• 1
    2
    位置:西E網首頁 > 網信普法進網站 > 出臺標準合同規范 完善我國個人信息出境管理制度

    出臺標準合同規范 完善我國個人信息出境管理制度

    編輯:王軍      信息來源: 中國網信網發布時間:2023-2-22

    2023年2月24日,國家互聯網信息辦公室公布《個人信息出境標準合同辦法》(以下簡稱《辦法》)?!掇k法》對通過訂立標準合同的方式開展個人信息出境的活動作出具體制度安排,細化落實了《個人信息保護法》第三十八條第一款第三項的規定?!秱€人信息保護法》對我國個人信息出境管理作出頂層設計,規定了國際條約或協定、安全評估、個人信息保護認證、標準合同四種個人信息出境方式。繼《數據出境安全評估辦法》《關于實施個人信息保護認證的公告》對安全評估、個人信息保護認證進行規范后,《辦法》成為我國個人信息出境管理制度的重要組成部分。對于規范個人信息跨境流動、完善數據跨境管理制度和促進數據領域國際合作具有重大意義。

    一、及時必要,規范個人信息有序高效跨境流動

    出臺《辦法》是我國推動個人信息跨境流動、積極融入全球數字經濟發展大勢的重要舉措。

    (一)落實《個人信息保護法》要求,保護個人信息權益。出臺《辦法》是為了保護個人信息權益,規范個人信息出境活動。當前,數字經濟蓬勃發展,數據跨境日益頻繁,各國個人信息跨境流動需求也快速增長。但由于不同國家和地區的個人信息保護水平存在差異,個人信息出境的風險日漸凸顯?!秱€人信息保護法》提供了高水平的個人信息保護標準,標準合同的適用有利于保障境外接收方處理個人信息的活動達到我國《個人信息保護法》規定的個人信息保護標準,確保個人信息出境后個人信息主體權益依然受到保護。

    (二)促進數字經濟發展,回應中小企業個人信息跨境需求。2022年《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》提出“構建數據安全合規有序跨境流通機制”“堅持開放發展,推動數據跨境雙向有序流動,鼓勵國內外企業及組織依法依規開展數據跨境流動業務合作”。作為一種個人信息出境方式,標準合同具有便捷化、成本低的特征?!掇k法》的出臺積極回應了社會關切,在為中小企業個人信息跨境業務合作提供法治保障的同時,也減輕了中小企業負擔,有利于進一步促進數據自由流通和數字經濟發展。

    (三)緊跟數字時代潮流,順應國際通行做法。國際上,以歐盟針對四種不同個人數據傳輸場景的“標準合同條款”為典型代表,東盟、英國和中國香港等國家和地區分別出臺了“標準合同條款”范本。在借鑒域外經驗和立足我國實際的基礎上,《辦法》提出具備完整合同結構的“標準合同范本”。國家網信部門可以根據實際情況對附件標準合同范本進行調整,使其保持靈活性、實踐性和國際性?!掇k法》的出臺既符合國際通行做法又具有中國法治特色,對于促進數據領域國際合作意義重大。

    二、定位清晰,健全個人信息出境管理制度體系

    《辦法》是繼《數據出境安全評估辦法》之后,第二部落實《個人信息保護法》個人信息出境管理規定的專門性部門規章,具有承前啟后推動個人信息出境管理制度體系化的重要作用。

    (一)完善個人信息出境管理的重要配套規章。《辦法》的出臺,細化了《個人信息保護法》“按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利義務”的要求,是對個人信息出境管理制度的重要補充?!秱€人信息保護法》第三十八條規定了“兩類四種”個人信息出境方式:一類是個人信息處理者因業務等需要,確需向境外提供個人信息的,應該具備“安全評估”“個人信息保護認證”“標準合同”三種條件之一,并設置兜底條款“法律、行政法規或者國家網信部門規定的其他條件”;另一類是我國締結或者參加的國際條約、協定對向境外提供個人信息的條件等有規定的,可以按照其規定執行?!稊祿鼍嘲踩u估辦法》明確了數據出境管理中的“安全評估”,《辦法》與其共同作為《個人信息保護法》的配套規章,進一步落實了有關個人信息出境管理制度的頂層設計。

    (二)豐富個人信息出境方式。《辦法》通過劃定個人信息出境標準合同的適用范圍和情形,有效實現了標準合同和安全評估、個人信息保護認證的制度銜接,也為后續出臺有關認證等其他個人信息出境方式的規則預留了制度接口。當個人信息處理者選擇通過訂立標準合同的方式向境外提供個人信息時,必須同時符合下列四種情形:(一)非關鍵信息基礎設施運營者;(二)處理個人信息不滿100萬人的;(三)自上年1月1日起累計向境外提供個人信息不滿10萬人的;(四)自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的。實際上,《辦法》給予個人信息處理者選擇權,除必須申報安全評估的情形之外,個人信息處理者可以結合具體情況選擇訂立標準合同或者其他個人信息出境方式出境。

    (三)結合政府監管手段與市場自主行為的新型管理規則。《辦法》的正文和附件標準合同范本前后銜接,既明確了個人信息出境標準合同的監管要求,又保障了合同雙方的意思自治和合同磋商空間。正文為行政監管意義上的部門規章,規定了個人信息出境標準合同的監管要求。附件實質上為民商事活動領域中的格式合同,相較于傳統民事合同,其承載著意思自治、個人信息保護、國家安全和公共利益等多元價值。標準合同范本中的部分內容已被預先設定,當個人信息處理者自愿選擇通過訂立標準合同的方式向境外提供個人信息時,該部分內容不可更改。但合同雙方可在附錄二中約定附件標準合同范本未明確的事項??傊?,將標準合同作為個人信息出境的方式,是我國網絡立法上的創新舉措,有利于積極應對互聯網新業態新模式帶來的風險挑戰,為促進個人信息跨境流動提供法治保障。

    三、守正創新,構建個人信息出境標準合同管理制度

    《辦法》立足我國立法現狀和實踐情況,對個人信息保護影響評估、標準合同備案管理、舉報監督制度與法律責任等作出明確規定。

    (一)個人信息保護影響自評估制度。《辦法》第五條規定個人信息處理者向境外提供個人信息前,應當開展個人信息保護影響評估,其重點評估內容與《數據出境安全評估辦法》中“數據出境風險自評估”的重點評估事項基本一致。但是,個人信息保護影響評估內容中增加了“境外接收方所在國家或者地區的個人信息保護政策和法規對標準合同履行的影響”。這一點具體體現在附件標準合同范本的第二條第八項和第四條,合同雙方應結合個人信息出境的具體情況、境外政策法規、境外接收方的安全管理制度和技術手段保障能力等進行評估。

    (二)個人信息出境標準合同備案管理制度。個人信息處理者應當在標準合同生效之日起10個工作日內向所在地省級網信部門備案。從性質上看,《辦法》設立的備案制度為事后監管,并不會產生功能性的效果。從內容上看,須備案的材料包括:(一)合同雙方根據附件標準合同范本訂立的個人信息出境標準合同,與之相關的獨立商業合同并不需要備案;(二)個人信息保護影響評估報告。個人信息處理者應當對所備案材料的真實性負責。從結果上看,對于未履行備案程序或者提交虛假材料進行備案的違法行為,若由此導致個人信息出境活動存在較大風險或者發生個人信息安全事件,省級以上網信部門可以進行約談,要求整改。

    (三)保護個人信息主體權利的涉他合同。從主體上看,附件標準合同范本涉及三方主體,包括個人信息處理者、境外接收方和個人信息主體,在為個人信息處理者、境外接收方設立合同義務的同時,亦為第三人“個人信息主體”設立了合同權利。從內容上看,個人信息處理者應履行告知、提供副本、答復詢問、個人信息保護影響評估等義務。境外接收方應履行提供合同副本、采取技術和管理措施、接受監督管理等義務;若進行“再傳輸”“轉委托”“自動化決策”等處理行為需符合相關條件。個人信息主體對其個人信息的處理享有知情權、決定權等權利,并有權請求合同一方或雙方履行標準合同項下與個人信息主體權利相關的條款。此外,個人信息處理者通過與境外接收方訂立標準合同的方式向境外提供個人信息的,除遵守《辦法》規定外,合同的成立、效力、履行、解釋以及因本合同引起的雙方爭議還應適用《民法典》等中華人民共和國相關法律法規。

    (四)舉報監督制度與法律責任。一方面,任何組織和個人發現個人信息處理者違反《辦法》規定向境外提供個人信息的,可以向省級以上網信部門舉報。另一方面,當省級以上網信部門發現個人信息出境活動存在較大風險或者發生個人信息安全事件的,可以依法對個人信息處理者進行約談。個人信息處理者應當按照要求整改,消除隱患。此外,還規定了違反《辦法》規定的應當依據《個人信息保護法》等法律法規處理,構成犯罪的依法追究刑事責任。

    四、小結

    《辦法》以標準合同為抓手規范我國個人信息出境管理制度,是我國深化開放合作、探索個人信息跨境流動與治理的新舉措。出臺《辦法》不僅補充完善了我國數據跨境監管制度體系,體現了我國網絡立法的系統性、整體性、協同性、時效性,更為數字經濟浪潮中的中國企業提供了法治保障和具體指引。(作者:方禹 中國信通院互聯網法律研究中心主任

    信息產業部備案號 隴ICP備10200311號互聯網新聞信息服務許可證編號6201021|中國互聯網視聽節目服務自律公約 版權所有:中共白銀市委網信辦
    西e網運營維護:西e網IDC中心技術支持:西e網技術服務中心 白銀鴻途網絡科技有限公司
    未經本站許可不得建立鏡像連接,相關權益受法律保護。
    免费h无码动漫在线观看网址