• 1
    2
    位置:西E網首頁 > 網信普法進網站 > 中國個人信息跨境流動的“標準合同”規則解讀

    中國個人信息跨境流動的“標準合同”規則解讀

    編輯:王軍      信息來源: 中國網信網發布時間:2023-3-17

    2月24日,國家互聯網信息辦公室公布《個人信息出境標準合同辦法》(以下簡稱《辦法》),對個人信息出境標準合同(以下簡稱《標準合同》)的適用條件和備案監管等作了具體規定,自2023年6月1日起施行?!掇k法》的施行,反映了尊重國際規則又適應中國國情的個人信息出境監管體系的新發展。

    一、《標準合同》的適用主體、保護目的、效力范圍與生效條件

    1.適用《標準合同》的主體限定

    《辦法》對于能夠采取《標準合同》實施個人信息跨境的主體范圍進行了非常明確的界定,包括:非關鍵信息基礎設施運營者;處理個人信息不滿100萬人的;自上年1月1日起累計向境外提供個人信息不滿10萬人的;自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的。個人信息處理者必須同時滿足上述四項條件,才能夠適用《標準合同》。

    2.基于合同出境的個人信息保護最低約束條件

    《標準合同》明確其制定直接目的在于“為了確保境外接收方處理個人信息的活動達到中華人民共和國相關法律法規規定的個人信息保護標準”、“明確個人信息處理者和境外接收方個人信息保護的權利和義務”?;诖四康脑O置了個人信息出境活動中,作為境外接收方的外國企業、組織等實體的最低合同義務要求,并通過合同對各方權利義務的合理分配、法律適用與違約責任等予以規定,保障了對個人信息出境活動的各方管理制度、安全技術措施的驗證與追責,使得個人、境內外企業組織等實體完全可以通過民事訴訟等方式維護自身合法權益,而無需動輒啟動公權力。

    3.民事合同層面的優先適用與效力

    根據《標準合同》第九條,個人信息處理者與境外接收方簽訂與個人信息出境活動相關的其他合同如與《標準合同》沖突,《標準合同》條款優先適用,且個人信息處理者和境外接收方不能對《標準合同》的內容進行調整或刪減,否則將視為未簽訂《個人信息保護法》第38條規定的標準合同。而如果未簽訂《標準合同》,則可能導致對《個人信息保護法》出境條件的不符合而承擔不利法律后果。

    若各方確需對個人信息的出境情況進行補充,補充條款不應對《標準合同》條款進行任何效力修訂、否定或排除,不得與《標準合同》相沖突,并不得規定低于《標準合同》設置的義務和責任,特別是不得對個人信息主體的權利及其行使設定任何障礙或限制。

    還需要注意,簽訂和履行《標準合同》僅是從民事合同層面約定的各方權利義務,以及違反合同約定的民事責任,并不能當然減輕或免除個人信息處理者因違反《個人信息保護法》而導致的其他法律責任。

    4.《標準合同》的生效條件與備案性質

    《辦法》第七條要求個人信息處理者應當在《標準合同》生效之日起10個工作日內,向所在地省級網信部門備案。該條明確了《標準合同》的生效不依賴于備案或任何前置條件,備案《標準合同》不屬于行政許可,即使未備案,也不影響合同本身的有效性,充分尊重各方當事人的意思自治,但同樣這不影響因違反《個人信息保護法》而產生的相關行政責任。如果在合同有效期內發生重大的約定事項變化,個人信息處理者需要補充或者重新簽訂《標準合同》并備案。

    二、《標準合同》的體系結構與形式完備性

    1.屬于業務主合同下個人信息處理的特別約定

    《標準合同》在開篇的背景描述(也稱“鑒于條款”)中即明確,為境內外雙方商務、業務等(法律商事活動)主合同的某種附件、補充或特別約定,并非單獨設計,而是貼合企業、組織等實體的真實業務需求,和對《個人信息保護法》規定的“因業務等需要”,確需向境外提供個人信息的準確回應。

    2.《標準合同》的合同條款結構

    《標準合同》按照中國法下民事合同從設立到履行、再到可能解除或終止的“合同生命周期”管理的過程進行設計,屬于國際上普遍認可的合同條款的結構形式?!稑藴屎贤分饕獥l款有九條,囊括了定義、個人信息處理者的義務、境外接收方的義務、境外接收方所在國家或者地區個人信息保護政策和法規對合同履行的影響、個人信息主體的權利、救濟、合同解除、違約責任以及其他通用條款,符合《民法典》的合同體系化要求,緊密圍繞個人信息保護打造,特別突出了對第三方受益者“個人信息主體權利”的事前保護和事后“救濟”機制,構成了合同中第三方權益的強化約定,是《民法典》第522條等在數據處理類合同中的細化,并具有《個人信息保護法》的鮮明特色。

    三、《標準合同》主要條款解讀與適用

    1.個人信息處理者的義務

    《標準合同》第二條以(境內)個人信息處理者單方陳述、保證和承諾的方式直接規定了其法律義務,其中個人信息保護影響評估是簽訂《標準合同》之前,或者說至少不晚于簽訂時應完成的事項。個人信息保護影響評估報告屬于備案材料。

    2.境外接收方的義務

    境外接收方的義務主要面向(境內)個人信息處理者和個人信息所涉及的主體本身兩方面進行規定。由于《標準合同》制定目的之一是“確保境外接收方處理個人信息的活動達到中國相關法律法規規定的個人信息保護標準”,即對出境后的個人信息仍能實施有效保護,因此第三條境外接收方的義務成為《標準合同》最復雜的條款。

    3.境外接收方所在國家或者地區個人信息保護政策和法規對合同履行的影響

    《標準合同》第四條要求合同雙方從勤勉盡責出發進行保證和聲明,主要考慮內容包括:(1)境外接收方過往的個人信息活動實踐,包括執法和司法要求提供個人信息及其應對等情況的披露;(2)對境外接收方所在國家或者地區的個人信息保護政策法規、執法司法機構、標準等進行整體披露;(3)政策法規發生變化時的通知義務,直至解除合同。

    4.個人信息主體的權利和救濟

    《標準合同》規定的個人信息主體權利是對《個人信息保護法》第四章內容的合同化,但個人信息主體非《標準合同》的合同方,因此《標準合同》對“第三方”個人信息主體設置權利時充分考慮了可接受和可行性,同時避免對個人信息主體設置任何義務或障礙。

    可接受和可行性的考慮主要體現為:(1)個人信息主體可以分別、單獨向個人信息處理者或境外接收方主張權利;(2)境外接收方應當以顯著方式、清晰易懂的語言真實、準確、完整地告知個人信息主體相關信息,這一要求體現為境外接收方應主要通過可訪問的隱私政策、可切換語言種類的不同頁面,具有辨識度的請求和投訴聯絡方式;(3)境外接收方同意個人信息主體就合同爭議的解決依據為中國相關法律法規等等。

    5.合同解除與違約責任

    作為典型的合同條款,《標準合同》規定了合同解除的觸發情形和可能導致的違約責任,特殊考慮在于在合同解除與違約責任中需要充分考慮個人信息主體的權利,由于個人信息主體往往并不能第一時間獲知數據泄露或其他損害其權益的情況,這也對條款設計的協調與呼應提出更高要求。例如無論何種情形導致合同解除,境外接收方應及時返還、銷毀或匿名化處理其根據合同所接收到的個人信息(包括所有備份),并向個人信息處理者提供書面說明。刪除個人信息從技術上難以實現的,應當停止存儲和采取必要的安全保護措施之外的處理。

    四、總結與展望構筑了基于合同出境的個人信息保護的最低約束條件,體現了中國對個人信息保護的多層次、高規格要求

    從國際經驗來看,在國際間政策法律和安全環境缺乏充分性認定,認證機構和結論的互通互認、信任基礎存在較大差異的當前,《標準合同》因其靈活便捷和風險有限,可以成為個人信息跨境使用的重要法律工具,并在合同的相對性中回應各方利益需求的不斷變化。整體來看,我國《辦法》和《標準合同》對個人信息跨境場景給出了一致性而又留有彈性空間的標準合同范本,結構體系基本完備,內容聚焦個人信息主體權利保護,有助于個人信息處理者簡化跨境合規流程,反映了當下個人信息處理者在進行出境評價、評估時的重點關注,切實考慮了個人信息跨境的不同法域沖突與協調問題,其施行有助于個人信息處理者、境外接收方等實體梳理各方權利義務,將技術措施、管理制度等要求落地到可舉證、可追責的程度。

    對于越發多元化的中國數字經濟模式而言,如何借助于包括《標準合同》、安全評估等在內的個人信息跨境法律工具,充分發揮法律、管理和技術的不同聚合、疊加、去重、互補的安全保障和規范功能,同時開展實施后的效果反饋和使用評估,《辦法》的嘗試值得期待。(作者:黃道麗 公安部第三研究所研究員)

    信息產業部備案號 隴ICP備10200311號互聯網新聞信息服務許可證編號6201021|中國互聯網視聽節目服務自律公約 版權所有:中共白銀市委網信辦
    西e網運營維護:西e網IDC中心技術支持:西e網技術服務中心 白銀鴻途網絡科技有限公司
    未經本站許可不得建立鏡像連接,相關權益受法律保護。
    免费h无码动漫在线观看网址