跨国企业应了解的中国标准合同出境路径的六大焦点
2023年2月24日, 国家互联网信息办公室(“网信办”)发布《个人信息出境标准合同办法》(以下简称“《标准合同办法》”), 自2023年6月1日起施行。并附上了个人信息出境标准合同(“标准合同”)。《标准合同办法》的出台, 标志着个人信息出境的三大“合法基础”最终确立, 即:
(1) 接受网信办的安全评估(“网信办评估路径”);
(2) 由专业机构进行个人信息保护认证(“认证路径”); 以及
(3) 与境外个人信息接收方签订符合标准合同的数据传输协议(“数据传输协议”)(“标准合同路径”)
本文旨在介绍跨国企业在适用标准合同路径时, 需要注意的焦点。
标准合同路径的适用
标准合同路径适用于个人信息处理者的个人信息出境的数量低于法定监管标准, 且不涉及重要数据传输的情况。
首先, 标准合同路径适用于个人信息处理者进行的个人信息出境。《个人信息保护法》第38条[1]规定“个人信息处理者因业务等需要, 确需向中华人民共和国境外提供个人信息的, 应当具备下列条件之一”, 标准合同路径就是其中之一。该条款表明, 标准合同路径不适用于受托方向外传输个人信息的情形。
其次, 标准合同路径适用于低于法定监管门槛的个人信息出境行为。根据《标准合同办法》第4条的规定[2], 个人信息处理者(非关键信息基础设施运营者)适用标准合同办法的情况如下: (i)处理个人信息不满100万人的; (ii) 自上年1月1日起累计向境外提供个人信息不满10万人的; (iii) 自上年1月1日起累计向境外提供敏感个人信息不满1万人的。如果个人信息量超过上述法定监管阈值, 则需要适用网信办评估路径。
再者, 标准合同路径并不适用于涉及到重要数据传输的数据出境情形。根据《数据出境安全评估办法》的要求, 出境重要数据的数据出境者需要采取网信办评估路径。也就是说, 标准合同路径并不能满足涉及到重要数据传输的数据出境情形的合规要求。考虑到官方暂未出台重要数据目录, 除了显著或极端的情形外, 对跨国企业而言, 判断拟出境的信息是否包含重要数据是有难度的。此时, 向相应的行业监管部门咨询通常有所帮助。
开展个人信息保护影响评估
标准合同路径似乎是满足个人信息出境的若干合法基础中最简单的一种。然而, 其远不仅是签订与标准合同一致的数据传输协议。
根据《个人信息保护法》第55条的规定[3], 个人信息处理者应当在个人信息出境前进行个人信息保护影响评估。《标准合同办法》第5条[4]还规定, “个人信息处理者向境外提供个人信息前, 应当开展个人信息保护影响评估”也就是说, 如果跨国企业采用标准合同路径的, 则需要进行个人信息保护影响评估。
此要求类似于欧洲的隐私影响评估要求, 该要求是根据欧盟法院在Schrems II案的判决中确立的。在该案中, 跨境数据传输者, 需要针对数据接收者所处的数据保护环境和水平, 采取额外的尽职调查义务。而《标准合同办法》下的个人信息保护评估范围似乎更为全面。其要求对个人信息出境进行各环节的尽职调查, 并在尽职调查的基础上评估传输的合法性、正当性和必要性以及出境所带来的风险。
标准合同备案
数据传输协议是私主体间订立的合同, 但需要向当地的省级网信办(“省级网信办”)备案。《标准合同办法》第7条[5]规定, “个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案”备案需要提交的文件包括签署的标准合同以及个人信息保护影响评估报告。备案要求表明, 采用标准合同路径已不再限于一个私主体间的选择, 而存在政府介入。目前尚不确定省级网信办将在多大程度上审查已签署的数据传输协议(标准合同)和个人信息保护影响评估报告。
与标准合同间的偏差
采用标准合同路径时, 个人信息处理者必须严格按照《标准合同办法》所附的标准合同与境外接收方签订数据传输协议, 双方可以与境外接收方约定其他条款, 但不得与标准合同相冲突。
根据《标准合同办法》第6条的规定[6], “标准合同应当严格按照本办法附件订立。国家网信部门可以根据实际情况对附件进行调整。个人信息处理者可以与境外接收方约定其他条款, 但不得与标准合同相冲突。”该条款表明: (i)标准合同中的所有条款都必须包含在数据传输协议中, 不得存在偏差; (ii) 网信办有权不时修改标准合同, 这表明双方需要确保他们签署的数据传输协议保留一定的灵活性, 能够适应网信办对标准合同的修改; (iii)双方可以在不与标准合同冲突的情况下添加额外条款。
这表明, 当采用标准合同路径时, 跨国企业需要根据标准合同制定数据传输协议, 而不是GDPR下或其他法域使用的全球通用模板。
争议解决方式
值得注意的是, 根据标准合同第9条第2项[7], 数据传输协议必须受中国法律管辖。标准合同第9条第4项[8]进一步规定, 因订立或履行数据传输协议而引起的争议可由双方选择由中国法院诉讼, 或在约定了仲裁为争议解决机制的情况下, 提交至《承认及执行外国仲裁裁决公约》认可的仲裁机构解决。且只允许机构仲裁(而非临时仲裁)。
这意味着跨国企业可能需要有专门针对中国跨境传输的数据传输协议(受中国法律管辖), 而其他跨境个人信息转移情形则受外国法律管辖。
标准合同路径的实现
标准合同规定提供了六个月的宽限期整改现有的个人信息出境行为。
《标准合同办法》第13条[9]规定, 在《标准合同办法》实施前(即2023年6月1日)“已经开展的个人信息出境活动, 不符合《标准合同办法》规定的, 应当自《标准合同办法》施行之日起6个月内完成整改。”换句话说, 跨国企业有大约9个月的时间来纠正不合规行为。因此, 我们建议跨国企业考虑以下行动:
(1)精简出境的数据流, 评估这些数据流线的合法性、正当性和必要性;
(2)对个人信息出境行为进行个人信息保护影响评估; 以及
(3)审查和修改其现有的数据传输协议, 确保其与标准合同一致。
*本文系英文稿机器翻译后经人工校对完成
作者:
|
|
杨迅 合伙人 +86 152 2182 2373 +86 21 3135 8799 xun.yang@llinkslaw.com |
|
|
点击长按识别左侧二维码查看合伙人介绍 |
|
|
夏雨薇 |
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。
请先 登录后发表评论 ~