大邦 | 哪些企业签个标准合同,就可以合法传输个人信息出境?

《个人信息保护法》颁布将近一年后,网信办终于发布了配套的《个人信息出境标准合同规定(征求意见稿)》,征求意见稿及随附的标准合同解决了在华外企人力资源部关注的员工个人信息出境法律责任的焦虑,今天就和大家聊聊这个。
作者:游云庭
2022-08-03 13:57:51

        2021年8月,《个人信息保护法》颁布后,个人信息跨境传输成为企业的关注点,我们收到了很多外企咨询个人信息出境怎样才能合规:外企人力资源部普遍很焦虑,因为外企录用中国员工后,会把员工信息跨境传输至总部,如果违规,法律责任很重,最高可处以五千万元以下或者上一年度营业额百分之五以下罚款。

 

        所以法律颁布的当月我们就向主管部门进行了咨询:《个人信息保护法》第三十八条规定,向境外提供个人信息的,要按照主管部门制定的标准合同与境外接收方订立合同,这个标准合同可以提供吗?得到的答复是:目前优化营商环境,主管部门一般不太会干涉企业跨境传输员工个人信息的行为。

 

        对此我的理解是,个人信息的出境标准合同还没有准备就绪,所以我们就按照自己的经验和对法律的理解制定了个人信息出境的合规流程和标准法律文本,虽然这样已经可以为客户解决问题了,但律师也希望有官方的标准合同,因为更权威。征求意见稿颁布后我们看了一下,标准合同和流程的内容和我们律师预想的内容基本一致。


97f966bd151717a0cc208609cb630b6.png


        征求意见稿用的是排除法,触发下面四个条件任意一个,都不行:


        (一)关键信息基础设施运营者。关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的重要网络设施、信息系统。

 

        关键信息基础设施运营者,是无法通过标准合同实现个人信息跨境传输的。原则上他们应将其在境内收集的个人信息储存在本地;确需向境外传输的,应当通过网信部门组织的安全评估。比方说,“滴滴”作为中国最大的出行和交通平台,是国家关键信息基础设施运营者,其就必须通过相应的安全评估,不能通过签订标准合同的方式直接实现数据跨境传输。

 

        (二)处理个人信息超过100万人的。100万人的门槛其实不高,很多做快消品的企业,天猫旗舰店开个会员卡可能会员就破百万了,这样就不能适用签标准合同后就个人信息出境了。此时,需要采用《个人信息保护法》规定的其他条件才能实现数据的跨境传输,比方说安全评估或认证。

 

        (三)自上年1月1日起累计向境外提供达到10万人个人信息的。比如富士康这样雇佣上百万人的大代工厂,要是员工个人信息都出境,就不能适用签标准合同后就个人信息出境了;

 

        (四)自上年1月1日起累计向境外提供达到1万人敏感个人信息的。敏感个人信息指生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及未成年人的个人信息。这条针对的是敏感行业,比如特斯拉这样的公司,要是车辆的行踪轨迹出境超过1万条的,就不能适用签标准合同后就个人信息出境了。


44d7a4f5bfdb5f36c57d9b7bf02ed88.png


        征求意见稿第六条规定标准合同,包括双方的基本信息、个人信息出境的目的和范围、取得事先单独同意、双方保护个人信息的责任与任务等等,以及明确了境外接收方所在国对个人信息保护法规对标准合同的影响,基本上也与《个人信息保护法》第三十九条规定相对应。

 

        征求意见稿更是同步随附了一份标准合同模板,进一步对合同条款的内容进行了明确。特别需要提示的是,标准合同模板明确要求境外企业接受中国法律管辖,直接解决了双方在谈判过程中法律适用的问题。


45daddc301acddf1cf312851ce5fb7a.png


        征求意见稿第二条规定,个人信息出境时,双方应签订的标准合同,且个人信息出境其他活动的合同时,是不需要与标准合同逐字逐句相对应,只要不与标准合同相冲突即可。也就是说,仅从目前的征求意见稿来看,标准合同没有说不能修改,仅规定在个人信息出境时必须签订标准合同,但是涉及出境的个人信息其他活动时,可以根据具体情况对标准合同进行相应修改,修改的最大权限就是不与标准合同相冲突。

 

        即便如此,由于征求意见稿确定采取的是自主缔约和行政备案相结合的制度,即便签订了相应的合同,也仍然需要履行备案手续。备案对标准合同的要求严格程度,也决定了对标准合同内容的修改尺度。


a7b487834cb29d3d89bf8e12d4f7f0e.png


        征求意见稿规定了备案时需要提供合同和个人信息保护影响评估报告。因此,除签订标准合同外,企业仍需要事前开展个人信息保护影响评估。评估的重点内容包括:

 

        个人信息出境的目的、范围、方式等的合法性、正当性、必要性;数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险;境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全;个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;评估境外当地个人信息保护政策法规对遵守本合同条款可能造成的影响:其他事项。

 

        除此之外,《信息安全技术 个人信息安全影响评估指南》、《个人信息安全规范》以及《数据出境安全评估指南(征求意见稿)》中也对评估的内容、流程及方式进行了规定,也为企业开展个人信息保护影响评估提供了参考依据。

 

        最后,虽然颁布得有点晚,但征求意见稿确实对大多数需要合法传输个人信息出境的中小企业是个利好,因为它解决了《个人信息保护法》颁布后个人信息跨境传输法律责任重,但配套规章规定不明确的问题。我们律师为企业提供相应的合规服务时,也有了更权威的依据。

相关资讯