个人信息出境有了第三条路,对企业意味着什么?
“标准合同路径”适用于哪些企业和业务场景?企业如何推动标准合同落地?又该如何应对挑战?
文|《财经》记者 王梦欣
编辑|郭丽琴
近期,国家网信办正式公布《个人信息出境标准合同办法》(下称《合同办法》),明确了个人信息出境标准合同(下称“标准合同”)的订立、备案等要求。
多位业内人士注意到,相较于2022年6月30日颁布的《个人信息出境标准合同规定(征求意见稿)》(下称《征求意见稿》),《合同办法》做了一系列的调整。
《个人信息保护法》第三十八条规定,向中国境外提供个人信息的三条主要合规路径有,通过网信部门组织的安全评估(下称“安全评估路径”)、经专业机构进行个人信息保护认证(下称“认证路径”),以及与境外接收方订立国家网信部门制定的标准合同(下称“标准合同路径”)。此前,财经E法曾分别就“安全评估路径”(四个问题,让你读懂数据出境安全评估)以及“认证路径”(解密“个人信息保护认证”)做过解读。
根据网信办规定,《合同办法》的生效日期为2023年6月1日,同时为企业整改预留了生效之后6个月的整改期,换言之,《合同办法》要求企业在2023年12月1日前完成整改。
那么,“标准合同路径”适用于哪些企业和业务场景?企业如何推动标准合同落地?又该如何应对合规挑战?
哪些企业适用“标准合同路径”
本次颁布的《合同办法》是中国个人信息跨境传输制度的重要组成部分。
《合同办法》第四条第一款的规定,“个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形:
〈一)非关键信息基础设施运营者;
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供个人信息不满10万人的;
(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
同时,《合同办法》第四条第二款做出兜底规定,“法律、行政法规或者国家网信部门另有规定,从其规定。”
垦丁律所国际法团队创始人、垦丁广州律师事务所执行主任王捷表示,首先,只有同时符合了《合同办法》第四条第一款的四种情形的,才能通过订立标准合同的方式实现个人信息跨境传输;此外,即使同时满足了第四条第一款的四种情形,也不一定可以通过订立标准合同实现个人信息跨境传输,企业仍然需要判断是否符合后续颁布的法律、行政法规或网信部门的相关规定。
王捷表示,“标准合同路径”不仅适用于向境外第三方进行个人信息传输的场景,也适用于跨国集团内部的个人信息跨境传输。比如,跨国集团内部的人事管理、OA系统、财务管理等,可能会发生个人信息的跨境流动,这些情形下跨境传输的个人信息的人数如果没有超过《合同办法》第四条规定的人数,跨国集团可以采用标准合同这种机制实现个人信息跨境传输。但需要注意的是,《合同办法》不适用于境内处理个人信息的受托人将数据处理转委托给境外受托人的场景。
但是北京航空航天大学法学院副教授赵精武认为,在“跨国集团内部的个人信息跨境传输”这一场景中,由于跨国公司在备案后仍需要做评估,所以选择“标准合同路径”的可能性比较低。
根据《合同办法》的规定,赵精武分析,“标准合同路径”在实务中多适用于用户量小、数据规模较小,但有个人信息出境需求的企业。相对地,大型公司或平台(包括跨国公司、互联网企业以及涉及出境业务的企业,比如宝马、科沃斯等)由于收集个人信息体量大,应用场景广泛,其选择签署“标准合同”作为数据出境路径的可能性一般较低。
上海锦天城律师事务所高级合伙人吴卫明总结,任何机构、企业存在个人信息出境的行为,因业务需要拟持续向境外传输、又没有达到安全评估的标准的,均需要关注“认证路径”或“标准合同路径”。“但由于认证路径目前落地的条件还不成熟,相对来说标准合同路径的适用性会更加广泛。”吴卫明表示。
六个月整改期该做什么
在整改期内,企业应该如何推动“标准合同路径”落地?
王捷认为,标准合同的落地可以分为三个方向,一是个人信息处理者内部,二是个人信息处理者与境外接收方之间,三是个人信息处理者与个人信息主体之间。
王捷表示,首先,在个人信息处理者内部,应当先判断自己有没有个人信息跨境传输的场景,对需要跨境传输的个人信息类型、规模、范围、境外接收方主体、境外接受方所在国家进行调查和评估。然后根据调查和评估的结果,判断自身是否落入了《合同办法》第四条规定的情形。
如果符合《合同办法》规定的情形,企业需要尽快按照《合同办法》的要求,开展个人信息保护影响评估,与境外接收方就标准合同的签订进行磋商、谈判、审核并最终签订个人信息出境标准合同,并在签订之后按照《合同办法》第七条的规定备案(个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案)。
此外,王捷表示,在进行个人信息跨境传输之前,处理者应当向个人信息主体履行告知义务,告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息种类、保存期限以及行使个人信息主体权利的方式和程序等事项。向第三方提供敏感个人信息的,还应当向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响。但是法律、行政法规规定不需要告知的除外。
除了告知义务,如果是基于个人同意处理个人信息的,处理者应当取得个人信息主体的单独同意,在实践中单独同意的具体形式大多是单独弹窗。涉及不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的单独同意。法律、行政法规规定应当取得书面同意的,应当取得书面同意。
但是,企业做完以上动作还不够,因为在完成标准合同备案后,无论是《合同办法》、还是标准合同条款本身,都对于企业的持续合规仍有一系列要求,君合律师事务所合伙人王潇表示,“企业并非备案完就‘一劳永逸’,而是需要通过持续的合规机制,来使得个人信息的出境实现常规的内控监管及合规。”
《合同办法》第八条规定,有以下情形的,需要补充或者重新订立标准合同;
(一)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
(二)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
(三)可能影响个人信息权益的其他情形。
除了以上条款,赵精武还表示,如果境外接收方不履行约定义务时,应当根据自然人请求,先行向自然人进行赔付;企业在备案之后还需要定期对境外接收方进行监督和评估,以确保对方能按照标准合同约定事项保护出境的个人信息。
此外,《合同办法》第二条第(十)项要求,作为出境方的企业需要承担对标准合同义务履行的举证责任。“国内企业作为落实监管的主要抓手,在监管立案调查问询或应对诉讼时将会面临较大的配合压力,也需要履行举证义务。这提醒境内企业需要进一步强化数据出境活动的事中事后管理,进行合规动作留痕、扎紧合规藩篱。”上海华诚律师事务所高级合伙人吴月琴说。
企业如何应对挑战
相较于《征求意见稿》,《合同办法》做了哪些调整?
赵精武表示,《合同办法》在制定目的、适用范围、基本原则等层面都做了更新和迭代。比如在基本原则上,由《征求意见稿》中的“防范个人信息出境安全风险,保障个人信息依法有序自由流动”调整为现在的“保护权益与防范风险相结合,保障个人信息跨境安全、自由流动”。
吴卫明认为,值得关注的是,《合同办法》第四条第三款新增了“个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供”。 吴卫明指出,该款主要针对实践中部分企业可能通过业务拆分、主体拆分等方式,将个人信息出境数量降低到出境安全评估标准之下,通过签订《合同办法》的方式规避数据出境安全评估义务的情形。
2022年9月,国家网信办发布的《数据出境安全评估办法》(下称《安全评估办法》)规定了数据处理者在数据出境活动中所要承担的数据安全保障义务以及相应的法律责任。《安全评估办法》自2022年9月1日起施行,并要求不符合该办法的数据出境业务的数据处理者需要在2023年3月1日之前完成整改。
此外,吴卫明还认为,相较于《征求意见稿》对法律责任的规定,《合同办法》展现了“宽严相济”的指导思想。
“宽”体现在针对“存在较大风险或者发生个人信息安全事件”的情况,从征求意见稿的“应当终止个人信息出境活动”,到《标准合同办法》第十一条规定的“可以进行约谈”“按照要求整改,消除隐患”,从中可以看出监管部门的思路转变;《合同办法》也保留了《征求意见稿》“严”的一面,明确规定“违反本办法规定的,依据《个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任”。在吴卫明看来,不排除企业违法行为严重时承担刑事责任、行政责任及巨额赔偿的可能。
那么,在《合同办法》规制下,企业可能面临哪些挑战?
吴月琴表示,每家企业所处行业、境外接收方所处法域不同,对于合同义务的遵守及履行状态也会有所差别,所面临的困难可能也会有所区别。
吴月琴根据处理案件的经验,将企业可能面临的挑战总结为:事前,如何准确梳理自身处理的数据总量以及使用系统的情况;事中,如何确保个人信息保护影响评估(包括但不限于技术措施、管理措施评估)准确并可充分支持出境活动;事后,如何落实对境外接收方的监督及合规审计,并以适当方式保护个人信息主体权益、进行行权响应等。
对此,赵精武进一步指出,具体风险包括,在自评估环节,由于安全保障技术水平有限,未能准确评估个人信息出境所面临的风险类型和水平;在境外接收方违约时,企业追求其违约责任时,可能需要投入一定的经济成本等。
在吴月琴看来,这些风险或者挑战是难以避免的,“企业需要进行全周期、全流程的关注与管理,并将个人信息出境合规管理融入日常合规工作中,形成常态化机制。”
微信扫码关注该文公众号作者