個人信息保護法的又一個配套法規公開徵求意見。6月30日,國家互聯網信息辦公室(下稱“國家網信辦”)發布《個人信息出境標準合同規定(徵求意見稿)》(下稱《規定》),並附上《個人信息出境標準合同》範本。
國家網信辦官網
《規定》擬明確,個人信息處理者通過簽訂標準合同的方式向境外提供個人信息需要同時符合四種情形:非關鍵信息基礎設施運營者;處理個人信息不滿100萬人的;自上年1月1日起累計向境外提供未達到10萬人個人信息;自上年1月1日起累計向境外提供未達到1萬人敏感個人信息的。
有專家告訴南都記者,上述數量標準與去年發布的《數據出境安全評估辦法(徵求意見稿)》相呼應,把標準合同定位在相對“小規模、不重要”的數據出境場景中。此外,關於《規定》擬要求個人信息處理者在標準合同生效之日起10個工作日內向所在地省級網信部門備案,有專家直言“是一個比較特殊的規定”。
1
標準合同備案制度“比較特殊”
去年11月起正式施行的個人信息保護法(下稱“個保法”)中規定,個人信息處理者因業務等需要,確需向中國境外提供個人信息的,應當具備四個條件之一:
(一)通過國家網信部門組織的安全評估;(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;(三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;(四)法律、行政法規或者國家網信部門規定的其他條件。
《規定》擬明確,個人信息處理者依據上述第三個條件向境外提供個人信息的,應當按照《規定》簽訂個人信息出境標準合同(下稱“標準合同”),並給出了標準合同的範本。
在北京師範大學互聯網研究院院長助理、中國互聯網協會研究中心副主任吳沈括看來,《規定》有三方面的重點內容:一是明確了標準合同的適用情形,需同時滿足四個條件,二是要求事前開展個人信息保護影響評估,三是實行備案制度,要求對標準合同和個人信息保護影響評估報告進行備案。
其中關於備案要求,《規定》擬提出個人信息處理者在標準合同生效之日起10個工作日內,向所在地省級網信部門備案,並提交標準合同和個人信息保護影響評估報告。“這是一個比較特殊的規定,很多國家沒有備案這種機制。”吳沈括說。
不久前,全國信息安全標準化技術委員會發布《個人信息跨境處理活動安全認證規範》(下稱《認證規範》),為落實前述個保法第三十八條第一款第(二)項要求的建立個人信息保護認證制度提供認證依據。
南都記者注意到,同為落實個保法有關個人信息出境相關規定的文件,《認證規範》與《規定》的法律效力卻截然不同——前者是推薦性國家標準,後者是部門規章。
對此,吳沈括指出,《認證規範》作為一份標準性文件,不是以國家機關的名義來進行認證,而是由國家對認證機構做出的認證表示認可。“一般而言,認證應該是由市場主體來完成,而非由國家機關直接進行認證。國家機關的作用是認可這種認證的效力——這也是一個國際慣例,很少聽說由國家機關來進行認證的。”
2
適用於“小規模、不重要”的數據出境場景
《規定》擬明確,個人信息處理者同時符合下列情形的,可以通過簽訂標準合同的方式向境外提供個人信息:非關鍵信息基礎設施運營者;處理個人信息不滿100萬人的;自上年1月1日起累計向境外提供未達到10萬人個人信息;自上年1月1日起累計向境外提供未達到1萬人敏感個人信息的。
值得注意的是,“100萬”“10萬”“1萬”這三個數字在去年發布的《數據出境安全評估辦法(徵求意見稿)》(下稱《評估辦法》)中就曾出現。
《評估辦法》擬規定,數據處理者向境外提供數據,符合“處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息”“累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息”等五項情形之一的,應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估。
在世輝律師事務所合伙人盧璟看來,《規定》里的數量標準與《評估辦法》相呼應。“超過這個數量標準的,需要按照《評估辦法》去申請網信部門的安全評估;未達到這個數量標準的,可以按照《規定》自行簽訂標準合同,並將合同在網信部門辦理備案。”
他還指出,《規定》和《評估辦法》中的數量標準稍有差別的是,關於累計計算的數量標準,前者增加了“自上年1月1日起”的表述。這意味着,對於向境外提供個人信息和敏感個人信息,累計計算將限定於兩年內,而不是從一個時間點持續累積。
吳沈括也持有類似看法,他認為,《規定》的標準是為與其他數據出境機制的相關規定保持銜接,反映了立法機關對於個人信息強化保護問題的重視,還與個人信息保護法中強調的個人信息分類保護原則存在制度呼應。
“這基本上是把標準合同定位在相對而言‘小規模、不重要’的數據出境場景中,而不是數據出境的全場景適用範本。” 清律律師事務所首席合伙人熊定中撰文稱。
對於上述兩份文件中的數據量級均以“人”為計算單位,熊定中認為還值得商榷。“不排除出現雖然人數不夠標準,但由於字段量級過高而實則影響較大的情況。試舉一例:一萬人的姓名,無非一萬條信息而已;但如果是一千人累積了一年的購物數據,這個量級可能是百萬級別。”
3
境外接收方需專設聯繫人處理詢問和投訴
《規定》擬提出,標準合同的主要內容包括個人信息處理者和境外接收方的基本信息;個人信息出境的目的、範圍、類型、敏感程度、數量、方式、保存期限、存儲地點等;個人信息處理者和境外接收方保護個人信息的責任與義務,以及為防範個人信息出境可能帶來的安全風險所採取的技術和管理措施等;境外接收方所在國家或者地區的個人信息保護政策法規對遵守本合同條款的影響;個人信息主體的權利,以及保障個人信息主體權利的途徑和方式;救濟、合同解除、違約責任、爭議解決等。
其中標準合同的“救濟”條款中寫道,境外接收方應在組織內部確定一個聯繫人,授權其答覆有關個人信息處理的詢問或投訴,並應及時處理個人信息主體的任何詢問或投訴。境外接收方應將聯繫人信息告知個人信息處理者,並以簡單易懂的方式,通過單獨通知或在其網站公告,告知個人信息主體該聯繫人的姓名和聯繫方式。
而關於爭議解決,標準合同擬規定,個人信息主體作為第三方受益人向個人信息處理者或境外接收方提起訴訟的,應當根據《中華人民共和國民事訴訟法》的規定確定管轄。如何理解這一規定?
吳沈括表示,當事人雙方有權約定民事訴訟管轄,而合同的法律適用與糾紛的訴訟管轄是兩個獨立問題。“可以根據法定規則判定境內或境外提起訴訟,而並非因為用了我國提供的標準合同條款,就一定由中國法院管轄。這一規定避開了‘一刀切’,交給民事訴訟法解決——民事訴訟法在管轄問題方面有各種規則可以選擇。”
“標準合同適用的場景非常豐富,在這樣的情況下,很難通過單一的訴訟管轄規則來做出明確規定,所以需要沿用民事訴訟法的相關規定來解決多種場景下的合同糾紛管轄問題。”他進一步解釋道。
在法律責任方面,《規定》擬提出,個人信息處理者若出現未履行備案程序或者提交虛假材料進行備案,未履行標準合同約定的責任義務且侵害個人信息權益造成損害,或影響個人信息權益的其他情形,由省級以上網信部門依照個保法責令限期改正;拒不改正或者損害個人信息權益的,責令停止個人信息出境活動,依法予以處罰;構成犯罪的,依法追究刑事責任。
采寫:南都記者樊文揚 蔣琳 實習生 程雨祺