跨國企業應了解的中國標準合同出境路徑的六大焦點
2023年2月24日, 國家互聯網資訊辦公室(“網信辦”)發佈《個人資訊出境標準合同辦法》(以下簡稱“《標準合同辦法》”), 自2023年6月1日起施行。並附上了個人資訊出境標準合同(“標準合同”)。《標準合同辦法》的出臺, 標誌著個人資訊出境的三大“合法基礎”最終確立, 即:
(1) 接受網信辦的安全評估(“網信辦評估路徑”);
(2) 由專業機構進行個人資訊保護認證(“認證路徑”); 以及
(3) 與境外個人資訊接收方簽訂符合標準合同的數據傳輸協議(“數據傳輸協議”)(“標準合同路徑”)
本文旨在介紹跨國企業在適用標準合同路徑時, 需要注意的焦點。
標準合同路徑的適用
標準合同路徑適用於個人資訊處理者的個人資訊出境的數量低於法定監管標準, 且不涉及重要數據傳輸的情況。
首先, 標準合同路徑適用於個人資訊處理者進行的個人資訊出境。《個人資訊保護法》第38條[1]規定“個人資訊處理者因業務等需要, 確需向中華人民共和國境外提供個人資訊的, 應當具備下列條件之一”, 標準合同路徑就是其中之一。該條款表明, 標準合同路徑不適用於受託方向外傳輸個人資訊的情形。
其次, 標準合同路徑適用於低於法定監管門檻的個人資訊出境行為。根據《標準合同辦法》第4條的規定[2], 個人資訊處理者(非關鍵資訊基礎設施運營者)適用標準合同辦法的情況如下: (i)處理個人資訊不滿100萬人的; (ii) 自上年1月1日起累計向境外提供個人資訊不滿10萬人的; (iii) 自上年1月1日起累計向境外提供敏感個人資訊不滿1萬人的。如果個人資訊量超過上述法定監管閾值, 則需要適用網信辦評估路徑。
再者, 標準合同路徑並不適用於涉及到重要數據傳輸的數據出境情形。根據《數據出境安全評估辦法》的要求, 出境重要數據的數據出境者需要採取網信辦評估路徑。也就是說, 標準合同路徑並不能滿足涉及到重要數據傳輸的數據出境情形的合規要求。考慮到官方暫未出臺重要數據目錄, 除了顯著或極端的情形外, 對跨國企業而言, 判斷擬出境的資訊是否包含重要數據是有難度的。此時, 向相應的行業監管部門諮詢通常有所幫助。
開展個人資訊保護影響評估
標準合同路徑似乎是滿足個人資訊出境的若干合法基礎中最簡單的一種。然而, 其遠不僅是簽訂與標準合同一致的數據傳輸協議。
根據《個人資訊保護法》第55條的規定[3], 個人資訊處理者應當在個人資訊出境前進行個人資訊保護影響評估。《標準合同辦法》第5條[4]還規定, “個人資訊處理者向境外提供個人資訊前, 應當開展個人資訊保護影響評估”也就是說, 如果跨國企業採用標準合同路徑的, 則需要進行個人資訊保護影響評估。
此要求類似於歐洲的隱私影響評估要求, 該要求是根據歐盟法院在Schrems II案的判決中確立的。在該案中, 跨境數據傳輸者, 需要針對數據接收者所處的數據保護環境和水準, 採取額外的盡職調查義務。而《標準合同辦法》下的個人資訊保護評估範圍似乎更為全面。其要求對個人資訊出境進行各環節的盡職調查, 並在盡職調查的基礎上評估傳輸的合法性、正當性和必要性以及出境所帶來的風險。
標準合同備案
數據傳輸協議是私主體間訂立的合同, 但需要向當地的省級網信辦(“省級網信辦”)備案。《標準合同辦法》第7條[5]規定, “個人資訊處理者應當在標準合同生效之日起10個工作日內向所在地省級網信部門備案”備案需要提交的檔包括簽署的標準合同以及個人資訊保護影響評估報告。備案要求表明, 採用標準合同路徑已不再限於一個私主體間的選擇, 而存在政府介入。目前尚不確定省級網信辦將在多大程度上審查已簽署的數據傳輸協議(標準合同)和個人資訊保護影響評估報告。
與標準合同間的偏差
採用標準合同路徑時, 個人資訊處理者必須嚴格按照《標準合同辦法》所附的標準合同與境外接收方簽訂數據傳輸協議, 雙方可以與境外接收方約定其他條款, 但不得與標準合同相衝突。
根據《標準合同辦法》第6條的規定[6], “標準合同應當嚴格按照本辦法附件訂立。國家網信部門可以根據實際情況對附件進行調整。個人資訊處理者可以與境外接收方約定其他條款, 但不得與標準合同相衝突。”該條款表明: (i)標準合同中的所有條款都必須包含在數據傳輸協議中, 不得存在偏差; (ii) 網信辦有權不時修改標準合同, 這表明雙方需要確保他們簽署的數據傳輸協議保留一定的靈活性, 能夠適應網信辦對標準合同的修改; (iii)雙方可以在不與標準合同衝突的情況下添加額外條款。
這表明, 當採用標準合同路徑時, 跨國企業需要根據標準合同制定數據傳輸協議, 而不是GDPR下或其他法域使用的全球通用範本。
爭議解決方式
值得注意的是, 根據標準合同第9條第2項[7], 數據傳輸協議必須受中國法律管轄。標準合同第9條第4項[8]進一步規定, 因訂立或履行數據傳輸協議而引起的爭議可由雙方選擇由中國法院訴訟, 或在約定了仲裁為爭議解決機制的情況下, 提交至《承認及執行外國仲裁裁決公約》認可的仲裁機構解決。且只允許機構仲裁(而非臨時仲裁)。
這意味著跨國企業可能需要有專門針對中國跨境傳輸的數據傳輸協議(受中國法律管轄), 而其他跨境個人資訊轉移情形則受外國法律管轄。
標準合同路徑的實現
標準合同規定提供了六個月的寬限期整改現有的個人資訊出境行為。
《標準合同辦法》第13條[9]規定, 在《標準合同辦法》實施前(即2023年6月1日)“已經開展的個人資訊出境活動, 不符合《標準合同辦法》規定的, 應當自《標準合同辦法》施行之日起6個月內完成整改。”換句話說, 跨國企業有大約9個月的時間來糾正不合規行為。因此, 我們建議跨國企業考慮以下行動:
(1)精簡出境的數據流, 評估這些數據流線的合法性、正當性和必要性;
(2)對個人資訊出境行為進行個人資訊保護影響評估; 以及
(3)審查和修改其現有的數據傳輸協議, 確保其與標準合同一致。
*本文系英文稿機器翻譯後經人工校對完成
作者:
|
|
楊迅 合夥人 +86 152 2182 2373 +86 21 3135 8799 xun.yang@llinkslaw.com |
|
|
點擊長按識別左側二維碼查看合夥人介紹 |
|
|
夏雨薇 |
© 通力律師事務所
本微信所刊登的文章僅代表作者本人觀點, 不代表通力律師事務所的法律意見或建議。我們明示不對任何依賴該等文章的任何內容而採取或不採取行動所導致的後果承擔責任。如需轉載或引用該等文章的任何內容, 請注明出處。
請先 登錄後發表評論 ~