专家解读|出台标准合同规范 完善我国个人信息出境管理制度
2023年2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》)。《办法》对通过订立标准合同的方式开展个人信息出境的活动作出具体制度安排,细化落实了《个人信息保护法》第三十八条第一款第三项的规定。《个人信息保护法》对我国个人信息出境管理作出顶层设计,规定了国际条约或协定、安全评估、个人信息保护认证、标准合同四种个人信息出境方式。继《数据出境安全评估办法》《关于实施个人信息保护认证的公告》对安全评估、个人信息保护认证进行规范后,《办法》成为我国个人信息出境管理制度的重要组成部分。对于规范个人信息跨境流动、完善数据跨境管理制度和促进数据领域国际合作具有重大意义。
一、及时必要,规范个人信息有序高效跨境流动
出台《办法》是我国推动个人信息跨境流动、积极融入全球数字经济发展大势的重要举措。
(一)落实《个人信息保护法》要求,保护个人信息权益。出台《办法》是为了保护个人信息权益,规范个人信息出境活动。当前,数字经济蓬勃发展,数据跨境日益频繁,各国个人信息跨境流动需求也快速增长。但由于不同国家和地区的个人信息保护水平存在差异,个人信息出境的风险日渐凸显。《个人信息保护法》提供了高水平的个人信息保护标准,标准合同的适用有利于保障境外接收方处理个人信息的活动达到我国《个人信息保护法》规定的个人信息保护标准,确保个人信息出境后个人信息主体权益依然受到保护。
(二)促进数字经济发展,回应中小企业个人信息跨境需求。2022年《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出“构建数据安全合规有序跨境流通机制”“坚持开放发展,推动数据跨境双向有序流动,鼓励国内外企业及组织依法依规开展数据跨境流动业务合作”。作为一种个人信息出境方式,标准合同具有便捷化、成本低的特征。《办法》的出台积极回应了社会关切,在为中小企业个人信息跨境业务合作提供法治保障的同时,也减轻了中小企业负担,有利于进一步促进数据自由流通和数字经济发展。
(三)紧跟数字时代潮流,顺应国际通行做法。国际上,以欧盟针对四种不同个人数据传输场景的“标准合同条款”为典型代表,东盟、英国和中国香港等国家和地区分别出台了“标准合同条款”范本。在借鉴域外经验和立足我国实际的基础上,《办法》提出具备完整合同结构的“标准合同范本”。国家网信部门可以根据实际情况对附件标准合同范本进行调整,使其保持灵活性、实践性和国际性。《办法》的出台既符合国际通行做法又具有中国法治特色,对于促进数据领域国际合作意义重大。
二、定位清晰,健全个人信息出境管理制度体系
《办法》是继《数据出境安全评估办法》之后,第二部落实《个人信息保护法》个人信息出境管理规定的专门性部门规章,具有承前启后推动个人信息出境管理制度体系化的重要作用。
(一)完善个人信息出境管理的重要配套规章。《办法》的出台,细化了《个人信息保护法》“按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利义务”的要求,是对个人信息出境管理制度的重要补充。《个人信息保护法》第三十八条规定了“两类四种”个人信息出境方式:一类是个人信息处理者因业务等需要,确需向境外提供个人信息的,应该具备“安全评估”“个人信息保护认证”“标准合同”三种条件之一,并设置兜底条款“法律、行政法规或者国家网信部门规定的其他条件”;另一类是我国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的,可以按照其规定执行。《数据出境安全评估办法》明确了数据出境管理中的“安全评估”,《办法》与其共同作为《个人信息保护法》的配套规章,进一步落实了有关个人信息出境管理制度的顶层设计。
(二)丰富个人信息出境方式。《办法》通过划定个人信息出境标准合同的适用范围和情形,有效实现了标准合同和安全评估、个人信息保护认证的制度衔接,也为后续出台有关认证等其他个人信息出境方式的规则预留了制度接口。当个人信息处理者选择通过订立标准合同的方式向境外提供个人信息时,必须同时符合下列四种情形:(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供个人信息不满10万人的;(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。实际上,《办法》给予个人信息处理者选择权,除必须申报安全评估的情形之外,个人信息处理者可以结合具体情况选择订立标准合同或者其他个人信息出境方式出境。
(三)结合政府监管手段与市场自主行为的新型管理规则。《办法》的正文和附件标准合同范本前后衔接,既明确了个人信息出境标准合同的监管要求,又保障了合同双方的意思自治和合同磋商空间。正文为行政监管意义上的部门规章,规定了个人信息出境标准合同的监管要求。附件实质上为民商事活动领域中的格式合同,相较于传统民事合同,其承载着意思自治、个人信息保护、国家安全和公共利益等多元价值。标准合同范本中的部分内容已被预先设定,当个人信息处理者自愿选择通过订立标准合同的方式向境外提供个人信息时,该部分内容不可更改。但合同双方可在附录二中约定附件标准合同范本未明确的事项。总之,将标准合同作为个人信息出境的方式,是我国网络立法上的创新举措,有利于积极应对互联网新业态新模式带来的风险挑战,为促进个人信息跨境流动提供法治保障。
三、守正创新,构建个人信息出境标准合同管理制度
《办法》立足我国立法现状和实践情况,对个人信息保护影响评估、标准合同备案管理、举报监督制度与法律责任等作出明确规定。
(一)个人信息保护影响自评估制度。《办法》第五条规定个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估,其重点评估内容与《数据出境安全评估办法》中“数据出境风险自评估”的重点评估事项基本一致。但是,个人信息保护影响评估内容中增加了“境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响”。这一点具体体现在附件标准合同范本的第二条第八项和第四条,合同双方应结合个人信息出境的具体情况、境外政策法规、境外接收方的安全管理制度和技术手段保障能力等进行评估。
(二)个人信息出境标准合同备案管理制度。个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。从性质上看,《办法》设立的备案制度为事后监管,并不会产生功能性的效果。从内容上看,须备案的材料包括:(一)合同双方根据附件标准合同范本订立的个人信息出境标准合同,与之相关的独立商业合同并不需要备案;(二)个人信息保护影响评估报告。个人信息处理者应当对所备案材料的真实性负责。从结果上看,对于未履行备案程序或者提交虚假材料进行备案的违法行为,若由此导致个人信息出境活动存在较大风险或者发生个人信息安全事件,省级以上网信部门可以进行约谈,要求整改。
(三)保护个人信息主体权利的涉他合同。从主体上看,附件标准合同范本涉及三方主体,包括个人信息处理者、境外接收方和个人信息主体,在为个人信息处理者、境外接收方设立合同义务的同时,亦为第三人“个人信息主体”设立了合同权利。从内容上看,个人信息处理者应履行告知、提供副本、答复询问、个人信息保护影响评估等义务。境外接收方应履行提供合同副本、采取技术和管理措施、接受监督管理等义务;若进行“再传输”“转委托”“自动化决策”等处理行为需符合相关条件。个人信息主体对其个人信息的处理享有知情权、决定权等权利,并有权请求合同一方或双方履行标准合同项下与个人信息主体权利相关的条款。此外,个人信息处理者通过与境外接收方订立标准合同的方式向境外提供个人信息的,除遵守《办法》规定外,合同的成立、效力、履行、解释以及因本合同引起的双方争议还应适用《民法典》等中华人民共和国相关法律法规。
(四)举报监督制度与法律责任。一方面,任何组织和个人发现个人信息处理者违反《办法》规定向境外提供个人信息的,可以向省级以上网信部门举报。另一方面,当省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改,消除隐患。此外,还规定了违反《办法》规定的应当依据《个人信息保护法》等法律法规处理,构成犯罪的依法追究刑事责任。
四、小结
《办法》以标准合同为抓手规范我国个人信息出境管理制度,是我国深化开放合作、探索个人信息跨境流动与治理的新举措。出台《办法》不仅补充完善了我国数据跨境监管制度体系,体现了我国网络立法的系统性、整体性、协同性、时效性,更为数字经济浪潮中的中国企业提供了法治保障和具体指引。(作者:方禹 中国信通院互联网法律研究中心主任)
来源: 中国网信网
责编:茹冰 孙兰