《个人信息出境标准合同规定(征求意见稿)》重点速览
2022年6月30日, 国家网信办发布了《个人信息出境标准合同规定(征求意见稿)》(“《标准合同规定(征)》”)。千呼万唤始出来, 《标准合同规定(征)》对应《个人信息保护法》(“《个保法》”)第三十八条规定的个人信息出境条件之一, 为企业落实个人信息出境义务提供了明确指引。本文将对个人信息出境标准合同(“标准合同”)的适用范围和重点内容进行提示, 以帮助企业切实落地个人信息出境合规要求。
1
补齐个人信息跨境传输的合规拼图
《数据出境安全评估办法(征求意见稿)》《网络安全标准实践指南——个人信息跨境处理活动认证技术规范》与《标准合同规定(征)》三部规定, 对齐了《个保法》第三十八条规定的个人信息出境条件——(1)评估, (2)认证, (3)标准合同。至此, 我们将个人信息处理者跨境传输个人信息的合规路径梳理如下:
2
适用的四项条件
3
九项条款
《标准合同规定(征)》提供了一份16页的附件《个人信息出境标准合同》(“模板合同”), 共九项条款。需要注意的是, 《标准合同规定(征)》未强制要求企业适用该模板合同。只要不与模板合同相冲突, 企业可自行拟定标准合同、并准备双语版本。
九项条款融合了《个保法》《信息安全技术 个人信息安全规范》等现有规定, 包括以下几方面的内容:
4
与其他数据出境合同的衔接
5
“累计提供”的个人信息数量应按年度计算
《安全评估办法(征)》第四条规定, 处理个人信息达到100万人的个人信息处理者; 累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息的, 需申报数据出境安全评估。该规定在如何判断“达到100万人”, 以及“累计提供”方面并未具体解释。《标准合同规定(征)》在第四条规定, 以上一年度1月1日作为累计计算的起算时间点。这一规定明显对计算出境数据所涉人数的时间范围进行收窄, 且适用滚动计算、跨年清零的原则。因此, 如《安全评估办法(征)》不对“累计”的计算方式作出对应修改或解释, 则会给企业适用跨境传输要求带来矛盾。举例而言, 某企业自上年1月1日起跨境传输个人信息的所涉人数达到8万, 再上一年度1月1日起跨境传输个人信息所涉人数为9万, 按照《标准合同规定(征)》的规定, 该企业可以适用“与境外个人信息接收方签订标准合同”这一出境条件; 然而按照《安全评估办法(征)》的规定, 该企业累计向境外出境了17万人的个人信息, 仍需要通过数据出境安全评估。我们预计, 正式生效的《标准合同规定》或《安全评估办法》将解决这一矛盾而作出统一规定。
作者:
潘永建 合伙人 +86 136 2172 0830 +86 21 3135 8701 david.pan@llinkslaw.com | |
邓梓珊 |
沙莎 |
往期分享
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。
点击“阅读原文”,直达通力官网了解更多资讯!