專家認為,《指南》的出台,實際上代表了備案管理的統一标準,為相關中小型企業或個人資訊低頻出境活動提供了可落地的出境合規方案,至此,中國資料及個人資訊出境的主要監管架構已漸趨完善。
文|《财經》記者 樊朔
編輯|郭麗琴
6月1日,《個人資訊出境标準合同辦法》(下稱《合同辦法》)即将正式生效。适用廣泛的個人資訊出境的第三條路徑——“标準合同”也将随之開啟。為了落地《合同辦法》,5月30日夜間,國家網信辦釋出了《個人資訊出境标準合同備案指南(第一版)》(下稱《指南》),明确了個人資訊出境标準合同備案的适用範圍、備案方式和備案流程等。
屬于個人資訊出境行為的情形,既包含個人資訊處理者将在境内營運中收集和産生的個人資訊傳輸、存儲至境外;又包含個人資訊處理者收集和産生的個人資訊存儲在境内,境外的機構、組織或者個人可以查詢、調取、下載下傳、導出。
《個人資訊保護法》第三十八條規定,向中國境外提供個人資訊的三條主要合規路徑有,通過網信部門組織的安全評估、經專業機構進行個人資訊保護認證,以及與境外接收方訂立國家網信部門制定的标準合同(下稱“标準合同路徑”)。
對“标準合同路徑”,2023年2月,國家網信辦審議通過《合同辦法》。《合同辦法》也為企業整改預留了生效之後6個月的整改期。即根據《合同辦法》規定,企業應在2023年12月1日前完成整改。(詳見:個人資訊出境有了第三條路,對企業意味着什麼?)
受訪專家認為,《指南》是企業落實《合同辦法》規定的具體指引。通過《指南》的出台,企業明确了适配自身的出境路徑,也為相關中小型企業或個人資訊低頻出境活動提供了可落地的出境合規方案,至此,中國資料及個人資訊出境的主要監管架構已漸趨完善。
省級網信辦須在15個工作日内完成材料查驗
《指南》中的規定顯示,個人資訊通過标準合同路徑出境适用于廣大中小型企業或個人資訊低頻出境活動。
《指南》的适用範圍規定,個人資訊處理者通過訂立标準合同的方式向境外提供個人資訊的,應當同時符合下列情形:
(一)非關鍵資訊基礎設施營運者;
(二)處理個人資訊不滿100萬人的;
(三)自上年1月1日起累計向境外提供個人資訊不滿10萬人的;
(四)自上年1月1日起累計向境外提供敏感個人資訊不滿1萬人的。
《指南》還指出,個人資訊處理者不得采取數量拆分等手段,将依法應當通過出境安全評估的個人資訊通過訂立标準合同的方式向境外提供。
哪些是《指南》中值得企業關注的重點内容?
北京航空航天大學法學院副教授趙精武認為,重點是《指南》中“材料查驗及回報備案結果”和“補充或者重新備案”這兩部分内容。因為該部分内容涉及到了企業在進行申報備案時的具體業務流程。“這些條款為個人資訊處理者申報備案提供了明确的流程指引,友善企業按照具體流程準備備案材料,進一步提升個人資訊出境的安全性和備案效率。”趙精武說。
中聯律師事務所上海辦公室合夥人胡峰同樣認為應重點關注《指南》三條第(二)款材料查驗及回報備案結果的說明。
該條款規定,省級網信辦收到材料後,在15個工作日内完成材料查驗,并通知個人資訊處理者備案結果;備案結果分為通過、不通過;通過的發備案編号,不通過的将收到備案未成功通知及原因,并可能要求補充完善材料,補充完善材料應于10個工作日内再次送出。
胡峰告訴《财經》,這既是對個人資訊出境标準合同備案的程序說明,也是對各地網信辦工作效率的要求;換言之,當一家企業向當地省級網信辦送出個人資訊出境标準合同備案材料後,當地省級網信辦應當在15個工作日内作出通過或不通過的結果。在未通過的情況下,當地省級網信辦應說明未通過的原因。對企業來講,如果其備案未一次性通過,其當然希望網信辦能一次性告知所有應完成的整改措施,避免多次送出、多次以不同原因不予通過備案的結果。
胡峰認為,鑒于需要個人資訊出境标準合同備案的企業衆多,為保證15個工作日内出具是否備案的結果,各地省級網信辦在未來有可能會采取預約挂号等方式,來實作企業備案事項的分流。
還為企業提供哪些指引
《指南》公布正值6月1日《合同辦法》正式生效前夕。
墾丁律師事務所創始合夥人麻策指出,和《合同辦法》中的原則性條款相比,《指南》比照資料出境安全評估,細化落實了具體材料的準備指引,并提供了個人資訊出境安全評估報告的示範文本,給企業實施出境标準合同備案,提供了具體落地的解決方案。
趙精武告訴《财經》,《指南》是《合同辦法》的配套制度,因為在後者在第3條就已經明确了“自主締約與備案管理相結合”的基本原則,此次的《指南》則是對“備案管理”的具體内容予以明确:一是明确應當予以備案的适用情形,二是具體的備案方式,三是步驟明确的備案流程。
此外,趙精武指出,《合同辦法》第7條還規定了個人資訊處理者應當在标準合同生效之日起10個工作日内向所在地省級網信部門備案,《指南》則在此基礎上對送出材料、材料查驗、回報結果等方面予以明确,這也為執法機構提供了更為标準化的行為規範。
胡峰指出,《指南》是企業落實《合同辦法》規定的具體指引,尤其是該《指南》附件5的《個人資訊保護影響評估報告(模闆)(出境版)》的内容,對于指導企業完成《合同辦法》第5條所要求的個人資訊保護影響評估,有較強的指導意義。比如,在該模闆中的拟出境個人資訊情況中,明确要求備案企業說明處理敏感個人資訊和利用個人資訊進行自動化決策情況。此外,《指南》的《承諾書(模闆)》第五點,要求備案企業承諾,個人資訊保護影響評估工作至備案之日未發生重大變化,這其實是要求,至備案之日,企業應盡量使其個人資訊出境未發生《合同辦法》第8條規定的需要重新評估的情況。
從企業合規的角度而言,胡峰認為,《指南》的内容說明了,在企業個人資訊出境合規方面,其落實《個保法》《合同辦法》規定的義務在性質上是一種盡責義務,即企業應盡力按照《指南》的内容落實各項步驟、實作備案結果。換言之,隻要标準合同生效,企業盡力實作《辦法》規定的備案結果,就做到了《個保法》第38條第1款所規定的個人資訊出境合規,可合規地出境個人資訊;從另一角度看,在企業送出備案材料後,如果當地省級網信辦未及時接收,或未在15個工作日作出是否備案的結果,當地省級網信辦不得以企業未完成備案為由,限制企業個人資訊出境行為。
趙精武認為,《指南》為企業合規提供了更為明确且可操作性的行為指引,降低了企業在合規過程中不必要的時間成本和經濟成本。并且,備案流程、備案方式的内容細化實際上代表了備案管理的統一标準,使得企業能夠免于因地方監管機構的不同要求而采取不同的備案流程。