2023年2月22日,国家互联网信息办公室(“网信办”)发布了《个人信息出境标准合同办法》(“《标准合同办法》”)及其附件《个人信息出境标准合同》(“《标准合同》”)。《标准合同办法》将于2023年6月1日起施行,并对此前已开展的个人信息出境活动予以6个月的整改宽限期,即应在2023年12月1日前完成整改。
至此,我国《个人信息保护法》关于个人信息出境的三大合规机制——安全评估、认证、标准合同均进入落地阶段。其中,标准合同作为目前最新落地的合规机制,因其生效无需监管审批(或第三方认证)、准备工作相对轻量化等特性,而备受企业关注与期待。此外,由于欧盟标准合同条款(“SCC”)在域外已广泛应用,无论企业是否使用标准合同作为合规机制,在与境外接收方、利益相关方的沟通谈判中,《标准合同》都将是无法绕开的重点话题之一。
本文分为上下两篇,重点解读适用《标准合同办法》的核心关注点、并预测《标准合同》谈判签署中可能的疑难条款,为企业使用标准合同实现个人信息出境合规提供参考。关于《标准合同办法》的重点解读,请见《上篇:作为出境机制的标准合同》。本篇将对《标准合同》的条款进行深入解读,通过与征求意见稿的对比,洞察网信办所释放的积极信号;并结合海问协助中国企业落地欧盟SCC的经验,辨析《标准合同》谈判签署中的“伪痛点”与“真难点”,为企业使用标准合同实现个人信息出境合规提供参考。
《标准合同》相较其征求意见稿,在合法性基础、责任承担等多个重点条款中合理减轻了境内外双方的义务,有助于降低适用成本、并为意思自治保留更大空间以应对多样化的实践场景,释放出了积极的监管信号。
(一) 明确单独同意范围:基于“个人同意”才需取得“单独同意”《标准合同》多处新增规定“基于个人同意处理个人信息的,应当取得个人信息主体的单独同意”,由此从监管侧正式明确了:(1)除个人同意外,亦可基于其他合法性基础向境外提供个人信息,例如,为履行合同所必需、按照劳动规章制度实施人力资源管理所必需、合理使用已公开个人信息等;(2)基于个人同意才需取得单独同意,如基于其他合法性基础向境外提供个人信息,则可避免触及“单独同意”这一存在较高落地难度的法定要求。(二) 双方责任解耦合:不再要求境内提供方无条件“先行赔付”《标准合同》将境内外双方的责任解耦合,不再要求境内提供方承担实质意义上的“连带责任”,即针对境外接收方因违反标准合同而对个人造成的损害,境内提供方有义务根据个人主张向其先行赔付,再向境外接收方追偿。除双方依法承担连带责任的情形外(例如,《个人信息保护法》第20条 共同处理个人信息的情形),不再通过《标准合同》作出严于上位法的责任分配规定,为双方意思自治保留更大空间。因此,在未来签署《标准合同》时,在不贬损个人信息权益的前提下,建议对双方之间的数据法律关系及责任分配方式进行具体补充约定,尽可能减少争议。(三) 境外方自证成本降低:以“书面说明”取代“审计报告”在个人信息保护的语境下,审计是一种较为强势的合规监管措施,审计报告虽具备更强的合规证明效果,但同时也伴随着更高的合规成本投入。相较征求意见稿,《标准合同》相对限缩了审计的应用场景,在以下两种情形下,仅要求境外接收方提供“书面说明”,而不再强制要求提供“审计报告”:(1)作为受托人(相当于GDPR中的“processor”)的境外接收方,保存期限届满后删除或向境内提供方返还个人信息;(2)作为个人信息处理者(相当于GDPR中的“controller”)或受托人的境外接收方,在合同解除后删除或向境内提供方返还个人信息。前述修改为双方意思自治保留了更大空间,视实践场景不同,双方既可仅保留格式条款,对境外接收方的书面说明不作进一步的限定,从而避免因境外接收方自证成本过高阻碍谈判;也可进行补充约定,例如要求境外接收方提供审计报告,从而实现更加有效的合规约束。(四) 合同摘要不再必需:提供合同副本不影响理解即可为保障个人信息主体的知情权,《标准合同》规定境内提供方与境外接收方均有义务根据个人要求,向个人提供标准合同副本。相较征求意见稿,《标准合同》在坚持“结果导向”的同时,放宽了对实现方式的限制:从要求企业如提供遮密副本则须同时承诺提供合同摘要,改为“在不影响个人信息主体理解的前提下,可对本合同副本内容进行适当处理”。在平衡个人知情权与企业机密保护的前提下,为企业实际履行标准合同义务留下更大的弹性空间。
借鉴欧盟经验:“伪痛点”与SCC同源,谈判难度可控标准合同作为出境合规机制的基本逻辑为:通过合同义务的形式,约定法定义务的实质,从而约束境外接收方实现不低于本国法的个人信息保护标准。在此逻辑下,如何尽可能约束“鞭长莫及”的境外接收方实际履行合同、如何对其进行监管、发生违约时如何使其承担责任等问题,就成为各国权威机关设计标准合同制度时的重点。
《标准合同》在此方面多处借鉴了欧盟SCC的成熟经验,规定了境外接收方需承诺接受中国监管机构的监督管理、接受个人信息主体在中国境内提起诉讼等合同条款。尽管此类条款直观而言对境外接收方较为严格,但鉴于其系标准合同内在逻辑所必需,且此类条款在欧盟SCC中均有严格程度不逊于《标准合同》的原型规定(示例如下),若境外接收方此前已签署欧盟SCC,则我们理解与境外接收方谈判签署《标准合同》时此类“伪痛点”并不会造成实质性的阻碍。相较征求意见稿,《标准合同》简化了境内提供方需向个人信息主体告知的事项,除“保存期限”外,其他告知事项均曾在上位法《个人信息保护法》第39条中被明确列举。针对境外接收方向境外第三方提供个人信息(即再转移)的情形,《标准合同》亦新增了“保存期限”的告知要求。在附录一“个人信息出境说明”中,也需就保存期限予以明确约定。相较征求意见稿,《标准合同》新增了填写提示,将“出境后保存期限”进一步细化为“ 年 月 日至 年 月 日”。相较征求意见稿,《标准合同》进一步凸显了监管机构对于“保存期限”的关注,结合海问协助企业申报数据出境安全评估的经验,我们理解,如何确定具体、合理、可落实的保存期限,在明确的监管要求与复杂的企业实践之间找到平衡点,可能构成部分企业未来实践中的难点之一。鉴于《标准合同》的配套规定正在制定当中,不排除监管机构未来适当放宽对于保存期限颗粒度的要求。但万变不离其宗,鉴于保存期限在三大机制中均成为监管机构明确的关注重点,构建完善的数据留存期限制度,已是企业在数据出境合规新常态下无法回避的一项重要工作。(二) 部分条款未区分境外方类型(C-C/C-P),义务与场景可能不匹配签订《标准合同》的境内提供方须为个人信息处理者(controller),而境外接收方则可为个人信息处理者或受托人(processor),即《标准合同》适用于“个人信息处理者—个人信息处理者(C-C)”和“个人信息处理者—受托人(C-P)”两种场景。然而,相较于欧盟SCC采取模块化的方式针对不同的场景规定差异化合同条款,《标准合同》选择以统一的合同条款兼顾C-C及C-P两种场景。受制于该体例,因《标准合同》的部分条款未基于两种场景进行区分,境外接收方在特定实践中可能面临义务过重或履约不能的情况。例如:在境外方履约证明条款中,《标准合同》未加区分地要求境外接收方:(1)承诺向境内方提供证明履约的必要信息;(2)允许境内方对必要数据文件和文档进行查阅;(3)允许境内方对合同所涉处理活动进行合规审计。当境外接收方作为个人信息处理者“自主”开展个人信息处理活动,而非仅作为受托人“从属于”境内提供方时,说服境外接收方接受该条款可能存在一定的难度,特别是有关开展合规审计的要求。在个人信息安全事件条款中,《标准合同》未加区分地要求境外接收方根据中国法就个人信息安全事件报告中国监管机构、并通知个人信息主体,然而《个人信息保护法》仅规定个人信息处理者有义务通知履行个人信息保护职责的部门和个人,而未要求受托人履行同等义务。但考虑到《标准合同》该条款尚存一定的解释空间,在不贬损个人信息权益的前提下,双方在实践中可就个人信息安全事件的应对作出适当的补充约定,以缓解境外接收方义务过重或履约不能的担忧。(三) 部分条款约定过于具体,自行补充约定空间有限《标准合同》部分条款的内容过于具体,限制了双方自行补充约定的空间,可能对于实践造成一定的不利影响。例如:《标准合同》第六条第(一)项:“境外接收方应当确定一个联系人,授权其答复有关个人信息处理的询问或者投诉,……。境外接收方应当……,并以简洁易懂的方式,通过单独通知或者在其网站公示,告知个人信息主体该联系人信息……”从文义而言,“其网站”的限定,意味着如选择网站公示方式,则仅能使用境外方网站,而不得使用境内方网站。尽管该等限定未必完全合理(通过境内方中文网站公示效果可能更佳),但鉴于《标准合同办法》明确要求任何补充约定不得与标准合同相冲突,为避免不必要的合规风险,企业需仔细审视各类补充约定与《标准合同》之间是否协调、无冲突。
京公网安备110105011258