2022-06-30.png)
作者:熊定中
2022年6月30日,国家互联网信息办公室发布了个人信息保护领域实务界翘首以盼的一份文件,即题述《个人信息出境标准合同规定(征求意见稿)》(以下简称:《规定》)及标准合同。
之所以说翘首以盼,是因为个人信息保护尤其是个人信息跨境传输问题上,国内长期处于业务实践从来未停,法律制定又只有框架性规定,执行细则一直缺乏的状态,大量企业基于正当理由进行数据跨境传输时,一直处于法律上的灰色地带。个人信息保护法虽然规定了个人信息处理者将个人信息合法出境的三种途径,即“通过政府组织的安全评估”、“获得由中央网信办认可的机构颁发的个人信息保护认证”和“与境外接收方签订标准合同”,但这三个途径截至目前均无实际操作规范——政府组织的安全评估这一路径,《数据出境安全评估办法》依然在征求意见;个人信息保护认证也尚未见有所启动;而最后的标准合同,正是本文题述征求意见稿所要解决的。当然,依然还是征求意见稿阶段。
《规定》全文十三条,内容并不复杂,而且大多数表述属情理之中,日常实务工作中大体也是如样执行的,依然符合个保相关立法的一贯风格,即并不积极创设新的实践要求,更多地是归纳和总结实践经验并上升为立法或监管意志。但有些条款确属重点,本文将逐一简析。
一、标准合同的使用场景
《规定》第四条提及了标准合同适用的四种情况,可以看出,这基本上是把标准合同定位在“小规模、不重要”(相对而言)的数据出境场景中,而不是数据出境的全场景适用范本。当然,这是符合个人信息保护法第三十八条的立法逻辑的,即较为大规模、重要的个人信息出境,应该走“通过政府组织的安全评估”和“获得由中央网信办认可的机构颁发的个人信息保护认证”这两条道路。
四种场景本身规定得较为清晰,但在实务操作中,处理个人信息不满100万人的、自上年1月1日起累计向境外提供未达到10万人个人信息的、自上年1月1日起累计向境外提供未达到1万人敏感个人信息的这三个场景,处理者是否符合是较好判断的,但是否为非关键信息基础设施运营者,在“关键信息基础设施运营者”的认定还不是较为普遍的情况下,可能会对一些边界企业带来一定困惑。当然,这个困惑在专业人士支持下并不难以解决。
笔者更为关注的是,《规定》和网信办之前发布的《数据出境安全评估办法(征求意见稿)》在评价数据量级上,均使用的“人”这个单位,即不论字段量级,而仅以个人信息主体的数量为评价标准,似乎略有不当。不排除出现虽然人数不够标准,但由于字段量级过高而实则影响较大的情况。试举一例:一万人的姓名,无非一万条信息而已,但如果是一千人累积了一年的购物数据,这个量级可能是百万级别。监管机构何以认为后者的重要性要低于前者,还是仅仅遗漏了该维度,值得思考。
二、个人信息保护影响评估的备案及可能的后果
《规定》第五条特别强调,个人信息处理者向境外提供个人信息前,应当事前开展个人信息保护影响评估,这当然是个人信息保护法第五十五条的法律明确要求,但比较有趣的是,《规定》第七条第一款要求,该评估报告需要向网信部门备案。
笔者在日常从事的数据合规工作中,几乎每个需求答复实际上都属于“个人信息保护影响评估”,而且基本思路和《规定》第五条差别不大。但由于该评估仅仅是个人信息处理者企业内部存档,因此实际上并无机会向监管机构提交——除非被评估的产品因为个人信息保护问题引起了监管的关注,否则该评估很难直接出现在监管视界。据笔者所知,各大公司的数据法务和律所的相关从业者也均会日常提供此种评估意见。而在出境问题上,如果该备案要求一旦通过,则评估错误的后果如何,笔者认为将是件非常有趣的事情——企业内部数据法务评估错误当然是企业承担责任,但如果是外部中介机构如律所提供此种评估,是否要因此承担中介机构责任?企业是否因为中介机构的个人信息影响评估的结果背书而得以被豁免?网信部门是否有权或将会对出具错误报告的中介机构施加行政处罚?这都是未来值得观望的潜在监管走向。
当然,从备案实际操作而言,后续就数据出境的个人信息影响评估报告,网信部门可能会提供更为详细的指引来保证《规定》第五条的落地实施:倒不是笔者认为网信部门有义务重视法务和律师的工作质量,但仅就备案工作而言,如果备案文件没有相对统一的格式和结构,对监管而言也会增加额外的成本。
三、重签标准合同的难点和可能的解决方式
《规定》第八条提及,在已经签署标准合同的情况下,如果出现规定的相关变化,则标准合同应当重签且备案。
首先,笔者认为该条规定遗漏了重新进行个人信息影响评估报告的要求。当然,这可能是起草者认为备案必然要重新提供个人信息影响评估报告。但仅就文义而言,还需加入较为妥当。
其次,该条虽然规定了需要重签的场景,但纵观《规定》全文,并未提及如果未能成功重签(商业交往中并非每次续签或重签都能得到对方的同意),个人信息处理者如何处理。虽然第十一条规定了,个人信息出境活动在实际处理过程中不再符合个人信息出境安全管理要求的,个人信息处理者应当在收到网信部门通知后立即终止个人信息出境活动,但这个规定显然并不能直接适用于第八条数据接收方拒绝续签的场景,因为这是网信部门主动发现场景变化的情况,并不适用于个人信息处理者自己发现无法续签后的处理场景。
因此,笔者建议在最终稿中,进一步明确如果续签不成,个人信息处理者应当如何从事的明确规定。而且,进而言之,还需要明确个人信息处理者在数据出境过程中,如果主动发现数据接收方存在不履行合同约定情况时,也应当有相应的停止传输和向监管机构报备的法定义务。这种情况《规定》中也未能予以明确——可能起草者考虑的是标准合同中已经作了约定,结合《规定》第十二条和标准合同第七条依然可以得出汇报义务的结论,但笔者特别想强调的是,《规定》第十二条中明确处罚的前提是“侵害个人信息权益造成损害的”,实际上是对结果的处罚。但无论是从事后的举证难度还是必要性上,笔者均看不出来,对于不遵守报告义务的个人信息处理者,监管机关不是“行为罚”而是“结果罚”(借用刑法行为犯和结果犯的概念)的必要性。
四、总结
总的来说,《规定》作为回应个人信息保护法要求的部门规章,因此条文相对来说较为简单,主要还是强调具体如何落实标准合同的使用以及明确相关配套措施,便于实务人士进行操作,迅速推进生效、保证实务需求得以满足的必要性是非常强的,笔者除本文上述意见之外,还是对该《规定》持赞许和支持观点的。但就标准合同具体条文而言,可能需要斟酌的部分就不在少数了。限于篇幅和时间,笔者不在本文赘述。
之所以说翘首以盼,是因为个人信息保护尤其是个人信息跨境传输问题上,国内长期处于业务实践从来未停,法律制定又只有框架性规定,执行细则一直缺乏的状态,大量企业基于正当理由进行数据跨境传输时,一直处于法律上的灰色地带。个人信息保护法虽然规定了个人信息处理者将个人信息合法出境的三种途径,即“通过政府组织的安全评估”、“获得由中央网信办认可的机构颁发的个人信息保护认证”和“与境外接收方签订标准合同”,但这三个途径截至目前均无实际操作规范——政府组织的安全评估这一路径,《数据出境安全评估办法》依然在征求意见;个人信息保护认证也尚未见有所启动;而最后的标准合同,正是本文题述征求意见稿所要解决的。当然,依然还是征求意见稿阶段。
《规定》全文十三条,内容并不复杂,而且大多数表述属情理之中,日常实务工作中大体也是如样执行的,依然符合个保相关立法的一贯风格,即并不积极创设新的实践要求,更多地是归纳和总结实践经验并上升为立法或监管意志。但有些条款确属重点,本文将逐一简析。
一、标准合同的使用场景
《规定》第四条提及了标准合同适用的四种情况,可以看出,这基本上是把标准合同定位在“小规模、不重要”(相对而言)的数据出境场景中,而不是数据出境的全场景适用范本。当然,这是符合个人信息保护法第三十八条的立法逻辑的,即较为大规模、重要的个人信息出境,应该走“通过政府组织的安全评估”和“获得由中央网信办认可的机构颁发的个人信息保护认证”这两条道路。
四种场景本身规定得较为清晰,但在实务操作中,处理个人信息不满100万人的、自上年1月1日起累计向境外提供未达到10万人个人信息的、自上年1月1日起累计向境外提供未达到1万人敏感个人信息的这三个场景,处理者是否符合是较好判断的,但是否为非关键信息基础设施运营者,在“关键信息基础设施运营者”的认定还不是较为普遍的情况下,可能会对一些边界企业带来一定困惑。当然,这个困惑在专业人士支持下并不难以解决。
笔者更为关注的是,《规定》和网信办之前发布的《数据出境安全评估办法(征求意见稿)》在评价数据量级上,均使用的“人”这个单位,即不论字段量级,而仅以个人信息主体的数量为评价标准,似乎略有不当。不排除出现虽然人数不够标准,但由于字段量级过高而实则影响较大的情况。试举一例:一万人的姓名,无非一万条信息而已,但如果是一千人累积了一年的购物数据,这个量级可能是百万级别。监管机构何以认为后者的重要性要低于前者,还是仅仅遗漏了该维度,值得思考。
二、个人信息保护影响评估的备案及可能的后果
《规定》第五条特别强调,个人信息处理者向境外提供个人信息前,应当事前开展个人信息保护影响评估,这当然是个人信息保护法第五十五条的法律明确要求,但比较有趣的是,《规定》第七条第一款要求,该评估报告需要向网信部门备案。
笔者在日常从事的数据合规工作中,几乎每个需求答复实际上都属于“个人信息保护影响评估”,而且基本思路和《规定》第五条差别不大。但由于该评估仅仅是个人信息处理者企业内部存档,因此实际上并无机会向监管机构提交——除非被评估的产品因为个人信息保护问题引起了监管的关注,否则该评估很难直接出现在监管视界。据笔者所知,各大公司的数据法务和律所的相关从业者也均会日常提供此种评估意见。而在出境问题上,如果该备案要求一旦通过,则评估错误的后果如何,笔者认为将是件非常有趣的事情——企业内部数据法务评估错误当然是企业承担责任,但如果是外部中介机构如律所提供此种评估,是否要因此承担中介机构责任?企业是否因为中介机构的个人信息影响评估的结果背书而得以被豁免?网信部门是否有权或将会对出具错误报告的中介机构施加行政处罚?这都是未来值得观望的潜在监管走向。
当然,从备案实际操作而言,后续就数据出境的个人信息影响评估报告,网信部门可能会提供更为详细的指引来保证《规定》第五条的落地实施:倒不是笔者认为网信部门有义务重视法务和律师的工作质量,但仅就备案工作而言,如果备案文件没有相对统一的格式和结构,对监管而言也会增加额外的成本。
三、重签标准合同的难点和可能的解决方式
《规定》第八条提及,在已经签署标准合同的情况下,如果出现规定的相关变化,则标准合同应当重签且备案。
首先,笔者认为该条规定遗漏了重新进行个人信息影响评估报告的要求。当然,这可能是起草者认为备案必然要重新提供个人信息影响评估报告。但仅就文义而言,还需加入较为妥当。
其次,该条虽然规定了需要重签的场景,但纵观《规定》全文,并未提及如果未能成功重签(商业交往中并非每次续签或重签都能得到对方的同意),个人信息处理者如何处理。虽然第十一条规定了,个人信息出境活动在实际处理过程中不再符合个人信息出境安全管理要求的,个人信息处理者应当在收到网信部门通知后立即终止个人信息出境活动,但这个规定显然并不能直接适用于第八条数据接收方拒绝续签的场景,因为这是网信部门主动发现场景变化的情况,并不适用于个人信息处理者自己发现无法续签后的处理场景。
因此,笔者建议在最终稿中,进一步明确如果续签不成,个人信息处理者应当如何从事的明确规定。而且,进而言之,还需要明确个人信息处理者在数据出境过程中,如果主动发现数据接收方存在不履行合同约定情况时,也应当有相应的停止传输和向监管机构报备的法定义务。这种情况《规定》中也未能予以明确——可能起草者考虑的是标准合同中已经作了约定,结合《规定》第十二条和标准合同第七条依然可以得出汇报义务的结论,但笔者特别想强调的是,《规定》第十二条中明确处罚的前提是“侵害个人信息权益造成损害的”,实际上是对结果的处罚。但无论是从事后的举证难度还是必要性上,笔者均看不出来,对于不遵守报告义务的个人信息处理者,监管机关不是“行为罚”而是“结果罚”(借用刑法行为犯和结果犯的概念)的必要性。
四、总结
总的来说,《规定》作为回应个人信息保护法要求的部门规章,因此条文相对来说较为简单,主要还是强调具体如何落实标准合同的使用以及明确相关配套措施,便于实务人士进行操作,迅速推进生效、保证实务需求得以满足的必要性是非常强的,笔者除本文上述意见之外,还是对该《规定》持赞许和支持观点的。但就标准合同具体条文而言,可能需要斟酌的部分就不在少数了。限于篇幅和时间,笔者不在本文赘述。
上一篇
.png)
