個人信息出境國家標準合同(SCCs)的30個評析意見
《個人信息出境標準合同規定(征求意見稿)》是行業內數據處理者翹首以待的“寶藏規則”。國家網信辦也頗費努力,這對日后企業實施個人信息出境,添附了不少合規的信心。以下僅提供我們的一些觀點,供大家探討。
1、相比于評估和認證路徑來說,簽署國家標準合同(SCCs)目前來看,相比較而言是最主動、簡便、成本最低的合規路徑。但基于國家認證和評估亦未有實踐的普遍落實,所以具體的效果仍有待觀察。
2、不建議僅將國家標準合同看做是“合同”,不能蓋章了事,其本質應當是一整套“工具”,是標準化的和預先批準的模型數據保護條款工具,不僅涉及到條款的執行,還涉及到一系列的評估、保護措施、備案等事項執行。
3、數據出境有很多場景,國家標準合同解決的是境內個人信息處理者向境外其他個人信息處理者之間的“對外提供”的困境,且是為了“跨境對外提供”雙重高風險場景而設計。此處的境外接收方法律主體和境內的主體是不同的,一個是境內法人,一個是境外的法人。
4、簽署SCCs例外一:若境外個人信息處理者依據個人信息保護法第三條“(一)以向境內自然人提供產品或者服務為目的;或者是(二)分析、評估境內自然人的行為”的數據出境場景,則不存在要簽署國家標準合同的基礎,因為沒有境內主體可以和該境外個人信息處理者簽署協議。例如,境外運營者直接通過網站為境內用戶提供服務的,則其無須簽署國家標準合同,但我國個人信息保護法可能仍然有權要求其遵守,例如用戶的“單獨同意機制”。
5、簽署SCCs例外二:若境內個人信息處理者是基于合同履行必要性而須向個人信息向境外接收方進行傳輸的,則我們認為無須簽署國家標準合同(參考網絡數據安全管理條例征求意見稿)。例如,跨境電商領域需要提供境內用戶的物流地址用于發貨屬于簽署合同所必要。
6、簽署SCCs例外三:若境內個人信息處理者向境外的“自己”傳輸數據,例如自己的服務器,則個人信息處理者不用和“自己”(同一公司主體名義)進行自我簽署。但使用境外第三方“云服務”服務時,屬于個人信息處理者向個人信息受托方傳輸數據,仍然是需要簽署的。
7、簽署SCCs例外四:國家標準合同不是萬能的,相關場景下,仍然是必須通過認證或評估方式實施,而不允許通過簽訂標準合同的方式實現數據跨境。即,在(一)非關鍵信息基礎設施運營者;(二)處理個人信息不滿100萬人的;(三)自上年1月1日起累計向境外提供未達到10萬人個人信息的;(四)自上年1月1日起累計向境外提供未達到1萬人敏感個人信息這四類情況以外的或超出的數量的,則不得通過簽訂標準合同的方式。
8、要考慮單個國家標準合同所能夠涵蓋的范圍的顆粒度,避免境外多個接收者、境內基于不同目的的出境,均需要反復簽署、評估、備案等系列流程,不然企業將疲于奔命。《個人信息出境標準合同規定(征求意見稿)》只是要求簽署合同,但沒有考慮到簽署協議的顆粒度問題,這點可能仍然需要企業自己進行評估和設計。
9、歐盟新版的SCCs同意新的締約方通過“對接”docking條款,便捷地加入已簽署的新版SCCs,而不是后續新加入締約方時都要再新簽署標準合同。因此,在適用中國版國家標準合同時,也建議需要事先考慮參與締約的合同主體,以避免反復、低效率的簽署。
10、個人信息保護影響評估DPIA仍然須是標準動作,不可或缺,也是標準合同備案必備要件。根據墾丁律所麻策律師團隊目前給客戶實施的諸多數據出境安全(自)評估項目,DPIA需要對(國家標準合同)和數據處理安全協議等進行內容評估,評估內部留痕跡仍然很重要,保存個人信息保護影響評估報告至少3 年。
11、《個人信息出境標準合同規定(征求意見稿)》刪改了部分個人信息保護影響評估DPIA的表述,例如刪除了對“數據出境可能對國家安全、公共利益”的影響的表述,原因是數據出境安全評估辦法(征求意見稿)的范圍寬于個人信息保護,故有所不同,但實際處理時仍然不能掉以輕心。
12、個人信息保護影響評估DPIA需要對“境外接收方所在國家或者地區的個人信息保護政策法規對標準合同履行的影響”,這對數據合規律師及團隊提出了較高的要求,需要有全球數據合規的視角,例如要對“境外接收方處理個人信息是活動是否達到本法規定的個人信息保護標準”進行判斷評估。歐盟法院對Schrems II案件的判決,也是基于對美國數據保護能力的“不認可”的司法評估。
13、國家標準合同需要在合同生效之日起10日內向省級網信部門備案,標準合同生效后個人信息處理者即可開展個人信息出境活動,此項非常重要。備案應當是形式備案,待查,但形式備案也實質上附加了實質合要求。
14、國家標準合同可能因條件變化而重新簽訂,故個人信息保護影響評估DPIA也可能要重新出具, 不是一勞永逸的方案。
15、國家標準合同還借鑒了歐盟委員會《關于向第三國轉移個人數據的標準合同條款》中一些新概念,從中可以看出,這些境外的標準合同也是重要的立法參考,例如“第三方受益人”這類在我國立法中沒有的概念。
16、國家標準合同對處理者和受托者這一類跨境流轉有所涉及,但沒有像歐盟委員會《關于向第三國轉移個人數據的標準合同條款》那樣區別為四種類別,包括境外受托者的處理是否需要獲得用戶同意此類。香港數據保護公署在出具標準合同時也制定了兩套不同標準合同,一是針對“由一個香港的個人信息處理者將個人信息轉移至境外的另一名個人信息處理者”,另外則針對“由一個香港的個人信息處理者將個人信息轉移至境外機構委托處理,雙方之間是委托和受托關系”。對于這一點,后續可能還有很多問題會出現,商業模式的適配性會非常有限,畢竟兩者的法律性質有著巨大的不同,希望未來國家標準合同能夠再細化區別。
17、個人信息出境活動由省級以上網信部門常態化監管。包括出現如下行為將面臨法律后果:(一)未履行備案程序或者提交虛假材料進行備案的;(二)未履行標準合同約定的責任義務,侵害個人信息權益造成損害的;(三)出現影響個人信息權益的其他情形。
18、國家標準合同條款本身不建議改動、增加或刪除(除了部分必要信息的填寫),但可以約定附錄二進行條款補充,且不得通過補充的方式對國家標準合同條款進行修訂(即使國家標準合同條款的條款和商業模式本身不適配亦建議不作修改,但可以作適當的適用性說明)。國家標準合同本質上也是一種保障措施,當事人之間可以采取其它保護措施,但原則上不得和國家標準合同相抵觸。
19、國家和地區之間的標準合同打架怎么辦?國家標準合同條款本身不能改動,但不能忘了,歐盟委員會《關于向第三國轉移個人數據的標準合同條款》也辭詞強硬地要求:”根據GDPR第28(7)條規定的標準合同條款,除選擇適當的模塊或增加或更新附錄的信息外,均不得修改。這并不妨礙雙方將本條款中規定的標準合同條款納入更廣泛的合同中和/或增加其他條款或額外的保障措施,只要它們不直接或間接地與本條款相矛盾或損害數據主體的基本權利或自由。”當兩個標準合同對標時,看來只能互簽多份標準合同了。
20、因為國家標準合同已向網信部門備案,所以在同意合法性基礎上,產品的前端須確實“已向個人信息主體告知境外接收方的名稱或姓名、聯系方式、附錄一個人信息出境說明中的相關情況,以及行使個人信息主體權利的方式和程序等事項,并已取得個人單獨同意”,用戶同意須在先。
21、已盡合理的努力確保境外接收方能夠履行本合同規定的義務并采取如下技術和管理措施,“合理的努力”是條件,但至于什么才屬于合理的努力,仍然存在評估的可能。
22、建議網絡運營者(境內個人信息處理和境外接收者)將國家標準合同以適當的方式向出境影響的用戶群體直接公開可下載(包括附件個性化規則),標準合同要求根據個人信息主體要求而向個人信息主體提供本合同的副本。但在為保護商業秘密或其他機密信息(例如受保護的知識產權內容等)所必需的范圍內,可以在提供副本之前對本合同相關內容進行適當遮蔽,但承諾向個人信息主體提供有效摘要以助其理解合同內容。
23、境外主體能夠響應個人的DSR權利和救濟,這需要境外接收方配套開發、設計和實現。因此,國家標準合同不僅是協議,仍然附帶了巨大的實質性保障要件,具有較高的成本。這些實際上也是隱性的立法。
24、如個人信息主體提出過多或不合理要求,尤其是具有重復性的要求,境外接收方可在考慮到要求獲準的執行和操作成本后收取合理的費用,或拒絕按其要求行事。請注意,這里只明確境外接收方可以收取費用,但目前個人信息保護法沒有明確境內運營者可以收取,這和35273是不同的,收費仍要審慎評估。
25、在合同簽署方式方面,有書面簽和電子簽。鑒于國際快遞在途時間較長,國家標準合同需要在合同生效之日起10日內向省級網信部門備案,這就有可能面臨合同還沒有寄回國內,合同已經生效10日的窘境,要設計合同生效期。我們總體上認為,跨境協議應當以電子簽的方式操作最為便捷,目前所有的通知可以使用電子郵件、電報、電傳、傳真、航空信件的方式告知,但并未約定合同的簽署方式。歐盟數據委員會關于SCCs的問答中,也并不排除電子簽的方式,但跨境電子身份認證安排有待觀察。關鍵的核心,是當這份合同進行備案時,得讓網信部門“懂”得電子簽的方式是一種有效的方式。
26、標準合同是否可以適用于向國際組織或境外的行政機關傳輸個人信息?對此,征求意見稿并沒有明確規定,但根據合同的內容來看,更偏向于平等主體之間簽訂。參考歐盟數據委員會關于SCCs的問答,其明確SCCs是在商業場景下使用。
27、向港澳臺地區傳輸個人數據,是否屬于出境的范疇?雖然征求意見稿沒有明確說明向港澳臺地區傳輸的情況,但參考慣例且香港地區有自己的標準合同的情況下,向港澳臺地區傳輸個人信息也需要簽署標準合同并備案。
28、正如上文所述,簽署頻率要成為考慮因素,是否每一次數據傳輸都需要簽署合同并備案?觀察到合同中需要包含對數據的傳輸規模和頻率的說明,也就意味著針對同一境外接收方的數據傳輸無需每次都簽署合同并備案。但若傳輸的累計達到一定量級可能不單單是簽署標準合同這么簡單了。
29、境外的接收者再向第三方境外主體提供出境的個人信息,是否需要納入到標準合同的締約主體范疇?征求意見稿要求境外接收方不得再將個人信息提供給位于境外的第三方,除非同時滿足業務所需、獲取信息主體單獨同意、與第三方達成書面協議、向個人信息處理者提供協議副本即可,第三方境外主體并不在備案監管的范疇,對于企業而言是否有漏洞可鉆?
30、100萬人、10萬人個人信息、1萬人敏感個人信息是否一個用戶無論出境多少次,仍算1人?這些細節仍有待明確。
