作者:金茂律师事务所 万波 律师 张月勤 律师助理
2023年2月24日,国家互联网信息办公室发布了《个人信息出境标准合同办法》(以下简称“《办法》”)以及相应的个人信息出境标准合同文本(以下简称“《标准合同》”)并将自今年6月1日起实施。
一、《个人信息出境标准合同办法》解读
《办法》明确了个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合下列情形:一是非关键信息基础设施运营者;二是处理个人信息不满100万人的;三是自上年1月1日起累计向境外提供个人信息不满10万人的;四是自上年1月1日起累计向境外提供敏感个人信息不满1万人的。同时,《办法》明确,法律、行政法规或者国家网信部门另有规定的,从其规定。要求个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。
与征求意见稿相比,《办法》重点修改了如下内容。
《办法》第四条在适用范围上,进一步强调标准合同与数据出境安全评估的两层次适用规则,新增款项禁止个人信息处理者通过采取数量拆分等手段,规避数据出境安全评估;增加“法律、行政法规或者国家网信部门另有规定的,从其规定”例外规定。
《办法》第六条明确了标准合同内容须严格按照《办法》附件《标准合同》订立,不可修改,但合同双方可以约定与《标准合同》不相冲突的其他条款;同时,国家网信部门有权对《标准合同》文本进行调整。
《办法》第七条、第八条细化了《标准合同》重新备案的附随义务,与《办法》第七条《标准合同》备案时需提交的材料(《标准合同》及个人信息保护影响评估报告)相衔接,明确标准合同有效期内发生重大变化需重新备案时,个人信息处理者应重新开展个人信息保护影响评估,补充或者重新订立标准合同。
《办法》第十三条新增了6个月整改期限,明确《办法》自2023年6月1日起施行。《办法》施行前已经开展的个人信息出境活动,不符合《办法》规定的,应自施行之日起6个月内完成整改。
《办法》第十一条缓和法律责任,将个人信息出境活动存在较大风险或者发生个人信息安全事件时,个人信息处理者可能面临的法律后果,从省级以上网信部门应当书面通知个人信息处理者“终止个人信息出境活动”且个人信息处理者应当在收到通知后“立即终止个人信息出境活动”修改为:省级以上网信部门“可以对个人信息处理者进行约谈”,个人信息处理者应当“按照要求整改,消除隐患”。
二、《标准合同》解读
《标准合同》的主要内容包括合同相关定义和基本要素、个人信息处理者和境外接收方的合同义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利和相关救济,以及合同解除、违约责任、争议解决等事项,并设计了个人信息出境说明、双方约定的其他条款等两个附录。
下表为征求意见稿与正式稿修订条文的对比:
相较于征求意见稿,标准合同在体例设置上并无大的变动,除优化了语言表述使其更符合中文语境中的合同语言、合并拆分一些条款使逻辑更加严谨之外,实质性变更较少,下文仅对实质性变更进行解读,表述优化不再赘述。
首先是违约责任设置的优化。笔者曾于《<个人信息出境标准合同(征求意见稿)>简评及若干商榷意见》一文中提出,由于《个保法》仅对共同处理的情形规定了连带责任,而考虑到《标准合同》适用的范围不限于共同处理的场景,且其条款有优先且不可更改的效力,作为有一定强制性效力的文件,征求意见稿中,违约责任条款不分场景统一对合同主体施以连带责任,在没有明确上位法依据的情形下,显然是不合理地加重了合同主体的义务,与《个保法》和《民法典》的相关规定、最高院的司法解释都背道而驰。
此次正式稿虽然延续了征求意见稿的体例,仍然未区分共同处理和委托处理,但相应地也删除了冗长的违约责任分配条款,将发生纠纷时的责任分配交由法院/仲裁机构根据不同的处理情形(共同处理或委托处理)依照上位法规定来裁量,增加明确了《标准合同》项下的连带责任内涵,即对外连带,对内按份,不仅使《标准合同》在合法性和科学性上大大优化,尤其是《标准合同》的其他条款对数据跨境流动各方的责任与义务规定较为严苛的情形下,简化的条款也会大大增进各方的缔约意愿。
另外,正式稿调整了合同双方协作义务,进一步实现以境内数据处理者为抓手,监管境外个人信息处理活动。如第二条“个人信息处理者的义务”第(七)项删除原合同双方均同意的情况下,可由境外接收方答复来自监管机构关于境外接收方的个人信息处理活动的询问的例外情形,明确仅能通过境内数据处理者答复监管询问;第四条“境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响”下新增境外接收方接到所在国家或者地区的政府部门、司法机构关于提供本合同项下的个人信息要求时,应当立即通知个人信息处理者的义务。
最后,正式稿提供了更为灵活的义务履行方式,增加了《标准合同》的实操性。如第二条“个人信息处理者的义务”第(九)项及第三条“境外接收方的义务”第(三)项将对于涉及商业秘密等内容合同进行“遮蔽处理”的义务调整为在不影响个人信息主体理解的前提下,“对本合同副本相关内容进行适当处理”;如第三条“境外接收方的义务”第(五)项将原境外接收方对超出存储期限的个人信息可采取删除或匿名化处理的约定调整为“应当删除个人信息(包括所有备份)”“如删除个人信息从技术上难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理”,并将受托处理个人信息的境外接收方应在删除个人信息后,向数据处理者提供审计报告的义务调整为“向个人信息处理者提供书面说明”。