2023年2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》),自2023年6月1日起施行。《办法》分为正文与附件两个部分,与2022年6月30日发布的《个人信息出境标准合同规定(征求意见稿)》(以下简称《征求意见稿》)相比,从总体趋势上进行了保护力度的加码。
(一)正文主要变化:
正文的保护力度加码主要体现在限缩企业对标准合同条款的修改范围以及标准合同变更时的个人信息保护影响评估义务上,但也进行了部分放宽,具体如下:
1.第四条标准合同的适用范围,新增兜底条款以及反面规定,明确了在法律、行政法规或者国家网信部门另有规定的情况下也可以通过订立标准合同进行数据出境;企业不得通过数量拆分手段规避数据出境安全评估申报。
《办法》第四条 个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。
2.第六条标准合同的内容要求,删除了《征求意见稿》对标准合同条款类型的列举说明,直接要求企业“应当”“严格按照”附件订立标准合同。虽允许企业与合作方约定其他条款,但笔者理解该条意为仅允许企业在附件的标准合同模板基础上做“加法”,而不得做“减法”,实际上进一步限缩了企业在商业洽谈中自主定制标准合同的空间,合作阻力增强。
《办法》第六条 标准合同应当严格按照本办法附件订立。国家网信部门可以根据实际情况对附件进行调整。
个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。
标准合同生效后方可开展个人信息出境活动。
3.第八条需要补充或重新订立标准合同的场景下,新增了进行个人信息保护影响评估的要求。同时,相比《征求意见稿》仅要求重新订立合同及备案的要求,承认了仅对合同条款进行补充的可行性,不再一味要求重新订立合同。
在场景列举中,不再将出境数据的“数量变化”作为需要变更合同的情形,一定程度上放宽了限制。
《办法》第八条 在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:
(一)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
(二)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
(三)可能影响个人信息权益的其他情形。
4.第十一条企业违反《办法》要求进行数据出境时的监管应对,相比《征求意见稿》要求监管“应当书面通知个人信息处理者终止个人信息出境活动”的一刀切严要求,改为相对和缓的“可以依法约谈”,企业若按照监管要求积极响应、消除隐患,则无需终止个人信息出境活动,为企业的数据出境业务提供了更大的容错空间。
《办法》第十一条 省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改,消除隐患。
5.新增第十三条明确了企业的整改期限,此前已经开展个人信息出境活动,需要在2023年12月1日之前完成标准合同的签署或变更。
《办法》第十三条 本办法自2023年6月1日起施行。本办法施行前已经开展的个人信息出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。
(二)附件主要变化:
整体而言,附件个人信息出境合同文本的变化体现在语言的精炼化、法律术语及要求与现有法律法规的统一上,本文对前述非实质性变化不再进行总结,主要实质性变化见下:
1.不再要求个人信息处理者与境外接收方提供电话和电子邮件两种联系方式以及国籍,而是自定义“联系方式”,在信息收集的最小必要性上实践监管先行。
2.行文与立场更强调平等商事主体之间的民事约定,而非强调企业对监管部门履行法定义务的行政要求。更符合企业合同订立的需求。此外术语上与现有出境文件相衔接,例如将《征求意见稿》的“出境个人信息的数量、类型 “替换为《数据出境安全评估办法》的”出境数据的“规模、种类“。
3.第二条个人信息处理者的义务中,将“答复监管机构关于境外接收方个人信息处理的询问“义务明确作为个人信息处理者单方的义务,不再留有义务主体摇摆的缝隙。
4.第三条境外接受方的义务中,细化了境外接收方超出标准合同范围处理个人信息时,对个人信息主体应当履行的义务,包括基于同意处理个人信息时征求单独同意的义务,以及涉及不满十四周岁的未成年人个人信息时征求其父母或其他监护人单独同意的义务。
5.第三条第(五)项关于受托者删除个人信息的义务进行了合理限缩,不再要求受托者提供删除或匿名化后的审计报告,仅要求提供书面说明,且删除个人信息从技术上难以实现的,不再强制要求删除处理,但受托者应当停止采取除存储与必要保护措施外的其他措施。
6.第四条为境外接收方增加了一项通知义务,第(六)项规定境外接收方接到所在国家或者地区的政府部门、司法机构关于提供本合同项下的个人信息要求的,应当立即通知个人信息处理者。
7.第六条救济条款,在争议解决法律的选择上,更加强调个人信息主体作为权利主体的选择权,由原先明确规定争议解决法律为中国法律,变更为依据个人信息主体的选择确定。
8.第七条解除条款,新增境外接收方所在国家或地区的法律法规及政策变化导致境外接收方无法履行合同,作为个人信息处理者暂停向境外传输信息的情形之一。不再将境外接收方破产、解散或清算作为合同解除事由。
9.附录一个人信息出境情况说明中的存储时间要求精确到年月日。
或许您还想看
辛小天、史蕾、郑茂锋:速递 | 《数据出境安全评估办法(征求意见稿)》对比版
周杨、辛小天、史蕾:《数据安全法》正式稿的概览和粗议—— 全球数据保护政策下的中国处方
辛小天、周杨、史蕾:实务视野 |《个人信息保护法》正式稿之重点条款导览
辛小天、史蕾、周杨:追寻数据流动公平之渠——欧盟《数据法案》提案简介
史蕾、辛小天:“清朗·打击网络直播、短视频领域乱象”专项行动与合规要点解读(上)
史蕾、辛小天:“清朗·打击网络直播、短视频领域乱象”专项行动与合规要点解读(下)
史蕾、毕静静:“清朗·MCN机构信息内容乱象整治”专项行动与合规要点解读
史蕾、辛小天:“清朗·打击网络谣言”专项行动解读与平台合规要点
史蕾、刘琳:“清朗·整治应用程序信息服务乱象”专项行动及合规要点解读
作者简介
史蕾
数字经济与人工智能业务中心秘书长
史蕾,数字经济与人工智能业务中心秘书长。曾就职于环球资源(NASQ:GSOL)和奇虎360公司法务部,拥有十多年的公司内部法务工作经验。擅长股权激励、公司治理,数据合规及互联网产品合规风控;专注互联网游戏、直播、互联网教育与出版、大数据和网络安全等行业领域;新三板挂牌及公司治理。
手机:15810040811
邮箱:shilei@deheheng.com
杨玥祺
北京德和衡律师事务所执业律师
杨玥祺,毕业于中国政法大学,法学、英语学双学位。曾为某大型通讯公司撰写PbD(Privacy by Design)合规调研报告、为南方某省级大型银行金融机构进行金融数据合规、个人信息合规体检并出具风险评估报告以及配套管理制度、为某国际电子商务平台进行合规体检,出具法律文件、为某国际冻品购销公司撰写隐私政策与服务协议。
擅长领域:数据合规、电商合规、个人信息保护、投融资、GDPR、CCPA
手机:15650793473
邮箱:yangyueqi@deheheng.com