华体会体育在线登陆公安部前往我司考察项目,并指导公司发展  部长助理与董事长进行深入业务交谈省公安领导盛赞我司开发二代身份证项目
首页 > 新闻中心 > 公司新闻

专家解读 中国个人信息出境标准合同评述——制度设计与现实挑战

发布时间:2022-10-01 02:39:56   来源:华体会体育在线登陆 作者:华体会国际注册 

  2022年上半年最后一天,中国国家互联网信息办公室(以下简称“网信办”)发布了市场各方主体翘首以盼的《个人信息出境标准合同规定(征求意见稿)》(以下简称“标准合同规定”)。虽然标准合同规定当前仍在征求意见阶段,但其发布终于使得《个人信息保护法》中所规定的、作为个人信息跨境传输的合法路径之一的“国家网信部门制定的标准合同”

  关于如何看待并在业务中使用标准合同,我们认为其不仅是一份法律文本,市场主体(无论作为境内个人信息处理者还是境外接收方)更应该透过其内容理解其中体现的中国当下对于个人信息出境的制度设计。此外,基于商业现实环境与需求,我们也认为至少从这份征求意见稿来看,标准合同规定在提供了个人信息合规出境的路径同时,也为各方主体带来了诸多现实的挑战。本文意图就上述内容展开讨论,并提出我们的看法,以供市场各类相关主体参考与讨论。

  一、标准合同规定所体现的我国个人信息出境制度设计——必须签订标准合同吗?

  谈及个人信息出境的制度设计,首先应当从狭义的法律层面进行梳理。《个人信息保护法》第38条规定了我国个人信息出境的基本制度安排,可以简单归纳为如下个人信息出境合规路径:

  与此相呼应的是,标准合同规定第4条设定了标准合同的使用条件,即对于:1)非关键基础设施运营者(关键基础设施运营者以下简称“CIIO”);2)处理个人信息不满100万人;3)自上年1月1日起累计向境外提供未达到10万人个人信息,且未达到1万人敏感个人信息的,“可以”通过签订标准合同的方式向境外提供个人信息。如何理解此处设定的标准合同适用范围?特别是:1)在不满足上述条件的情况下,向境外提供个人信息是否还需要签订标准合同?2)如何理解该条中“可以”的含义?

  如果要回答上述两个问题,首先应当结合2021年10月29日网信办发布的《数据出境安全评估办法》(征求意见稿)(以下简称“出境评估办法”)进一步分析。

  出境评估办法对于涉及个人信息应当向网信办申报数据出境安全评估的情形可简单概况为:

  3、累计向境外提供超过十万人以上个人信息,或者一万人以上敏感个人信息[2]。

  该等情形恰好构成了标准合同规定中的个人信息处理者的“补集”。而出境评估办法第6条进一步规定,申请数据出境安全评估,应当提交的材料包括数据出境风险自评估报告,以及“数据处理者与境外接收方拟订立的合同或者其他具有法律效力的文件等”。不难看出,对于超出标准合同规定适用范围的个人信息跨境传输,标准合同并非必须签订,而可以由“其他合同”,或“其他具有法律效力的文件”所替代;再结合标准合同规定第2条第2款的内容[3],以及个人信息保护法第38条的整体规定,理论上对于个人信息跨境传输来说,标准化合同并非必须签署。

  首先,出境评估办法中所规定的“应当向网信办申报数据出境安全评估”的个人信息出境情形,显然要比标准合同规定中的情形适用更高标准的合规要求,因此即便不签订标准合同,该等数据处理者与境外接收方拟订立的“其他合同”所设定的合规条件至少不应低于标准化合同的标准。单就合规程序上看,与其冒着无法通过网信办评估的风险签订其他版本的合同,不如直接签订标准合同(甚至附以更为严格的合同条款)来的更加稳妥。

  其次,考察个人信息保护法第38条的规定,“专业机构认证”似乎可以作为标准合同的替代性方案,那么接下来我们就来考察“专业机构认证”的要求。全国信息安全标准化技术委员会(TC260)于2022年6月24日发布的《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》(以下简称“认证规范”)提出“认证机构对个人信息跨境处理活动进行个人信息保护认证的基本要求”之一即为“开展个人信息跨境处理活动的个人信息处理者和境外接收方之间应当签订具有法律约束力和执行力的文件”[4]。尽管从文义上看其并未规定必须签订标准合同,但从该条的规定来看,该等“具有法律约束力和执行力的文件”与标准合同的内容有高度的重合性。

  那么该等“具有法律约束力和执行力的文件”与标准合同可能有何差异呢?结合认证规范第2条对于在机构认证条件下由境内主体承担法律责任的规定[5],以及标准合同对于境外个人信息接收方设定的义务来看,我们认为前述差异可能在于,如果选择“专业机构认证”且未签订标准合同文本的情况下,境外个人信息接收方直接向境内个人信息主体与监管机关承担的法律义务可能较轻。

  还应指出的是,专业机构认证的主要适用范围为“跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动”,这也是认证活动性质所带来的必然要求。试想,对于非同一集团内的个人信息跨境处理活动,由于认证之时个人信息接收方存在不确定性,也缺少集团内制度的约束,因此对于该等在一定程度上不稳定、不确定、存在偶发性的个人信息跨境处理活动,认证机构难以进行认证。

  综上,我们认为在个人信息跨境传输中,数据传输/处理合同几乎无法避免地需要签署;至于所需签署的合同版本,考虑到法律法规与实践要求,我们建议如下:

  1、对于应当向网信办申报数据出境安全评估的情形,签署标准合同乃稳妥之选。若签订其他版本合同,其合规要求与对合同双方义务设定不得低于标准合同;

  2、对于不属于上述情形的非集团内个人信息跨境传输活动,由于专业机构认证无法适用,根据个人信息保护法第38条的规定,应当签订标准合同;

  3、对于不属于上述两种情形的集团内个人信息跨境传输活动,可以考虑签订其他版本的合同,但根据标准合同规定第2条,其内容不得与标准合同相冲突。

  如果用一句话总结,即对于当前我国法律框架下的个人信息传输活动,标准合同的签署虽在理论上并非必须,但实践中却又几乎不可避免。

  前文我们讨论到,符合标准合同规定第4条的个人信息处理者可以免于网信办评估,可选择适用专业机构认证或签订标准合同的方式来实现个人信息跨境传输。我们认为该条为企业带来的真正挑战,并非限于个人信息数量如何计算、累计时间段被明确为最长两年等表象问题,而是企业面对潜在的监管审查时,如何能够自证其符合标准合同规定第4条的条件,无需向网信办申报评估?

  我们在服务诸多客户的过程中能够明显感觉到,由于企业部门之间存在一定的条块分割,加之当前很多企业尚未建立起有效的数据流动监控体系,企业往往对于经营中个人信息出境的数量无法做到全面而精准的掌控。更何况个人信息出境的场景纷繁复杂,不但可能涉及第三方用户的个人信息,还可能涉及外部合作方、员工的个人信息,这些数据如果未经有效管理,对于业务与产品条线复杂的企业来说,当面临监管机构的审查时,恐难以自证个人信息出境的时间与数量。

  因此我们认为,标准合同规定第4条为境内个人信息处理者带来的真正挑战,在于要求企业尽快建立数据流动监控体系,对于出境数据的类型、级别、出境时间、数量能够进行完整的统计并有效的记录;并在可能超出相应传输数量时给予企业及时预警。此外,我们认为对于同时已经取得了专业机构认证的个人信息处理者来说,通过认证方式出境的个人信息数量仍需被纳入统计,并非仅统计通过标准合同出境的个人信息数量便万事大吉。

  这样看来,标准合同规定第4条不但限缩了通过标准合同实现个人信息跨境传输的范围,还对企业提出了很高的合规要求,增加了企业的合规成本。但也许这正是我国对数据跨境传输体系设计的价值取向——只有在确保个人信息安全以及个人信息主体权益的情况下,才可以进行个人信息的跨境流动;当企业意识到合规成本高企之时,作为理性经济人,自然会平衡数据出境的收益与成本,而可能倾向选择运营成本更低的方案——个人信息本地化存储。

  尽管不同于网信办审查,标准合同规定采取的是备案方式,但其明确规定了个人信息保护影响评估(以下简称“PIA”)报告需要作为备案材料提交网信办。如前所述,相较专业机构认证模式所适用的“跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动”,标准合同适用场景与境外接收方身份可能难以事先预判,这就对PIA的时效性提出了更高的要求。能否及时完成PIA,将影响到个人信息跨境相关业务能否顺利推进与完成。

  此外,纵观标准合同条款,其中为境外信息接收方设定了诸多义务,甚至要求其直接回应个人信息主体的权利请求、向中国监管机关进行报告。实践中这样的条款设计很可能导致境内个人信息处理者与境外接收方商业谈判难度的增加,进而影响业务进度。

  如前论述,标准合同条款的设定使得境外接收方承担了较高的合规义务,因此在华经营的跨国公司必须考虑其总部是否能够并且愿意承担相应的合规义务。相比之下,根据TC260发布的认证规范来看,双方可约定由境内一方承担相应责任。因此选择不同的个人信息出境合规路径,也可能意味着跨国企业集团中WFOE与母公司之间的利益与风险分配需要纳入考量。在此我们也提醒跨国公司集团的法务与管理层对此做出审慎的评估与决策。

  无论是在跨国公司集团内部还是境内主体与境外业务合作方之间,数据往往是双向流动的——可能从中国流向境外,同时也可能从境外流向中国境内。以位于欧盟的企业为例,根据GDPR的要求以及当前实践,该等企业向中国境内主体传输个人信息时普遍使用欧盟委员会发布的标准合同条款(Standard Contractual Clauses,以下简称“SCC”)。而如果这就可能导致在某些数据传输活动中,双方需要同时适用两部合同,当两部合同内容存在差异或冲突时,将导致潜在的协商与争议解决——无论在程序上还是实体上——均可能面临较大的不确定性与困难。因此如果存在一个项目或业务合作中同时签订了标准合同与SCC的情况,境内外数据处理主体都应当审慎评估其中的差异,并尽可能对于其中相冲突的部分做出事先协商安排,同时也要避免该等进一步协商与补充约定同所适用的法律法规产生冲突。

  标准合同规定中将个人信息主体作为第三方受益人,属于中国民法理论上的涉他合同,而SCC亦有类似规定,因此无论从中国民法与比较法的视角,还是从理论与实践上看,标准合同规定均称不上创新与突破,但这一规定所带来的现实挑战,却需要引起标准合同当事方足够的重视。

  首先,这一制度与规则的确立,无论对境内个人信息处理者还是境外接收方来说,都意味着其未来可能面临更多的个人信息主体权利请求,甚至是大量的个人民事诉讼或民事公益诉讼。

  其次,考虑到民事诉讼潜在赔偿金额可能有限,个人信息主体可能通过行使标准合同项下的权利,或通过对标准合同当事方提起诉讼的手段获取相关证据材料,采取行政投诉或举报请求中国监管机关的介入,通过这样的方式增加与标准合同当事方谈判的筹码。

  考虑到《个人信息保护法》对于侵害个人信息权益案件举证责任分配的规定,我们建议境内个人信息处理者与境外接收方均应对未来面临大量个人信息主体的权利请求、行政投诉与民事诉讼做好准备,建立起快速响应制度,以便能够厘清内部响应流程、回应话术、明确响应成本、快速准备相应的证据材料。做好此项工作,还需要公司内部法务、公共关系、政府关系、IT等多部门的联动与配合。

  标准合同规定毫无意外地引起了广泛地讨论,很多细节问题还待进一步厘清,对此市面上已经有了一些讨论,本文中我们不再进一步展开,而待后续文章或出版物中对其进行更为细致的讨论。

  同时,我们也希望前述我们提出的问题不但能够被数据处理者所重视,也能够引起立法与监管部门的关注。合同的基本价值还在于保障交易的顺利进行,厘清双方的权利义务,当然,作为涉他合同,第三方的权利保障同样也值得关注。与此同时,合同本质上仍应当由民商事法律进行调整,应当尽可能尊重合同当事方意思自治,这也是合同所创设的权利义务,与法律法规所创设的权利义务之最大差别。

  末了我们想再次回顾标准合同规定的第一条,“规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动”,这一目的与价值取向应当贯穿于该合同全文。期待立法与监管部门能够进一步阐述市场主体所关注的问题,最终制定出一份能够充分体现上述目的与价值取向的标准合同。

  [1] 《个人信息保护法》第38条第1款:个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:

  (三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;

  [3] 个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。

  [5] 跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可以由境内一方申请认证,并承担法律责任。



上一篇:象山县停工整改六项制度落实不规范项目
下一篇:什么是计算机网络及主要功能有哪些?

联系电话:0591-87734367 87726180

周一到周五(8:30-17:00)

地       址:福州市高新区海西科技园创业大厦16F

客服热线:400-091-0591

传       真:0591-87737081

XML地图