背景

《中华人民共和国个人信息保护法》(" 《个保法》")第三十八条规定," 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:

(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;

(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;

(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;

(四)法律、行政法规或者国家网信部门规定的其他条件。

......"

对于因开展业务等而需要向中国境外提供个人信息的中国境内企业,《个保法》明确提供了上述三条主要合规路径,即通过安全评估、进行个人信息保护认证,以及与境外接收方订立标准合同。

对于安全评估这一路径,国家互联网信息办公室(" 网信办")在2022年7月发布了《数据出境安全评估办法》,并于2022年8月发布《数据出境安全评估申报指南(第一版)》,对数据出境安全评估的原则性要求提供进行扩充,并为数据处理者申报数据出境安全评估、开展相关准备工作提供了更为详细的指引和申报要求1

针对个人信息保护认证的合规路径,网信办于2022年11月发布了《个人信息保护认证实施规则》,明确了开展跨境处理活动的个人信息处理者,需要在符合GB/T 35273《信息安全技术 个人信息安全规范》的基础上,满足TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。《个人信息保护认证实施规则》同时也对认证模式、认证程序、认证结果等做出了进一步要求,为企业依靠开展个人信息保护认证的方式保证个人信息出境行为的合规性提供了基本的可操作性。

网信办于2023年2月正式发布了《个人信息出境标准合同办法》(" 《标准合同办法》")与《个人信息出境标准合同》(" 《标准合同》")。《标准合同办法》将于2023年6月1日起施行。与数据出境安全评估相似,网信办本次也于《标准合同办法》正式生效前夕发布了《标准合同备案指南》,对于《标准合同办法》中提出的标准合同备案管理、个人信息保护影响评估等相关规定提出了更为细化的要求。

与很多企业及数据合规从业人士预期不同,《标准合同办法》和《标准合同备案指南》与数据出境安全评估机制下的实质要求较为类似,并没有大幅度进行简化。满足《标准合同办法》和《标准合同备案指南》的要求,对很多企业来说并不容易。

《个人信息出境标准合同》合规落地的主要步骤和工作方法

根据我们的经验,企业开展《标准合同》相关工作至少包括:

  • 盘点:对出境个人信息情况进行全面梳理和盘点;
  • 评估:开展"个人信息保护影响评估",撰写评估报告;
  • 整改:对于评估中发现的问题和风险采取整改措施;
  • 签署:与境外接收方沟通、谈判,根据数据盘点情况填写《标准合同》,并与境外接收方签署;
  • 备案:在《标准合同》生效之日起10个工作日内向所在地省级网信部门提交备案材料。

根据我们的经验,网信办在审阅相关材料时较为细致。因此上述工作需要严格遵守《标准合同办法》、《标准合同备案指南》以及《标准合同》本身的要求,且在具体工作时,企业需逐项对标上述规定的要求来填写相关信息、回答相关问题,从而尽可能顺利通过备案。

下文我们将分析企业进行上述工作中面临的若干共性问题和挑战,并建议相关应对措施。

挑战一:出境数据盘点工作

挑战:根据我们的经验,适用《标准合同》的企业与需要申报数据出境安全评估的企业相比,在出境个人信息数量、规模及敏感程度、企业的业务规模和场景等方面,前者通常不会比后者更复杂。但从《标准合同备案指南》的内容来看,网信办并未实质降低对前者数据盘点的要求。根据《标准合同备案指南》,个人信息处理者需提供包括但不限于下列与出境个人信息本身有关的信息:

  • 企业整体业务与个人信息情况
  • 个人信息出境相关业务的描述,包括个人信息出境涉及业务的基本情况、个人信息出境涉及业务的个人信息收集使用情况等
  • 相关链路、系统和数据中心的情况,包括个人信息出境涉及业务的信息系统情况、个人信息出境涉及的数据中心(包含云服务)情况、个人信息出境链路相关情况、传输方式、拟出境个人信息在境内存储的系统平台、数据中心等情况,计划出境后存储的系统平台、数据中心等
  • 个人信息处理者和境外接收方处理个人信息的目的、范围、方式,境外接收方处理个人信息的用途、方式等
  • 出境个人信息的规模、范围、种类、敏感程度
  • 处理敏感个人信息、使用个人信息进行自动化决策的情况
  • 个人信息出境后的保存期限和地点
  • 个人信息出境后向境外其他接收方提供的情况
  • 境外接收方处理个人信息的全流程过程描述

如何有序开展出境个人信息的盘点工作,从而全面、准确掌握上述信息并不容易。在个人信息出境涉及多个业务场景、多个业务系统和多个业务部门的情况下,企业的数据盘点工作将更为复杂。特别是对于出境链路与境外信息系统、数据中心的信息,企业需要境外接收方或相关全球供应商的配合才能收集这些信息。根据我们的经验,企业在这方面经常会遇到与境外方沟通困难、境外方不愿配合等实际问题。

需要注意的是,与数据出境安全评估和《数据出境安全评估申报指南(第一版)》相比,《标准合同备案指南》并未对数据出境链路、出境方式等信息的颗粒度进行说明。但参考我们协助企业开展数据出境安全评估工作的经验,网信办可能会在后续开展备案工作的过程中要求企业补充提供颗粒度更细的信息。

应对:企业有必要制定完善的个人信息出境涉及业务的个人信息盘点工作计划、充分考虑个人信息出境涉及的各业务场景、系统、业务部门和境外接收方,提前预判个人信息盘点工作的困难,从而有序、高效推进个人信息盘点工作的进行。

挑战二:个人信息出境方本身的个人信息保护合规体系整改

挑战:

  • 《标准合同备案指南》要求个人信息处理者在《个人信息保护影响评估报告》中说明其 自身的
    • 个人信息安全管理能力,包括管理组织体系和制度建设情况,全流程管理、应急处置、个人信息权益保护等制度及落实情况;
    • 个人信息安全技术能力,包括个人信息收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等;
    • 个人信息保护措施有效性证明,例如开展的个人信息保护认证、个人信息保护合规审计、网络安全等级保护测评等情况;
    • 遵守个人信息保护相关法律法规的情况。
  • 上述规定实质要求相关个人信息出境企业建立符合中国法律(特别是《个保法》)及相关国家标准的个人信息保护合规框架体系。对于此前从未系统进行过个人信息保护合规整改工作的企业而言构成较大挑战。
  • 特别需要注意的是,《标准合同备案指南》还要求个人信息处理者说明其个人信息保护机构的信息,但并未说明其是否指代《个保法》所述的:
    • "达到国家网信部门规定数量的个人信息处理者"应当指定的"个人信息保护负责人";
    • 适用《个保法》的境外个人信息处理者在中国境内设立的负责机构;
    • "提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者"成立的"主要由外部成员组成的独立机构"。

考虑到《个人信息保护影响评估》未对此进行特殊说明,我们倾向于认为上述要求仅指设立或指定一个个人信息保护的部门,并明确该机构的构成、职责、权利和工作内容等事项。

应对:个人信息出境企业需证明其已建立符合中国法律要求的个人信息保护合规体系:

  • 对于已建立此体系的个人信息出境企业而言,需按照《标准合同备案指南》的要求,对其已有的体系进行梳理,并可在网信办要求时提供相关规章制度和其他内部文件加以证明。目前《标准合同备案指南》仅要求个人信息出境企业提供"个人信息保护措施有效性证明,例如开展的个人信息保护认证、个人信息保护合规审计、网络安全等级保护测评等情况",但根据网信办开展数据出境安全评估工作的习惯,不排除网信办在备案查验过程中要求个人信息出境企业提供更多证明材料(例如个人信息保护规章制度、履行告知义务并获得个人单独同意的证明等)的可能性。
  • 对于从未系统开展个人信息保护合规整改工作的企业,则需要尽快建立全面符合中国法律要求的个人信息保护合规体系,才能有效应对《个人信息保护影响评估报告》填写和网信办后续查验的需要。

挑战三:境外接收方的配合工作

挑战:订立《标准合同》、开展个人信息保护影响评估均需要境外接收方的大量配合工作。当涉及个人出境业务复杂、境外接收方众多时,如何有序、高效协调和获得这些境外接收方的配合,也对个人信息出境企业构成较大挑战。

除确认《标准合同》的条款并最终完成签署外,境外接收方需要提供的配合工作包括:

  • 境外接收方需提供其基本信息,例如名称、地址、联系方式等。
  • 境外接收方需提供与出境个人信息盘点相关的"境外部分"信息,包括但不限于:个人信息出境后存储的系统平台、数据中心等、个人信息出境后向境外其他接收方提供的情况、境外接收方处理个人信息的用途、方式等、个人信息在境外保存地点、期限、境外接收方处理个人信息的全流程过程描述等。
  • 境外接收方需提供其"个人信息保护能力"的说明,并明确为履行《标准合同》约定的义务将采取的技术和管理措施。
  • "境外接收方所在国家或地区个人信息保护政策法规情况"通常也需要境外接收方来进行配合提供。
  • 境外接收方还需配合个人信息出境企业应对网信办可能的询问以及补充材料的要求。

应对:个人信息出境企业有必要系统整理需要境外接收方提供的所有信息,并有针对性进行分类(例如分为境外接收方基本信息、个人信息保护能力信息、处理全流程信息、合同签署相关信息等),尽早与境外接收方进行沟通,并尽可能在短时期内获得这些信息。

挑战四:对" 境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响 "的评估

挑战:

  • 由于个人信息出境企业对于境外接收方法域的个人信息保护政策法规缺乏了解,加之《标准合同备案指南》对此项内容要求的颗粒度不详,个人信息出境企业难以在短时期内对本项内容提供全面、客观的评估。
  • 一些个人信息出境企业可能涉及向多个国家或地区提供个人信息,这些企业可能需要额外的资金和人力投入才能在规定的时间内完成相关工作。
  • 此外,根据我们数据出境安全评估的经验,网信办可能会在审查备案材料时,视情况要求企业补充提供个人信息在 境外存储地点所在国家或地区的相关政策和法规评估,尽管这些国家和地区不是境外接收方的注册地或常设经营地。

应对:

个人信息出境企业有必要:

  • 对本项评估内容制定专项工作计划,细化具体的评估问题和评估方式(例如可制定统一的标准评估问题问卷)。
  • 尽快确定本项评估内容的负责人/负责方,可能的安排包括:
    • 由具体的境外接收方来负责对本国家或地区的个人信息保护政策法规对标准合同履行的影响进行评估;
    • 对于跨国企业间的个人信息跨境而言,可能境外总部的个人信息保护部门能够提供相关信息;
    • 聘请外部(境外)律师事务所。

挑战五:企业实务中的一些疑难问题仍未得到解答

挑战:《标准合同》备案工作,同此前的数据出境安全评估机制一样,对于监管部门和企业均仍是一个新事物,还需要在实践中逐步完善和改进。《标准合同办法》和《标准合同备案指南》客观上也无法对企业可能面临的各种问题事先进行完美的预判,并提供事无巨细的具体指引。根据我们经验,企业常有下列典型问题,但目前还无法从《标准合同办法》和《标准合同备案指南》中直接找到答案:

  • 对于复合场景的合同签订、评估和备案方式仍有待明确:
    • 目前版本《标准合同》的条款仅适用于个人信息处理者(境内方)-个人信息处理者(境外方),和个人信息处理者(境内方)-受托方(境外方)两类场景。对于境内个人信息处理者委托某境内第三方将其处理的个人信息传输出境的情形,以及个人信息出境方为多个主体(共同处理个人信息的个人信息处理者)的情况,《标准合同》并未设置相关条款。《标准合同办法》与《标准合同备案指南》中也并未对此类场景做出进一步的说明,这可能导致境内各方对签订《标准合同》、开展评估和进行备案的主体产生分歧或互相推诿。
    • 目前版本的《标准合同》从格式上看仅适用于存在单个境外接收方的场景。对于存在多个境外接收方的情形,网信办目前并未明确说明是否多家境外接收方可以共同和境内企业统一签署一份《标准合同》,或境内企业必须与每个境外接收方分别签署一份《标准合同》。
    • 《标准合同办法》和《标准合同备案指南》也未说明,在上述场景下,境内企业是否可对多个个人信息出境场景、多个境外接收方统一开展一次个人信息保护影响评估并完成一份报告,或必须按照每个场景/每个境外接收方单独完成一份个人信息保护影响评估报告。对于备案的方式,网信办也并未明确规定境内企业是否可视情况以"一份自评估报告+多份《标准合同》"、"多份自评估报告+多份《标准合同》"等方式进行备案,或必须以"一份自评估报告+一份《标准合同》"的方式进行备案。
  • "备案"的难度到底有多大?
    • 按照《个保法》第三十八条的规定,"按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务"是向个人信息处理者可选择的向境外提供个人信息的合法条件之一。从文意理解,在双方"订立标准合同"后,个人信息处理者即已满足该条要求。同时《标准合同办法》第六条规定,"......标准合同生效后方可开展个人信息出境活动",进一步确认了《标准合同》的订立和生效是该路径下个人信息出境合法性的判断标准。因此,《标准合同》及个人信息保护影响评估的备案实质上是《标准合同办法》和《标准合同备案指南》为个人信息出境企业所新设立的一项额外义务。
    • 根据《标准合同备案指南》中的相关规定,网信办对于备案材料的查验可能不仅包括材料完整性的查验,还包括一定程度的实质内容审查,甚至可能超出《标准合同办法》和《标准合同备案指南》已说明的范围要求个人信息出境企业提供额外材料或信息。
    • 需要注意的是,备案与订立《标准合同》实际是两项不同的义务,《标准合同》的生效并不以备案通过、获得备案号为必要前置条件,"备案"本身的性质变得更为模糊。未进行备案、未及时进行或更新备案的行为,具体可能构成何种"违法"行为,导致何种"违法后果",目前尚不明确。

应对:如上所述,《标准合同》备案工作对于监管部门和企业均是一个新生事物,还需要在实践中逐步完善和改进。上述问题一方面需结合企业的实际情况进行具体分析,另一方面也需要网信部门的及时澄清和解答。参照网信办开展数据出境安全评估的做法,预计未来一段时间内各个地方网信部门将陆续向社会公布了关于个人信息《标准合同》备案的咨询电话号码,对于《标准合同办法》和《标准合同备案指南》不详之处,个人信息出境企业也可向相关地方网信办进行电话咨询。

挑战六:时间限制

挑战:《标准合同办法》第十三条规定:"本办法自2023年6月1日起施行。本办法施行前已经开展的个人信息出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。"

  • 关于这6个月的"宽限期"的具体含义,尚不明确,可能具有几种不同含义:
    • 6个月内完成《标准合同》签署即可;
    • 6个月内完成《标准合同》签署并提交备案;
    • 6个月内完成《标准合同》签署并提交备案,且通过网信办备案、获得备案号。
  • 《数据出境安全评估办法》同样设置了6个月的"宽限期",但是从实际情况来看,由于6个月宽限期过短,导致大量企业集中进行申报,同时网信办承载能力有限,目前仅有极个别企业已通过了网信办的安全评估,绝大部分需要申报数据出境安全评估的企业仍处于"评估中"、"补充/修改申报材料"、"未申报"的状态。
  • 参照上述经验,我们预计,对于个人信息出境场景较为复杂、境外接收方较多或配合度低、信息系统较为复杂的个人信息出境企业而言,6个月的宽限期或"整改"期限并不充分,很可能出现6个月后仍未与境外接收方达成一致并完成《标准合同》的签署,或未完成个人信息保护影响评估报告的情况。
  • 《标准合同备案指南》规定,"不通过备案的,个人信息处理者将收到备案未成功通知及原因,要求补充完善材料的,个人信息处理者应当补充完善材料并于10个工作日内再次提交。"在实践中,个人信息出境企业可能在收集这些补充信息时遇到困难(例如境外接收方或供应商拖延或拒绝配合提供相关信息),并导致无法按上述要求在10个工作日内补充提交。《标准合同备案指南》并未对此类特殊情况设置豁免,也未说明超期补充材料的后果。

应对:

  • 对于上述问题,企业靠自身努力解决的空间有限。尽管如此,企业仍需以积极的心态尽快开展相关准备工作,以求将客观不确定因素可能带来的不利影响最小化。

结论和建议

总体看来,《标准合同办法》和《标准合同备案指南》中的具体要求,对个人信息出境企业的《标准合同》订立、影响评估和备案等工作仍然提出了较大挑战。考虑到此项工作的时效性,我们建议个人信息出境企业尽早启动本文所建议的各项工作,制定详细的项目计划和工作方案,高效推进各项工作的进行,从而在6个月的限期届满前完成标准合同的订立、生效,并争取通过网信办备案。

[1] 我们关于《数据出境安全评估办法》的系列分析文章,请见:xxxx、xxx、xxxx

如有需要,可补充相关文章标题及链接。

需根据文章发布时间进行调整。

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.