瀛泰见解
个人信息出境标准合同制度实务要点

作者:王华、杜逸文


当前个人数据跨境活动日益频繁且不断增长,随着各国对个人数据保护的重视,签署标准合同逐渐成为个人信息出境的合规路径,在其他国家和地区,包括欧盟、英国、香港、东盟等地,均有各自版match本的个人信息出境标准合同。在我国,国家互联网信息办公室于去年6月份发布了《个人信息出境标准合同规定(征求意见稿)》,今年2月22日终于出台《个人信息出境标准合同办法》(下称“《办法》”),并同时颁布了标准合同文本。《办法》将于2023年6月1日起生效施行。至此,我国的个人信息出境标准合同制度确立。在《办法》生效前夕,我们对个人信息出境标准合同制度中的实务要点进行如下简要梳理。


1

哪类企业适用个人信息出境标准合同?



企业适用个人信息出境标准合同,应当同时满足《办法》第四条规定的条件和情形:(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供个人信息不满10万人的;(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。


该条是与今年3月1日施行的《数据出境安全评估办法》的衔【1】。也就是说,在不触达《数据出境安全评估办法》设定的申报安全评估的前提下,企业个人信息出境应当适用标准合同制度。


需要注意的是,若存在海量个人信息出境、应当适用数据出境安全评估的情形,企业不得采取数量拆分的手段,企图通过标准合同进行个人信息跨境传输,否则将承担相应的法律责任。


2

企业应当怎么做?

s

2.1

开展个人信息保护影响评估


根据《个人信息保护法》(下称“《个保法》”)第55条和第56条规定,向境外提供个人信息的个人信息处理者应当进行个人信息保护影响评估(下称“PIA”),评估内容包括:(一)个人信息的处理目的、处理方式等是否合法、正当、必要;(二)对个人权益的影响及安全风险;(三)所采取的保护措施是否合法、有效并与风险程度相适应。


在《个保法》的基础上,《办法》第5条对PIA的内容作出了更为详尽的规定,要求个人信息处理者重点评估以下内容:(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;(二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;(五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;(六)其他可能影响个人信息出境安全的事项。


特别注意的是,境外接收方所在国家或者地区的个人信息保护政策和法规也是评估内容之一,这一点不容忽视。


2.2

严格按照《办法》附件订立标准合同


根据《办法》,企业应当严格按照《办法》附件的标准合同模板与境外接收方签署,不得擅自对模板内容进行更改。当然,基于意思自治的原则,企业和境外接收方可以约定模板以外的其他内容,但是该等内容禁止与标准合同相冲突。


2.3

  网信部门备案


在完成上述两项工作之后,企业应在标准合同生效之日起10个工作日内向所在地省级网信部门备案。企业履行备案手续时,应当提交标准合同和个人信息保护影响评估报告,且应对备案材料的真实性负责。


2.4

  出境情形变更的处理


在标准合同有效期内,企业开展的个人信息出境业务如出现变更,企业应当:(1)重新开展个人信息保护影响评估;(2)补充或者重新订立标准合同;(3)履行相应备案手续。


具体情形变更包括:(1)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;(2)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;(3)可能影响个人信息权益的其他情形。


3

标准合同的内容



《办法》附件为标准合同范本,主要内容包括合同相关定义和基本要素、个人信息处理者和境外接收方的合同义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利和相关救济,以及合同解除、违约责任、争议解决等事项,并设计了个人信息出境说明、双方约定的其他条款等两个附录(具体内容见本文底部链接)。


标准合同条款既约束个人信息处理者和境外接收方,亦具有保护个人信息主体的功能;其形式上是合同条款,内容上由国家预先决定并纳入对境外接收方的监管,具有强制适用的性质。


管辖权条款的设计是标准合同的一大亮点。标准合同分别为个人信息主体和个人信息处理者与境外接收方规定了管辖权条款。一方面,对于个人信息主体而言,基于第三人受益条款,其可享有相应的救济。个人信息主体的维权形式包括向监管机构投诉和向《中华人民共和国民事诉讼法》规定的有管辖权的人民法院提起诉讼,体现出国家通过提供司法管辖途径,对于个人信息主体给予保护。另一方面,对于合同签署双方而言,标准合同规定了仲裁和诉讼两种争议解决途径,尊重通过仲裁解决商事争议之习惯,同时也提供了向国内法院提起诉讼的救济方式,给予合同主体选择权。



结  语


《办法》行将生效,并特别给予企业6个月的整改期,也即在2023年12月1日前,相关企业应当通过个人信息出境标准合同制度完成合规整改。

通过梳理《办法》的实务要点,我们希望能够给予企业一些帮助和提示。我们特别建议:


(1)企业应当及时做好与境外接收方的沟通,梳理出境场景,尽早确定好标准合同的签署方式;

(2)同时,企业应尽快开展个人信息保护影响评估,必要时可委托专业机构协助。


注释:

【1】《数据出境安全评估办法》第四条:

数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:

(一)数据处理者向境外提供重要数据;

(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;

(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;

(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。


点击蓝字获取个人信息出境标准合同中英文

文章所涉相关人员
文章所涉业务领域
文章所涉行业领域
个人信息出境标准合同制度实务要点

作者:王华、杜逸文


当前个人数据跨境活动日益频繁且不断增长,随着各国对个人数据保护的重视,签署标准合同逐渐成为个人信息出境的合规路径,在其他国家和地区,包括欧盟、英国、香港、东盟等地,均有各自版match本的个人信息出境标准合同。在我国,国家互联网信息办公室于去年6月份发布了《个人信息出境标准合同规定(征求意见稿)》,今年2月22日终于出台《个人信息出境标准合同办法》(下称“《办法》”),并同时颁布了标准合同文本。《办法》将于2023年6月1日起生效施行。至此,我国的个人信息出境标准合同制度确立。在《办法》生效前夕,我们对个人信息出境标准合同制度中的实务要点进行如下简要梳理。


1

哪类企业适用个人信息出境标准合同?



企业适用个人信息出境标准合同,应当同时满足《办法》第四条规定的条件和情形:(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供个人信息不满10万人的;(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。


该条是与今年3月1日施行的《数据出境安全评估办法》的衔【1】。也就是说,在不触达《数据出境安全评估办法》设定的申报安全评估的前提下,企业个人信息出境应当适用标准合同制度。


需要注意的是,若存在海量个人信息出境、应当适用数据出境安全评估的情形,企业不得采取数量拆分的手段,企图通过标准合同进行个人信息跨境传输,否则将承担相应的法律责任。


2

企业应当怎么做?

s

2.1

开展个人信息保护影响评估


根据《个人信息保护法》(下称“《个保法》”)第55条和第56条规定,向境外提供个人信息的个人信息处理者应当进行个人信息保护影响评估(下称“PIA”),评估内容包括:(一)个人信息的处理目的、处理方式等是否合法、正当、必要;(二)对个人权益的影响及安全风险;(三)所采取的保护措施是否合法、有效并与风险程度相适应。


在《个保法》的基础上,《办法》第5条对PIA的内容作出了更为详尽的规定,要求个人信息处理者重点评估以下内容:(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;(二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;(五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;(六)其他可能影响个人信息出境安全的事项。


特别注意的是,境外接收方所在国家或者地区的个人信息保护政策和法规也是评估内容之一,这一点不容忽视。


2.2

严格按照《办法》附件订立标准合同


根据《办法》,企业应当严格按照《办法》附件的标准合同模板与境外接收方签署,不得擅自对模板内容进行更改。当然,基于意思自治的原则,企业和境外接收方可以约定模板以外的其他内容,但是该等内容禁止与标准合同相冲突。


2.3

  网信部门备案


在完成上述两项工作之后,企业应在标准合同生效之日起10个工作日内向所在地省级网信部门备案。企业履行备案手续时,应当提交标准合同和个人信息保护影响评估报告,且应对备案材料的真实性负责。


2.4

  出境情形变更的处理


在标准合同有效期内,企业开展的个人信息出境业务如出现变更,企业应当:(1)重新开展个人信息保护影响评估;(2)补充或者重新订立标准合同;(3)履行相应备案手续。


具体情形变更包括:(1)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;(2)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;(3)可能影响个人信息权益的其他情形。


3

标准合同的内容



《办法》附件为标准合同范本,主要内容包括合同相关定义和基本要素、个人信息处理者和境外接收方的合同义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利和相关救济,以及合同解除、违约责任、争议解决等事项,并设计了个人信息出境说明、双方约定的其他条款等两个附录(具体内容见本文底部链接)。


标准合同条款既约束个人信息处理者和境外接收方,亦具有保护个人信息主体的功能;其形式上是合同条款,内容上由国家预先决定并纳入对境外接收方的监管,具有强制适用的性质。


管辖权条款的设计是标准合同的一大亮点。标准合同分别为个人信息主体和个人信息处理者与境外接收方规定了管辖权条款。一方面,对于个人信息主体而言,基于第三人受益条款,其可享有相应的救济。个人信息主体的维权形式包括向监管机构投诉和向《中华人民共和国民事诉讼法》规定的有管辖权的人民法院提起诉讼,体现出国家通过提供司法管辖途径,对于个人信息主体给予保护。另一方面,对于合同签署双方而言,标准合同规定了仲裁和诉讼两种争议解决途径,尊重通过仲裁解决商事争议之习惯,同时也提供了向国内法院提起诉讼的救济方式,给予合同主体选择权。



结  语


《办法》行将生效,并特别给予企业6个月的整改期,也即在2023年12月1日前,相关企业应当通过个人信息出境标准合同制度完成合规整改。

通过梳理《办法》的实务要点,我们希望能够给予企业一些帮助和提示。我们特别建议:


(1)企业应当及时做好与境外接收方的沟通,梳理出境场景,尽早确定好标准合同的签署方式;

(2)同时,企业应尽快开展个人信息保护影响评估,必要时可委托专业机构协助。


注释:

【1】《数据出境安全评估办法》第四条:

数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:

(一)数据处理者向境外提供重要数据;

(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;

(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;

(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。


点击蓝字获取个人信息出境标准合同中英文