解读网信办《个人信息出境标准合同备案指南》

来源:天元律师事务所

文章摘要
2023年5月30日,国家互联网信息办公室编制了《个人信息出境标准合同备案指南(第一版)》(下称“《指南》”),针对即将于2023年6月1日实施的《个人信息出境标准合同办法》(下称“《办法》”)所规定

2023年5月30日,国家互联网信息办公室编制了《个人信息出境标准合同备案指南(第一版)》(下称“《指南》”),针对即将于2023年6月1日实施的《个人信息出境标准合同办法》(下称“《办法》”)所规定的标准合同(“标准合同”)的备案方式、备案流程、备案材料等具体要求作出了说明。本所目前正为多个境外客户提供个人信息出境标准合同备案中国法服务,盼望已久的《指南》的出台,也可谓是及时雨一场。本文旨在从实务角度出发,结合我们提供类似服务的经验,对《指南》的实操要点进行提示和分享。
一、哪些企业需要使用标准合同进行个人信息出境
与GDPR不同,中国《个人信息保护法》下个人信息出境的路径只有三种:(一)通过国家网信部门组织的安全评估;(二)经专业机构进行个人信息保护认证;(三)与境外接收方订立合同。其中,《办法》第四条明确了适用标准:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供个人信息不满10万人的;
(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
满足上述条件的个人信息处理者,均可采用标准合同备案方式向境外提供个人数据。
实践中,对于大部分在中国境内有经营主体的跨国公司而言,可能均涉及个人信息出境问题(例如员工人力资源信息的出境),即使个人信息数据出口量不多,也必须采取上述三个路径之一。较之其他两种出境路径,标准合同备案的方式进行信息出境,应当是最高效的。
二、《指南》中的实操要点及提示
指南的出台为迫切需要解决该合规问题的跨国企业等主体,提供了较为具体的指导,尤其是进一步明确了那些情形属于个人信息出境行为、备案方式和流程、备案材料要求,而且提供了个人信息保护影响评估报告的模板等。《指南》中的内容与国家互联网信息办公室针对2022年9月1日施行的《数据出境安全评估办法》发布的申报指南(下称“《数据出境申报指南》”)比较相似,我们将后续在公众号单独发布本所翻译的《指南》英文版供境外客户参考。以下就一些值得注意的内容进行重点提示:
1. 关于备案主体
需要注意的是,个人信息出境标准合同的备案主体应该是向境外提供个人信息的个人或公司。对于跨国企业而言,不能以其境外总部公司来替代这部分工作,应当由传输个人信息的境内公司来准备和提交相关材料。
2. 关于备案结果
与《数据出境申报指南》不同,《指南》明确了省级网信办收到材料后的15个工作日内完成材料查验,通知个人信息处理者备案结果,结果包括通过或不通过。如果不通过的,个人信息处理者需要在10个工作日内提交补充材料。
一般来说,备案工作主要是形式审查,但不排除网信办对材料的实质内容进行真实性、合理性审查,且补充材料提交的时间比较短。因此,在初次提交备案材料时,备案方就应当做好充分的准备。
3. 个人信息保护影响评估工作期限
根据《指南》附件3:承诺书的要求,个人信息保护影响评估工作为备案之日前3个月内完成,且至备案之日未发生重大变化。
4. 个人信息出境标准合同
与GDPR的标准合同条款(SCC)规则不同,《办法》中明确的标准合同不允许调整合同正文的任何内容,仅可以在附录中增加与正文不冲突的其他条款。
5. 个人信息保护影响评估报告(模板)
该模板与《数据出境申报指南》中提供的自评估报告模板基本相同,可见网信办并未因为企业采用的是标准合同路径而降低企业应当进行的评估工作的标准。根据相关政府官员针对此前模板的答记者问,该模板应当严格适用。因此,我们建议备案方根据该模板,充分梳理相关信息。如对于法律问题难以明确的(如合法性、正当性和必要性),对于数据安全技术方面的问题难以明确的(如个人信息安全技术能力等),可以咨询对于法律和数据安全专业方面的人员。
三、合规建议
《办法》规定了六个月的整改期,即企业需要在2023年11月30日到期之前按照标准合同路径的要求就个人信息出境活动进行整改。
因此,对于已经或者即将有个人信息数据出境业务的主体,我们建议应当尽早开始梳理数据相关的业务情况,首先判断是否能够适用《办法》。对于能够采取标准合同出境路径的客户而言,我们建议按照国家网信办最新发布的两个模版准备自己的标准合同及个人信息保护影响评估报告,并在整改期内完成向所在地省级网信部门的备案手续。

技术驱动法律,专业成就未来