2023年2月24日,国家互联网信息办公室发布了《个人信息出境标准合同办法》(“《办法》”)以及相应的个人信息出境标准合同文本(“标准合同”)并将自今年6月起实施。近期,在法律咨询中,客户非常关注《个人信息出境标准合同》备案的实务情况。所以,我们整理了《标准合同》在备案过程中可能遇到的问题,供企业参考。
PART 01
背景信息
01
何为“个人信息出境”
1.个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外;2.个人信息处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;
3.国家网信办规定的其他个人信息出境行为。
02
为什么需要订立标准合同?
《中华人民共和国个人信息保护法》第三十八条规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。该条款为标准合同作为个人信息出境的解决方案提供了法律基础。
PART 02
适用范围
03
什么条件可以通过订立标准合同的方式向境外提供个人信息的?(适用情形)
1.非关键信息基础设施运营者;
2.处理个人信息不满100万人的;
3.自上年1月1日起累计向境外提供个人信息不满10万人的;
4.自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
04
哪些主体可以签订标准合同?
标准合同的签订主体为个人信息处理者和境外接收方。根据与网信办的交流第三方不可以成为标准合同的签订主体,且签订主体是一对一的;若有多个个人信息处理者,个人信息处理方应分别与每位境外接收方签订标准合同。
PART 03
备案流程
05
备案需要准备什么材料?
•统一社会信用代码证件、法定代表人身份证件、经办人身份证件(影印件加盖公章)
•经办人授权委托书、承诺书、个人信息出境标准合同、个人信息保护影响评估报告(原件,文后附模板)
06
如何备案?
个人信息处理者应当在标准合同生效之日起10个工作日内,通过送达书面材料并附带材料电子版的方式,向上海市网信办备案。电子版材料发送至邮箱 wxbsjcj@shxc.gov.cn;电子材料查验通过后线下提交书面材料并附带材料电子版(与纸质材料一致的PDF扫描件,可使用光盘或其他存储介质)。线下送达地址:上海市徐汇区宛平路315号收件人:网络安全处
电话:64743030-2711(请注明“XX单位个人信息出境标准合同备案材料”)
07
备案流程是怎么样的?
PART 04
法律责任及纠纷解决
08
未依法签署或履行《标准合同》可能面临哪些法律责任?
• 当省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改,消除隐患,承担较轻的责任。•触发《个人信息保护法》的法律责任,包括责令改正、警告、没收违法所得、责令暂停或者终止提供服务、停业整顿、吊销营业执照、处以五千万元以下或者上一年度营业额百分之五以下罚款。
• 构成犯罪的,依法追究刑事责任。
09
《标准合同》究竟规定了哪些争议解决方式?
第一种方式:仲裁将争议提交到中国国际经济贸易仲裁委员会、中国海事仲裁委员会、北京仲裁委员会(北京国际仲裁中心)以及其他《承认及执行外国仲裁裁决公约》成员的仲裁机构;其他纽约公约缔约国仲裁机构作为合同争议解决方式,为境外接收方寻求中立仲裁地保留空间。第二种方式:诉讼个人信息处理者只能向合同履行地的人民法院起诉;
境外接收方可以向个人信息处理者所在地、合同履行地提起诉讼。
PART 05
注意事项
10
重新备案的情形有哪些?
• 向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;•境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
•可能影响个人信息权益的其他情形。
11
子公司或关联公司能否代替企业集团向其住所地的属地网信办提交标准合同备案申请?
由于当前并没有具体规定,若子公司和关联公司符合备案主体的要求,在实践中其代替企业集团提交备案申请存在一定的可能性。
在进行标准合同备案申请之前,企业可以将集团企业的具体情况向网信办进行说明和咨询。
12
国内有多家企业可以合并备案吗?
•对于标准合同场景下的联合申报方式,不同地区的境内关联主体原则上应各自向属地网信部门办理标准合同备案;• 对于同一地区的不同实体合并备案的,应当满足以下条件:属于同一场景、同一服务器、同一个人信息分块管理逻辑;
• 各省网信部门的要求存在不同以及各家公司具体情况各不相同,若有联合备案需求的公司可提前与其所在地的省级网信办进行沟通。
13
标准合同存在有效期吗?
根据国家网信办提供的标准合同模板,并未明确规定有效期。因此根据意思自治原则,双方可以自由约定合同有效期,但不宜约定长期有效。企业应当综合考量个人信息出境的目的、类型、方式,双方的个人信息保护能力等,约定明确的合同期限。
14
落实标准合同相关要求有期限要求吗?
《个人信息出境标准合同办法》在2023年6月1日生效。
对于在此日期之前开展的个人信息出境活动,《个人信息出境标准合同办法》规定了6个月的整改宽限期。对于在6月1日后继续开展此前进行的个人信息出境活动的个人信息处理者,需要在2023年11月30日之前完成上述工作。
15
企业已经签署基于GDPR的标准合同,是否还要签署中国版的标准合同?
需要。根据《个人信息出境标准合同办法》规定,企业通过订立标准合同的方式开展个人信息出境活动,则企业与境外接收方必须严格按照网信办提供的模板,订立标准合同。
对于已经签署基于GDPR的标准合同的企业,仍需要签订国家网信办提供的标准合同,若中国版标准合同与已有数据处理协议之间存在冲突,应以中国版标准合同为准。
PART 06
备案重点材料介绍
16
个人信息保护影响评估(PIA)的重要性?
是《个人信息出境标准合同》备案的必备材料。企业若想通过签署标准合同的方式进行数据出境就必须要进行个人信息保护影响评估(PIA)。我国依据《标准合同》开展出境活动采用的是自主缔约和备案管理相结合的方法,签订标准合同的个人信息处理者必须进行备案。
17
个人信息保护影响评估(PIA)的主要评估内容是什么?
评估项目 | 注意事项 | |
出境目的评估 | 个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的正当性、合法性、必要性 | 数据出境目的、范围、方式不满足合法性、正当性、必要性的要求,则不能出境 |
出境个人信息的具体情况 | 个人信息的数量、范围、类型、敏感程度以及个人信息出境可能对个人信息权益带来的风险 | 结合现有的其他法律规定,其他可以考虑纳入评估范围的内容包括但不限于:保存的期限、传输的频率、境外接收方曾有的跨境传输经验 |
境外接收方的具体情况 | 境外接收方承诺承担的责任和义务 | 境外接收方安全管理制度和技术手段保障能力 |
境外接收方履行责任义务的管理和技术措施、能力 | ||
出境个人信息可能发生安全事件的情况 | 个人信息出境后泄露、损毁、篡改、滥用等的风险 | 需要注意综合评估与考虑其他可能影响个人信息出境安全的事项 |
境外接收方曾发生数据安全事件与否、及时有效处置安全事件与否 | ||
个人维护个人信息权益的渠道是否通畅 | ||
境外接收方所在国家或地区的个人信息保护或政策法规 | 目标国家或地区现行数据保护法律法规的情况 | 境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响 |
目标国家或地区加入的全球性或区域的数据保护组织。作出的具有约束力的国际承诺等 | ||
目标国家或地区落实数据保护机制的情况 |
18
对企业的个人信息保护能力的评估的内容有哪些?
需要针对企业的个人信息安全管理能力、安全技术能力进行整体评估。在实践中,很多企业仅关注数据出境保护能力,而忽视其他能力,导致备案时不符合出境要求,因此我们建议企业应当全面提升个人信息保护能力,确保在备案时符合出境要求,以避免备案申请被驳回的情况发生。以上是在实务中,客户容易产生疑惑,以及项目开展过程中比较关心的问题,供您参考。据了解,已有企业向上海网信办提交标准合同备案申请。若有需要,欢迎联系我们,我们愿与您同行,携手共进。
项目团队成员:
(实习生郑观对本文亦有贡献)