2023年2月24日, 国家网信办公布了《个人信息出境标准合同办法》(将于2023年6月1日正式生效), 一同公布的包括《个人信息出境标准合同》(“标准合同”)的官方文本。自标准合同的草案于2022年6月公布以来, 我们便收到了大量来自于跨国公司客户关于标准合同的咨询, 问题包括但不限于标准合同的适用、内容、签署、效力及备案程序等。
为此, 我们特意准备了本篇文章, 解答跨国公司对标准合同的共性问题。本文中, 我们基于跨国公司客户提出的常见法律咨询, 并结合过往数据出境安全评估项目的经验, 系统地总结了在签署和备案标准合同过程中需要考虑的关键法律问题, 以供相关企业参考。
鉴于篇幅限制, 在此我们仅列出文章的大纲。
1、宽限期
1) 企业需要在何时签署和备案标准合同?
2) 在宽限期内, 数据出境是否依然合法?
2、标准合同的适用条件
1) 如何判断企业是否需要申报数据出境安全评估?
2) 标准合同是否适用于位于中国境外的实体?
3) 标准合同是否适用于数据(受托)处理者?
4) 是否可以考虑开展个人信息保护认证?
3、标准合同的签署
1) 企业已经签署了GDPR SCCs, 是否还需要签署标准合同?
2) 境外接收方不配合签署标准合同怎么办?
3) 企业是否可以修订或补充标准合同?
4) 境外接收方不接受合同中的部分条款怎么办?
5) 哪些实体需要签署标准合同?
6) 为了方便签署标准合同, 企业可以改变数据流吗?
4、梳理数据出境活动
1) 标准合同需要涵盖哪些出境场景?
2) 一份标准合同可以覆盖多个出境场景吗?
5、开展个人信息保护影响评估(DPIA)
1) DPIA的范围是什么?
2) DPIA报告是否有特定的格式要求?
3) 企业是否可以使用总部的DPIA模板?
4) 企业是否必须聘请第三方机构开展DPIA?
5) DPIA的其他相关义务?
6、标准合同的备案
1) 企业需要在何时进行备案?
2) 备案需要提交哪些材料?如何提交?
3) 备案的标准合同是否会被公开?
4) 备案材料应使用何种语言?
7、持续义务
1) 标准合同备案的有效期是多久?
2) 增加新的出境方/接收方时, 是否需要重新备案?
3) 增加新的出境场景时, 是否需要重新备案?
8、争议解决
1) 企业可以约定标准合同适用的管辖法律吗?
2) 企业应如何与境外接收方解决相关争议?
9、法律责任
1) 如果未能在宽限期结束前签署和备案标准合同, 数据出境是否会被视为违法?
2) 可能会受到哪些处罚?
跨国公司最关心的《个人信息出境标准合同》问题, 答案都在这里了!
作者:潘永建 朱晓阳 左嘉玮来源:通力律师

2023年2月24日, 国家网信办公布了《个人信息出境标准合同办法》(将于2023年6月1日正式生效), 一同公布的包括《个人信息出境标准合同》(“标准合同”)的官方文本。