首页
张继红
□2月24日国家网信办正式公布《个人信息出境标准合同办法》,自此出境安全评估、标准合同及认证这三大信息出境路径已全部落地,分别适用于不同情形,实现了个人信息出境场景的全覆盖。
□《办法》引入了“第三方受益人”机制,即个人信息主体即便不是合同缔约方,也可以据此直接向合同任何一方当事人或双方主张权利或提起民事诉讼,从而实现了本国个人信息境外保护的目的。
□虽然“标准合同范本”明确了出境信息再转移的五要件,即确有业务需要、向个人信息主体履行告知义务、取得单独同意、与境外第三方达成书面协议、应个人信息主体要求向其提供书面协议副本,但仍存在一些操作困境。
为保障个人信息跨境安全、自由流动,2月24日国家网信办正式公布《个人信息出境标准合同办法》(以下简称“《办法》”),标准合同范本为《办法》附件。《办法》不仅为个人信息处理者的境外信息提供活动提供了清晰的行为指引,还对个人信息权益进行了倾斜性保护,进一步完善了我国个人信息出境相关法律制度体系。
细化个人信息出境标准合同路径
2021年11月1日生效的《个人信息保护法》第三章“个人信息跨境提供的规则”中明确提出个人信息处理者“因业务需要”应当通过“国家网信部门组织的安全评估”“个人信息保护认证”或者“按照国家网信部门制定的标准合同与法境外接收方订立合同”三种路径之一向境外提供个人信息。结合2022年6月《数据出境安全评估办法》,2022年11月《个人信息保护认证实施规则》《个人信息跨境处理活动安全认证规范》(TC260-PG-20222A)及本《办法》,自此出境安全评估、标准合同及认证这三大信息出境路径已全部落地,分别适用于不同情形,实现了个人信息出境场景的全覆盖。
出境安全评估是高风险出境场景的强制性要求,适用情形包括重要数据出境、关键信息基础设施运营者和处理100万人以上个人信息、“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息”等。若不属于上述出境安全评估的法定情形,企业则可结合实际情况选择“标准合同”“安全认证”出境路径。就标准合同而言,《办法》第4条新增一款,禁止个人信息处理者采取数量拆分等手段,将应通过出境安全评估的个人信息以订立标准合同的方式向境外提供。此举旨在实现标准合同与数据出境安全评估的有效衔接,避免实践中企业采用拆分等手段规避出境安全评估义务。就安全认证来说,相较于《个人信息跨境处理活动安全认证规范》,2022年12月发布的《个人信息跨境处理活动安全认证规范V2.0》删除了适用情形的限制,即不再局限于跨国公司、集团内部的数据传输或《个人信息保护法》第三条第二款适用的个人信息处理活动,将安全认证的范围扩大至所有个人信息处理者开展个人信息跨境处理活动。
《办法》引入“第三方受益人”机制
《办法》第5条细化了《个人信息保护法》第56条个人信息影响评估制度,明确个人信息出境场景下六个方面的重点评估内容,即个人信息处理的合法正当必要性,出境可能对个人信息权益带来的风险、境外接收方履行义务的能力能否保障出境个人信息安全、个人信息出境后的风险以及境外接收方所在国家或地区的个人信息保护政策和法律对标准合同履行的影响等。在个人信息出境标准合同范本中,重申了《个人信息保护法》规定的个人信息主体权利以及个人信息处理者的义务,如境外提供个人信息应遵循“最小必要”原则,仅限于实现处理目的所需的最小范围,履行告知义务并取得个人信息主体的单独同意,尽合理努力确保境外接收方采取加密、匿名化等技术和管理措施。
《办法》还借鉴了欧盟标准合同条款中“Third-Party Beneficiary”制度,引入了“第三方受益人”机制,突破了我国民事立法中的合同相对性原则。也就是说,个人信息主体即便不是合同缔约方,也可以据此直接向合同任何一方当事人或双方主张权利或提起民事诉讼,从而实现了本国个人信息境外保护的目的。为落实“第三方受益人”机制,个人信息处理者需要向个人信息主体告知其“第三方受益人”身份,辅以个人对该身份30天的拒绝期,即如果个人信息主体未在30日内明确拒绝,则享有第三方受益人权利。
减轻境外接收方基本合同义务
《办法》为符合要求的个人信息处理者提供了标准合同范本,确立了个人信息出境合同的最低标准,强调“个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同向冲突”,将我国个人信息保护的法律规定转化为具体的合同责任,通过合同约束力将境内管辖权“延伸”至境外,一定程度上实现了“境内法的域外适用”效果,有效保障了我国个人信息主体的合法权益。与出境安全评估的事前审查方式不同,标准合同采取了“自主缔约+事后备案”方式,即自标准合同生效之日起10个工作日内向所在地省级网信部门备案,提交标准合同以及个人信息保护影响评估报告。如果出境情况发生变更,如向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或用途等发生变化,需要重新开展个人信息保护影响评估,补充或重新缔约,并更新备案信息。如果网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件,可以依法约谈个人信息处理者,要求其整改以消除隐患。
与此同时,《办法》在设定境外接收方基本合同义务的同时做了适当减轻。相比征求意见稿,对于受个人信息处理者委托处理个人信息的,《办法》不再要求境外接收方提供审计报告,仅需提交书面说明即可,大大减轻了境外企业的合规成本。而且,在违约责任方面,《办法》也不再细化违约方的责任范围以及承担责任的具体方式,而交由双方当事人自行约定,弱化了个人信息处理者与境外接收方连带责任的约定,即仅在法定情形下境外接收方才需要向个人信息主体承担连带责任。此外,“标准合同范本”还增加了“上海国际仲裁中心”(上海国际经济贸易仲裁委员会)这一仲裁机构的选项,更加便利当事人通过仲裁方式解决个人信息出境合同纠纷。
出境个人信息再转移存在操作困境
《办法》也遗留了一些未解问题。出境个人信息二次转移条款,是实务中的难点问题。跨国集团往往涉及多个海外分支机构和关联公司,存在出境个人信息再转移的实际需要。虽然“标准合同范本”明确了出境信息再转移的五要件,即确有业务需要、向个人信息主体履行告知义务、取得单独同意、与境外第三方达成书面协议、应个人信息主体要求向其提供书面协议副本,但仍存在一些操作困境。
我国《个人信息保护法》并未如欧盟《通用数据保护条例》(GDPR)那样引入“数据控制者”(Controller)与“数据处理者”(Processor)概念,而仅以“信息处理者”表述。欧盟则根据出境主体不同设计了四种标准合同条款,即控制者到控制者(C-C)、控制者到处理者(C-P)、处理者到处理者(PP)、处理者到控制者(P-C),在条款表述上兼顾了不同场景下合同双方当事人的义务区别。这里的出境个人信息“再转移”是否类似于欧盟数据控制权的再转移(C-C-C),还是不涉及数据控制权转移的“转委托”(C-PP)?对于后者而言,是否就无需再遵循上述五要件的规定?这些问题《办法》都未加以明确,可能会引发实务操作上的理解分歧。
总体而言,《办法》立足于我国个人信息处理实践,增强了企业通过标准合同方式向境外提供个人信息的可操作性,进一步夯实了我国个人信息跨境流动治理的制度基础,为个人信息权益提供了有力保障。
(作者系上海政法学院教授)
SourcePh" style="display:none">
放大
上一版
