》的方式开展个人信息出境活动。但是从公司的业务持续和稳定发展来看,为了避免企业出现因未满足监管要求而被要求终止数据出境的情况,我们建议企业应当根据以往业务开展的实际情况,估算完整两年的跨境个人信息数量,估算自身是否触发数据出境安全评估申报义务,在未达到数据出境安全评估申报义务前按照法律规定签署《标准合同》,在将要达到数据出境安全评估申报的数量级时,提前准备数据出境安全评估材料进行申报,以保障业务的顺利有序进行。 (二)新增禁止采取数量拆分等手段 国家网信办曾于2022年6月30日发布《个人信息出境标准合同规定(征求意见稿)》(以下简称“征求意见稿”)。与征求意见稿相比,《标准合同办法》第四条第三款新增“个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。”该款主要针对实践中部分企业可能通过业务拆分、主体拆分等方式,将个人信息出境数量降低到出境安全评估标准之下,通过签订《标准合同》的方式规避数据出境安全评估义务的情形。
三、对《个人信息保护法》下个人信息保护影响评估的细化 《标准合同办法》第五条规定了向境外提供个人信息前开展个人信息保护影响评估的重点评估内容,该条系对《个人信息保护法》第五十五条、五十六条的落实和进一步细化。与《个人信息保护法》相比,向境外提供个人信息前,开展个人信息保护影响评估应当包括的内容更加详细,具体见下表:
四、《标准合同》备案与合同效力
《标准合同办法》第六条、第七条规定了《标准合同》订立及备案要求,本文以时间轴的方式梳理了《标准合同》订立、生效、备案各个环节的法律要求及注意事项,详情见下图:
五、法律责任的宽严相济
相较于征求意见稿对法律责任的规定,《标准合同办法》展现了宽严相济的指导思想,对企业的“宽”体现在针对“存在较大风险或者发生个人信息安全事件”的情况,从征求意见稿的“应当终止个人信息出境活动”[1],到《标准合同办法》第十一条[2]规定的“可以进行约谈”“按照要求整改,消除隐患”,明显可以看出监管部门从一刀切的终止出境活动到约谈、整改的执法思路转变。与此同时,《标准合同办法》也保留了征求意见稿“严”的一面,明确规定“违反本办法规定的,依据《个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。”不排除企业违法行为严重时承担刑事责任、行政责任及巨额赔偿的可能。 六、整改期限的理解
《标准合同办法》第十三条规定:“本办法自2023年6月1日起施行。本办法施行前已经开展的个人信息出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。”对于该条的理解,我们认为2023年6月1日之前的个人信息出境活动,应该在2023年12月1日前整改完成,2023年6月1日之后的个人信息出境活动,则应该按照该办法的规定,签订《标准合同》并予以备案,《标准合同》生效后方可开展个人信息出境活动。 七、个人信息出境标准合同的主要内容
根据《标准合同办法》的附件,《标准合同》主要内容包括合同相关定义和基本要素、个人信息处理者和境外接收方的合同义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利和相关救济,以及合同解除、违约责任、争议解决等事项,并设计了个人信息出境说明、双方约定的其他条款等两个附录。详情见附件《个人信息出境标准合同》模板。 注释 [1] 《个人信息出境标准合同规定(征求意见稿)》第十一条 省级以上网信部门发现通过签订标准合同的个人信息出境活动在实际处理过程中不再符合个人信息出境安全管理要求的,应当书面通知个人信息处理者终止个人信息出境活动。个人信息处理者应当在收到通知后立即终止个人信息出境活动。 [2]《个人信息出境标准合同办法》第十一条 省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改,消除隐患。