出臺(tái)標(biāo)準(zhǔn)合同規(guī)范 完善我國個(gè)人信息出境管理制度
編輯:王軍 信息來源: 中國網(wǎng)信網(wǎng)發(fā)布時(shí)間:2023-2-22
2023年2月24日,國家互聯(lián)網(wǎng)信息辦公室公布《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》(以下簡(jiǎn)稱《辦法》)?!掇k法》對(duì)通過訂立標(biāo)準(zhǔn)合同的方式開展個(gè)人信息出境的活動(dòng)作出具體制度安排,細(xì)化落實(shí)了《個(gè)人信息保護(hù)法》第三十八條第一款第三項(xiàng)的規(guī)定。《個(gè)人信息保護(hù)法》對(duì)我國個(gè)人信息出境管理作出頂層設(shè)計(jì),規(guī)定了國際條約或協(xié)定、安全評(píng)估、個(gè)人信息保護(hù)認(rèn)證、標(biāo)準(zhǔn)合同四種個(gè)人信息出境方式。繼《數(shù)據(jù)出境安全評(píng)估辦法》《關(guān)于實(shí)施個(gè)人信息保護(hù)認(rèn)證的公告》對(duì)安全評(píng)估、個(gè)人信息保護(hù)認(rèn)證進(jìn)行規(guī)范后,《辦法》成為我國個(gè)人信息出境管理制度的重要組成部分。對(duì)于規(guī)范個(gè)人信息跨境流動(dòng)、完善數(shù)據(jù)跨境管理制度和促進(jìn)數(shù)據(jù)領(lǐng)域國際合作具有重大意義。
一、及時(shí)必要,規(guī)范個(gè)人信息有序高效跨境流動(dòng)
出臺(tái)《辦法》是我國推動(dòng)個(gè)人信息跨境流動(dòng)、積極融入全球數(shù)字經(jīng)濟(jì)發(fā)展大勢(shì)的重要舉措。
(一)落實(shí)《個(gè)人信息保護(hù)法》要求,保護(hù)個(gè)人信息權(quán)益。出臺(tái)《辦法》是為了保護(hù)個(gè)人信息權(quán)益,規(guī)范個(gè)人信息出境活動(dòng)。當(dāng)前,數(shù)字經(jīng)濟(jì)蓬勃發(fā)展,數(shù)據(jù)跨境日益頻繁,各國個(gè)人信息跨境流動(dòng)需求也快速增長(zhǎng)。但由于不同國家和地區(qū)的個(gè)人信息保護(hù)水平存在差異,個(gè)人信息出境的風(fēng)險(xiǎn)日漸凸顯?!秱€(gè)人信息保護(hù)法》提供了高水平的個(gè)人信息保護(hù)標(biāo)準(zhǔn),標(biāo)準(zhǔn)合同的適用有利于保障境外接收方處理個(gè)人信息的活動(dòng)達(dá)到我國《個(gè)人信息保護(hù)法》規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn),確保個(gè)人信息出境后個(gè)人信息主體權(quán)益依然受到保護(hù)。
(二)促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展,回應(yīng)中小企業(yè)個(gè)人信息跨境需求。2022年《中共中央 國務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》提出“構(gòu)建數(shù)據(jù)安全合規(guī)有序跨境流通機(jī)制”“堅(jiān)持開放發(fā)展,推動(dòng)數(shù)據(jù)跨境雙向有序流動(dòng),鼓勵(lì)國內(nèi)外企業(yè)及組織依法依規(guī)開展數(shù)據(jù)跨境流動(dòng)業(yè)務(wù)合作”。作為一種個(gè)人信息出境方式,標(biāo)準(zhǔn)合同具有便捷化、成本低的特征。《辦法》的出臺(tái)積極回應(yīng)了社會(huì)關(guān)切,在為中小企業(yè)個(gè)人信息跨境業(yè)務(wù)合作提供法治保障的同時(shí),也減輕了中小企業(yè)負(fù)擔(dān),有利于進(jìn)一步促進(jìn)數(shù)據(jù)自由流通和數(shù)字經(jīng)濟(jì)發(fā)展。
(三)緊跟數(shù)字時(shí)代潮流,順應(yīng)國際通行做法。國際上,以歐盟針對(duì)四種不同個(gè)人數(shù)據(jù)傳輸場(chǎng)景的“標(biāo)準(zhǔn)合同條款”為典型代表,東盟、英國和中國香港等國家和地區(qū)分別出臺(tái)了“標(biāo)準(zhǔn)合同條款”范本。在借鑒域外經(jīng)驗(yàn)和立足我國實(shí)際的基礎(chǔ)上,《辦法》提出具備完整合同結(jié)構(gòu)的“標(biāo)準(zhǔn)合同范本”。國家網(wǎng)信部門可以根據(jù)實(shí)際情況對(duì)附件標(biāo)準(zhǔn)合同范本進(jìn)行調(diào)整,使其保持靈活性、實(shí)踐性和國際性?!掇k法》的出臺(tái)既符合國際通行做法又具有中國法治特色,對(duì)于促進(jìn)數(shù)據(jù)領(lǐng)域國際合作意義重大。
二、定位清晰,健全個(gè)人信息出境管理制度體系
《辦法》是繼《數(shù)據(jù)出境安全評(píng)估辦法》之后,第二部落實(shí)《個(gè)人信息保護(hù)法》個(gè)人信息出境管理規(guī)定的專門性部門規(guī)章,具有承前啟后推動(dòng)個(gè)人信息出境管理制度體系化的重要作用。
(一)完善個(gè)人信息出境管理的重要配套規(guī)章。《辦法》的出臺(tái),細(xì)化了《個(gè)人信息保護(hù)法》“按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同,約定雙方的權(quán)利義務(wù)”的要求,是對(duì)個(gè)人信息出境管理制度的重要補(bǔ)充?!秱€(gè)人信息保護(hù)法》第三十八條規(guī)定了“兩類四種”個(gè)人信息出境方式:一類是個(gè)人信息處理者因業(yè)務(wù)等需要,確需向境外提供個(gè)人信息的,應(yīng)該具備“安全評(píng)估”“個(gè)人信息保護(hù)認(rèn)證”“標(biāo)準(zhǔn)合同”三種條件之一,并設(shè)置兜底條款“法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件”;另一類是我國締結(jié)或者參加的國際條約、協(xié)定對(duì)向境外提供個(gè)人信息的條件等有規(guī)定的,可以按照其規(guī)定執(zhí)行。《數(shù)據(jù)出境安全評(píng)估辦法》明確了數(shù)據(jù)出境管理中的“安全評(píng)估”,《辦法》與其共同作為《個(gè)人信息保護(hù)法》的配套規(guī)章,進(jìn)一步落實(shí)了有關(guān)個(gè)人信息出境管理制度的頂層設(shè)計(jì)。
(二)豐富個(gè)人信息出境方式。《辦法》通過劃定個(gè)人信息出境標(biāo)準(zhǔn)合同的適用范圍和情形,有效實(shí)現(xiàn)了標(biāo)準(zhǔn)合同和安全評(píng)估、個(gè)人信息保護(hù)認(rèn)證的制度銜接,也為后續(xù)出臺(tái)有關(guān)認(rèn)證等其他個(gè)人信息出境方式的規(guī)則預(yù)留了制度接口。當(dāng)個(gè)人信息處理者選擇通過訂立標(biāo)準(zhǔn)合同的方式向境外提供個(gè)人信息時(shí),必須同時(shí)符合下列四種情形:(一)非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者;(二)處理個(gè)人信息不滿100萬人的;(三)自上年1月1日起累計(jì)向境外提供個(gè)人信息不滿10萬人的;(四)自上年1月1日起累計(jì)向境外提供敏感個(gè)人信息不滿1萬人的。實(shí)際上,《辦法》給予個(gè)人信息處理者選擇權(quán),除必須申報(bào)安全評(píng)估的情形之外,個(gè)人信息處理者可以結(jié)合具體情況選擇訂立標(biāo)準(zhǔn)合同或者其他個(gè)人信息出境方式出境。
(三)結(jié)合政府監(jiān)管手段與市場(chǎng)自主行為的新型管理規(guī)則。《辦法》的正文和附件標(biāo)準(zhǔn)合同范本前后銜接,既明確了個(gè)人信息出境標(biāo)準(zhǔn)合同的監(jiān)管要求,又保障了合同雙方的意思自治和合同磋商空間。正文為行政監(jiān)管意義上的部門規(guī)章,規(guī)定了個(gè)人信息出境標(biāo)準(zhǔn)合同的監(jiān)管要求。附件實(shí)質(zhì)上為民商事活動(dòng)領(lǐng)域中的格式合同,相較于傳統(tǒng)民事合同,其承載著意思自治、個(gè)人信息保護(hù)、國家安全和公共利益等多元價(jià)值。標(biāo)準(zhǔn)合同范本中的部分內(nèi)容已被預(yù)先設(shè)定,當(dāng)個(gè)人信息處理者自愿選擇通過訂立標(biāo)準(zhǔn)合同的方式向境外提供個(gè)人信息時(shí),該部分內(nèi)容不可更改。但合同雙方可在附錄二中約定附件標(biāo)準(zhǔn)合同范本未明確的事項(xiàng)??傊?,將標(biāo)準(zhǔn)合同作為個(gè)人信息出境的方式,是我國網(wǎng)絡(luò)立法上的創(chuàng)新舉措,有利于積極應(yīng)對(duì)互聯(lián)網(wǎng)新業(yè)態(tài)新模式帶來的風(fēng)險(xiǎn)挑戰(zhàn),為促進(jìn)個(gè)人信息跨境流動(dòng)提供法治保障。
三、守正創(chuàng)新,構(gòu)建個(gè)人信息出境標(biāo)準(zhǔn)合同管理制度
《辦法》立足我國立法現(xiàn)狀和實(shí)踐情況,對(duì)個(gè)人信息保護(hù)影響評(píng)估、標(biāo)準(zhǔn)合同備案管理、舉報(bào)監(jiān)督制度與法律責(zé)任等作出明確規(guī)定。
(一)個(gè)人信息保護(hù)影響自評(píng)估制度。《辦法》第五條規(guī)定個(gè)人信息處理者向境外提供個(gè)人信息前,應(yīng)當(dāng)開展個(gè)人信息保護(hù)影響評(píng)估,其重點(diǎn)評(píng)估內(nèi)容與《數(shù)據(jù)出境安全評(píng)估辦法》中“數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估”的重點(diǎn)評(píng)估事項(xiàng)基本一致。但是,個(gè)人信息保護(hù)影響評(píng)估內(nèi)容中增加了“境外接收方所在國家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)對(duì)標(biāo)準(zhǔn)合同履行的影響”。這一點(diǎn)具體體現(xiàn)在附件標(biāo)準(zhǔn)合同范本的第二條第八項(xiàng)和第四條,合同雙方應(yīng)結(jié)合個(gè)人信息出境的具體情況、境外政策法規(guī)、境外接收方的安全管理制度和技術(shù)手段保障能力等進(jìn)行評(píng)估。
(二)個(gè)人信息出境標(biāo)準(zhǔn)合同備案管理制度。個(gè)人信息處理者應(yīng)當(dāng)在標(biāo)準(zhǔn)合同生效之日起10個(gè)工作日內(nèi)向所在地省級(jí)網(wǎng)信部門備案。從性質(zhì)上看,《辦法》設(shè)立的備案制度為事后監(jiān)管,并不會(huì)產(chǎn)生功能性的效果。從內(nèi)容上看,須備案的材料包括:(一)合同雙方根據(jù)附件標(biāo)準(zhǔn)合同范本訂立的個(gè)人信息出境標(biāo)準(zhǔn)合同,與之相關(guān)的獨(dú)立商業(yè)合同并不需要備案;(二)個(gè)人信息保護(hù)影響評(píng)估報(bào)告。個(gè)人信息處理者應(yīng)當(dāng)對(duì)所備案材料的真實(shí)性負(fù)責(zé)。從結(jié)果上看,對(duì)于未履行備案程序或者提交虛假材料進(jìn)行備案的違法行為,若由此導(dǎo)致個(gè)人信息出境活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件,省級(jí)以上網(wǎng)信部門可以進(jìn)行約談,要求整改。
(三)保護(hù)個(gè)人信息主體權(quán)利的涉他合同。從主體上看,附件標(biāo)準(zhǔn)合同范本涉及三方主體,包括個(gè)人信息處理者、境外接收方和個(gè)人信息主體,在為個(gè)人信息處理者、境外接收方設(shè)立合同義務(wù)的同時(shí),亦為第三人“個(gè)人信息主體”設(shè)立了合同權(quán)利。從內(nèi)容上看,個(gè)人信息處理者應(yīng)履行告知、提供副本、答復(fù)詢問、個(gè)人信息保護(hù)影響評(píng)估等義務(wù)。境外接收方應(yīng)履行提供合同副本、采取技術(shù)和管理措施、接受監(jiān)督管理等義務(wù);若進(jìn)行“再傳輸”“轉(zhuǎn)委托”“自動(dòng)化決策”等處理行為需符合相關(guān)條件。個(gè)人信息主體對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán)等權(quán)利,并有權(quán)請(qǐng)求合同一方或雙方履行標(biāo)準(zhǔn)合同項(xiàng)下與個(gè)人信息主體權(quán)利相關(guān)的條款。此外,個(gè)人信息處理者通過與境外接收方訂立標(biāo)準(zhǔn)合同的方式向境外提供個(gè)人信息的,除遵守《辦法》規(guī)定外,合同的成立、效力、履行、解釋以及因本合同引起的雙方爭(zhēng)議還應(yīng)適用《民法典》等中華人民共和國相關(guān)法律法規(guī)。
(四)舉報(bào)監(jiān)督制度與法律責(zé)任。一方面,任何組織和個(gè)人發(fā)現(xiàn)個(gè)人信息處理者違反《辦法》規(guī)定向境外提供個(gè)人信息的,可以向省級(jí)以上網(wǎng)信部門舉報(bào)。另一方面,當(dāng)省級(jí)以上網(wǎng)信部門發(fā)現(xiàn)個(gè)人信息出境活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的,可以依法對(duì)個(gè)人信息處理者進(jìn)行約談。個(gè)人信息處理者應(yīng)當(dāng)按照要求整改,消除隱患。此外,還規(guī)定了違反《辦法》規(guī)定的應(yīng)當(dāng)依據(jù)《個(gè)人信息保護(hù)法》等法律法規(guī)處理,構(gòu)成犯罪的依法追究刑事責(zé)任。
四、小結(jié)
《辦法》以標(biāo)準(zhǔn)合同為抓手規(guī)范我國個(gè)人信息出境管理制度,是我國深化開放合作、探索個(gè)人信息跨境流動(dòng)與治理的新舉措。出臺(tái)《辦法》不僅補(bǔ)充完善了我國數(shù)據(jù)跨境監(jiān)管制度體系,體現(xiàn)了我國網(wǎng)絡(luò)立法的系統(tǒng)性、整體性、協(xié)同性、時(shí)效性,更為數(shù)字經(jīng)濟(jì)浪潮中的中國企業(yè)提供了法治保障和具體指引。(作者:方禹 中國信通院互聯(lián)網(wǎng)法律研究中心主任)