数据出境合规解读系列文章(五)丨《个人信息出境标准合同办法》出台落地相关实务要点十问十答
本文将聚焦企业在解读和落实《标准合同办法》及《标准合同》的过程中可能遇到或产生的常见问题,结合我们的实务经验予以解答,以期以短平快的方式为企业开展数据跨境传输合规工作提供实务指引。
作者丨李瑞 贾申 徐晨
引言
2023年2月24日,国家网信办正式发布《个人信息出境标准合同办法》(下称“《标准合同办法》”)及《个人信息出境标准合同》(下称“《标准合同》”),其中明确《标准合同》将于2023年6月1日开始生效施行。至此,中国数据跨境传输监管机制“三件套”——(1)数据出境安全评估、(2)个人信息出境标准合同及(3)个人信息保护认证的具体实施办法均正式出台,中国数据跨境传输监管体系及实务将迎来全新的篇章。本文将聚焦企业在解读和落实《标准合同办法》及《标准合同》的过程中可能遇到或产生的常见问题,结合我们的实务经验予以解答,以期以短平快的方式为企业开展数据跨境传输合规工作提供实务指引。
问题一:企业如何确定自身存在个人信息出境活动?如果存在个人信息出境活动,企业如何确定自身应当适用数据传输监管机制“三件套”(数据出境安全评估、个人信息出境标准合同及个人信息保护认证)中的哪一套(或多套)机制来满足合规要求?
答:企业做好数据出境合规管理的第一步,是明确自身是否存在数据出境活动。中国法律对于“数据出境”的定义非常广泛,我们此前发布的《企业数据出境合规系列解读(一):盘点常见数据出境风险场景》一文,归纳了常见的企业数据出境场景,可帮助企业识别是否存在数据出境场景。
在存在数据出境活动的情况下,企业应首先根据出境数据的类型来确定适用的监管要求。我们此前发布的《企业数据出境合规系列解读(二):哪些数据受到出境监管?》一文,梳理归纳了受到出境监管(包括限制和禁止)的主要数据类型,可帮助企业总体把握数据出境合规要求。对于个人信息出境活动而言,监管机制可归纳为“1+2”体系,即
“1”:个人信息出境活动符合以下标准的,应当通过国家网信部门组织的数据出境安全评估:(1)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;或(2)自上年1月1日起累计向境外提供10万人的个人信息或者1万人的敏感个人信息的数据处理者向境外提供个人信息。
“2”:其他情况下的个人信息出境,可在“通过个人信息保护认证”或“订立标准合同”两种方式中任选其一,以满足数据出境合规要求。
由此可见,企业仅可在不触发数据出境安全评估要求的情况下,选择采取订立标准合同的方式满足个人信息出境合规要求。对此,《标准合同办法》第四条特别提出,个人信息处理者不得采取数量拆分等手段,将依法应当通过数据出境安全评估的个人信息通过订立标准合同的方式向境外提供。
问题二:如果企业拟订立标准合同来满足数据出境合规要求,订立的合同条款是否必须与《标准合同》的内容完全一致?如果数据传输双方确有其他约定,怎么办?
答:《标准合同办法》第六条明确要求,企业实务中订立的个人信息出境标准合同必须严格按照国家网信部门发布的《标准合同》的内容订立。这一点与欧盟的做法是一致的。
如就具体个人信息出境活动,境内数据输出方与境外接收方确有其他安排,双方可补充约定,但约定内容不得与《标准合同》的内容相冲突。即便双方约定了与《标准合同》内容相冲突的事项,根据《标准合同》第九条第(一)项的规定,《标准合同》将优先于双方所签署的其他任何法律文件而适用。
问题三:如果企业拟订立标准合同来满足数据出境合规要求,对于数据输出方而言,除了订立《标准合同》外,还需要做什么?
答:除签订合法有效的《标准合同》外,企业还需要依据《个人信息保护法》的要求开展事前的个人信息保护影响评估(下称“PIA”),形成个人信息保护影响评估报告,并在《标准合同》生效之日起的10个工作日内将所签订的标准合同和个人信息影响评估报告提交给所在地省级网信部门备案。
此外,企业要满足《个人信息保护法》的要求以及《标准合同》中规定的义务,还需提前部署开展多项内外部举措,具体详见下文第六问答复。
问题四:如果企业拟订立标准合同来满足数据出境合规要求,那么对于《标准合同办法》施行前已经开展的落入规制范围内的个人信息出境活动,应该怎么处理?
答:对于在《标准合同办法》施行前已经开展的个人信息出境活动,企业应采取措施确保其合规性。根据过往经验,“已经开展的个人信息出境活动”,应指的是仍在开展、尚未结束的活动。如果相关个人信息出境活动落入可通过订立标准合同的方式满足合规要求的范围内,企业可采取补签标准合同并完成备案的方式来满足合规要求;或者,如前文介绍,由于订立标准合同和通过个人信息保护认证两种合规机制是二选一的关系,企业也可采取通过个人信息保护认证的方式完成合规整改。
无论采取哪种方式,《标准合同办法》对整改提出了时间要求,为《标准合同办法》施行之日起的6个月,即最终整改期限截至2023年12月1日。考虑到完成标准合同的签署和备案需要一定时间,我们建议企业尽早梳理自身情况,及时开展相关工作,避免产生延时风险。
问题五:如果在企业签署标准合同并完成备案后,合同约定的个人信息出境活动发生了变化,企业需要做什么?
答:如果在合同有效期内,相关个人信息出境活动发生变化,比如数据出境种类增多,境外数据接收方的数据中心转移等,企业需重新履行前文提到的3项主要合规义务,即:
(1)补充或者重新订立标准合同;
(2)重新开展PIA并形成新的个人信息保护影响评估报告;
(3)重新履行向当地省级网信部门备案的手续。
问题六:企业在订立《标准合同》后,各自需要承担哪些合同义务?
答:我们曾在《数据出境合规解读系列文章(三):数据跨境传输协议应明确哪些权利义务》一文中对《标准合同》征求意见稿中规定的各方权利义务进行归纳。相比征求意见稿的内容,本次正式发布的《标准合同》对于双方义务并未进行框架性调整,主要是对义务内容、协同方式进行了细化和优化。
总体而言,境内数据输出方的义务主要包括以下几项:严格执行告知同意要求,明释第三方受益人权利;确保个人信息的处理符合最小必要原则,并提前做好个人信息处境安全评估;采取技术与合规管理措施,适当开展出境后监督管理;妥善处理个人信息泄露事件(如有),配合监管机构调查问询等。
境外接收方的义务主要包括以下几项:严守约定处理数据,最小限度存储数据,采取有效技术和管理措施保护数据安全,保护和配合个人信息主体行使权利;准确记录数据处理活动,积极配合境内数据输出方的监督,共同配合监管机构监督等。此外,双方还需尽合理注意义务,考察境外接收方所在国家或者地区的个人信息保护政策和法规是否会影响境外接收方履行本合同约定的义务。
可以看出,境内数据输出方的多项义务必须要做在订立标准合同之前。因此,从现在开始到整改窗口关闭之前,境内数据输出方需要切实采取措施,梳理自身存在的个人信息出境活动,明确需采取的合规机制;对于拟采取订立标准合同的,需提前完成告知同意、个人信息影响评估等相关义务。
问题七:个人信息主体是否是标准合同的一方?《标准合同》签署后,个人信息主体是否可基于该合同,向合同一方或双方提起法律诉讼,追究合同双方的法律责任?
答:个人信息主体不是标准合同的一方。但是,《标准合同》明确,境内数据输出方需告知个人信息主体订立标准合同一事;除非个人信息主体明确拒绝,否则其可依据标准合同享有第三方受益人的权利,其中包括作为第三方受益人向合同一方或多方提起诉讼以维权的权利。
《标准合同》进一步明确,作为第三方受益人,个人信息主体可以选择适用中国法律向有管辖权的中国人民法院提起诉讼;如果其做此选择,合同双方有义务接受并遵守。但另一方面,《标准合同》并未限定个人信息主体提起的诉讼必须适用中国法律向有管辖权的中国人民法院提起;因此,实践中,个人信息主体也有权依据其他法域法律法规向境外有管辖权的法院寻求救济。
问题八:个人信息主体是否可要求获得企业签署的标准合同的副本,即便合同中包含企业的商业秘密或保密商务信息?
答:《标准合同》对个人信息主体权利保护及企业合理商业利益保护进行了平衡。一方面,相关个人信息主体可要求获得企业签署的标准合同的副本,如其提出,企业有义务提供;另一方面,如果所订立的标准合同中包含商业秘密或者保密商务信息,企业可对合同进行适当处理(如打码等)后再提供副本,但需确保不影响个人信息主体理解该合同。
问题九:如果在企业履行标准合同期间,合同约定的个人信息出境活动存在较大风险或者发生了信息安全事件,会有怎样的后果?如果确实给个人信息主体造成了损失,合同双方如何承担责任?
答:如果网信部门发现相关个人信息出境活动可能存在较大风险,或者发生个人信息安全事件的,可能会约谈境内数据输出方并要求其进行整改。我们建议公司应夯实前期的合规基础工作,避免后续产生被约谈、整改等情况。
《标准合同》进一步约定,如果确实发生了给个人信息主体造成了损失的情况,个人信息主体有权向合同任何一方索偿,要求其承担责任,换句话说,境内数据输出方及境外数据接收方就给个人信息主体造成的损失承担连带责任。但另一方面,如果合同一方承担的责任超过其应当承担的份额,其有权向另一方追偿。
问题十:标准合同解除时,境外数据接收方是否需要返还或删除其在相关数据出境活动中获取的个人信息?
答:根据《标准合同》,合同解除时,境外数据接收方必须删除或返还合同项下所接收到的所有个人信息及其备份,并向境内一方提供书面说明。但是,如果技术上无法实现删除,那么境外数据接收方也可不予删除,但应当停止除存储和采取必要的安全保护措施之外的任何处理。
总结
完善的数据跨境传输监管机制是促进数据跨境有序流通,创造更大商业价值的基石。三大机制的落地,正是响应了《关于构建数据基础制度更好发挥数据要素作用的意见》中以促进数据合规高效流通使用、赋能实体经济为主线的指导思想。我们建议企业及时部署开展相关合规工作,通过合规创造价值。由于合规整改所留时间窗口有限,我们建议公司尽快梳理自身个人信息出境的事实情况与合规需求,选定适用的跨境传输机制,投入相应的资源,确保相关合规要求在时限窗口内及时落地。
诚然,数据跨境传输监管要求较为复杂,对公司的合规建设工作提出了较高的要求。在数据跨境传输解读的系列文章中,我们也将继续保持观察并结合一线项目经验,为公司提供及时、有益的实务建议。
李瑞 律师
北京办公室 合伙人
业务领域:跨境投资并购, 反垄断和竞争法, 网络安全和数据保护
特色行业类别:文化娱乐产业, 通讯与技术
贾申
北京办公室 顾问
业务领域:反垄断和竞争法, 贸易合规和救济, 诉讼仲裁
徐晨
北京办公室 合规与政府监管部
《前沿观察丨从境外热点案例中看NFT性质认定与法律风险》
《算法治理系列观察(一)丨从ChatGPT谈生成合成类算法》
《循声得貌,批文见时——欧盟数字经济治理2.0时代下的立法动态观察》
《风正一帆悬:金融数据合规2022年度回顾与展望》
《星垂平野阔,月涌大江流:“二十条”指引下的中国网络与数据立法》
《数据出境合规解读系列文章(四):出海“新马泰”企业的个人数据回流合规机制》
《数据出境合规解读系列文章(三):数据跨境传输协议应明确哪些权利义务?》
《久违春风添暖意——中国反垄断2022年度盘点》
《欲渡黄河冰塞川——2022年美国出口管制动态回顾与展望》
《乘风下长川——医药健康行业反垄断合规实务及应对(三):经营者集中》
《挂席拾海月——医药健康行业反垄断合规实务及应对(二):成品药、医疗器械与知识产权》
《合规速评丨解读<中央企业合规管理办法>八大亮点》
特别声明
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。