文丨天元律師事務所 李然 黃菁菁
2023年5月30日,國家網際網路資訊辦公室編制了《個人資訊出境标準合同備案指南(第一版)》(下稱“《指南》”),針對即将于2023年6月1日實施的《個人資訊出境标準合同辦法》(下稱“《辦法》”)所規定的标準合同(“标準合同”)的備案方式、備案流程、備案材料等具體要求作出了說明。本所目前正為多個境外客戶提供個人資訊出境标準合同備案中國法服務,盼望已久的《指南》的出台,也可謂是及時雨一場。本文旨在從實務角度出發,結合我們提供類似服務的經驗,對《指南》的實操要點進行提示和分享。
一、哪些企業需要使用标準合同進行個人資訊出境
與GDPR不同,中國《個人資訊保護法》下個人資訊出境的路徑隻有三種:(一)通過國家網信部門組織的安全評估;(二)經專業機構進行個人資訊保護認證;(三)與境外接收方訂立合同。其中,《辦法》第四條明确了适用标準:
(一)非關鍵資訊基礎設施營運者;
(二)處理個人資訊不滿100萬人的;
(三)自上年1月1日起累計向境外提供個人資訊不滿10萬人的;
(四)自上年1月1日起累計向境外提供敏感個人資訊不滿1萬人的。
滿足上述條件的個人資訊處理者,均可采用标準合同備案方式向境外提供個人資料。
實踐中,對于大部分在中國境内有經營主體的跨國公司而言,可能均涉及個人資訊出境問題(例如員勞工力資源資訊的出境),即使個人資訊資料出口量不多,也必須采取上述三個路徑之一。較之其他兩種出境路徑,标準合同備案的方式進行資訊出境,應當是最高效的。
二、《指南》中的實操要點及提示
指南的出台為迫切需要解決該合規問題的跨國企業等主體,提供了較為具體的指導,尤其是進一步明确了那些情形屬于個人資訊出境行為、備案方式和流程、備案材料要求,而且提供了個人資訊保護影響評估報告的模闆等。《指南》中的内容與國家網際網路資訊辦公室針對2022年9月1日施行的《資料出境安全評估辦法》釋出的申報指南(下稱“《資料出境申報指南》”)比較相似,我們将後續在公衆号單獨釋出本所翻譯的《指南》英文版供境外客戶參考。以下就一些值得注意的内容進行重點提示:
1. 關于備案主體
需要注意的是,個人資訊出境标準合同的備案主體應該是向境外提供個人資訊的個人或公司。對于跨國企業而言,不能以其境外總部公司來替代這部分工作,應當由傳輸個人資訊的境内公司來準備和送出相關材料。
2. 關于備案結果
與《資料出境申報指南》不同,《指南》明确了省級網信辦收到材料後的15個工作日内完成材料查驗,通知個人資訊處理者備案結果,結果包括通過或不通過。如果不通過的,個人資訊處理者需要在10個工作日内送出補充材料。
一般來說,備案工作主要是形式審查,但不排除網信辦對材料的實質内容進行真實性、合理性審查,且補充材料送出的時間比較短。是以,在初次送出備案材料時,備案方就應當做好充分的準備。
3. 個人資訊保護影響評估工作期限
根據《指南》附件3:承諾書的要求,個人資訊保護影響評估工作為備案之日前3個月内完成,且至備案之日未發生重大變化。
4. 個人資訊出境标準合同
與GDPR的标準合同條款(SCC)規則不同,《辦法》中明确的标準合同不允許調整合同正文的任何内容,僅可以在附錄中增加與正文不沖突的其他條款。
5. 個人資訊保護影響評估報告(模闆)
該模闆與《資料出境申報指南》中提供的自評估報告模闆基本相同,可見網信辦并未因為企業采用的是标準合同路徑而降低企業應當進行的評估工作的标準。根據相關政府官員針對此前模闆的答記者問,該模闆應當嚴格适用。是以,我們建議備案方根據該模闆,充分梳理相關資訊。如對于法律問題難以明确的(如合法性、正當性和必要性),對于資料安全技術方面的問題難以明确的(如個人資訊安全技術能力等),可以咨詢對于法律和資料安全專業方面的人員。
三、合規建議
《辦法》規定了六個月的整改期,即企業需要在2023年11月30日到期之前按照标準合同路徑的要求就個人資訊出境活動進行整改。
是以,對于已經或者即将有個人資訊資料出境業務的主體,我們建議應當盡早開始梳理資料相關的業務情況,首先判斷是否能夠适用《辦法》。對于能夠采取标準合同出境路徑的客戶而言,我們建議按照國家網信辦最新釋出的兩個模版準備自己的标準合同及個人資訊保護影響評估報告,并在整改期内完成向所在地省級網信部門的備案手續。
*特别聲明:
本文僅為交流目的,不代表天元律師事務所的法律意見或對法律的解讀,如您需要具體的法律意見,請向相關專業人士尋求法律幫助。