为了指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同,国家互联网信息办公室编制了《个人信息出境标准合同备案指南(第一版)》(以下简称 "《备案指南》"),对个人信息出境标准合同备案方式、备案流程、备案材料等具体要求作出了说明。
个人信息处理者通过与境外接收方订立个人信息出境标准合同的方式向境外提供个人信息,应当根据《个人信息出境标准合同办法》规定,按照备案指南向所在地省级网信部门备案。
《个人信息保护法》第三十八条确定的数据出境的三条路径的细则、落地指南至此已经明晰,此前我们已经对《个人信息出境标准合同办法》及标准合同的适用要点进行了分析,详见:
个人信息出境国家标准合同(SCCs)的 30 个评析意见
《个人信息出境标准合同办法》与征求意见稿对比表
本文将在实操角度对《备案指南》的发布背景和意义、备案流程、备案所需材料、备案后跟进、提交材料的注意事项以及其他问题等内容进行详细解读。
一、《备案指南》发布的背景和意义
1、发布背景
2023 年 2 月 24 日,国家网信办正式公布《个人信息出境标准合同办法》,明确了个人信息出境标准合同的订立、备案等要求。自此,标准合同、安全评估、保护认证共同构成了个人信息出境三条路径。《个人信息出境标准合同办法》已于 2023 年 6 月 1 日施行,该办法施行前已经开展的个人信息出境活动,不符合该办法规定的,应当自该办法施行之日起 6 个月内完成整改。
因此,企业若选用《标准合同》作为个人信息出境的合规路径,须在 2024 年 1 月 1 日前根据《备案指南》的要求通过备案。
2、标准化合同的制度发展
标准合同(Standard Contractual Clauses,SCC)制度起源于欧盟 1995 年的《个人数据保护指令》(其后被 GDPR 替代),2021 年 6 月 4 日,欧盟委员会发布了用于保护个人数据的新的标准合同条款。这些新的标准合同条款取代了欧盟委员会在 2010 年采用可用于支持在特定情况下合法传输数据的 SCC。通过实行各种合同义务,SCC 允许将受 GDPR 约束的个人数据传输给欧洲经济区以外的接收方。
2021 年 11 月 1 日生效的《中华人民共和国个人信息保护法》第三十八条规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:…(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。该条款为中国标准合同作为个人信息出境的解决方案提供了法律基础。
2022 年 06 月 30 日,中国网信网发布了《个人信息出境标准合同规定(征求意见稿)》,并向社会公开征求意见。
2023 年 2 月 22 日《个人信息出境标准合同办法》正式发布,并于 2023 年 6 月 1 日起施行。
2023 年 05 月 30 日,中国网信办发布了《个人信息出境标准合同备案指南(第一版)》,对个人信息出境标准合同备案方式、备案流程、备案材料等具体要求作出了说明。
二、备案流程
三、备案需要提交的材料
1、材料清单
序号 材料名称 要求
1 统一社会信用代码证件 影印件加盖公章
2 法定代表人身份证件 影印件加盖公章
3 经办人身份证件 影印件加盖公章
4 经办人授权委托书 原件
5 承诺书 原件
6 个人信息出境标准合同 原件
7 个人信息保护影响评估报告 原件
2、书面材料并附带材料电子版
《备案指南》要求个人信息处理者需通过 " 送达书面材料并附带材料电子版的方式 " 向所在地省级网信办备案,该要求与《数据出境安全评估申报指南(第一版)》(以下简称 "《申报指南》")要求的方式保持一致。根据上海市网信办于 6 月 7 日发布的《上海市网信办关于个人信息出境标准合同备案的通知》,其规定电子版材料应当为与纸质材料一致的 PDF 扫描件(可使用光盘或者其他存储介质)。个人信息处理者应先将完整电子版材料发送至指定备案材料接收邮箱(请以所在地监管机构的要求为准),待电子版材料查验通过后线下提交书面材料并附带材料电子版。
四、备案后的事后跟进
企业应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行备案手续的 3 种情形主要包括:
一是向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
二是境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
三是可能影响个人信息权益的其他情形。
五、提交文件的注意事项
1、授权书授权人的要求
(1)经办人授权委托书
该授权书是个人信息处理者出于备案流程本身对经办人员的授权,主要目的是由经办人代表个人信息处理者进行个人信息出境标准合同备案过程中的一切行为,包括所签署和上传的资料。本质上若标准合同备案办结,那么相应的授权事项也就结束了。建议对授权人的要求系对本次数据出境的情况较为熟悉的人员,同时在标准合同有效期内职务相对稳定的数据合规人员最为合适。
(2)授权书的期限问题
因为经办人将代表公司接受监管部门的询问并提交相关材料,参考备案流程所需的时间(如自评估报告 3 个月内、合同生效后 10 个工作日内申请备案、15 个工作日内完成检验、10 个工作日内补足材料),授权书给予经办人的期限应当至少能够完成整个流程,并考虑需要补充材料的时间,给予相对宽裕的办理时间为宜,避免授权书到期,备案还没完成的尴尬情况发生,需法人和法代再次盖章、签字授权。
2、承诺函承诺事项的说明和解析
(1)承诺函
承诺函的大部分内容均为字面含义,我们在此不再进行过多解释。我们重点解读一下 " 三、未采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供 "。
在实践中,我们常会遇到可能与同一境外接收方存在若干个合作事宜,如可能有员工的数据出境、业务的合作等多个目的需要进行数据跨境,这种情况下,我们需不需拆分不同的合同?若拆分之后可能导致无需备案的场景,我们认为一份标准合同中可承载多个数据出境的目的,可在附件中载明。
另外,目前许多的跨国企业都是通过集团化管理的方式进行,那么集团项下是否可以拆分为若干个子公司、控股公司等分别进行申报,或者无需进行备案申报了呢?这一情况并非可以依据各个公司是独立的法人这一理由一笔带过,而是要看不同公司之间是否使用同一账号体系、存不存在数据融合以及各个子公司的数据是否在服务器中隔离存储等等因素综合判断同一集团项下的数据出境活动是否要进行拆分申报。
3、标准合同
(1)标准合同的不可修改要求
根据《个人信息出境标准合同办法》第 6 条规定,标准合同应当严格按照该办法附件订立。国家网信部门可以根据实际情况对附件进行调整。个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。
因此,建议在标准合同的正文尽量不要进行修改调整,如有特殊情况或其他需要说明的事项可以在合同附件中声明,如有特殊约定建议对个人信息的跨境传输保护措施等也不得低于标准合同正文约定的要求。
(2)标准合同中的技术和管理措施如何披露
根据标准合同中的约定,(五)尽合理地努力确保境外接收方采取如下技术和管理措施(综合考虑个人信息处理目的、个人信息的种类、规模、范围及敏感程度、传输的数量和频率、个人信息传输及境外接收方的保存期限等可能带来的个人信息安全风险),以履行本合同约定的义务:(如加密、匿名化、去标识化、访问控制等技术和管理措施)。该条款的重点在于披露的措施需要与数据跨境传输可能带来的个人信息安全风险相适应。同时,应当注意对境外接收方的措施进行披露以及要求其提供相应的材料证明。措施可根据已经采取的措施据实说明。
(3)是否需要向用户公开标准合同
根据《个人信息出境标准合同办法》要求,个人信息处理者需要根据个人信息主体的要求向个人信息主体提供本合同的副本。如涉及商业秘密或者保密商务信息,在不影响个人信息主体理解的前提下,可对本合同副本相关内容进行适当处理。
因此,标准合同并未要求企业向用户公开标准合同的全部内容。结合个保法对个人信息跨境传输的要求,个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。笔者认为根据目前的实践,我们告知用户上述事项即已经达到了合规的要求。目前市面上对上述内容披露较为完善的有奔驰、三星以及 ZARA。
ZARA 隐私政策(部分节选)
(4)如何根据个人信息主体的要求向个人信息主体提供标准合同的副本
我们对市面上较为头部的一些跨国公司的隐私政策进行调研中发现,大部分公司并未向用户提供标准合同副本的渠道。目前只有微软在隐私政策称在从欧盟向其他国家传输数据的过程中,会签署欧盟的标准合同条款,并设置了超链接,指引用户去查看欧盟委员会官网上的标准条款。戴森也在隐私政策中声明用户可以通过欧盟委员会网站查看更多的信息。
微软隐私政策(部分节选)
戴森隐私政策(部分节选)
因目前国内并没有明确的法规要求企业向用户主动提供标准合同的副本,如果借鉴微软以及戴森的做法向用户提供一些标准合同的通用条款查看路径,也不失为一种办法。
(5)如何对标准合同约定义务进行留痕以承担举证责任
标准合同约定的义务包括了向个人信息主体告知境外接收方的名称或者姓名、联系方式、基于个人同意向境外提供个人信息的,应当取得个人信息主体的单独同意、个人信息主体告知其与境外接收方通过本合同约定个人信息主体为第三方受益人、尽合理地努力确保境外接收方采取如下技术和管理措施等。
我们认为针对个人信息主体告知的这一类义务,可以通过前端协议、保存用户同意日志等方式进行留痕。对于对境外接收方的审核,可以要求境外接收方填写数据合规问卷以及提供相应的证明材料等方式进行备查留痕,以证明我们对境外接收方的技术和管理措施尽到了审查义务。
4、PIA 报告的时间节点
(1)个人信息保护影响评估报告(PIA 报告)
根据《备案指南》附件 3 承诺书模板以及标准合同第二条第八款,PIA 报告的完成时间应在备案之日前 3 个月内,保存时间为至少 3 年。
(2)PIA 报告的填写注意事项
①《备案指南》附件 5 的 PIA 报告模板与《申报指南》附件 4 的《数据出境风险自评估报告(模板)》(以下简称 "《自评估报告》")整体结构大致相同,企业在开展 PIA 时亦可参考《申报指南》" 填表说明 " 进行理解与填写。但需要注意以下几点:
·《备案指南》的 PIA 报告模板相较《自评估报告》新增了第三方机构参与评估的要求:如有第三方机构参与评估,PIA 报告还需说明第三方机构的基本情况及参与评估的情况,并在相关内容页上加盖第三方机构公章;
·《备案指南》的 PIA 报告模板对于出境活动整体情况的说明要求,相较《自评估报告》,新增关注向第三方提供个人信息情况、确保标准合同条款落实措施、敏感个人信息处理以及利用个人信息进行自动化决策情况。建议企业在开展以标准合同备案为目的 PIA 时应当重点关注新增评估点;
·《备案指南》的 PIA 报告模板未要求说明分类分级制度以及数据处理者与境外接收方之间订立的合同等法律文件约定的数据安全保护责任义务,而是更注重境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响。
② PIA 模板与标准合同的内容有所重合,企业在填写两份文件时,应确保文件之间重合的内容衔接流畅意思表达一致,避免出现内容冲突。
六、其他在实务中需要关注的问题
1、《标准合同》的备案是否是《标准合同》的生效要件
根据《人信息出境标准合同办法》第三条,通过订立标准合同的方式开展个人信息出境活动,应当坚持自主缔约与备案管理相结合、保护权益与防范风险相结合,保障个人信息跨境安全、自由流动。因此,企业不进行备案并不影响合同的效力,但若企业不进行标准合同备案,可能导致监管部门对企业进行责令改正、停止个人信息出境行为等情况,会对企业业务开展产生不良影响。
2、不同关联主体是否可以联合合并备案
目前《备案指南》尚未明确不同关联主体之间是否可以合并数据出境情况进行备案。若《标准合同》中境内 " 个人信息处理者 " 涉及多方,《备案指南》中要求企业提供《经办人授权委托书》及《承诺书》,以上文件均需要境内各方分别出具,因此为我们建议应分别与 " 境外接收方 " 签订标准合同,而非合并签署合同及备案。
3、首次备案审查未通过的影响
标准合同备案工作并非完全的形式审查,体现了我国数据出境和网络安全的监管力度。根据《备案指南》,备案结果分为通过、不通过。通过备案的,省级网信办向个人信息处理者发放备案编号;首次备案审查未通过的,个人信息处理者将收到备案未成功通知及原因,要求补充完善材料的,个人信息处理者应当补充完善材料并于 10 个工作日内再次提交。
4、境外接收方向境外第三方再次提供所接收的个人信息,是否需要再次签署《标准合同》并进行备案?
若企业在同一业务运营场景中,向面临境外接收方可能向境外其他第三方提供个人信息的情况,若同时满足以下情况:
确有业务需要。
已告知个人信息主体该第三方的具体信息、个人信息处理目的范围等事项。
涉及敏感个人信息的,还应当向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响。
基于个人同意处理个人信息的,应当取得个人信息主体的单独同意。
与第三方达成书面协议,确保第三方的个人信息处理活动达到中华人民共和国相关法律法规规定的个人信息保护标准。
根据个人信息主体的要求向个人信息主体提供该书面协议的副本。
无论该第三方是否与境外接收方位于同一国家,我们建议企业在《标准合同》附录一的第(六)项中补充该第三方的具体信息、个人信息处理目的范围等事项,无需另行重复签署《标准合同》以及进行备案。
5、企业违反《标准合同》规定的,对企业出境活动有什么影响
根据《标准合同》的内容来看,除承担违约责任或面临行政处罚外,省级以上网信部门有权要求个人信息处理者立即终止个人信息出境活动,并影响企业此后可能的数据安全评估申报和标准合同备案工作,导致业务连续性受到不可挽回的负面影响。
因此我们建议企业严格遵守《标准合同》中各条款约定的义务,并承担相应的个人信息保护责任,避免出现违反《标准合同》规定的情况。