2023年5月30日,国家网信办发布了《个人信息出境标准合同备案指南(第一版)》(以下简称“《备案指南》”),为企业依据《个人信息出境标准合同办法》(以下简称“《标准合同办法》”)出境个人信息提供了更详细的指引。随着各地备案指引的陆续发布以及企业成功备案消息的接连公布,个人信息出境标准合同备案制度正式落地。
一、 《标准合同办法》适用情形
《标准合同办法》第四条规定,个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供个人信息不满10万人的;
(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
法律、行政法规或者国家网信部门另有规定的,从其规定。
同时,《备案指南》还强调个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。
需注意的是,只有同时满足上述条件的情况下,个人信息处理者才可选择标准合同路径出境个人信息。个人信息处理者在选择数据出境路径时可参考以下判断步骤。
二、 如何判断是否适用《标准合同》?
目前,我国数据出境的路径有安全评估、保护认证以及标准合同备案三种方式,其中安全评估路径为法定触发模式,如未触发安全评估条件,则企业可以基于自身的合规计划,选择“备案出境”或者“认证出境”路径。企业可以从以下几方面进行判断:
1. 是否属于“向境外提供个人信息”?
首先,何谓“提供”?根据《备案指南》的规定,向境外“提供”个人信息包括两种方式,一是个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外,二是个人信息处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出。
其次,什么属于“个人信息”?根据《个人信息保护法》(以下简称“《个保法》”)的规定,个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。值得注意的是,在GDPR中,综合考虑技术、成本、时间等因素,只有数据控制者或其他人通过所有合理可能(reasonably likely)方法,均无法直接或间接识别到数据主体的数据才构成匿名化。而在《个保法》中,匿名化是指个人信息经过处理无法识别特定自然人且不能恢复的过程。由于我国尚未具体规定匿名化的判断标准, 根据文义解释,我国的匿名化侧重于“不能恢复的不可识别”,而欧盟的匿名化侧重于“合理可能的不可识别”。
因此,在数据出境过程中可能存在对同一传输行为的性质认定不同的情况。例如,境内子公司A将员工个人信息匿名化处理后传输给境外母公司B,根据GDPR,若A可通过技术手段或其他方法识别到员工个人,同时A与B是母子公司,那么被传输的信息仍会被认定为个人信息。而在我国,由于跨境个人信息已经过匿名化处理,故不属于《个保法》定义下的个人信息,该传输行为不属于向境外提供个人信息。并且,我国对于个人信息处理者与境外接收方之间的关系并未作进一步规定,因此即使A能够识别到特定个人,匿名化处理后的传输行为仍不属于个人信息出境行为。
2. 企业是否被认定为关键信息基础设施运营者(CIIO)?
根据《数据出境安全评估办法》第四条规定,关键信息基础设施运营者向境外提供个人信息的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。根据《网络安全审查办法》《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》《关键信息基础设施安全保护条例》的规定,关键信息基础设施及关键信息基础设施运营者的认定工作由各自行业的主管部门负责,因此需查看、核实公司是否收到了主管部门的认定通知。若被认定为CIIO,则应当进行安全评估。
3. 出境数据是否重要数据?
重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。若出境数据属于重要数据,则触发安全评估路径。
由于目前我国尚未形成全行业统一的重要数据标准,故在重要数据识别时,应先遵循本地区、本部门以及相关行业、领域重要数据的具体类别和详细特征,例如《汽车数据安全管理若干规定》。从数据所属场景开始,对数据规模、数据时效性、数据类型和数据时间精度维度等方面判断。在无具体目录的情况下,公司需考量是否属于特定行业、特定领域、特定群体、特定区域或达到一定精度和规模的数据,同时可以参考《重要数据识别指南》中相关规定,必要时同当地网信部门充分沟通寻求指引。
值得注意的是,根据《重要数据识别指南》的规定,重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。
4. 数据规模是否达到法定要求?
(1)100万、10万、1万:以“人”为单位,而非以“条数”为单位,包括企业内员工、客户、供应商等。数据处理者应在申报材料中明确标注对出境涉及自然人数量是否去重。
(2) 敏感个人信息:一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括生物识别、银行账户、通信记录和内容、金融账户、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等(参见下图)。
如果公司出境的个人信息包含上述内容,有可能会被认定为向境外提供敏感个人信息,若自上年1月1日起累计向境外提供敏感个人信息满1万人的,应当进行安全评估。由于敏感个人信息的认定应根据不同场景具体分析,可以通过改变信息颗粒度,进行脱敏处理,尽可能减少出境敏感个人信息数量,降低企业合规成本。例如,针对员工的地址信息,替换含阿拉伯数字的字符为“*”或将体检信息中具体数值替换为“正常/异常”表示。
(3) 数据累计计算的起始时间:由于《数据出境安全评估办法》作为部门规章并无溯及力,故数据处理者在2022年9月1日之前已经完成的数据出境活动无需计算,但尚未完成的数据出境活动仍需申报,且已出境数据在此后申报中需计入上一年1月1日后的累计出境数量。
(4) 数据计算周期:数据处理者应申报的出境数据应为未来两年的拟出境数据,包括数据规模和涉及自然人数量。对于规模大人数多的企业,个人信息的数量会处于不断变化的状态,建议企业持续动态关注年度累计处理的个人信息数量,如未来两年的拟出境数据可能达到安全评估要求的量级,应提前为申报安全评估做准备。
三、 合规步骤
公司选择以标准合同备案方式进行个人信息出境活动的,可参考以下步骤:
1. 企业内部合规治理体系建设
(1)开展数据跨境评估,包括数据跨境必要性分析,跨境可行性评估,跨境字段最小化评估、跨境安全性评估等。
(2)完善业务模式中个人信息数据采集、存储、出境的合法性基础合规流程,如需个人单独同意的,明确个人单独统一采集程序,充分履行告知义务。
(3)开展个人信息数据调研及盘点工作。通过现有系统查询、与境内外相关方业务访谈等方式,建立企业的个人信息资产清单,包括个人信息主体、类型、数量规模、处理个人信息的系统、系统上下游、是否涉及数据出境、境外接收方、涉及第三方等基础信息。基于个人信息资产清单,开展数据流转分析,识别企业个人信息出境场景并形成个人信息出境场景清单。
2. 整体规划和准备工作
《标准合同办法》已于6月1日生效,给出了6个月的宽限期,即企业必须在11月30日前完成标准合同的签署及备案工作。如逾期未完成备案或备案不通过,可能导致企业被责令终止个人信息出境活动,甚至面临其他行政处罚的风险。
考虑到标准合同的准备工作涉及大量相互交叉的合规工作,并且需要企业内部跨部门、跨职能和跨境的合作与协调,建议公司尽早开始标准合同的规划和准备工作。
3. 开展个人信息保护影响(PIA)评估
关于PIA报告,可参照《个人信息出境标准合同备案指南(第一版)》(《备案指南》)提供的模板。根据《标准合同办法》的要求,境内个人信息处理者在向境外提供个人信息前,应当开展PIA工作并应当在备案之日前3个月内完成,且至备案之日未发生重大变化。
现阶段企业开展PIA评估流程和方法的主要参考依据是《个人信息保护法》《信息安全技术个人信息安全规范》《信息安全技术个人信息安全影响评估指南》。此外,《标准合同办法》第五条也明确了标准合同路径下PIA应当涵盖的评估要点。PIA报告应当至少保存3年,主要包括以下内容:
(1)出境合规性:个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
(2)出境基本情况:出境个人信息的规模、范围、种类、敏感程度, 个人信息出境可能对个人信息权益带来的风险;
(3)境外接收方情况:境外接收方承诺承担的义务,履行义务的管理和技术措施、能力等能否保障出境个人信息的安全,以及境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
(4)出境风险及维权渠道:用户或员工出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险,以及个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等。
4. 同步推进与境外接收方的标准合同签署工作
(1)明确境内签署主体
首先,《标准合同办法》规定标准合同的主体是个人信息处理者和境外接收方。个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的,向境外提供个人信息的组织、个人。需注意,如个人信息处理者委托第三方处理信息,由于该第三方对信息处理的目的和方式无自主决定权,因此该第三方不得作为《标准合同》的签订主体。
其次,《标准合同办法》明确规定,个人信息处理者不得采取数量拆分等手段规避申报数据出境安全评估。如设有多个子公司的集团企业出境个人信息,可参考北京网信办的要求,“标准合同的境内签署主体和备案主体需保持一致,必须是法人实体。如多家独立法人企业同属一家集团公司,可由集团公司作为个人信息出境标准合同备案主体。不具备独立法人资格的分公司不可以备案,需由总部公司进行备案。”
从申报实践来看,集团公司下的不同实体能否由某一特定主体合并申报需要在具体场景中结合实体之间的股权关系、系统关系、业务关系、数据共享和流转关系等因素综合判断。另有观点认为[1],如在境内的多家实体中,有一家实体负责汇聚并出境境内所有实体拟出境的个人信息,而其他实体本身并不从事个人信息出境行为,则该实体可能可以独自与该境外接收方签署《标准合同》,其他实体可能无需再与该境外接收方签署《标准合同》。建议根据企业的组织架构情况,按照便利、统筹的原则与监管部门进行沟通。
(2)不得修改标准合同文本
境内个人信息处理者与境外接收方须严格按照国家网信办提供的《个人信息出境标准合同》模板,对出境个人信息的规模、处理目的等内容进行填充和说明,不得修改合同内容。
企业对标准合同进行补充约定时,也不得与标准合同中的制式条款相冲突。如标准合同与双方此前订立的任何其他法律文件产生冲突,标准合同条款将优先适用。
5. 申报备案及备案材料
公司完成上述工作后,应当在标准合同生效之日起10个工作日内,通过书面材料和电子版材料的方式,向所在地省级网信办备案,同时提交PIA报告。
各地之间的具体备案流程存在差异,故企业需提前熟悉属地网信办的备案要求,以上海网信办为例,企业需先行提交电子版的备案材料发送至指定邮箱,电子版材料查验通过后线下提交书面材料并附带材料电子版。关于标准合同备案的语言版本问题,根据浙江网信办要求,备案时可以提供盖章版本的中英双语标准合同原件,如仅有非中文版本,须同步提交准确的中文译本。
省级网信办收到材料后, 在15个工作日完成材料查验, 并通知企业备案结果。备案结果分为通过和不通过。因此企业在提交备案材料后,仍需做好可能被省级网信部门问询、要求补充材料的准备,甚至可能面临因备案材料不合规而不予通过的风险。
通过备案的, 网信办将向企业发放备案编号; 备案不通过的, 网信办将告知不通过的结果以及原因;网信办要求补充材料的,企业应在10个工作日内重新提交备案。如果企业被多次要求补充完善材料,需注意提交备案材料的时间,如可能会超过3个月的有效期,企业需要补充开展PIA的工作。
需提交的备案材料如下:
| 统一社会信用代码证件 | 影印件加盖公章 | - |
| 法定代表人身份证件 | 影印件加盖公章 | - |
| 经办人身份证件 | 影印件加盖公章 | - |
| 经办人授权委托书 | 原件,模板可参考《备案指南》附件2 | 经办人应为个人信息处理者单位内部工作人员,授权期应覆盖整个备案期 |
| 承诺书 | 原件,模板可参考《备案指南》附件3 | - |
| 标准合同 | 原件,模板可参考《备案指南》附件4 | 必须订立且不得修改,补充条款不得与标准合同内容冲突 |
| 个人信息保护影响评估报告 | 原件,模板可参考《备案指南》附件5 | - |
6. 持续关注个人信息出境情况,注意重新备案或变更数据出境途径
在标准合同有效期内,如果出现以下任何一种情形时,公司应当重新开展PIA,补充或者重新与境外接收方签署标准合同,并重新履行相应的备案手续:
(1)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化, 或者延长个人信息境外保存期限的;
(2)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
(3)可能影响个人信息权益的其他情形。
企业应持续监控个人信息跨境传输活动,在发生变动时需评估是否需要重新告知个人信息主体并取得单独同意。同时,由于个人信息出境数量是累计计算的,随着企业的运营,拟出境的个人信息也随之动态变化,如触发安全评估条件,则公司应当开启安全评估申报工作,不得用标准合同备案方式替代。
四、 法律责任
《标准合同办法》第11条规定,“省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改,消除隐患。”
《标准合同办法》第12条规定, “违反本办法规定的,依据《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。”
《个人信息保护法》规定的法律后果包括责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
[1] 《个人信息出境标准合同》常见问题(一) https://mp.weixin.qq.com/s/z0X_hckA455yRCUKjZMZyw
