个人信息出境不再需要签署标准合同?答案比较复杂
作者:吴鹏飞 吴金冬 2023-10-11附《规范和促进数据跨境流动规定(征求意见稿)》思维导图
国庆假期前一天,国家互联网信息办公室发布了《规范和促进数据跨境流动规定(征求意见稿)》(下称“征求意见稿”),引起了极大的关注。征求意见稿对于现有的两部法规《个人信息出境标准合同办法》和《数据出境安全评估办法》进行了重大的调整,但是其不可能突破上位法,即《个人信息保护法》和《数据安全法》,这一点对于我们全面理解征求意见稿和监管的态度至关重要。而且,征求意见稿中仍有一些未厘清的问题。
澄清了一些困惑,且评估/备案要求有所放松
这是大家讨论最多的内容,我们也同意征求意见稿首要的两个关键词是“澄清”和“松绑”。
1、 澄清。征求意见稿前三条澄清了在实务中很多企业都会有的困惑,尤其是重要数据的认定。
2、松绑。实践中大多数外资企业最常见的个人信息出境场景,一个是员工个人信息出境,一个是供应商/客户联系人个人信息出境。如果出境信息涉及的人数符合征求意见稿第五条的规定,看上去未来不再需要签署标准合同并办理备案,这对于面临《个人信息出境标准合同办法》规定的11月底这一整改限期的企业,无疑是重大利好。
征求意见稿共十一条,其他条款也都是干货,很多文章都有介绍,本文就不展开了。我们制作了一份思维导图,方便大家更清晰地了解征求意见稿的结构和内容。
法律规定中的合规义务未有变化
征求意见稿对于现有的两个法规进行了重大的调整,但是其不可能突破《个人信息保护法》和《数据安全法》这两部法律,这一点对于我们全面理解征求意见稿和监管的态度至关重要。举例来说,征求意见稿下对评估和备案要求虽有松绑,但并未完全突破《个人信息保护法》第38条所规定的向境外提供个人信息所需适用的三种合规路径,即申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
《个人信息保护法》中规定的以下义务也未有变化,这些义务就是企业应完成的合规工作:
第一,根据《个人信息保护法》第39条,个人信息处理者应尽到告知义务,并取得个人的单独同意。这一点征求意见稿也再次强调“基于个人同意向境外提供个人信息的,应当取得个人信息主体同意”。
第二,根据《个人信息保护法》第55条,应当事先进行个人信息保护影响评估。而针对向境外提供个人信息的情况,企业应如何进行个人信息保护影响评估呢。目前来看,最有参考价值的仍然是《个人信息出境标准合同备案指南(第一版)》中个人信息保护影响评估报告模板(出境版)。如何进行个人信息保护影响评估,也可以参考我们此前的另外一篇文章《企业如何进行出境场景下的个人信息保护影响评估》。
第三,尽管征求意见稿规定的特定情形下不需要签署标准合同,但按照《个人信息保护法》里的相关规定以及个人信息保护影响评估的要求,个人信息处理者与境外接收方之间仍然需要对一些事项进行约定。当然,这种约定的形式可以是一份合同或者是适用于双方的集团的相关制度。企业仍然可以考虑参考个人信息出境标准合同,并在此基础上进行修改。
第四,《个人信息保护法》和《数据安全法》规定的个人信息/数据保护义务,包括《个人信息保护法》第五章、《数据安全法》第四章等的相关规定。
其实征求意见稿也强调了数据保护义务和加强常态化监管,至于监管部门今后如何实现常态化监管,可能有待于观察征求意见稿正式出台后一段时间内的执法实践。
尚未厘清的问题
首当其冲当然是征求意见稿何时会正式出台。我们预计征求意见稿应该会于11月底前正式出台,以起到在《个人信息出境标准合同办法》规定的整改期限前调整法规内容的效果。当然,这只是我们的猜测。就具体内容而言,我们认为仍有以下问题尚未厘清。
第一,是否违反上位法规定?征求意见稿所作出的豁免(即规定部分情形下无需适用三种合规路径),是否与《个人信息保护法》第38条规定相违背,还是可以视为第38条第四款提到的“网信部门规定的其他条件”,值得商榷。
第二,是否任何情况下个人信息出境均需要取得个人的同意?征求意见稿第四条中的几种情形,是否还需要取得个人的同意?这一点源于对《个人信息保护法》第13条的不同理解。征求意见稿中没有单独强调需要取得个人的同意,我们也认为无需取得同意;但是在以往安全评估审查实践中,网信办还是要求取得个人同意的。
第三,第四条所规定的几种情形,是否需要考虑出境信息涉及的人数?我们认为并不需要。那如何理解“必须向境外提供个人信息的”范围?这一点也是网信办在以往安全评估审查中非常关注的问题。征求意见稿是否完全授权给企业自行判断?考虑到《个人信息保护法》确立的最小必要原则,我们理解在第四条所规定的几种情形下,企业还是应谨慎、合理地判断必须要向境外提供的个人信息的范围。
第四,第五条、第六条里提到的涉及人数是应该按照企业个人信息出境的不同场景下涉及人数合并计算,还是分场景计算?举个例子,如果同一个企业有员工个人信息出境和供应商个人信息出境两种场景,两种场景下涉及人数合计超过一万人,但供应商个人信息出境场景下不足一万人:如果根据第四条认为员工个人信息出境无需申报,而只考虑供应商个人信息出境,那也无需申报;如果合并考虑两种场景下个人信息出境涉及的人数,那就应该适用第六条办理标准合同备案。
第五,已经提交安全评估申报和标准合同备案的企业怎么办?此前发布的评估和备案的指南是否仍然适用?如果已经提交安全评估申报的,按照征求意见稿只需办理标准合同备案,我们预测,应该可以与网信办沟通,撤回申报的申请,重新提交标准合同备案,变化不大。如果原先已经提交标准合同备案的,按照征求意见稿无需签署标准合同,我们预测应撤回备案,但如同我们前面所论述,前期的合规动作(包括个人信息保护影响评估和签署标准合同)并非多余;当然,企业可以从自身角度考虑是否进行调整。
此外,还有一些细节问题需要解释或者澄清,不再赘述。希望上面这些问题能在正式稿出台时得到解决,也可能在今后的实践中答案才会逐步清晰。建议有个人信息出境需求的企业将这一领域的合规作为长期工作,持续密切关注立法和执法的动向。
