根据《办法》第4条,一般情况下,个人信息处理者[1]仅在同时符合下列情形的情况下,方可通过订立标准合同的方式向境外提供个人信息:1)非关键信息基础设施运营者;2)处理个人信息不满100万人的;3)自上年1月1日起累计向境外提供个人信息不满10万人的;4)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。结合《数据出境安全评估办法》的适用情形,两者对具有特定身份,以及处理特定数量个人信息的处理者适用何种个人信息出境机制做出了区分。对于落入《数据出境安全评估办法》适用范围的个人信息处理者,均应依法申报数据出境安全评估。
相较于数据出境安全评估,标准合同适用的个人信息出境活动规模较小、对国家与公共利益的影响较低,故在此类出境活动中,企业可以通过签署合同这一较为简便的方式来满足个人信息合法出境的条件。标准合同这一出境机制可以适用的个人信息出境场景也非常广泛,例如:
跨国集团内部出于人力资源管理(包括内部违纪调查)、业务统筹等需求,使用统一的IT架构,使个人信息传输或存储至境外,或给予境外总部访问境内存储的员工档案、客户信息等数据的权限;
中国企业采购境外供应商提供的服务或产品(如系统运维服务、数据分析等),境外供应商在提供产品/服务过程中可接触个人信息或需使用个人信息;
中国企业为境内客户提供服务(如协助开展临床研究、合作进行产品研发),根据客户指示或服务要求,将境内的个人信息传输至境外合作方处。
实践中,企业需综合主体身份、出境场景、个人信息数量等多方面情况,梳理确定可否通过签署标准合同的方式向境外提供个人信息。由于业务场景、集团架构、数据流的复杂性与多变性,企业在识别自身数据处理角色、梳理个人信息出境场景、统计个人信息数量时往往存在困难。比较常见的问题比如跨国集团内部共享数据的场景中,集团内部在中国的多家关联实体是否需合并统计个人信息数量等。
针对目前数据出境机制的疑难问题,实践中一般需根据监管咨询、行业实践与具体场景审慎判断。而正因适用场景的认定规则复杂,实践中也可能存在难以评判如何适用出境机制的情况。对于此类情形,《办法》第4条明确规定,个人信息处理者不得采用数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。然而,该条规定具体如何解释,例如数量拆分的具体含义、如何区分规避监管和正常业务行为,仍有待监管部门通过后续监管实践或指引解释进一步释明。
二、标准合同签署的一般步骤
1.开展个人信息保护影响评估(“DPIA”)
DPIA并非标准合同机制下的特别合规要求,而是个人信息处理者在向境外提供个人信息之前均需开展的风险评估机制。DPIA的主要流程为:1)梳理业务场景与相应数据流,确定需评估的个人信息出境场景;2)通过问卷、访谈收集所需信息,包括个人信息出境情况、境内外个人信息安全保护情况等;3)根据法律要求进行风险评估,并采取整改措施;4)结合整改情况,出具DPIA报告。视数据出境场景的复杂程度以及企业的内部流转效率,耗时整体在1-3个月不等。
2.完善合同文本
3.协商签约
在标准合同范本条款基础上,企业与境外接收方可能需要就部分条款的理解、争议解决方式的确定、其他补充条款的适用等事项进行沟通协商,并在双方达成一致的基础上进行标准合同的签署工作。由于《办法》第6条明确规定标准合同应严格按照范本条款订立,且双方约定的其他条款内容不得与标准合同相冲突,企业如何与境外接收方进行沟通协商将是标准合同签署过程中的难点工作。
4.监管备案
标准合同签署并生效后,企业在启动个人信息出境工作的同时,应注意在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案所需材料包括标准合同与DPIA报告。《办法》并未规定监管部门将对备案文件进行实质审查,但考虑到监管部门对于个人信息出境活动持续开展的监督管理,企业需确保提交的DPIA报告与标准合同的准确性、真实性与一致性。
5.事后跟进
三、标准合同签署的重点提示
结合我们的过往经验及对标准合同范本条款的理解,企业在今后开展标准合同签署工作时,容易发现问题或处理较为棘手的环节主要有两个,一是DPIA的开展,二是缔约双方对合同文本的协商。
1.DPIA的准备
2.与境外接收方协商存在的难点
与欧盟标准合同条款(“欧盟SCC”)存在一定相似性,网信办发布的标准合同条款包括缔约双方不应变动的正文以及有待填写的附录说明。其中企业仅能对正文部分条款和附录进行补充,也可基于双方协商情况,在附录中增加补充约定。这一定程度上也体现了标准合同机制的设计逻辑,通过商事合同约定权利义务来督促数据处理者采取技术和管理措施来达到符合法规要求的数据保护水准,并通过备案等行政方式监督数据处理活动参与方的行为。
在我们过往协助部分企业签署欧盟SCC的过程中,由于缔约双方所在法域的数据保护立法框架或双方理解存在差异,或是双方对数据控制及自身权益的争取,缔约双方难免对范本合同条款的理解及附录的起草(如信息披露的详尽程度)等产生分歧,也有可能出现一方基于谈判地位的优势提出修改条款要求的情况(尤其是义务约定、违约责任、管辖法律等条款)。
标准合同中第三条的“境外接收方的义务”部分也涉及非常具体的义务要求,包括对境外接收方提出了个人信息保存期限及过期删除要求,对其开展个人信息处理活动要求进行客观记录且需要记录保存至少3年,以及要求境外接收方同意接受监管机构(网信办)的监督管理。这些不能修改的条款本身也将对合同协商和签署工作带来很大的难度,在处理类似分歧或顾虑时,企业可以考虑的沟通要点包括但不限于:1)对中国法下个人信息出境机制、要求和法律后果做充分说明;2)在个人信息出境场景所依托的业务协议中,对双方存在顾虑或分歧的数据处理细节等进行合理约定;3)对于必要的补充约定,加入标准合同的附录;4)如对于使用标准合同确有分歧无法解决的,结合业务项目,再次确认个人信息出境的必要性以及替代方案(如能否通过匿名化等措施避免个人信息出境)。
[1]《个人信息保护法》第73条规定,个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。