作者丨陳際紅 陳煜烺 林婉琪 張媛媛
2023年2月24日,國(guó)家網(wǎng)信辦發(fā)布《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》(以下簡(jiǎn)稱“《辦法》”)及其附件《個(gè)人信息出境標(biāo)準(zhǔn)合同》(以下簡(jiǎn)稱“《標(biāo)準(zhǔn)合同》”),并于6月1日正式實(shí)施。正式稿塵埃落定,也意味著繼《數(shù)據(jù)出境安全評(píng)估辦法》、《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0》(以下簡(jiǎn)稱“《認(rèn)證規(guī)范》”)后,《個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱“《個(gè)保法》”)第三章所確立的個(gè)人信息跨境傳輸三大機(jī)制正式落地。
整體上,本次正式稿沿用了《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定(征求意見稿)》的立法理念、規(guī)則框架以及監(jiān)管模式,關(guān)于此部分的解讀,請(qǐng)見此前文章:
中國(guó)版標(biāo)準(zhǔn)合同條款揭開面紗,能否成為個(gè)人信息出境的通途(一)?
中國(guó)版標(biāo)準(zhǔn)合同條款揭開面紗,能否成為個(gè)人信息出境的通途(二)?
本文將就企業(yè)應(yīng)對(duì)《辦法》的相關(guān)焦點(diǎn)問題進(jìn)行解讀,并結(jié)合我們的跨境項(xiàng)目經(jīng)驗(yàn),為企業(yè)提供具有針對(duì)性的實(shí)操應(yīng)對(duì)方案。
一、如何適配三種數(shù)據(jù)跨境傳輸機(jī)制?三種數(shù)據(jù)跨境機(jī)制有何差別?
針對(duì)個(gè)人信息及重要數(shù)據(jù)[1]出境活動(dòng),《個(gè)保法》《數(shù)據(jù)出境安全評(píng)估辦法》確立了“申報(bào)安全評(píng)估”“訂立標(biāo)準(zhǔn)合同并備案”“開展個(gè)人信息保護(hù)認(rèn)證”三種數(shù)據(jù)跨境傳輸機(jī)制,結(jié)合我們?cè)诖罅靠缇稠?xiàng)目中的實(shí)戰(zhàn)經(jīng)驗(yàn),建議企業(yè)在適配出境機(jī)制時(shí)可遵循“兩步走”原則,第一步為識(shí)別法定觸發(fā)場(chǎng)景,第二步為選擇最佳出境機(jī)制。
第一步:識(shí)別法定觸發(fā)場(chǎng)景
企業(yè)應(yīng)首先識(shí)別出境場(chǎng)景是否屬于依法需申報(bào)安全評(píng)估的情形,如觸發(fā),則直接選擇申報(bào)安全評(píng)估作為出境機(jī)制。需注意,企業(yè)不得采取數(shù)量拆分等手段規(guī)避安全評(píng)估的申報(bào)(《辦法》第四條)。
第二步:選擇最佳出境機(jī)制
如未觸發(fā)申報(bào)安全評(píng)估,則可進(jìn)入第二步,結(jié)合本次出境所涉及的業(yè)務(wù)活動(dòng)及數(shù)據(jù)情況,針對(duì)性地選擇最佳出境機(jī)制,即訂立《標(biāo)準(zhǔn)合同》或開展個(gè)人信息保護(hù)認(rèn)證。具體可參考如下因素:
一是考慮個(gè)人信息出境活動(dòng)的期限和頻次。對(duì)于短期、臨時(shí)性的個(gè)人信息出境行為,或跨境交易中場(chǎng)景清晰的個(gè)人信息出境,作為基礎(chǔ)性機(jī)制,《標(biāo)準(zhǔn)合同》具有時(shí)效快(合同生效后即可出境)、成本低的優(yōu)點(diǎn),適合企業(yè)在開展跨境業(yè)務(wù)時(shí),將其作為附件與業(yè)務(wù)活動(dòng)的主合作協(xié)議一并進(jìn)行磋商、簽署,而無需第三方認(rèn)證機(jī)構(gòu)介入。
二是考慮開展個(gè)人信息出境活動(dòng)的主體。針對(duì)集團(tuán)關(guān)聯(lián)公司之間的跨境傳輸,鑒于集團(tuán)關(guān)聯(lián)公司間的業(yè)務(wù)關(guān)系較為穩(wěn)定,制定并遵循統(tǒng)一的個(gè)人信息跨境處理規(guī)則較易實(shí)現(xiàn),采用個(gè)人信息保護(hù)認(rèn)證的方式有助于“一攬子”解決多個(gè)境內(nèi)實(shí)體的出境問題。此外,以跨境活動(dòng)作為產(chǎn)業(yè)生態(tài)鏈的企業(yè),亦宜選擇個(gè)人信息保護(hù)認(rèn)證作為出境機(jī)制。
具體見下圖:
針對(duì)三種跨境機(jī)制,其主要差別如下表:
二、相比征求意見稿,正式稿有哪些核心變化?
針對(duì)《辦法》,正式稿主要有如下核心變化:
-
進(jìn)一步強(qiáng)調(diào)與申報(bào)安全評(píng)估的分野,并新增例外情形。正式稿新增了禁止個(gè)人信息處理者采取數(shù)量拆分等手段規(guī)避申報(bào)安全評(píng)估的規(guī)定,并就《標(biāo)準(zhǔn)合同》的適用范圍增加了“法律、行政法規(guī)或者國(guó)家網(wǎng)信部門另有規(guī)定的,從其規(guī)定”的例外規(guī)定。(《辦法》第四條)
-
明確《標(biāo)準(zhǔn)合同》文本不可修改。締約雙方可以約定與《標(biāo)準(zhǔn)合同》不相沖突的其他條款,但不得修改《標(biāo)準(zhǔn)合同》文本;同時(shí),國(guó)家網(wǎng)信部門有權(quán)對(duì)《標(biāo)準(zhǔn)合同》文本進(jìn)行調(diào)整。(《辦法》第六條)
-
新增重新開展個(gè)人信息保護(hù)影響評(píng)估的義務(wù)。如觸發(fā)法定事項(xiàng),除征求意見稿所明確的“補(bǔ)充或重新訂立《標(biāo)準(zhǔn)合同》并重新備案”外,正式稿提出個(gè)人信息處理者還應(yīng)重新開展個(gè)人信息保護(hù)影響評(píng)估。(《辦法》第八條)
-
新增“約談并要求整改”的風(fēng)險(xiǎn)控制手段。正式稿新增規(guī)定,對(duì)于個(gè)人信息出境活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件時(shí),網(wǎng)信辦可以采取約談手段,并要求個(gè)人信息處理者相應(yīng)整改以消除隱患。(《辦法》第十一條)
-
新增6個(gè)月整改期限。正式稿明確《辦法》自2023年6月1日起施行,此前已經(jīng)開展的個(gè)人信息出境活動(dòng),不符合《辦法》規(guī)定的,應(yīng)自施行之日起6個(gè)月內(nèi)完成整改。(《辦法》第十三條)
針對(duì)《標(biāo)準(zhǔn)合同》,正式稿主要有如下核心變化:
-
明確單獨(dú)同意僅適用于以同意為合法性基礎(chǔ)的處理活動(dòng)。《個(gè)保法》出臺(tái)以后,關(guān)于“單獨(dú)同意”與合法性基礎(chǔ)的爭(zhēng)論方興未艾,此次《標(biāo)準(zhǔn)合同》第二條第(三)項(xiàng)正式明確“基于同意向境外提供個(gè)人信息的”,才需取得單獨(dú)同意。
-
調(diào)整締約雙方協(xié)助義務(wù),明確以境內(nèi)數(shù)據(jù)處理者為抓手,監(jiān)管境外個(gè)人信息處理活動(dòng)。如《標(biāo)準(zhǔn)合同》第二條第(七)項(xiàng)刪除征求意見稿中關(guān)于境外接收方答復(fù)監(jiān)管機(jī)構(gòu)詢問的例外情形,進(jìn)一步體現(xiàn)以境內(nèi)處理者作為監(jiān)管抓手的趨勢(shì)。
-
貼合企業(yè)實(shí)踐,在合規(guī)的前提下提供更靈活的義務(wù)履行方式。如《標(biāo)準(zhǔn)合同》第二條第(九)項(xiàng)及第三條第(三)項(xiàng)將“遮蔽處理”調(diào)整“適當(dāng)處理”;第三條第(五)項(xiàng)將“刪除或匿名化處理”調(diào)整為“應(yīng)當(dāng)刪除,如刪除從技術(shù)上難以實(shí)現(xiàn),應(yīng)停止除存儲(chǔ)和采取必要安全保護(hù)措施之外的處理”。
-
對(duì)標(biāo)《個(gè)保法》等適用法律法規(guī)調(diào)整境外接收方的合同權(quán)利與義務(wù),增加“目的限定”“最小必要”等原則的落實(shí)。如《標(biāo)準(zhǔn)合同》第三條下新增要求“境外接收方受托處理個(gè)人信息不得超出約定的處理目的、處理方式”;第(四)項(xiàng)新增要求“境外接收方采取對(duì)個(gè)人權(quán)益影響最小的方式處理”。
-
調(diào)整合同解除情形。《標(biāo)準(zhǔn)合同》第七條新增因境外接收方所在國(guó)或地區(qū)政策或法規(guī)變化導(dǎo)致無法履約的合同解除情形;刪除了境外接收方破產(chǎn)、解散或清算及因監(jiān)管機(jī)構(gòu)原因?qū)е碌暮贤獬樾巍?
-
調(diào)整責(zé)任形式。《標(biāo)準(zhǔn)合同》第八條刪除了征求意見稿中繁雜的責(zé)任分配機(jī)制,明確連帶責(zé)任需依法確定,并提出“對(duì)外連帶,對(duì)內(nèi)按份”的歸責(zé)原則。
除上述核心變化外,我們?cè)诖饲暗姆治鲋性敿?xì)對(duì)比了正式稿與征求意見稿的區(qū)別,具體請(qǐng)見:修改對(duì)比及要點(diǎn)速覽 |《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》發(fā)布[2] 。
三、《標(biāo)準(zhǔn)合同》為個(gè)人信息處理者和境外接收方設(shè)定了哪些義務(wù)?
《標(biāo)準(zhǔn)合同》為個(gè)人信息處理者和境外接收方設(shè)定了一系列義務(wù),經(jīng)梳理,主要包括1)處理活動(dòng)的透明性、合法性、必要性及其他限制;2)個(gè)人信息安全保障;3)個(gè)人信息權(quán)益保護(hù);4)合同履行的協(xié)助義務(wù)和舉證責(zé)任;5)接受監(jiān)管及信息透明義務(wù)五個(gè)方面,具體如下:
(一)處理活動(dòng)的透明性、合法性、必要性及其他限制
(二)個(gè)人信息安全保障
(三)個(gè)人信息權(quán)益保護(hù)
(四)合同履行的協(xié)助義務(wù)和舉證責(zé)任
(五)接受監(jiān)管與信息透明義務(wù)
四、如何開展個(gè)人信息保護(hù)影響評(píng)估(PIA)?
《個(gè)保法》第五十五條設(shè)定了個(gè)人信息處理者在向境外提供個(gè)人信息前事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估(Personal Information Protection Impact Assessment,以下或稱“PIA”),并對(duì)處理情況進(jìn)行記錄的義務(wù),但該義務(wù)相對(duì)具有內(nèi)部性,企業(yè)往往對(duì)此項(xiàng)合規(guī)工作的“優(yōu)先級(jí)”不夠重視。此次《辦法》第七條將個(gè)人信息保護(hù)影響評(píng)估報(bào)告作為備案標(biāo)準(zhǔn)合同時(shí)必須提交的材料之一,這實(shí)際上意味著網(wǎng)信部門針對(duì)個(gè)人信息跨境場(chǎng)景下的PIA(以下簡(jiǎn)稱“跨境PIA”)已有監(jiān)管抓手。
具體而言,企業(yè)可按照如下方式開展跨境PIA:
1. 以《個(gè)保法》及《個(gè)人信息安全影響評(píng)估指南》為依據(jù),搭建PIA基礎(chǔ)制度。
實(shí)踐中,企業(yè)多以2020年11月發(fā)布的GB/T39335-2020《信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南》(以下簡(jiǎn)稱“《個(gè)人信息安全影響評(píng)估指南》”)作為開展PIA的主要參考。我們理解,《個(gè)人信息安全影響評(píng)估指南》作為普適性指南,可支撐企業(yè)搭建基礎(chǔ)PIA制度。但《個(gè)人信息安全影響評(píng)估指南》發(fā)布于《個(gè)保法》出臺(tái)之前,且其附錄A中明確“個(gè)人信息出境場(chǎng)景的評(píng)估可參照有關(guān)國(guó)家標(biāo)準(zhǔn)執(zhí)行”,因而還需結(jié)合其他相關(guān)標(biāo)準(zhǔn)、規(guī)范,確定跨境PIA的具體評(píng)估要點(diǎn)。
2. 結(jié)合《個(gè)保法》《辦法》《認(rèn)證規(guī)范》《數(shù)據(jù)出境安全評(píng)估辦法》的要求,就跨境PIA的主要評(píng)估內(nèi)容事先進(jìn)行準(zhǔn)備。
目前,監(jiān)管部門尚未發(fā)布《標(biāo)準(zhǔn)合同》路徑下的跨境PIA報(bào)告模板。在具體模板出臺(tái)前,企業(yè)可結(jié)合《個(gè)保法》《辦法》《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0》(以下簡(jiǎn)稱“《認(rèn)證規(guī)范》”)《數(shù)據(jù)出境安全評(píng)估辦法》的要求,就PIA的主要評(píng)估內(nèi)容事先進(jìn)行準(zhǔn)備。前述文件對(duì)PIA評(píng)估要點(diǎn)的列舉具體如下表所示。
PIA評(píng)估要點(diǎn)對(duì)比表(實(shí)質(zhì)性差異以藍(lán)色字體標(biāo)注)
經(jīng)對(duì)比,三種出境路徑下的評(píng)估要點(diǎn)相對(duì)具有一致性,企業(yè)可暫時(shí)以網(wǎng)信部門發(fā)布的《數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估報(bào)告(模板)》為底稿開展PIA,但需注意:
1) 評(píng)估范圍僅限于個(gè)人信息,重點(diǎn)應(yīng)側(cè)重于個(gè)人信息出境活動(dòng)對(duì)個(gè)人信息主體權(quán)益的影響;
2) 無需再評(píng)估法律合同是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù);
3) 對(duì)境外接收方法律環(huán)境的評(píng)估應(yīng)著重考慮其對(duì)標(biāo)準(zhǔn)合同履行的影響。
我們理解,企業(yè)可結(jié)合《標(biāo)準(zhǔn)合同》第四條第(二)項(xiàng)及《認(rèn)證規(guī)范》第5.4條e)項(xiàng)確定前述第3)點(diǎn)的具體評(píng)估內(nèi)容。此外,歐盟就依據(jù)標(biāo)準(zhǔn)合同作為數(shù)據(jù)跨境傳輸保障機(jī)制時(shí)應(yīng)進(jìn)行的數(shù)據(jù)跨境傳輸評(píng)估(Transfer Impact Assessment,以下或稱“TIA”)同樣涉及對(duì)第三國(guó)法律環(huán)境的評(píng)估。由于歐盟標(biāo)準(zhǔn)合同機(jī)制與我國(guó)標(biāo)準(zhǔn)合同機(jī)制均追求同等保護(hù)標(biāo)準(zhǔn),具有相同的價(jià)值取向,故TIA提出的關(guān)于第三國(guó)法律環(huán)境的評(píng)估因素,也可作為企業(yè)評(píng)估境外接收方所在國(guó)家或地區(qū)法律環(huán)境的參考。前述文件對(duì)法律環(huán)境評(píng)估要點(diǎn)如下表所示。
法律環(huán)境評(píng)估要點(diǎn)對(duì)比表
此外,雖然《辦法》第五條第(五)項(xiàng)將法律環(huán)境評(píng)估范圍限定為“個(gè)人信息”相關(guān),但我們理解境外接收方所在國(guó)家或地區(qū)的網(wǎng)絡(luò)安全及域外管轄相關(guān)法律環(huán)境等也可能對(duì)合同履行產(chǎn)生影響,如是否存在相關(guān)阻斷法律適用規(guī)定、境外司法或監(jiān)管機(jī)構(gòu)是否有可能認(rèn)定以中國(guó)法為準(zhǔn)據(jù)法的合同無效等。
五、締約雙方是否可修改《標(biāo)準(zhǔn)合同》條款的文本?
根據(jù)《辦法》第六條,《標(biāo)準(zhǔn)合同》應(yīng)當(dāng)嚴(yán)格按照《辦法》附件文本進(jìn)行訂立,締約雙方不得更改現(xiàn)有合同文本,但可約定與《標(biāo)準(zhǔn)合同》不相沖突的其他條款。這意味著過去企業(yè)希望在既有數(shù)據(jù)出境合同中以新增條款的形式涵蓋《標(biāo)準(zhǔn)合同》要點(diǎn)的做法,可能無法滿足《辦法》的要求,企業(yè)必須按照《標(biāo)準(zhǔn)合同》文本進(jìn)行簽署,在此之外可約定補(bǔ)充條款??梢?,《標(biāo)準(zhǔn)合同》作為一種納入強(qiáng)監(jiān)管的合同,極大地限縮了合同意思自治的空間,以確保同等保護(hù)標(biāo)準(zhǔn)的實(shí)現(xiàn)。
值得一提,根據(jù)《辦法》第六條第一款,國(guó)家網(wǎng)信部門有權(quán)進(jìn)一步調(diào)整《標(biāo)準(zhǔn)合同》的文本。由于締約雙方不可更改文本,一旦調(diào)整,企業(yè)可能會(huì)面臨新版本《標(biāo)準(zhǔn)合同》的換簽問題。此等“預(yù)留修訂空間”的規(guī)定在我國(guó)部門規(guī)章層級(jí)中并不多見。我們理解,本次《標(biāo)準(zhǔn)合同》正式發(fā)布的大背景在于盡快落實(shí)“跨境三件套”,以確保我國(guó)跨境機(jī)制監(jiān)管的全面落地和實(shí)施。在此背景下,我國(guó)對(duì)于《標(biāo)準(zhǔn)合同》的出境路徑仍處于探索階段;即使是在國(guó)際上,歐盟委員會(huì)亦根據(jù)企業(yè)所面臨的數(shù)據(jù)跨境傳輸實(shí)踐,對(duì)已施行近二十年的SCCs進(jìn)行調(diào)整,并于2021年適時(shí)頒布了新版GDPR SCCs。據(jù)此,“預(yù)留修訂空間”實(shí)乃本土實(shí)踐及國(guó)際經(jīng)驗(yàn)的應(yīng)有之義。此外,從跨國(guó)企業(yè)的實(shí)踐來看,在規(guī)章層面作出此等明文規(guī)定,亦有益于企業(yè)在與境外接收方磋商換簽事宜時(shí)提出“調(diào)整合同文本系中國(guó)法所明確要求”,以降低溝通成本,幫助企業(yè)更順利地推進(jìn)出境合同的訂立和實(shí)施。
六、如何理解備案管理機(jī)制?監(jiān)管部門會(huì)對(duì)出境活動(dòng)做實(shí)質(zhì)性審查嗎?
與《數(shù)據(jù)出境安全評(píng)估辦法》所確立的事前審查機(jī)制不同,《辦法》所要求的備案程序是一種事后機(jī)制,目的是為了在不影響正常業(yè)務(wù)活動(dòng)的同時(shí)將跨境個(gè)人信息處理活動(dòng)納入監(jiān)管機(jī)構(gòu)的視野,并對(duì)監(jiān)管機(jī)構(gòu)保持透明性。針對(duì)高風(fēng)險(xiǎn)或違規(guī)出境活動(dòng),才會(huì)進(jìn)一步采取約談等監(jiān)管手段,或課以行政處罰。
根據(jù)《辦法》第六條、第七條,企業(yè)在開展個(gè)人信息保護(hù)影響評(píng)估并經(jīng)《標(biāo)準(zhǔn)合同》生效后,即可開展個(gè)人信息出境活動(dòng),但個(gè)人信息處理者應(yīng)當(dāng)在《標(biāo)準(zhǔn)合同》生效之日起10個(gè)工作日內(nèi)向所在地省級(jí)網(wǎng)信部門備案,并提交《標(biāo)準(zhǔn)合同》文本及個(gè)人信息保護(hù)影響評(píng)估報(bào)告。
此外,《辦法》第八條規(guī)定,當(dāng)個(gè)人信息出境活動(dòng)發(fā)生實(shí)質(zhì)性變化時(shí),需重新開展個(gè)人信息保護(hù)影響評(píng)估,補(bǔ)充或者重新訂立《標(biāo)準(zhǔn)合同》,并重新備案。具體而言,“實(shí)質(zhì)性變化”即指出境活動(dòng)發(fā)生了可能影響個(gè)人信息權(quán)益的情形,具體包括:
-
事實(shí)變化:境外提供個(gè)人信息的目的、范圍、種類、敏感程度、方式、保存地點(diǎn)或者境外接收方處理個(gè)人信息的用途、方式發(fā)生變化,或者延長(zhǎng)個(gè)人信息境外保存期限;
-
法律變化:境外接收方所在國(guó)家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)發(fā)生變化等可能影響個(gè)人信息權(quán)益;
-
其他可能影響個(gè)人信息權(quán)益的變化。
具體備案及重新備案流程如下圖:
七、6個(gè)月整改期內(nèi),企業(yè)有哪些To-Do-List?
第一,全面識(shí)別數(shù)據(jù)出境場(chǎng)景,適配數(shù)據(jù)出境機(jī)制。企業(yè)應(yīng)首先全量梳理業(yè)務(wù)活動(dòng)中所涉及的數(shù)據(jù)出境場(chǎng)景,明確是否構(gòu)成特殊主體(關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者),盤點(diǎn)所出境的數(shù)據(jù)資產(chǎn),準(zhǔn)確統(tǒng)計(jì)跨境傳輸?shù)臄?shù)量(如涉及個(gè)人信息),并適配相應(yīng)數(shù)據(jù)出境機(jī)制(適配方案具體見“一、如何適配三種數(shù)據(jù)跨境傳輸機(jī)制?”)。
第二,積極推動(dòng)訂立《標(biāo)準(zhǔn)合同》的簽署工作,銜接現(xiàn)有出境合同文本(如有)。實(shí)踐中,如何“說服”境外接收方同意訂立《標(biāo)準(zhǔn)合同》往往成為該等出境機(jī)制落實(shí)過程中的關(guān)鍵。建議可考慮法律合規(guī)性和業(yè)務(wù)必要性等因素進(jìn)行磋商,并引入第三方律所等專業(yè)人士對(duì)于《標(biāo)準(zhǔn)合同》的重點(diǎn)內(nèi)容進(jìn)行說明和闡釋,以最大程度提高境外接收方就《標(biāo)準(zhǔn)合同》文本達(dá)成共識(shí)的效率。此外,針對(duì)已部署GDPR SCCs等出境合同文本的跨國(guó)公司,還需考慮如何與現(xiàn)有文本相銜接(具體見“九、《標(biāo)準(zhǔn)合同》與GDPR SCCs有哪些區(qū)別?已建立GDPR SCCs的企業(yè)應(yīng)如何應(yīng)對(duì)?”)。
第三,開展個(gè)人信息保護(hù)影響評(píng)估。關(guān)于開展個(gè)人信息保護(hù)影響評(píng)估的具體要求,請(qǐng)見“四、如何開展個(gè)人信息保護(hù)影響評(píng)估?”。
第四,開展合規(guī)整改。需根據(jù)個(gè)人信息保護(hù)影響評(píng)估的情況,針對(duì)個(gè)人信息處理者及境外接收方的合規(guī)差距,制定合規(guī)整改計(jì)劃表,并推進(jìn)整改工作。包括但不限于起草隱私政策等告知文本,制定同意/其他合法性基礎(chǔ)方案,設(shè)計(jì)產(chǎn)品交互界面(如需),落實(shí)行權(quán)響應(yīng)機(jī)制,采取管理措施和技術(shù)措施,并逐項(xiàng)審查落實(shí)《標(biāo)準(zhǔn)合同》為締約雙方設(shè)定的義務(wù)清單等。
第五,開展《標(biāo)準(zhǔn)合同》及個(gè)人信息保護(hù)影響評(píng)估報(bào)告的備案工作。關(guān)于備案的具體要求,請(qǐng)見“六、如何理解備案管理機(jī)制?”
第六,建立企業(yè)內(nèi)部數(shù)據(jù)跨境的長(zhǎng)效合規(guī)機(jī)制,包括但不限于數(shù)據(jù)跨境合規(guī)管理手冊(cè)及定期評(píng)估機(jī)制。通過建立數(shù)據(jù)跨境合規(guī)管理手冊(cè),為業(yè)務(wù)部門提供個(gè)人信息跨境場(chǎng)景的識(shí)別指引及不同跨境機(jī)制下的適配方案,并就合規(guī)開展數(shù)據(jù)跨境傳輸提供具體指引,例如是否履行透明性要求并具備合法性基礎(chǔ),是否建立行權(quán)機(jī)制、是否建立數(shù)據(jù)安全事件響應(yīng)機(jī)制等,確保業(yè)務(wù)部門“有章可循”,避免觸發(fā)合規(guī)紅線。此外,備案并非一勞永逸,企業(yè)應(yīng)建立內(nèi)部定期評(píng)估機(jī)制,跟蹤自身出境活動(dòng)的事實(shí)變化及域外法律變化,密切關(guān)注可能觸發(fā)重新評(píng)估、重新備案的情形(《辦法》第八條)等。
八、網(wǎng)信部門針對(duì)《辦法》有哪些監(jiān)管手段?如違反《辦法》,締約雙方可能面臨哪些責(zé)任?
由于備案管理相較申報(bào)安全評(píng)估,系一種更為中立的事后備案而非審查機(jī)制,為彌補(bǔ)此等機(jī)制的可能不足,《辦法》進(jìn)一步設(shè)定了兩類監(jiān)管手段:1)舉報(bào)監(jiān)督機(jī)制,網(wǎng)信部門可經(jīng)舉報(bào)獲知個(gè)人信息處理者違規(guī)向境外提供個(gè)人信息的情況(《辦法》第十條);2)主動(dòng)發(fā)現(xiàn)機(jī)制,網(wǎng)信部門如發(fā)現(xiàn)個(gè)人信息出境活動(dòng)存在較大風(fēng)險(xiǎn)或發(fā)生安全事件,將主動(dòng)觸發(fā)監(jiān)管,采取約談并要求整改(《辦法》第十一條),我們理解,“發(fā)現(xiàn)”的方式可能包括查看備案材料、啟動(dòng)專項(xiàng)檢查等。
如違反《辦法》,締約雙方可能面臨行政、刑事及民事責(zé)任。《辦法》第十一條采取“較大風(fēng)險(xiǎn)或安全事件”而非“違法開展出境活動(dòng)”的表述,我們傾向于認(rèn)為此處并非指向違法出境后的行政責(zé)任,而是網(wǎng)信部門監(jiān)管出境風(fēng)險(xiǎn)的手段。如企業(yè)違反《辦法》開展出境活動(dòng)的,仍需依據(jù)《個(gè)保法》承擔(dān)相關(guān)行政責(zé)任,包括但不限于被要求終止個(gè)人信息出境活動(dòng)[4]。如構(gòu)成犯罪的,還可能依據(jù)《中華人民共和國(guó)刑法》承擔(dān)刑事責(zé)任。針對(duì)民事責(zé)任,一方面,《標(biāo)準(zhǔn)合同》第八條設(shè)定了違約責(zé)任條款,締約雙方可能因違約而向?qū)Ψ交蛳騻€(gè)人信息主體承擔(dān)違約責(zé)任;另一方面,締約雙方如違反《個(gè)保法》《辦法》等法律法規(guī)侵犯?jìng)€(gè)人信息主體權(quán)益的,還可能會(huì)承擔(dān)侵權(quán)責(zé)任。
九、《標(biāo)準(zhǔn)合同》與GDPR SCCs有哪些區(qū)別?已建立GDPR SCCs的企業(yè)應(yīng)如何應(yīng)對(duì)?
標(biāo)準(zhǔn)合同條款(Standard Contractual Clauses, SCCs)為歐盟GDPR下常用的個(gè)人數(shù)據(jù)跨境傳輸保障機(jī)制之一。中國(guó)版《標(biāo)準(zhǔn)合同》與GDPR SCCs的主要異同如下所示。
可見,《標(biāo)準(zhǔn)合同》雖與GDPR SCCs整體取向一致,但仍在適用場(chǎng)景、責(zé)任分配、條款表述等方面存在較大差異。針對(duì)已建立GDPR SCCs的企業(yè),鑒于《辦法》第六條明確要求《標(biāo)準(zhǔn)合同》應(yīng)當(dāng)嚴(yán)格按照網(wǎng)信部門制定的模板訂立,故我們理解很難通過修改GDPR SCCs框架下的SCCs條款文本以使之符合中國(guó)法下《辦法》及《標(biāo)準(zhǔn)合同》的要求,而需重新訂立中國(guó)版《標(biāo)準(zhǔn)合同》。
針對(duì)已簽訂集團(tuán)間數(shù)據(jù)跨境傳輸框架協(xié)議的跨國(guó)集團(tuán)而言,則可考慮將《標(biāo)準(zhǔn)合同》文本作為單獨(dú)附件適用于中國(guó)法下的個(gè)人信息跨境傳輸場(chǎng)景。同時(shí),企業(yè)應(yīng)注意對(duì)跨境傳輸框架協(xié)議的總則條款進(jìn)行審查,確保其不與《標(biāo)準(zhǔn)合同》沖突,特別是不得削弱或者減少一方在《標(biāo)準(zhǔn)合同》下規(guī)定的責(zé)任和義務(wù);或可在中國(guó)專章中明確,當(dāng)總則條款與《標(biāo)準(zhǔn)合同》沖突時(shí),優(yōu)先適用《標(biāo)準(zhǔn)合同》。
十、針對(duì)《辦法》出臺(tái)前的出境活動(dòng)如何處理?是否仍需訂立《標(biāo)準(zhǔn)合同》并備案?
《辦法》第十三條明確了溯及既往的效力,即針對(duì)《辦法》實(shí)施前的個(gè)人信息出境活動(dòng),同樣需適用《辦法》的相關(guān)規(guī)定訂立《標(biāo)準(zhǔn)合同》、開展個(gè)人信息保護(hù)影響評(píng)估以及備案,并設(shè)定了6個(gè)月的整改期??梢园l(fā)現(xiàn),其與《數(shù)據(jù)出境安全評(píng)估辦法》第二十條關(guān)于溯及力的規(guī)定采取了一致的邏輯。具體而言:
-
對(duì)于已經(jīng)完成傳輸,且境外接收方已經(jīng)刪除或匿名化措施處理個(gè)人信息的出境活動(dòng),無需再適用《辦法》。
-
對(duì)于已經(jīng)完成傳輸、但境外接收方仍繼續(xù)在存儲(chǔ)或處理個(gè)人信息的出境活動(dòng):由于個(gè)人信息處理活動(dòng)是一個(gè)連續(xù)的行為,境外接收方的后續(xù)處理行為仍可能對(duì)個(gè)人權(quán)益產(chǎn)生影響,我們傾向于認(rèn)為《辦法》適用于此種情形。
-
對(duì)于正在進(jìn)行中的個(gè)人信息出境活動(dòng):在過渡期內(nèi),企業(yè)因業(yè)務(wù)需要需進(jìn)行個(gè)人信息跨境傳輸?shù)模钥衫^續(xù)進(jìn)行,但應(yīng)在過渡期內(nèi)訂立《標(biāo)準(zhǔn)合同》、完成對(duì)現(xiàn)有個(gè)人信息出境行為的個(gè)人信息保護(hù)影響評(píng)估,并依法完成備案工作。
[注]
[1] 如出境數(shù)據(jù)構(gòu)成重要數(shù)據(jù),則均需申報(bào)安全評(píng)估,故本文對(duì)重要數(shù)據(jù)相關(guān)規(guī)則不再贅述,而聚焦于個(gè)人信息跨境的機(jī)制適配。
[2] https://mp.weixin.qq.com/s/8xgSjfMZn9TcSeIrufkLjw。
[3] 歐盟數(shù)據(jù)保護(hù)委員會(huì)(EDPB):Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data version 2.0(關(guān)于補(bǔ)充數(shù)據(jù)傳輸工具的 01/2020號(hào)建議 第2版);Recommendations 02/2020 on the European Essential Guarantees for surveillance measures (針對(duì)監(jiān)控措施的關(guān)于歐盟重要保障的02/2020號(hào)建議)。
[4] 根據(jù)《個(gè)人信息保護(hù)法》第六十六條第二款,如企業(yè)違法開展個(gè)人信息處理活動(dòng)(含出境活動(dòng)),情節(jié)嚴(yán)重的,可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓。我們理解,此處暫停相關(guān)業(yè)務(wù)可能包括要求終止個(gè)人信息出境活動(dòng)。
[5] 此處由于目前征求意見稿的適用條件并未明確此點(diǎn),有可能會(huì)導(dǎo)致境外已適用《個(gè)保法》的處理者受到重復(fù)的義務(wù)約束。
[6] EU Commission THE NEW STANDARD CONTRACTUAL CLAUSES – QUESTIONS AND ANSWERS, Q23
[7] EDPB Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR (version for public consultation)
[8] 然而,由于近年來“Schrems II”相關(guān)案例爭(zhēng)議的影響,實(shí)質(zhì)性達(dá)成充分性保護(hù)水平成為EDPB監(jiān)管的重點(diǎn),具體體現(xiàn)在:EDPB:Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data Version 2.0 Adopted on 18 June 2021
[9] EU Commission THE NEW STANDARD CONTRACTUAL CLAUSES – QUESTIONS AND ANSWERS, Q33
[10] EDPB:Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data(Version 2.0 Adopted on 18 June 2021)
[11] EU Commission THE NEW STANDARD CONTRACTUAL CLAUSES – QUESTIONS AND ANSWERS, Q7 & 8
作者簡(jiǎn)介
陳際紅 律師
北京辦公室 合伙人
業(yè)務(wù)領(lǐng)域:知識(shí)產(chǎn)權(quán)權(quán)利保護(hù), 網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù), 反壟斷和競(jìng)爭(zhēng)法
特色行業(yè)類別:金融行業(yè), 通訊與技術(shù)
陳煜烺
北京辦公室 知識(shí)產(chǎn)權(quán)部
林婉琪
北京辦公室 知識(shí)產(chǎn)權(quán)部
張媛媛
北京辦公室 知識(shí)產(chǎn)權(quán)部
* 陳瑞庭對(duì)本文亦有貢獻(xiàn)。
聲明:本文來自中倫視界,版權(quán)歸作者所有。