汉坤 • 观点 | 速览《个人信息出境标准合同规定(征求意见稿)》及个人信息出境标准合同
作者:汉坤律师事务所 段志超丨蔡克蒙丨胡敏喆丨张子谦丨邹奕
2022年6月30日,国家互联网信息办公室(“网信办”)发布《个人信息出境标准合同规定(征求意见稿)》(“《规定》征求意见稿”)及个人信息出境标准合同(“标准合同”)。《规定》征求意见稿全文共13条,对个人信息出境标准合同的适用范围、适用条件、主要内容等进行了明确,旨在落实《个人信息保护法》第38条第3款规定的通过订立标准合同实现个人信息出境。特别值得关注的是,《规定》征求意见稿要求个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门履行备案手续。尽管备案不影响合同生效和个人信息出境活动开展,但为监管机构监管个人信息出境活动提供了有力抓手。
标准合同共包括9条及2个附录,重点对个人信息处理者的义务、境外接收方的义务、个人信息主体的权利、当地个人信息保护政策法规对遵守合同条款的影响以及救济、合同解除、违约责任、法律适用和争议解决等作出了规定。
我们将在下文简要总结和《规定》征求意见稿以及标准合同的主要内容,并为企业在实践中落地应用标准合同提供建议。
一、 个人信息出境标准合同的
适用范围
(一) 可通过标准合同实现个人信息出境的场景
《规定》征求意见稿第4条规定了个人信息处理者通过签订标准合同向境外提供个人信息所应具备的全部4项条件,包括:
(1)非关键信息基础设施运营者;
(2)处理个人信息不满100万人的;
(3)自上年1月1日起累计向境外提供未达到10万人个人信息的;
(4)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。
上述4项条件将根据《个人信息保护法》以及后续将要出台的数据安全评估办法必须向网信部门申请数据出境安全评估的情形排除在外。但这不意味着申请网信部门数据出境安全评估的情况无需签署标准合同,而是企业无法单纯通过签署标准合同完成个人信息出境,还需要在标准合同基础上申请网信部门安全评估。
值得注意的是,上述第2项、第3项、第4项条件所规定的数量标准与此前2021年出台的《数据出境安全评估办法(征求意见稿)》(“《评估办法》征求意见稿”)中的数量标准保持一致,预计后续正式出台的数据出境安全评估办法也将大概率采纳这一标准。而上述第3和第4项条件对此前个人信息处理者普遍关心的“累计数量”的时间跨度标准做出了澄清,明确向境外提供个人信息或敏感个人信息的数量自上年1月1日起进行计算。以1-2年为个人信息数量累计的周期在一定程度上有利于个人信息出境规模较少的企业利用标准合同这一相对便利的机制实现个人信息出境。
(二) 似不适用境外主体直接收集境内个人信息
境外主体直接收集境内自然人个人信息并不属于境内个人信息处理者向境外提供个人信息的情况,不属于《个人信息保护法》第38条和《规定》征求意见稿意义上的“个人信息出境”,因此似无法适用标准合同。但如果境外主体满足《个人信息保护法》第3条第2款的规定,其收集并处理境内自然人个人信息仍属于“个人信息跨境处理活动”,可按照《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》规定由其在境内设置的专门机构或指定代表申请认证,并承担法律责任。
二、个人信息出境标准合同的
主要内容
本次发布的标准合同共9条及2个附录,分别规定了个人信息处理者、境外接收方的权利义务并明确了个人信息主体的权利。从内容上看,标准合同无疑借鉴了欧盟监管机关依据GDPR发布的最新版标准合同(Standard Contractual Clauses,“SCC”),但同时根据《个人信息保护法》的要求体现了颇多原创性规定。最为明显的是标准合同未像最新版SCC一样区分控制者与控制者、控制者与处理者、处理者与控制者、处理者与处理者等四种模式,而是在具体条款设计上对境外接收方作为独立个人信息处理者或受托方做出了适当地区别规定。
(一) 基本事实情况
标准合同要求境内个人信息处理者和境外接收方对个人信息出境的基本事实情况在附录一中做出明确约定,包括合同惯常应具备的个人信息处理者和境外接收方的基本信息,如名称、地址、联系人姓名、联系方式等,以及需在附录说明的出境数据的基本情况,如个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等。
(二) 个人信息处理者的义务
标准合同第2条明确了个人信息处理者应当履行的义务,除重申了现行法律法规规定的个人信息处理者需履行的关于个人信息出境的法定义务外,还要求个人信息处理者对境外接收方承担监督管理者责任。从第2条规定的个人信息处理者义务以及第9条第6款规定的个人信息处理者对个人信息主体的任何损失负责等条款来看,个人信息处理者将成为个人信息出境的主要责任方以及监管机关开展监管执法的首要对象。具体而言,个人信息处理者的义务包括:
(1)最小必要原则:出境个人信息的范围应以实现处理目的所必需为限。
(2)告知:除《个人信息保护法》第39条所要求告知的境外接收方的姓名/名称、联系方式,出境目的、出境方式、个人信息种类、个人向境外接收方行使法定权利的方式和程序之外,标准合同还要求个人信息处理者向个人信息主体告知境外接收方再次对外提供个人信息的接收方、出境后存储时间、存储地点以及其他附录一所约定的信息。此外,标准合同还要求个人信息处理者向个人信息主体告知个人信息主体将成为标准合同的第三方受益人,若个人信息主体在30天内未明确拒绝,则可依据标准合同享有第三方受益人的权利。
(3)单独同意:标准合同要求个人信息处理者获得个人信息主体的单独同意,但同时明确“相关法律法规规定不需要取得个人单独同意的除外”,为企业依据同意之外的其他法律基础实现数据出境预留了一定空间。
(4)合理审查境外接收方的合规情况:个人信息处理者应采取合理努力确保境外接收方能履行安全保障义务并采取必要技术和管理措施保护个人信息安全,需综合考虑出境个人信息的敏感程度与规模、个人信息在境外的存储地点与期限等多方面因素。
(5)向境外接收方提供中国法律规定和技术标准的副本:若境外接收方要求,个人信息处理者有义务向境外接收方提供中国相关法律规定和技术标准的副本。
(6)答复监管询问:原则上应由个人信息处理者负责答复监管机构的询问,但双方约定由境外接收方负责答复的除外。需要注意的是,若境外接收方未在规定期限内答复,则仍需由个人信息处理者负责答复。
(7)开展个人信息保护影响评估:个人信息处理者应当承诺已经完成个人信息保护影响评估(具体可参见本文第三部分)并保存个人信息保护影响评估报告至少3年。
(8)向个人信息主体提供合同副本:个人信息主体有权要求个人信息处理者提供个人信息处理者与境外接收方签订的标准合同副本,但若合同内容涉及商业秘密或其他机密,个人信息处理者可对涉密信息进行必要遮盖,但应当向个人提供有效摘要确保其可以理解合同内容。
(9)合规证明举证:个人信息处理者负有证明其已履行合同义务的举证责任。
(10)向监管提供境外接收方合规证明材料:个人信息处理者应当根据相关法律法规的要求,向监管机构提供能够证明境外接收方遵守本合同中规定义务的信息。为此,结合第3条第10款的规定,个人信息处理者有权要求查阅相关数据文件和文档或者对涉及的处理活动进行审计。
(三) 境外接收方的义务
标准合同通过将《个人信息保护法》等相关法律法规下的个人信息保护合规义务转化为境外接收方的合同义务,从而确保不受《个人信息保护法》直接管辖的境外主体可以对出境个人信息提供《个人信息保护法》所要求的保护水平。此外,标准合同还规定了境外接收方配合境内个人信息处理者接受中国监管机构检查的义务和责任,从而保障境内个人信息处理者得以有效承担监督与检查责任。境外接收方的具体义务包括:
(1)约定范围内处理个人信息:境外接收方对个人信息的处理应当严格限制在约定范围内,除非另行取得个人信息主体的同意。
(2)向个人信息主体提供合同副本:个人信息主体有权要求境外接收方提供所签订的标准合同副本,但若合同内容涉及商业秘密或其他机密,境外接收方可对涉密信息进行必要遮盖,但应当向个人提供有效摘要确保其可以理解合同内容。
(3)最小必要原则:出境个人信息的范围以实现处理目的所必需为限。
(4)存储期限最短原则:存储个人信息的期限为实现处理目的最短时间,除非取得个人信息主体关于存储期限的单独同意。
(5)保障处理安全原则:境外接收方需采取技术和管理措施保障个人信息安全,并确保其授权处理个人信息的人员履行保密义务,建立最小授权的权限管控机制。
(6)安全事件应急响应:若发生个人信息泄露等安全事件,境外接收方应及时采取补救措施减少对个人信息主体的不利影响,并立即通知个人信息处理者,并根据中国相关法律法规要求报告中国监管机构以及通知个人信息主体。同时,境外接收方需记录并留存安全事件事实与影响(包括所采取的补救措施)。
(7)个人信息再传输严格受限:境外接收方原则上不应再向境外第三方提供所接收的个人信息,除非业务确有需要且满足如下要求:
已告知个人信息主体第三方身份、联系方式、处理目的、方式、个人信息种类及个人行使权利的方式和程序,并取得单独同意(法律法规另有规定的除外),涉及敏感个人信息的已向个人告知传输敏感个人信息的必要性及对个人的影响。若难以告知或难以取得单独同意,则境外接收方应及时告知个人信息处理者并请求其协助告知个人信息主体或协助取得个人的单独同意;
与第三方签订书面协议,确保第三方对个人信息的保护水平不低于中国相关法律法规规定的保护标准;
承担因再提供而可能导致的个人信息主体损害的连带责任;
向个人信息处理者提供境外接收方与第三方签订的协议副本。
(8)自动化决策要求的重申:若存在利用个人信息进行自动化决策的场景,与《个人信息保护法》第24条的要求一致,需保障透明度与结果公平公正,拒绝交易价格和条件的差别待遇。在营销场景下向个人提供不针对个人特征的选项或便捷的拒绝方式。
(9)配合个人信息处理者的义务:向个人信息处理者提供证明境外接收方履行合规义务的必要信息和材料,配合相关审计活动。
(10)个人信息处理活动记录及保存义务:境外接收方需对个人信息处理活动进行记录并保存记录至少3年。同时,标准合同在此基础上特别要求境外接收方有义务按照相关法律法规要求直接或者通过个人信息处理者向监管机构提供相关记录文件。
(11)同意接受监管机构的监督管理:境外接收方需同意在标准合同实施的程序中接受监管机构的监督管理(包括答复询问、配合调查、服从监管机构采取的措施或决定、提供采取必要行动的书面证明等)。
除上述义务外,如境外接收方系接受个人信息处理者委托在境外处理境内个人信息,还需遵守以下特殊要求:
(1)委托关系结束后,删除或匿名化个人信息之后,向个人信息处理者提供审计报告;
(2)在发生个人信息泄露事件时,由个人信息处理者通知个人信息主体;
(3)若境外接收方需转委托第三方处理,则需征得个人信息处理者的同意,确保第三方在标准合同范围内处理个人信息并且对第三方活动进行监督。
(四) 个人信息主体的权利和救济
01
权利范围
标准合同第5条明确了个人信息主体享有《个人信息保护法》第4章规定的主要权利,包括:知情权、决定权、限制或拒绝他人对其个人信息进行处理的权利、查阅权、复制权、更正与补充的权利、删除权,以及要求对其个人信息处理规则进行解释说明的权利,但暂未明确列明仍待网信办明确具体行使条件的“将个人信息转移至指定的个人信息处理者”的权利。
02
行使对象
程序方面,标准合同允许个人信息主体(1)请求个人信息处理者采取适当措施实现,即通过境内个人信息处理者行使权利(境外接收方有义务协助),或(2)直接向境外接收方提出请求。
03
境外接收方有权拒绝不合理行权,但应告知救济途径
标准合同第5条第4款规定,如个人信息主体提出过多或不合理要求,尤其是具有重复性的要求,境外接收方可在考虑到要求获准的执行和操作成本后,可以收取合理的费用,或拒绝按其要求行事。但如境外接收方拟拒绝个人信息主体的请求,应告知个人信息主体其拒绝的原因,以及个人信息主体向相关监管机构提出投诉、寻求司法救济的途径。这也是网信办在其发布的文本中首次对个人信息主体权利作出限制性的规定,或将有助于个人信息处理者应对个人信息主体不合理的权利请求。
04
个人信息主体享有的救济和第三方受益人条款
标准合同明确境外接收方应确定联系人接受、处理境内个人信息主体投诉的义务、向个人信息处理者及时通知与个人信息主体争议的义务,并规定个人信息主体有权就标准合同产生的争议向我国监管机构或法院寻求救济,境外接收方接受我国监管机构或法院的管辖。
标准合同参考SCC,将个人信息主体规定为合同的第三方受益人。个人信息主体有权直接向个人信息处理者和境外接收方任何一方主张并要求履行标准合同项下与个人信息主体权利相关的条款,例如:个人信息处理者和境外接收方的部分义务(如告知同意、最小必要、数据安全保护等)、评估当地个人信息保护政策法规对遵守本合同条款的影响、合同解除等,并在个人信息处理者或境外接收方未能履行合同义务的情况下,向中国有管辖权的人民法院提起诉讼并要求其承担违约责任。
(五) 确保数据接收方所在地法律不会影响合同履行
2021年,欧盟监管机关为回应欧盟法院在Schrems II案中所作的判决,进一步说明了SCC的使用条件,要求通过签署SCC向欧盟境外传输个人数据的控制者事先评估第三国的立法与实践,重点关注公共机构获取数据的立法与实践并确定需要采取的补充措施。标准合同第4条亦借鉴了这一做法,要求双方应当采取合理努力了解境外接收方所在国家或者地区的个人信息保护政策法规(包括任何提供个人信息的要求或授权公共机关访问个人信息的规定),确保当地法律不会影响境外接收方履行标准合同规定的义务。
标准合同第4条第2款明确了开展上述评估时需要考虑的因素,包括:
(1)出境的具体情况,包括涉及传输的个人信息的类型、数量、范围及敏感程度、传输的规模和频率、个人信息传输及境外接收方保存的期限、个人信息处理目的、境外接收方此前类似的个人信息跨境传输和处理相关经验、境外接收方是否曾发生数据安全相关事件及是否进行了及时有效地处置、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息请求及境外接收方应对的情况;
(2)境外接收方所在国家或者地区的个人信息保护政策法规,包括:(1)该国家或地区现行的个人信息保护法律法规及普遍适用的标准情况;(2)该国家或地区加入的区域或全球性的个人信息保护方面的组织,以及所做出的具有约束力的国际承诺;(3)该国家或地区落实个人信息保护的机制,如是否具备个人信息保护的监督执法机构和相关司法机构等。
(3)境外接收方安全管理制度和技术手段保障能力。
此外,标准合同还规定了其他与上述评估配套的配合义务,包括境外接收方应尽最大努力为个人信息处理者提供了必要的相关信息,双方应记录评估过程和结果,境外接收方应在知道其所在国家或地区的个人信息保护政策法规发生变化导致其无法履行本合同时立即通知个人信息处理者。
(六) 合同解除
标准合同第7条规定,(1)境外接收方严重或持续违反本合同规定的义务,或(2)境外接收方破产、解散或清算等,个人信息处理者可以解除合同。此外,(1)因境外接收方违反合同规定的义务,个人信息处理者暂停向境外接收方传输个人信息的时间超过一个月;(2)境外接收方遵守本合同将违反其所在国家的法律规定;(3)根据境外接收方的主管法院或监管机构作出的不能上诉的终局性决定,境外接收方或个人信息处理者违反了本合同的规定;(4)在监管机构按照相关法律法规作出个人信息出境相关的决定导致标准合同无法执行的情况下,任何一方可以解除合同。
需要说明的是,根据第7条第4款和第5款的规定,标准合同的解除并不免除其在个人信息处理过程中的个人信息保护义务,境外接收方应及时返还、销毁或匿名化处理其根据标准合同所接收到的个人信息,并提供已经销毁或者匿名化处理的审计报告。
(七) 违约责任
除惯常的违约责任外,标准合同第8条针对一方违约对个人信息主体造成的损害赔偿责任的承担做出了约定:
(1)个人信息处理者和境外接收方对因违反本合同而共同对个人信息主体造成的任何物质或非物质损害负责的,个人信息处理者和境外接收方应对个人信息主体承担连带责任。
(2)如果一方(“赔偿方”)因另一方(“被追偿方”)对违反本合同的行为对个人信息主体承担连带责任且赔偿方承担的连带责任超过其应承担的责任份额,则赔偿方有权向被追偿方追偿。
尽管有上述违约责任的划分机制以及双方之间的责任追偿机制,但考虑到个人信息主体在实践中可能难以直接向境外接收方求偿,标准合同第8条第(6)款规定,个人信息处理者应就境外接收方因违反标准合同而对个人信息主体造成的任何物质和非物质损失向个人信息主体负责,个人信息主体有权向个人信息处理者主张损害赔偿责任。因此,在境外接收方违约的情况下,个人信息处理者将可能首先需要承担赔偿责任,然后再向境外接收方进行追偿。
(八) 争议解决和法律适用
标准合同明确规定,本合同适用于中华人民共和国相关法律法规。而对于争议解决方式,标准合同允许双方选择仲裁或者向中国有管辖权的人民法院提起诉讼。对于仲裁机构的选择,标准合同允许双方将争议提交至中国国际经济贸易仲裁委员会、中国海事仲裁委员会、北京仲裁委员会(北京国际仲裁中心)以及其他《承认及执行外国仲裁裁决公约》成员的仲裁机构。这意味着标准合同允许双方选择其他纽约公约缔约国仲裁机构作为合同争议解决方式,为境外接收方寻求中立仲裁地留下了空间。
三、使用个人信息出境标准合同
需采取的“配套措施”
《规定》征求意见稿同时明确了在通过签订标准合同的方式向境外提供个人信息时,个人信息处理者需要履行的配套合规义务和程序性规定。此外,为履行标准合同条款下的义务,个人信息处理者还需要进行一系列配套准备工作。本部分简单梳理了个人信息处理者为使用标准合同条款需采取的“配套措施”,具体如下:
(一) 合同签订前
(1)梳理既有个人信息处理实践,判断是否可以通过签订标准合同的方式向境外提供个人信息。个人信息处理者应当根据《规定》征求意见稿第4条的规定,从“是否为关键信息基础设施运营者”、“处理个人信息的数量”以及“自上年1月1日累计向境外提供个人信息和敏感个人信息的数量”等方面,判断个人信息处理者是否可以通过签订标准合同的方式向境外提供个人信息。
(2)梳理此次个人信息出境的具体事实情况。个人信息处理者应当明确此次个人信息出境所涉及的个人信息主体类别、个人信息出境目的、数量、方式、个人信息类别、敏感个人信息类别、境外接收方提供个人信息的接收方、境外存储时间、存储地点,境外接收方是否进行转委托或开展再传输活动以及其他相关事项,以便履行《规定》征求意见稿第5条规定的开展个人信息保护影响评估的义务并在签署合同时填写标准合同附录一所需的信息。
(3)检查自身合规措施。考虑到标准合同要求个人信息处理者就其承担的各项义务作出陈述、保证和承诺,一旦个人信息处理者在后续个人信息出境中出现违约行为,不仅可能受到监管机关的调查乃至处罚,还可能会被境外接收方要求承担相应的违约责任,因此,建议个人信息处理者在向签署个人信息出境标准合同前,对照《个人信息保护法》及《规定》征求意见稿第2条个人信息处理者的义务,特别是告知和单独同意机制,为需要事先开展的个人信息保护影响评估做好准备。
(4)事先评估境外接收方的个人信息保护能力。由于标准合同将个人信息处理者作为监管机关管理个人信息出境活动的首要对象且境外接收方的个人信息保护能力可能影响到个人信息保护影响评估的结果,建议个人信息处理者在开展个人信息出境活动前对照《规定》征求意见稿第3条境外接收方的义务逐一评估境外接收方的个人信息保护能力,降低个人信息出境的合规风险。
(5)考察和评估当地个人信息保护政策法规对遵守本合同条款的影响。根据标准合同第4条的要求,双方应当通过合理努力了解境外接收方所在国家或者地区的个人信息保护政策法规是否会给境外接收方履行标准合同规定义务带来障碍。参考GDPR的有关实践,个人信息处理者可以编制接收方所在国家或地区问卷清单,通过境外接收方或者当地律师了解当地个人信息保护的政策法规并结合前述了解到的接收方的个人信息保护能力作出评估。
(6)开展个人信息保护影响评估并留存记录。在前述第(2)-(5)步的基础上,按照《个人信息保护法》第55条和《规定》征求意见稿的要求开展个人信息保护影响评估并留存记录至少3年。[1]同时,结合《个人信息保护法》、《评估办法》征求意见稿以及《信息安全技术 数据出境安全评估指南(征求意见稿)》的规定,个人信息处理者的评估可以分为两步:出境目的评估与安全风险评估。在出境目的评估阶段,个人信息处理者可以对出境目的是否同时满足合法性、正当性和必要性做出判断;在安全风险评估阶段,个人信息处理者可以对个人信息的类型、数量、范围、敏感程度、技术安全保障情况进行评估,并结合数据发送方的数据安全保护能力以及数据接收方的安全保护能力做出综合判断。
(二) 合同签订后
(1)在合同生效之日起10个工作日内向省级网信部门履行备案手续。《规定》征求意见稿第7条规定,个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案。备案应当提交以下材料:(一)标准合同;(二)个人信息保护影响评估报告。需要说明的是,第7条第2款同时明确,标准合同生效后个人信息处理者即可开展个人信息出境活动,即开展个人信息出境活动并不以个人信息处理者履行完毕备案手续为前提,但个人信息处理者应当对所备案材料的真实性负责。
(2)向个人信息主体提供标准合同副本。根据标准合同第2条在个人信息主体要求个人信息处理者提供个人信息处理者与境外接收方签订的标准合同副本时向其提供合同副本,或为保护商业秘密等目的对合同内容进行调整后向其提供,但应当承诺向个人提供有效摘要以帮助个人了解合同内容。
(3)更新隐私政策或其他告知文本。为履行向个人信息主体提供合同副本,提供便利的权利行使机制等义务,个人信息处理者需更新隐私政策或其他告知文本,明确告知个人获得标准合同副本和向个人信息处理者或境外接收方行使权利的途径。
(4)持续监测个人信息出境情况,在出现规定情形时与境外接收方重新订立标准合同。《规定》征求意见稿第8条规定了个人信息处理者应当重新签订标准合同并备案的三种情形,包括:(一)向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;(二)境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的;(三)可能影响个人信息权益的其他情况。
(5)留存个人信息出境记录及相关的书面文件。考虑到个人信息处理者需承担证明已经履行标准合同义务的举证责任,个人信息处理者应当注意留存和归档与个人信息出境有关的文件记录,例如:对当地个人信息保护政策法规的评估记录、个人信息保护影响评估记录。
(6)接受监管机关检查。《规定》征求意见稿第11条规定,省级以上网信部门发现通过签订标准合同的个人信息出境活动在实际处理过程中不再符合个人信息出境安全管理要求的,应当书面通知个人信息处理者终止个人信息出境活动。个人信息处理者应当在收到通知后立即终止个人信息出境活动。此外,《规定》征求意见稿第12条还就个人信息处理者未履行备案程序或者提交虚假材料进行备案、未履行标准合同约定的责任义务侵害个人信息权益造成损害、出现影响个人信息权益的其他情形规定了相应的处罚,即:由省级以上网信部门依照《个人信息保护法》的规定,责令限期改正;拒不改正或者损害个人信息权益的,责令停止个人信息出境活动,依法予以处罚;构成犯罪的,依法追究刑事责任。
四、总结与展望
简言之,标准合同虽然为个人信息处理者提供了无需网信部门安全评估即可向境外传输个人信息的机制,但其适用并不轻松。个人信息处理者需做足准备,建立包含告知同意、用户权利行使、数据安全保护、境外接收方监督管理、接收方所在国家地区法律调研追踪等数据跨境合规治理机制,方可实现个人信息顺利出境。
此外,自《个人信息保护法》确立个人信息出境基本制度框架以来,网信办已经于去年发布《评估办法》征求意见稿,信息安全标准化技术委员会也在今年发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》。随着相关制度逐渐落地,我国个人信息出境的合规方案将逐渐明晰并具有可操作性,无论是具有海外业务的中国企业还是在华运营的外资企业均应密切关注相关立法动态,尽早设计合理可行的个人信息出境合规方案。
注释
[1]个人信息保护影响评估需重点评估以下内容:(1)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
(2)出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险;
(3)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全;
(4)个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
(5)境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响;
(6)其他可能影响个人信息出境安全的事项。
段志超
+86 10 8516 4123
kevin.duan@hankunlaw.com
业务领域
知识产权诉讼、数据合规、知识产权交易
蔡克蒙
+86 10 8516 4289
kemeng.cai@hankunlaw.com
业务领域
数据保护、私募股权和风险投资、外商直接投资、一般公司事务、兼并和收购
胡敏喆 | 汉坤律师事务所
张子谦 | 汉坤律师事务所
邹奕 | 汉坤律师事务所