个人信息出境第三条路径即将开启
作者 | 财经E法 樊朔 编辑 | 郭丽琴
(资料图片)
专家认为,《指南》的出台,实际上代表了备案管理的统一标准,为相关中小型企业或个人信息低频出境活动提供了可落地的出境合规方案,至此,中国数据及个人信息出境的主要监管框架已渐趋完善。
6月1日,《个人信息出境标准合同办法》(下称《合同办法》)即将正式生效。适用广泛的个人信息出境的第三条路径——"标准合同"也将随之开启。
为了落地《合同办法》,5月30日夜间,国家网信办发布了《个人信息出境标准合同备案指南(第一版)》(下称《指南》),明确了个人信息出境标准合同备案的适用范围、备案方式和备案流程等。
属于个人信息出境行为的情形,既包含个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外;又包含个人信息处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出。
《个人信息保护法》第三十八条规定,向中国境外提供个人信息的三条主要合规路径有,通过网信部门组织的安全评估、经专业机构进行个人信息保护认证,以及与境外接收方订立国家网信部门制定的标准合同(下称"标准合同路径")。
对"标准合同路径",2023年2月,国家网信办审议通过《合同办法》。《合同办法》也为企业整改预留了生效之后6个月的整改期。即根据《合同办法》规定,企业应在2023年12月1日前完成整改。(详见:个人信息出境有了第三条路,对企业意味着什么?)
受访专家认为,《指南》是企业落实《合同办法》规定的具体指引。通过《指南》的出台,企业明确了适配自身的出境路径,也为相关中小型企业或个人信息低频出境活动提供了可落地的出境合规方案,至此,中国数据及个人信息出境的主要监管框架已渐趋完善。
省级网信办须在15个工作日内完成材料查验
《指南》中的规定显示,个人信息通过标准合同路径出境适用于广大中小型企业或个人信息低频出境活动。
《指南》的适用范围规定,个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供个人信息不满10万人的;
(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
《指南》还指出,个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。
哪些是《指南》中值得企业关注的重点内容?
北京航空航天大学法学院副教授赵精武认为,重点是《指南》中"材料查验及反馈备案结果"和"补充或者重新备案"这两部分内容。因为该部分内容涉及到了企业在进行申报备案时的具体业务流程。"这些条款为个人信息处理者申报备案提供了明确的流程指引,方便企业按照具体流程准备备案材料,进一步提升个人信息出境的安全性和备案效率。"赵精武说。
中联律师事务所上海办公室合伙人胡峰同样认为应重点关注《指南》三条第(二)款材料查验及反馈备案结果的说明。
该条款规定,省级网信办收到材料后,在15个工作日内完成材料查验,并通知个人信息处理者备案结果;备案结果分为通过、不通过;通过的发备案编号,不通过的将收到备案未成功通知及原因,并可能要求补充完善材料,补充完善材料应于10个工作日内再次提交。
胡峰告诉财经E法,这既是对个人信息出境标准合同备案的进程说明,也是对各地网信办工作效率的要求;换言之,当一家企业向当地省级网信办提交个人信息出境标准合同备案材料后,当地省级网信办应当在15个工作日内作出通过或不通过的结果。在未通过的情况下,当地省级网信办应说明未通过的原因。对企业来讲,如果其备案未一次性通过,其当然希望网信办能一次性告知所有应完成的整改措施,避免多次提交、多次以不同原因不予通过备案的结果。
胡峰认为,鉴于需要个人信息出境标准合同备案的企业众多,为保证15个工作日内出具是否备案的结果,各地省级网信办在未来有可能会采取预约挂号等方式,来实现企业备案事项的分流。
还为企业提供哪些指引
《指南》公布正值6月1日《合同办法》正式生效前夕。
垦丁律师事务所创始合伙人麻策指出,和《合同办法》中的原则性条款相比,《指南》比照数据出境安全评估,细化落实了具体材料的准备指引,并提供了个人信息出境安全评估报告的示范文本,给企业实施出境标准合同备案,提供了具体落地的解决方案。
赵精武告诉财经E法,《指南》是《合同办法》的配套制度,因为在后者在第3条就已经明确了"自主缔约与备案管理相结合"的基本原则,此次的《指南》则是对"备案管理"的具体内容予以明确:一是明确应当予以备案的适用情形,二是具体的备案方式,三是步骤明确的备案流程。
此外,赵精武指出,《合同办法》第7条还规定了个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案,《指南》则在此基础上对提交材料、材料查验、反馈结果等方面予以明确,这也为执法机构提供了更为标准化的行为规范。
胡峰指出,《指南》是企业落实《合同办法》规定的具体指引,尤其是该《指南》附件5的《个人信息保护影响评估报告(模板)(出境版)》的内容,对于指导企业完成《合同办法》第5条所要求的个人信息保护影响评估,有较强的指导意义。比如,在该模板中的拟出境个人信息情况中,明确要求备案企业说明处理敏感个人信息和利用个人信息进行自动化决策情况。此外,《指南》的《承诺书(模板)》第五点,要求备案企业承诺,个人信息保护影响评估工作至备案之日未发生重大变化,这其实是要求,至备案之日,企业应尽量使其个人信息出境未发生《合同办法》第8条规定的需要重新评估的情况。
从企业合规的角度而言,胡峰认为,《指南》的内容说明了,在企业个人信息出境合规方面,其落实《个保法》《合同办法》规定的义务在性质上是一种尽责义务,即企业应尽力按照《指南》的内容落实各项步骤、实现备案结果。换言之,只要标准合同生效,企业尽力实现《办法》规定的备案结果,就做到了《个保法》第38条第1款所规定的个人信息出境合规,可合规地出境个人信息;从另一角度看,在企业提交备案材料后,如果当地省级网信办未及时接收,或未在15个工作日作出是否备案的结果,当地省级网信办不得以企业未完成备案为由,限制企业个人信息出境行为。
赵精武认为,《指南》为企业合规提供了更为明确且可操作性的行为指引,降低了企业在合规过程中不必要的时间成本和经济成本。并且,备案流程、备案方式的内容细化实际上代表了备案管理的统一标准,使得企业能够免于因地方监管机构的不同要求而采取不同的备案流程。
(编辑:冯曦)