上海
《個人信息保護法》頒布將近一年后,網信辦終于發布了配套的《個人信息出境標準合同規定(征求意見稿)》(以下簡稱“征求意見稿”),征求意見稿及隨附的標準合同解決了在華外企人力資源部關注的員工個人信息出境法律責任的焦慮,今天就和大家聊聊這個。
2021年8月,《個人信息保護法》頒布后,個人信息跨境傳輸成為企業的關注點,我們收到了很多外企咨詢個人信息出境怎樣才能合規:外企人力資源部普遍很焦慮,因為外企錄用中國員工后,會把員工信息跨境傳輸至總部,如果違規,法律責任很重,最高可處以五千萬元以下或者上一年度營業額百分之五以下罰款。
所以法律頒布的當月我們就向主管部門進行了咨詢:《個人信息保護法》第三十八條規定,向境外提供個人信息的,要按照主管部門制定的標準合同與境外接收方訂立合同,這個標準合同可以提供嗎?得到的答復是:目前優化營商環境,主管部門一般不太會干涉企業跨境傳輸員工個人信息的行為。
對此我的理解是,個人信息的出境標準合同還沒有準備就緒,所以我們就按照自己的經驗和對法律的理解制定了個人信息出境的合規流程和標準法律文本,雖然這樣已經可以為客戶解決問題了,但律師也希望有官方的標準合同,因為更權威。征求意見稿頒布后我們看了一下,標準合同和流程的內容和我們律師預想的內容基本一致。
一、 哪些企業簽訂標準合同后即可傳輸個人信息出境?
征求意見稿用的是排除法,觸發下面四個條件任意一個,都不行:
(一)關鍵信息基礎設施運營者。關鍵信息基礎設施,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的重要網絡設施、信息系統。
關鍵信息基礎設施運營者,是無法通過標準合同實現個人信息跨境傳輸的。原則上他們應將其在境內收集的個人信息儲存在本地;確需向境外傳輸的,應當通過網信部門組織的安全評估。比方說,“滴滴”作為中國最大的出行和交通平臺,是國家關鍵信息基礎設施運營者,其就必須通過相應的安全評估,不能通過簽訂標準合同的方式直接實現數據跨境傳輸。
(二)處理個人信息超過100萬人的。100萬人的門檻其實不高,很多做快消品的企業,天貓旗艦店開個會員卡可能會員就破百萬了,這樣就不能適用簽標準合同后就個人信息出境了。此時,需要采用《個人信息保護法》規定的其他條件才能實現數據的跨境傳輸,比方說安全評估或認證。
(三)自上年1月1日起累計向境外提供達到10萬人個人信息的。比如富士康這樣雇傭上百萬人的大代工廠,要是員工個人信息都出境,就不能適用簽標準合同后就個人信息出境了;
(四)自上年1月1日起累計向境外提供達到1萬人敏感個人信息的。敏感個人信息指生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及未成年人的個人信息。這條針對的是敏感行業,比如特斯拉這樣的公司,要是車輛的行蹤軌跡出境超過1萬條的,就不能適用簽標準合同后就個人信息出境了。
二、 標準合同包括哪些內容?
征求意見稿第六條規定標準合同,包括雙方的基本信息、個人信息出境的目的和范圍、取得事先單獨同意、雙方保護個人信息的責任與任務等等,以及明確了境外接收方所在國對個人信息保護法規對標準合同的影響,基本上也與《個人信息保護法》第三十九條規定相對應。
征求意見稿更是同步隨附了一份標準合同模板,進一步對合同條款的內容進行了明確。特別需要提示的是,標準合同模板明確要求境外企業接受中國法律管轄,直接解決了雙方在談判過程中法律適用的問題。
三、 標準合同的內容可以修改嗎?
征求意見稿第二條規定,個人信息出境時,雙方應簽訂的標準合同,且個人信息出境其他活動的合同時,是不需要與標準合同逐字逐句相對應,只要不與標準合同相沖突即可。也就是說,僅從目前的征求意見稿來看,標準合同沒有說不能修改,僅規定在個人信息出境時必須簽訂標準合同,但是涉及出境的個人信息其他活動時,可以根據具體情況對標準合同進行相應修改,修改的最大權限就是不與標準合同相沖突。
即便如此,由于征求意見稿確定采取的是自主締約和行政備案相結合的制度,即便簽訂了相應的合同,也仍然需要履行備案手續。備案對標準合同的要求嚴格程度,也決定了對標準合同內容的修改尺度。
四、個人信息保護影響評估要包含哪些內容?
征求意見稿規定了備案時需要提供合同和個人信息保護影響評估報告。因此,除簽訂標準合同外,企業仍需要事前開展個人信息保護影響評估。評估的重點內容包括:
個人信息出境的目的、范圍、方式等的合法性、正當性、必要性;數量、范圍、類型、敏感程度,個人信息出境可能對個人信息權益帶來的風險;境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術措施、能力等能否保障出境個人信息的安全;個人信息出境后泄露、損毀、篡改、濫用等的風險,個人維護個人信息權益的渠道是否通暢等;評估境外當地個人信息保護政策法規對遵守本合同條款可能造成的影響:其他事項。
除此之外,《信息安全技術 個人信息安全影響評估指南》、《個人信息安全規范》以及《數據出境安全評估指南(征求意見稿)》中也對評估的內容、流程及方式進行了規定,也為企業開展個人信息保護影響評估提供了參考依據。
最后,雖然頒布的有點晚,但征求意見稿確實對大多數需要合法傳輸個人信息出境的中小企業是個利好,因為它解決了《個人信息保護法》頒布后個人信息跨境傳輸法律責任重,但配套規章規定不明確的問題。我們律師為企業提供相應的合規服務時,也有了更權威的依據。
本文作者:游云庭,上海大邦律師事務所高級合伙人,知識產權律師。電話:8621-52134900,Email: yytbest@gmail.com,本文僅代表作者觀點。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
