本报记者 裴昱 北京报道
事关互联网企业合规问题的个人信息出境监管,迎来了又一个关键进展。6月30日,国家互联网信息办公室(以下简称“网信办”)就《个人信息出境标准合同规定(征求意见稿)》(以下简称“《征求意见稿》”)公开征求意见,意见反馈工作将于7月29日截止。
根据《个人信息保护法》规定的个人信息出境要求,需要通过安全评估、认证、合同和其他四种方式。《征求意见稿》是通过签订标准合同方式出境的规则细化。网信办表示,此举是为了规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动。
“相较于安全评估和认证,前述标准合同是更简便、成本更低的合规路径。但由于安全评估和认证都未有实践落实,具体条款的效果还有待观察。”7月1日,一位数据合规方面的律师在接受《中国经营报》记者采访时表示。
值得注意的是,根据《征求意见稿》提出的须同时符合的四种情形,处理海量个人信息的大型互联网平台公司暂时难以采用签订标准合同的方式进行个人信息出境。
大型互联网平台难受益
“在研究《征求意见稿》过程中,我们对标了可以以签订标准合同方式进行数据出境的四种情形。”一位互联网平台企业人士表示,对标后,发现他所供职的企业无法同时满足这四种情形。
《征求意见稿》提出了个人信息处理者可以以签订标准合同的方式向境外提供个人信息,但采用这种方式须同时符合四种情形:其一,非关键信息基础设施运营者;其二,处理个人信息不满100万人;其三,自上年1月1日起累计向境外提供未达到10万人个人信息;其四,自上年1月1日起累计向境外提供未达到1万人敏感个人信息。
同时符合上述四种情形的数据处理者,可以签订标准合同,主要内容包括:出境方和境外接收方的基本信息;个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点;出境一方和境外接收方的责任义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施;境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响;个人信息主体的权利,以及保障个人信息主体权利的途径和方式;救济、合同解除、违约责任、争议解决等。
金诚同达律师事务所高级合伙人彭凯告诉《中国经营报》记者,这意味着大公司个人信息出境的前置程序无法通过标准合同获得解决。“以中国的人口基数,大型的互联网平台公司、金融机构、快消企业等公司的用户量都是非常庞大的,很容易超过100万。也就是说,这些公司的个人信息出境,仍须通过国家网信部门的安全评估。”
个人信息处理者依据《个人信息保护法》第三十八条第一款第(三)项规定,与境外接收方订立合同向中华人民共和国境外提供个人信息的,应当按照本规定签订个人信息出境标准合同。不少互联网平台企业一直将通过签订标准合同完成个人信息出境视为可操作性较强,便利性较高的手段。
情况在一定程度上如他们所料。《征求意见稿》提出,依据标准合同开展个人信息出境活动,应坚持自主缔约与备案管理相结合;个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案;标准合同生效后个人信息处理者即可开展个人信息出境活动。
彭凯解释道,“备案意味着没有审批环节,《征求意见稿》明确指出,标准合同生效后个人信息处理者即可开展个人信息出境活动。这可以打消一些企业担心实际操作中还需要审批的顾虑。”
“一些小企业或者主要从事to B业务,用户量较少的企业能够通过签订标准合同实现个人信息出境,不过,备案并不意味着后续不会面临审查。”他说。
确保监管有效性
根据《征求意见稿》提出的要求,在向境外提供个人信息前,个人信息处理者应当事前开展个人信息保护影响评估。这项评估被简称为DPIA。
评估包含五方面内容。一是个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;二是出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险;三是境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全;四是个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;五是境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响;六是其他可能影响个人信息出境安全的事项。
前述数据合规方面的律师表示,DPIA仍是标准动作,且要求个人信息保护影响评估报告至少保留3年,意味着评估的内部留痕十分重要。
值得注意的是,DPIA需要评估境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响,这对企业的数据合规团队和律师提出了较高的合规要求,不仅要熟悉中国相关法律,还要熟悉境外国家个人保护相关法律法规。
在规定数据处理者责任和义务的同时,监管部门还明确了境外个人信息接受者的多项义务和责任,在标准合同文本中,共涉及13项。记者注意到,其中约定了如果处理的个人信息发生了数据泄露,境外接收方须立即通知个人信息处理者,并根据相关法律法规要求报告中国监管机构。
标准合同中还约定,境外接收方同意在监督本合同实施的相关程序中接受监管机构的监督管理,包括但不限于答复监管机构询问,配合监管机构检查,服从监管机构采取的措施或作出的决定,并提供已采取必要行动的书面证明。
此外,境外接收方还需要对开展的个人信息处理活动进行客观记录,保存记录至少3年。根据格式合同约定,境外接收方应按相关法律法规要求直接或通过个人信息处理者向监管机构提供相关记录文件。
前述互联网平台企业人士向记者表示,根据法律规定,标准合同文本不能更改,个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,也不得与标准合同相冲突。这实际上确保了中国对个人信息数据出境事宜的监管有效性。
值得注意的是,在这份标准合同文本中还专门列出了个人信息主体的权利条款。标准合同文本显示,作为第三方受益人向个人信息处理者或境外接收方提起诉讼的,应当根据《中华人民共和国民事诉讼法》的规定确定管辖。
彭凯表示,对境外接收方的监管在执行中是比较困难的,《征求意见稿》中可以看出,特定情形下,当监管找不到境外接收方时,境内的个人信息处理者需要先出面解决,再去找境外接收方追责。从这个意义上讲,境内主体有一定的兜底作用。“总体来看,无论是境内个人信息处理者、还是境外接收方都面临较大压力,政策的细化落地仍需观察,合规预案还有很多工作要做。”
(编辑:孟庆伟 校对:颜京宁)
