《个人信息出境标准合同办法》已自2023年6月1日起施行。由于适用该路径进行个人信息出境合规工作的企业众多,安杰世泽律师事务所数据及网络安全法律团队特撰写 “《个人信息出境标准合同》常见问题”专题系列文章,对企业开展此项工作进行答疑解惑。
Part 1 适用场景
Q1、什么是《标准合同》?
答:
《标准合同》的正式名称为《个人信息出境标准合同》。《标准合同》是由国家互联网信息办公室(“网信办”)制定发布的一套标准化合同条款,符合规定条件的中国境内个人信息处理者可以通过与境外接收方签署《标准合同》的方式向境外提供个人信息,保障出境个人信息的安全。
Q2、《标准合同》适用于哪些主体?
答:
并非所有中国境内的个人信息处理者均可通过与境外接收方订立《标准合同》的方式向境外提供个人信息。个人信息处理者采取《标准合同》向境外提供个人信息的,应当同时符合下列情形:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供个人信息不满10万人的;
(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
对于未同时符合上述全部条件的主体,如需向中国境外提供个人信息,则需要按照《数据出境安全评估办法》的要求,事先向网信办申报数据出境安全评估。
Q3、《标准合同》是否有替代方案?
答:
对于不需要进行网信办数据出境安全评估的个人信息出境活动,除订立《标准合同》外,个人信息处理者也可通过获得个人信息保护认证的方式,确保个人信息出境活动的合法性。但该认证目前仅适用于跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动。
Q4、使用《标准合同》的优势是什么?
答:
从目前情况来看,与个人信息保护认证路径相比,《标准合同》路径涉及的工作量会少一些。
Q5、若订立《标准合同》后,出境个人信息数量/规模增加,不再满足问题2描述的适用条件,我们是否还可继续依赖已订立的《标准合同》来确保个人信息出境的合法性?
答:
不能。公司需要向网信办申报并通过其组织的数据出境安全评估,不能继续依赖已订立的《标准合同》。
Part 2落实《标准合同》所需工作
Q6、落实《标准合同》需要做哪些工作?
答:
落实标准合同相关要求所需工作大体上包括:
第一步:对个人信息出境活动进行盘点和梳理;
第二步:按照《个人信息标准合同备案指南(第一版)》要求,开展个人信息保护影响评估,对发现的问题和风险进行整改并完成评估报告;
第三步:与境外接收方签署《标准合同》;
第四步:按照《个人信息标准合同备案指南(第一版)》要求,向省级网信办提交签订生效的《标准合同》、个人信息保护影响评估报告等文件,并完成备案手续。
Q7、完成上述工作的期限是什么?
答:
《个人信息出境标准合同办法》在2023年6月1日生效。对于在此日期之前开展的个人信息出境活动,《个人信息出境标准合同办法》规定了6个月的整改宽限期。对于在6月1日后继续开展此前进行的个人信息出境活动的个人信息处理者,需要在2023年11月30日之前完成上述工作。
对于在2023年6月1日后新向境外提供个人信息的情形,个人信息出境方需要在个人信息出境前完成上述第一至第三步,并在《标准合同》生效后10个工作日内(并且在个人信息保护影响评估工作完成之后的3个月内)进行第四步。
需要注意的是,《个人信息出境标准合同办法》、《个人信息标准合同备案指南(第一版)》均未对上述6个月的整改宽限期作出进一步说明。目前尚不确定“整改完成”的判断标准是境内外双方已订立《标准合同》并生效,还是已取得网信办的正式备案。
Part 3《标准合同》的内容
Q8、对于境外接收方而言,《标准合同》中哪些条款值得注意?
答:
对于境外接收方来说,《标准合同》中的以下条款值得注意:
(1)个人信息主体是《标准合同》下的第三方受益人
个人信息主体作为第三方受益人,可以直接向境外接收方行使其相关权利,并对境外接收方提起诉讼。
(2)个人信息出境方有权对境外接收方进行审计
根据《标准合同》,个人信息出境方有权查阅境外接收方的必要数据和相关文件,并对境外接收方的个人信息处理活动进行审计。中国监管机构可以根据相关法律法规,查阅个人信息出境方所获取的数据、文件、和审计结果。
(3)配合中国监管机构的询问和检查
根据《标准合同》,境外接收方需同意接受中国监管机构的监督管理,包括但不限于答复中国监管机构询问、配合其检查、服从其采取的措施或者作出的决定、提供已采取必要行动的书面证明等。
(4)适用法律与管辖
《标准合同》适用中国法律,缔约方可选择以下争议解决方式:
向中国境内有管辖权的法院提起诉讼;或
将争议提交承认《承认及执行外国仲裁裁决公约》成员的仲裁机构进行仲裁。
个人信息主体是《标准合同》的第三方受益人,可按照《中华人民共和国民事诉讼法》向有管辖权的人民法院提起诉讼。
Q9、是否可以对《标准合同》进行修改?
答:
不可以。签订方不得对《标准合同》条款进行修改,但是需要在《标准合同》及其附件中补充关于个人信息出境场景的具体信息。
Part 4 对于BCRs和全球跨境传输协议的影响
Q10、我们已有了符合GDPR要求的BCRs,是否还需要签署《标准合同》?
答:
GDPR下的BCRs不能替代中国法律框架下的《标准合同》。尽管GDPR下的BCRs合规框架与中国法下的《标准合同》有相似之处,但也存在一定差异。这些差异主要体现在以下方面:所需信息的详细程度、处理个人信息的合法基础、允许个人信息出境的情形、向监管部门的报告义务以及影响评估的触发条件等。
Q11、我们已经签署了全球数据传输协议,是否还需要再签署《标准合同》?
答:
是的。这类全球数据传输协议不能替代中国法下的《标准合同》。
Q12、我们是否能通过修改现有全球数据传输协议,使其实质上涵盖中国《标准合同》的条款,从而满足合规要求?
答:
不可以。虽然有一些观点认为这种混合的做法不会改变《标准合同》的实质内容,但考虑到签署后的《标准合同》需要提交给出境方所在地的省级网信办进行备案,我们认为《标准合同》需要作为一个完整的文件签署和提交备案,否则有不被网信办接受的风险。
Q13、是否可以将《标准合同》作为附件补充到我们的全球数据传输协议中?
答:
可以,但需要注意,即使《标准合同》作为全球传输协议的附件,出境方也仍然需要将签署生效后的《标准合同》本身提交所在地省级网信办备案。
Q14、如果《标准合同》与各方签署的其他法律文件存在冲突,应该如何确定法律文件适用的优先级?
答:
根据《标准合同》的规定,在与其他法律文件发生冲突时,应当优先适用《标准合同》的条款。
Part 5《标准合同》的签订方
对于这类问题,网信办尚未颁布更详尽的指引。我们仅列出我们预测的情况:
Q15、我们在中国境内有多个实体,是否每个实体都需要与境外接收方签署《标准合同》?
答:
如果中国境内的每个实体都独立向一个境外接收方提供个人信息,并且符合适用《标准合同》的条件,则每个中国境内的个人信息出境方均需要与该境外接收方分别签署《标准合同》。但请注意,若多个中国境内实体出境个人信息的总量可能触发数据出境安全评估,我们建议进一步谨慎判断,并选择合法的个人信息出境路径。
如果在中国境内的多家实体中,有一家实体负责汇聚境内所有实体拟出境的个人信息,再由该实体来完成个人信息出境,而其他实体本身并不从事个人信息出境行为,则该实体可能可以独自与该境外接收方签署《标准合同》,其他实体可能无需再与该境外接收方签署《标准合同》。
需要注意的是,北京网信办于2023年6月2日发布了《北京市个人信息出境标准合同备案指引》,其中规定了“如多家独立法人企业同属一家集团公司,可由集团公司作为《标准合同》备案主体。分公司不具备独立法人,不可代替总部或子公司备案”。但这是否意味着多家境内关联公司可以授权一家公司来与境外接收方签署一份《标准合同》、提供一份个人信息保护影响评估报告,仍有待澄清。
Q16、作为一家中国境内的公司,我们出境的个人信息可能提供给多个与我们没有关联关系的境外接收方。我们是否需要与每个境外接收方分别签署《标准合同》?
答:
是的。
Q17、作为一家中国境内的公司,我们隶属于一家跨国集团公司,我们向多个境外关联公司提供个人信息,我们是否需要与每个关联公司分别签署《标准合同》?
答:
如果境外关联公司中,有一家核心实体(例如全球总部公司)在境外接收个人信息,并向其他境外关联公司赋予相关系统或数据的访问权限,那么境内个人信息出境方可能只需要与该核心境外关联公司签署《标准合同》;其他境外关联公司需要在《标准合同》作为“境外第三方”进行披露,但可能无需与境内企业另行签署《标准合同》。
Q18、多个中国境内实体是否可以和多个境外接收方共同签署一份《标准合同》?
答:
从《标准合同》的条款设计情况来看,并不支持多方签署同一份《标准合同》。企业是否可以对《标准合同》加以适当改造来允许多方签署,仍有待网信办明确。我们倾向于认为这种做法可能无法得到网信办认可,因此不建议采取这种做法。
Q19、境外接收方是否需要披露转委托第三方处理个人信息的情况?
答:
根据《标准合同》中的相关条款,对接受境内个人信息出境方委托处理个人信息的情形,境外接收方必须在转委托第三方处理前,事先征得个人信息出境方的同意。但是目前尚不清楚是否需要在《标准合同》中将转委托处理者作为“境外第三方”进行披露。
Part 6 个人信息保护影响评估(“影响评估”)
Q20、我们已根据GDPR的要求开展过PIA或DPIA,是否还需要再进行影响评估?
答:
根据我们的观察,依照GDPR要求进行的PIA或DPIA通常不能满足《标准合同》对于影响评估的要求。我们认为仍需要在上述PIA或DPIA成果的基础上补充较多内容,或需要另外单独开展影响评估。
Q21、影响评估中必须涵盖哪些事项?
答:
网信办已发布了《个人信息出境标准合同备案指南(第一版)》,其中的《个人信息保护影响评估报告(模板)》对影响评估的格式、结构、具体评估事项和需要提供的信息等提出了较为具体的要求。个人信息出境方在开展影响评估时,需要严格按照《个人信息保护影响评估报告(模板)》的要求填写相关信息、说明相关情况。总的来说,影响评估应当包括以下各方面的内容:
评估工作简述;
个人信息处理者基本情况;
个人信息出境涉及业务和信息系统情况;
拟出境个人信息情况;
个人信息处理者个人信息保护能力情况;
境外接收方情况;
个人信息处理者认为需要说明的其他情况;
个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;
境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
境外接收方所在国家或者地区的个人信息保护政策和法规对《标准合同》履行的影响;
其他可能影响个人信息出境安全的事项;
出境活动影响评估结论。
Part 7 法律责任
Q22、未签署《标准合同》将面临哪些法律责任?
答:
尽管中国法律对于未能签署《标准合同》本身未规定具体法律责任,但《个人信息保护法》规定个人信息出境方需要满足一些条件才能向境外提供个人信息,其中包括签署《标准合同》。因此,未能签署《标准合同》理论上可能触发《个人信息保护法》的法律责任,包括责令改正、警告、没收违法所得、责令暂停或者终止提供服务、停业整顿、吊销营业执照、处以五千万元以下或者上一年度营业额百分之五以下罚款。
Part 8《标准合同》的更新
Q23、什么情况下需要更新或重新签署《标准合同》?
答:
如果出现以下情况,需要补充或重新签署《标准合同》:
向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;或
可能影响个人信息主体权益的其他情形。
《个人信息出境标准合同》常见问题(一)
作者:杨洪泉来源:安杰世泽律师事务所

《个人信息出境标准合同办法》已自2023年6月1日起施行。