个人信息出境国家标准合同(SCCs)的30个评析意见
《个人信息出境标准合同规定(征求意见稿)》是行业内数据处理者翘首以待的“宝藏规则”。国家网信办也颇费努力,这对日后企业实施个人信息出境,添附了不少合规的信心。以下仅提供我们的一些观点,供大家探讨。
1、相比于评估和认证路径来说,签署国家标准合同(SCCs)目前来看,相比较而言是最主动、简便、成本最低的合规路径。但基于国家认证和评估亦未有实践的普遍落实,所以具体的效果仍有待观察。
2、不建议仅将国家标准合同看做是“合同”,不能盖章了事,其本质应当是一整套“工具”,是标准化的和预先批准的模型数据保护条款工具,不仅涉及到条款的执行,还涉及到一系列的评估、保护措施、备案等事项执行。
3、数据出境有很多场景,国家标准合同解决的是境内个人信息处理者向境外其他个人信息处理者之间的“对外提供”的困境,且是为了“跨境对外提供”双重高风险场景而设计。此处的境外接收方法律主体和境内的主体是不同的,一个是境内法人,一个是境外的法人。
4、签署SCCs例外一:若境外个人信息处理者依据个人信息保护法第三条“(一)以向境内自然人提供产品或者服务为目的;或者是(二)分析、评估境内自然人的行为”的数据出境场景,则不存在要签署国家标准合同的基础,因为没有境内主体可以和该境外个人信息处理者签署协议。例如,境外运营者直接通过网站为境内用户提供服务的,则其无须签署国家标准合同,但我国个人信息保护法可能仍然有权要求其遵守,例如用户的“单独同意机制”。
5、签署SCCs例外二:若境内个人信息处理者是基于合同履行必要性而须向个人信息向境外接收方进行传输的,则我们认为无须签署国家标准合同(参考网络数据安全管理条例征求意见稿)。例如,跨境电商领域需要提供境内用户的物流地址用于发货属于签署合同所必要。
6、签署SCCs例外三:若境内个人信息处理者向境外的“自己”传输数据,例如自己的服务器,则个人信息处理者不用和“自己”(同一公司主体名义)进行自我签署。但使用境外第三方“云服务”服务时,属于个人信息处理者向个人信息受托方传输数据,仍然是需要签署的。
7、签署SCCs例外四:国家标准合同不是万能的,相关场景下,仍然是必须通过认证或评估方式实施,而不允许通过签订标准合同的方式实现数据跨境。即,在(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供未达到10万人个人信息的;(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息这四类情况以外的或超出的数量的,则不得通过签订标准合同的方式。
8、要考虑单个国家标准合同所能够涵盖的范围的颗粒度,避免境外多个接收者、境内基于不同目的的出境,均需要反复签署、评估、备案等系列流程,不然企业将疲于奔命。《个人信息出境标准合同规定(征求意见稿)》只是要求签署合同,但没有考虑到签署协议的颗粒度问题,这点可能仍然需要企业自己进行评估和设计。
9、欧盟新版的SCCs同意新的缔约方通过“对接”docking条款,便捷地加入已签署的新版SCCs,而不是后续新加入缔约方时都要再新签署标准合同。因此,在适用中国版国家标准合同时,也建议需要事先考虑参与缔约的合同主体,以避免反复、低效率的签署。
10、个人信息保护影响评估DPIA仍然须是标准动作,不可或缺,也是标准合同备案必备要件。根据垦丁律所麻策律师团队目前给客户实施的诸多数据出境安全(自)评估项目,DPIA需要对(国家标准合同)和数据处理安全协议等进行内容评估,评估内部留痕迹仍然很重要,保存个人信息保护影响评估报告至少3 年。
11、《个人信息出境标准合同规定(征求意见稿)》删改了部分个人信息保护影响评估DPIA的表述,例如删除了对“数据出境可能对国家安全、公共利益”的影响的表述,原因是数据出境安全评估办法(征求意见稿)的范围宽于个人信息保护,故有所不同,但实际处理时仍然不能掉以轻心。
12、个人信息保护影响评估DPIA需要对“境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响”,这对数据合规律师及团队提出了较高的要求,需要有全球数据合规的视角,例如要对“境外接收方处理个人信息是活动是否达到本法规定的个人信息保护标准”进行判断评估。欧盟法院对Schrems II案件的判决,也是基于对美国数据保护能力的“不认可”的司法评估。
13、国家标准合同需要在合同生效之日起10日内向省级网信部门备案,标准合同生效后个人信息处理者即可开展个人信息出境活动,此项非常重要。备案应当是形式备案,待查,但形式备案也实质上附加了实质合要求。
14、国家标准合同可能因条件变化而重新签订,故个人信息保护影响评估DPIA也可能要重新出具, 不是一劳永逸的方案。
15、国家标准合同还借鉴了欧盟委员会《关于向第三国转移个人数据的标准合同条款》中一些新概念,从中可以看出,这些境外的标准合同也是重要的立法参考,例如“第三方受益人”这类在我国立法中没有的概念。
16、国家标准合同对处理者和受托者这一类跨境流转有所涉及,但没有像欧盟委员会《关于向第三国转移个人数据的标准合同条款》那样区别为四种类别,包括境外受托者的处理是否需要获得用户同意此类。香港数据保护公署在出具标准合同时也制定了两套不同标准合同,一是针对“由一个香港的个人信息处理者将个人信息转移至境外的另一名个人信息处理者”,另外则针对“由一个香港的个人信息处理者将个人信息转移至境外机构委托处理,双方之间是委托和受托关系”。对于这一点,后续可能还有很多问题会出现,商业模式的适配性会非常有限,毕竟两者的法律性质有着巨大的不同,希望未来国家标准合同能够再细化区别。
17、个人信息出境活动由省级以上网信部门常态化监管。包括出现如下行为将面临法律后果:(一)未履行备案程序或者提交虚假材料进行备案的;(二)未履行标准合同约定的责任义务,侵害个人信息权益造成损害的;(三)出现影响个人信息权益的其他情形。
18、国家标准合同条款本身不建议改动、增加或删除(除了部分必要信息的填写),但可以约定附录二进行条款补充,且不得通过补充的方式对国家标准合同条款进行修订(即使国家标准合同条款的条款和商业模式本身不适配亦建议不作修改,但可以作适当的适用性说明)。国家标准合同本质上也是一种保障措施,当事人之间可以采取其它保护措施,但原则上不得和国家标准合同相抵触。
19、国家和地区之间的标准合同打架怎么办?国家标准合同条款本身不能改动,但不能忘了,欧盟委员会《关于向第三国转移个人数据的标准合同条款》也辞词强硬地要求:”根据GDPR第28(7)条规定的标准合同条款,除选择适当的模块或增加或更新附录的信息外,均不得修改。这并不妨碍双方将本条款中规定的标准合同条款纳入更广泛的合同中和/或增加其他条款或额外的保障措施,只要它们不直接或间接地与本条款相矛盾或损害数据主体的基本权利或自由。”当两个标准合同对标时,看来只能互签多份标准合同了。
20、因为国家标准合同已向网信部门备案,所以在同意合法性基础上,产品的前端须确实“已向个人信息主体告知境外接收方的名称或姓名、联系方式、附录一个人信息出境说明中的相关情况,以及行使个人信息主体权利的方式和程序等事项,并已取得个人单独同意”,用户同意须在先。
21、已尽合理的努力确保境外接收方能够履行本合同规定的义务并采取如下技术和管理措施,“合理的努力”是条件,但至于什么才属于合理的努力,仍然存在评估的可能。
22、建议网络运营者(境内个人信息处理和境外接收者)将国家标准合同以适当的方式向出境影响的用户群体直接公开可下载(包括附件个性化规则),标准合同要求根据个人信息主体要求而向个人信息主体提供本合同的副本。但在为保护商业秘密或其他机密信息(例如受保护的知识产权内容等)所必需的范围内,可以在提供副本之前对本合同相关内容进行适当遮蔽,但承诺向个人信息主体提供有效摘要以助其理解合同内容。
23、境外主体能够响应个人的DSR权利和救济,这需要境外接收方配套开发、设计和实现。因此,国家标准合同不仅是协议,仍然附带了巨大的实质性保障要件,具有较高的成本。这些实际上也是隐性的立法。
24、如个人信息主体提出过多或不合理要求,尤其是具有重复性的要求,境外接收方可在考虑到要求获准的执行和操作成本后收取合理的费用,或拒绝按其要求行事。请注意,这里只明确境外接收方可以收取费用,但目前个人信息保护法没有明确境内运营者可以收取,这和35273是不同的,收费仍要审慎评估。
25、在合同签署方式方面,有书面签和电子签。鉴于国际快递在途时间较长,国家标准合同需要在合同生效之日起10日内向省级网信部门备案,这就有可能面临合同还没有寄回国内,合同已经生效10日的窘境,要设计合同生效期。我们总体上认为,跨境协议应当以电子签的方式操作最为便捷,目前所有的通知可以使用电子邮件、电报、电传、传真、航空信件的方式告知,但并未约定合同的签署方式。欧盟数据委员会关于SCCs的问答中,也并不排除电子签的方式,但跨境电子身份认证安排有待观察。关键的核心,是当这份合同进行备案时,得让网信部门“懂”得电子签的方式是一种有效的方式。
26、标准合同是否可以适用于向国际组织或境外的行政机关传输个人信息?对此,征求意见稿并没有明确规定,但根据合同的内容来看,更偏向于平等主体之间签订。参考欧盟数据委员会关于SCCs的问答,其明确SCCs是在商业场景下使用。
27、向港澳台地区传输个人数据,是否属于出境的范畴?虽然征求意见稿没有明确说明向港澳台地区传输的情况,但参考惯例且香港地区有自己的标准合同的情况下,向港澳台地区传输个人信息也需要签署标准合同并备案。
28、正如上文所述,签署频率要成为考虑因素,是否每一次数据传输都需要签署合同并备案?观察到合同中需要包含对数据的传输规模和频率的说明,也就意味着针对同一境外接收方的数据传输无需每次都签署合同并备案。但若传输的累计达到一定量级可能不单单是签署标准合同这么简单了。
29、境外的接收者再向第三方境外主体提供出境的个人信息,是否需要纳入到标准合同的缔约主体范畴?征求意见稿要求境外接收方不得再将个人信息提供给位于境外的第三方,除非同时满足业务所需、获取信息主体单独同意、与第三方达成书面协议、向个人信息处理者提供协议副本即可,第三方境外主体并不在备案监管的范畴,对于企业而言是否有漏洞可钻?
30、100万人、10万人个人信息、1万人敏感个人信息是否一个用户无论出境多少次,仍算1人?这些细节仍有待明确。
