中國個(gè)人信息跨境流動(dòng)的“標(biāo)準(zhǔn)合同”規(guī)則解讀
編輯:王軍 信息來源: 中國網(wǎng)信網(wǎng)發(fā)布時(shí)間:2023-3-17
2月24日,國家互聯(lián)網(wǎng)信息辦公室公布《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》(以下簡稱《辦法》),對(duì)個(gè)人信息出境標(biāo)準(zhǔn)合同(以下簡稱《標(biāo)準(zhǔn)合同》)的適用條件和備案監(jiān)管等作了具體規(guī)定,自2023年6月1日起施行?!掇k法》的施行,反映了尊重國際規(guī)則又適應(yīng)中國國情的個(gè)人信息出境監(jiān)管體系的新發(fā)展。
一、《標(biāo)準(zhǔn)合同》的適用主體、保護(hù)目的、效力范圍與生效條件
1.適用《標(biāo)準(zhǔn)合同》的主體限定
《辦法》對(duì)于能夠采取《標(biāo)準(zhǔn)合同》實(shí)施個(gè)人信息跨境的主體范圍進(jìn)行了非常明確的界定,包括:非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者;處理個(gè)人信息不滿100萬人的;自上年1月1日起累計(jì)向境外提供個(gè)人信息不滿10萬人的;自上年1月1日起累計(jì)向境外提供敏感個(gè)人信息不滿1萬人的。個(gè)人信息處理者必須同時(shí)滿足上述四項(xiàng)條件,才能夠適用《標(biāo)準(zhǔn)合同》。
2.基于合同出境的個(gè)人信息保護(hù)最低約束條件
《標(biāo)準(zhǔn)合同》明確其制定直接目的在于“為了確保境外接收方處理個(gè)人信息的活動(dòng)達(dá)到中華人民共和國相關(guān)法律法規(guī)規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)”、“明確個(gè)人信息處理者和境外接收方個(gè)人信息保護(hù)的權(quán)利和義務(wù)”?;诖四康脑O(shè)置了個(gè)人信息出境活動(dòng)中,作為境外接收方的外國企業(yè)、組織等實(shí)體的最低合同義務(wù)要求,并通過合同對(duì)各方權(quán)利義務(wù)的合理分配、法律適用與違約責(zé)任等予以規(guī)定,保障了對(duì)個(gè)人信息出境活動(dòng)的各方管理制度、安全技術(shù)措施的驗(yàn)證與追責(zé),使得個(gè)人、境內(nèi)外企業(yè)組織等實(shí)體完全可以通過民事訴訟等方式維護(hù)自身合法權(quán)益,而無需動(dòng)輒啟動(dòng)公權(quán)力。
3.民事合同層面的優(yōu)先適用與效力
根據(jù)《標(biāo)準(zhǔn)合同》第九條,個(gè)人信息處理者與境外接收方簽訂與個(gè)人信息出境活動(dòng)相關(guān)的其他合同如與《標(biāo)準(zhǔn)合同》沖突,《標(biāo)準(zhǔn)合同》條款優(yōu)先適用,且個(gè)人信息處理者和境外接收方不能對(duì)《標(biāo)準(zhǔn)合同》的內(nèi)容進(jìn)行調(diào)整或刪減,否則將視為未簽訂《個(gè)人信息保護(hù)法》第38條規(guī)定的標(biāo)準(zhǔn)合同。而如果未簽訂《標(biāo)準(zhǔn)合同》,則可能導(dǎo)致對(duì)《個(gè)人信息保護(hù)法》出境條件的不符合而承擔(dān)不利法律后果。
若各方確需對(duì)個(gè)人信息的出境情況進(jìn)行補(bǔ)充,補(bǔ)充條款不應(yīng)對(duì)《標(biāo)準(zhǔn)合同》條款進(jìn)行任何效力修訂、否定或排除,不得與《標(biāo)準(zhǔn)合同》相沖突,并不得規(guī)定低于《標(biāo)準(zhǔn)合同》設(shè)置的義務(wù)和責(zé)任,特別是不得對(duì)個(gè)人信息主體的權(quán)利及其行使設(shè)定任何障礙或限制。
還需要注意,簽訂和履行《標(biāo)準(zhǔn)合同》僅是從民事合同層面約定的各方權(quán)利義務(wù),以及違反合同約定的民事責(zé)任,并不能當(dāng)然減輕或免除個(gè)人信息處理者因違反《個(gè)人信息保護(hù)法》而導(dǎo)致的其他法律責(zé)任。
4.《標(biāo)準(zhǔn)合同》的生效條件與備案性質(zhì)
《辦法》第七條要求個(gè)人信息處理者應(yīng)當(dāng)在《標(biāo)準(zhǔn)合同》生效之日起10個(gè)工作日內(nèi),向所在地省級(jí)網(wǎng)信部門備案。該條明確了《標(biāo)準(zhǔn)合同》的生效不依賴于備案或任何前置條件,備案《標(biāo)準(zhǔn)合同》不屬于行政許可,即使未備案,也不影響合同本身的有效性,充分尊重各方當(dāng)事人的意思自治,但同樣這不影響因違反《個(gè)人信息保護(hù)法》而產(chǎn)生的相關(guān)行政責(zé)任。如果在合同有效期內(nèi)發(fā)生重大的約定事項(xiàng)變化,個(gè)人信息處理者需要補(bǔ)充或者重新簽訂《標(biāo)準(zhǔn)合同》并備案。
二、《標(biāo)準(zhǔn)合同》的體系結(jié)構(gòu)與形式完備性
1.屬于業(yè)務(wù)主合同下個(gè)人信息處理的特別約定
《標(biāo)準(zhǔn)合同》在開篇的背景描述(也稱“鑒于條款”)中即明確,為境內(nèi)外雙方商務(wù)、業(yè)務(wù)等(法律商事活動(dòng))主合同的某種附件、補(bǔ)充或特別約定,并非單獨(dú)設(shè)計(jì),而是貼合企業(yè)、組織等實(shí)體的真實(shí)業(yè)務(wù)需求,和對(duì)《個(gè)人信息保護(hù)法》規(guī)定的“因業(yè)務(wù)等需要”,確需向境外提供個(gè)人信息的準(zhǔn)確回應(yīng)。
2.《標(biāo)準(zhǔn)合同》的合同條款結(jié)構(gòu)
《標(biāo)準(zhǔn)合同》按照中國法下民事合同從設(shè)立到履行、再到可能解除或終止的“合同生命周期”管理的過程進(jìn)行設(shè)計(jì),屬于國際上普遍認(rèn)可的合同條款的結(jié)構(gòu)形式。《標(biāo)準(zhǔn)合同》主要條款有九條,囊括了定義、個(gè)人信息處理者的義務(wù)、境外接收方的義務(wù)、境外接收方所在國家或者地區(qū)個(gè)人信息保護(hù)政策和法規(guī)對(duì)合同履行的影響、個(gè)人信息主體的權(quán)利、救濟(jì)、合同解除、違約責(zé)任以及其他通用條款,符合《民法典》的合同體系化要求,緊密圍繞個(gè)人信息保護(hù)打造,特別突出了對(duì)第三方受益者“個(gè)人信息主體權(quán)利”的事前保護(hù)和事后“救濟(jì)”機(jī)制,構(gòu)成了合同中第三方權(quán)益的強(qiáng)化約定,是《民法典》第522條等在數(shù)據(jù)處理類合同中的細(xì)化,并具有《個(gè)人信息保護(hù)法》的鮮明特色。
三、《標(biāo)準(zhǔn)合同》主要條款解讀與適用
1.個(gè)人信息處理者的義務(wù)
《標(biāo)準(zhǔn)合同》第二條以(境內(nèi))個(gè)人信息處理者單方陳述、保證和承諾的方式直接規(guī)定了其法律義務(wù),其中個(gè)人信息保護(hù)影響評(píng)估是簽訂《標(biāo)準(zhǔn)合同》之前,或者說至少不晚于簽訂時(shí)應(yīng)完成的事項(xiàng)。個(gè)人信息保護(hù)影響評(píng)估報(bào)告屬于備案材料。
2.境外接收方的義務(wù)
境外接收方的義務(wù)主要面向(境內(nèi))個(gè)人信息處理者和個(gè)人信息所涉及的主體本身兩方面進(jìn)行規(guī)定。由于《標(biāo)準(zhǔn)合同》制定目的之一是“確保境外接收方處理個(gè)人信息的活動(dòng)達(dá)到中國相關(guān)法律法規(guī)規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)”,即對(duì)出境后的個(gè)人信息仍能實(shí)施有效保護(hù),因此第三條境外接收方的義務(wù)成為《標(biāo)準(zhǔn)合同》最復(fù)雜的條款。
3.境外接收方所在國家或者地區(qū)個(gè)人信息保護(hù)政策和法規(guī)對(duì)合同履行的影響
《標(biāo)準(zhǔn)合同》第四條要求合同雙方從勤勉盡責(zé)出發(fā)進(jìn)行保證和聲明,主要考慮內(nèi)容包括:(1)境外接收方過往的個(gè)人信息活動(dòng)實(shí)踐,包括執(zhí)法和司法要求提供個(gè)人信息及其應(yīng)對(duì)等情況的披露;(2)對(duì)境外接收方所在國家或者地區(qū)的個(gè)人信息保護(hù)政策法規(guī)、執(zhí)法司法機(jī)構(gòu)、標(biāo)準(zhǔn)等進(jìn)行整體披露;(3)政策法規(guī)發(fā)生變化時(shí)的通知義務(wù),直至解除合同。
4.個(gè)人信息主體的權(quán)利和救濟(jì)
《標(biāo)準(zhǔn)合同》規(guī)定的個(gè)人信息主體權(quán)利是對(duì)《個(gè)人信息保護(hù)法》第四章內(nèi)容的合同化,但個(gè)人信息主體非《標(biāo)準(zhǔn)合同》的合同方,因此《標(biāo)準(zhǔn)合同》對(duì)“第三方”個(gè)人信息主體設(shè)置權(quán)利時(shí)充分考慮了可接受和可行性,同時(shí)避免對(duì)個(gè)人信息主體設(shè)置任何義務(wù)或障礙。
可接受和可行性的考慮主要體現(xiàn)為:(1)個(gè)人信息主體可以分別、單獨(dú)向個(gè)人信息處理者或境外接收方主張權(quán)利;(2)境外接收方應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地告知個(gè)人信息主體相關(guān)信息,這一要求體現(xiàn)為境外接收方應(yīng)主要通過可訪問的隱私政策、可切換語言種類的不同頁面,具有辨識(shí)度的請(qǐng)求和投訴聯(lián)絡(luò)方式;(3)境外接收方同意個(gè)人信息主體就合同爭議的解決依據(jù)為中國相關(guān)法律法規(guī)等等。
5.合同解除與違約責(zé)任
作為典型的合同條款,《標(biāo)準(zhǔn)合同》規(guī)定了合同解除的觸發(fā)情形和可能導(dǎo)致的違約責(zé)任,特殊考慮在于在合同解除與違約責(zé)任中需要充分考慮個(gè)人信息主體的權(quán)利,由于個(gè)人信息主體往往并不能第一時(shí)間獲知數(shù)據(jù)泄露或其他損害其權(quán)益的情況,這也對(duì)條款設(shè)計(jì)的協(xié)調(diào)與呼應(yīng)提出更高要求。例如無論何種情形導(dǎo)致合同解除,境外接收方應(yīng)及時(shí)返還、銷毀或匿名化處理其根據(jù)合同所接收到的個(gè)人信息(包括所有備份),并向個(gè)人信息處理者提供書面說明。刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的,應(yīng)當(dāng)停止存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理。
四、總結(jié)與展望構(gòu)筑了基于合同出境的個(gè)人信息保護(hù)的最低約束條件,體現(xiàn)了中國對(duì)個(gè)人信息保護(hù)的多層次、高規(guī)格要求
從國際經(jīng)驗(yàn)來看,在國際間政策法律和安全環(huán)境缺乏充分性認(rèn)定,認(rèn)證機(jī)構(gòu)和結(jié)論的互通互認(rèn)、信任基礎(chǔ)存在較大差異的當(dāng)前,《標(biāo)準(zhǔn)合同》因其靈活便捷和風(fēng)險(xiǎn)有限,可以成為個(gè)人信息跨境使用的重要法律工具,并在合同的相對(duì)性中回應(yīng)各方利益需求的不斷變化。整體來看,我國《辦法》和《標(biāo)準(zhǔn)合同》對(duì)個(gè)人信息跨境場景給出了一致性而又留有彈性空間的標(biāo)準(zhǔn)合同范本,結(jié)構(gòu)體系基本完備,內(nèi)容聚焦個(gè)人信息主體權(quán)利保護(hù),有助于個(gè)人信息處理者簡化跨境合規(guī)流程,反映了當(dāng)下個(gè)人信息處理者在進(jìn)行出境評(píng)價(jià)、評(píng)估時(shí)的重點(diǎn)關(guān)注,切實(shí)考慮了個(gè)人信息跨境的不同法域沖突與協(xié)調(diào)問題,其施行有助于個(gè)人信息處理者、境外接收方等實(shí)體梳理各方權(quán)利義務(wù),將技術(shù)措施、管理制度等要求落地到可舉證、可追責(zé)的程度。
對(duì)于越發(fā)多元化的中國數(shù)字經(jīng)濟(jì)模式而言,如何借助于包括《標(biāo)準(zhǔn)合同》、安全評(píng)估等在內(nèi)的個(gè)人信息跨境法律工具,充分發(fā)揮法律、管理和技術(shù)的不同聚合、疊加、去重、互補(bǔ)的安全保障和規(guī)范功能,同時(shí)開展實(shí)施后的效果反饋和使用評(píng)估,《辦法》的嘗試值得期待。(作者:黃道麗 公安部第三研究所研究員)