中国个人信息跨境流动的“标准合同”规则解读

网信中国
黄道丽
从国际经验来看,在国际间政策法律和安全环境缺乏充分性认定,认证机构和结论的互通互认、信任基础存在较大差异的当前,《标准合同》因其灵活便捷和风险有限,可以成为个人信息跨境使用的重要法律工具,并在合同的相对性中回应各方利益需求的不断变化。

本文来自微信公众号“网信中国”,作者:黄道丽 公安部第三研究所研究员。

2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》),对个人信息出境标准合同(以下简称《标准合同》)的适用条件和备案监管等作了具体规定,自2023年6月1日起施行。《办法》的施行,反映了尊重国际规则又适应中国国情的个人信息出境监管体系的新发展。

一、《标准合同》的适用主体、保护目的、效力范围与生效条件

1.适用《标准合同》的主体限定

《办法》对于能够采取《标准合同》实施个人信息跨境的主体范围进行了非常明确的界定,包括:非关键信息基础设施运营者;处理个人信息不满100万人的;自上年1月1日起累计向境外提供个人信息不满10万人的;自上年1月1日起累计向境外提供敏感个人信息不满1万人的。个人信息处理者必须同时满足上述四项条件,才能够适用《标准合同》。

2.基于合同出境的个人信息保护最低约束条件

《标准合同》明确其制定直接目的在于“为了确保境外接收方处理个人信息的活动达到中华人民共和国相关法律法规规定的个人信息保护标准”、“明确个人信息处理者和境外接收方个人信息保护的权利和义务”。基于此目的设置了个人信息出境活动中,作为境外接收方的外国企业、组织等实体的最低合同义务要求,并通过合同对各方权利义务的合理分配、法律适用与违约责任等予以规定,保障了对个人信息出境活动的各方管理制度、安全技术措施的验证与追责,使得个人、境内外企业组织等实体完全可以通过民事诉讼等方式维护自身合法权益,而无需动辄启动公权力。

3.民事合同层面的优先适用与效力

根据《标准合同》第九条,个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同如与《标准合同》冲突,《标准合同》条款优先适用,且个人信息处理者和境外接收方不能对《标准合同》的内容进行调整或删减,否则将视为未签订《个人信息保护法》第38条规定的标准合同。而如果未签订《标准合同》,则可能导致对《个人信息保护法》出境条件的不符合而承担不利法律后果。

若各方确需对个人信息的出境情况进行补充,补充条款不应对《标准合同》条款进行任何效力修订、否定或排除,不得与《标准合同》相冲突,并不得规定低于《标准合同》设置的义务和责任,特别是不得对个人信息主体的权利及其行使设定任何障碍或限制。

还需要注意,签订和履行《标准合同》仅是从民事合同层面约定的各方权利义务,以及违反合同约定的民事责任,并不能当然减轻或免除个人信息处理者因违反《个人信息保护法》而导致的其他法律责任。

4.《标准合同》的生效条件与备案性质

《办法》第七条要求个人信息处理者应当在《标准合同》生效之日起10个工作日内,向所在地省级网信部门备案。该条明确了《标准合同》的生效不依赖于备案或任何前置条件,备案《标准合同》不属于行政许可,即使未备案,也不影响合同本身的有效性,充分尊重各方当事人的意思自治,但同样这不影响因违反《个人信息保护法》而产生的相关行政责任。如果在合同有效期内发生重大的约定事项变化,个人信息处理者需要补充或者重新签订《标准合同》并备案。

二、《标准合同》的体系结构与形式完备性

1.属于业务主合同下个人信息处理的特别约定

《标准合同》在开篇的背景描述(也称“鉴于条款”)中即明确,为境内外双方商务、业务等(法律商事活动)主合同的某种附件、补充或特别约定,并非单独设计,而是贴合企业、组织等实体的真实业务需求,和对《个人信息保护法》规定的“因业务等需要”,确需向境外提供个人信息的准确回应。

2.《标准合同》的合同条款结构

《标准合同》按照中国法下民事合同从设立到履行、再到可能解除或终止的“合同生命周期”管理的过程进行设计,属于国际上普遍认可的合同条款的结构形式。《标准合同》主要条款有九条,囊括了定义、个人信息处理者的义务、境外接收方的义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利、救济、合同解除、违约责任以及其他通用条款,符合《民法典》的合同体系化要求,紧密围绕个人信息保护打造,特别突出了对第三方受益者“个人信息主体权利”的事前保护和事后“救济”机制,构成了合同中第三方权益的强化约定,是《民法典》第522条等在数据处理类合同中的细化,并具有《个人信息保护法》的鲜明特色。

三、《标准合同》主要条款解读与适用

1.个人信息处理者的义务

《标准合同》第二条以(境内)个人信息处理者单方陈述、保证和承诺的方式直接规定了其法律义务,其中个人信息保护影响评估是签订《标准合同》之前,或者说至少不晚于签订时应完成的事项。个人信息保护影响评估报告属于备案材料。

2.境外接收方的义务

境外接收方的义务主要面向(境内)个人信息处理者和个人信息所涉及的主体本身两方面进行规定。由于《标准合同》制定目的之一是“确保境外接收方处理个人信息的活动达到中国相关法律法规规定的个人信息保护标准”,即对出境后的个人信息仍能实施有效保护,因此第三条境外接收方的义务成为《标准合同》最复杂的条款。

3.境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响

《标准合同》第四条要求合同双方从勤勉尽责出发进行保证和声明,主要考虑内容包括:(1)境外接收方过往的个人信息活动实践,包括执法和司法要求提供个人信息及其应对等情况的披露;(2)对境外接收方所在国家或者地区的个人信息保护政策法规、执法司法机构、标准等进行整体披露;(3)政策法规发生变化时的通知义务,直至解除合同。

4.个人信息主体的权利和救济

《标准合同》规定的个人信息主体权利是对《个人信息保护法》第四章内容的合同化,但个人信息主体非《标准合同》的合同方,因此《标准合同》对“第三方”个人信息主体设置权利时充分考虑了可接受和可行性,同时避免对个人信息主体设置任何义务或障碍。

可接受和可行性的考虑主要体现为:(1)个人信息主体可以分别、单独向个人信息处理者或境外接收方主张权利;(2)境外接收方应当以显著方式、清晰易懂的语言真实、准确、完整地告知个人信息主体相关信息,这一要求体现为境外接收方应主要通过可访问的隐私政策、可切换语言种类的不同页面,具有辨识度的请求和投诉联络方式;(3)境外接收方同意个人信息主体就合同争议的解决依据为中国相关法律法规等等。

5.合同解除与违约责任

作为典型的合同条款,《标准合同》规定了合同解除的触发情形和可能导致的违约责任,特殊考虑在于在合同解除与违约责任中需要充分考虑个人信息主体的权利,由于个人信息主体往往并不能第一时间获知数据泄露或其他损害其权益的情况,这也对条款设计的协调与呼应提出更高要求。例如无论何种情形导致合同解除,境外接收方应及时返还、销毁或匿名化处理其根据合同所接收到的个人信息(包括所有备份),并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的,应当停止存储和采取必要的安全保护措施之外的处理。

四、总结与展望构筑了基于合同出境的个人信息保护的最低约束条件,体现了中国对个人信息保护的多层次、高规格要求

从国际经验来看,在国际间政策法律和安全环境缺乏充分性认定,认证机构和结论的互通互认、信任基础存在较大差异的当前,《标准合同》因其灵活便捷和风险有限,可以成为个人信息跨境使用的重要法律工具,并在合同的相对性中回应各方利益需求的不断变化。整体来看,我国《办法》和《标准合同》对个人信息跨境场景给出了一致性而又留有弹性空间的标准合同范本,结构体系基本完备,内容聚焦个人信息主体权利保护,有助于个人信息处理者简化跨境合规流程,反映了当下个人信息处理者在进行出境评价、评估时的重点关注,切实考虑了个人信息跨境的不同法域冲突与协调问题,其施行有助于个人信息处理者、境外接收方等实体梳理各方权利义务,将技术措施、管理制度等要求落地到可举证、可追责的程度。

对于越发多元化的中国数字经济模式而言,如何借助于包括《标准合同》、安全评估等在内的个人信息跨境法律工具,充分发挥法律、管理和技术的不同聚合、叠加、去重、互补的安全保障和规范功能,同时开展实施后的效果反馈和使用评估,《办法》的尝试值得期待。

文章链接:https://mp.weixin.qq.com/s/_bu856V-4u_gHn3LmGWuKg

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论