个人信息保护法的又一个配套法规公开征求意见。6月30日,国家互联网信息办公室(下称“国家网信办”)发布《个人信息出境标准合同规定(征求意见稿)》(下称《规定》),并附上《个人信息出境标准合同》范本。 国家网信办官网 《规定》拟明确,个人信息处理者通过签订标准合同的方式向境外提供个人信息需要同时符合四种情形:非关键信息基础设施运营者;处理个人信息不满100万人的;自上年1月1日起累计向境外提供未达到10万人个人信息;自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。 敏感个人信息(国家网信办拟要求满足这四种情形) 有专家告诉南都记者,上述数量标准与去年发布的《数据出境安全评估办法(征求意见稿)》相呼应,把标准合同定位在相对“小规模、不重要”的数据出境场景中。此外,关于《规定》拟要求个人信息处理者在标准合同生效之日起10个工作日内向所在地省级网信部门备案,有专家直言“是一个比较特殊的规定”。 1 标准合同备案制度“比较特殊” 去年11月起正式施行的个人信息保护法(下称“个保法”)中规定,个人信息处理者因业务等需要,确需向中国境外提供个人信息的,应当具备四个条件之一: (一)通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。 《规定》拟明确,个人信息处理者依据上述第三个条件向境外提供个人信息的,应当按照《规定》签订个人信息出境标准合同(下称“标准合同”),并给出了标准合同的范本。 在北京师范大学互联网研究院院长助理、中国互联网协会研究中心副主任吴沈括看来,《规定》有三方面的重点内容:一是明确了标准合同的适用情形,需同时满足四个条件,二是要求事前开展个人信息保护影响评估,三是实行备案制度,要求对标准合同和个人信息保护影响评估报告进行备案。 其中关于备案要求,《规定》拟提出个人信息处理者在标准合同生效之日起10个工作日内,向所在地省级网信部门备案,并提交标准合同和个人信息保护影响评估报告。“这是一个比较特殊的规定,很多国家没有备案这种机制。”吴沈括说。 不久前,全国信息安全标准化技术委员会发布《个人信息跨境处理活动安全认证规范》(下称《认证规范》),为落实前述个保法第三十八条第一款第(二)项要求的建立个人信息保护认证制度提供认证依据。 南都记者注意到,同为落实个保法有关个人信息出境相关规定的文件,《认证规范》与《规定》的法律效力却截然不同——前者是推荐性国家标准,后者是部门规章。 对此,吴沈括指出,《认证规范》作为一份标准性文件,不是以国家机关的名义来进行认证,而是由国家对认证机构做出的认证表示认可。“一般而言,认证应该是由市场主体来完成,而非由国家机关直接进行认证。国家机关的作用是认可这种认证的效力——这也是一个国际惯例,很少听说由国家机关来进行认证的。” 2 适用于“小规模、不重要”的数据出境场景 《规定》拟明确,个人信息处理者同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息:非关键信息基础设施运营者;处理个人信息不满100万人的;自上年1月1日起累计向境外提供未达到10万人个人信息;自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。 值得注意的是,“100万”“10万”“1万”这三个数字在去年发布的《数据出境安全评估办法(征求意见稿)》(下称《评估办法》)中就曾出现。 《评估办法》拟规定,数据处理者向境外提供数据,符合“处理个人信息达到一百万人的个人信息处理者向境外提供个人信息”“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”等五项情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。 在世辉律师事务所合伙人卢璟看来,《规定》里的数量标准与《评估办法》相呼应。“超过这个数量标准的,需要按照《评估办法》去申请网信部门的安全评估;未达到这个数量标准的,可以按照《规定》自行签订标准合同,并将合同在网信部门办理备案。” 他还指出,《规定》和《评估办法》中的数量标准稍有差别的是,关于累计计算的数量标准,前者增加了“自上年1月1日起”的表述。这意味着,对于向境外提供个人信息和敏感个人信息,累计计算将限定于两年内,而不是从一个时间点持续累积。 吴沈括也持有类似看法,他认为,《规定》的标准是为与其他数据出境机制的相关规定保持衔接,反映了立法机关对于个人信息强化保护问题的重视,还与个人信息保护法中强调的个人信息分类保护原则存在制度呼应。 “这基本上是把标准合同定位在相对而言‘小规模、不重要’的数据出境场景中,而不是数据出境的全场景适用范本。” 清律律师事务所首席合伙人熊定中撰文称。 对于上述两份文件中的数据量级均以“人”为计算单位,熊定中认为还值得商榷。“不排除出现虽然人数不够标准,但由于字段量级过高而实则影响较大的情况。试举一例:一万人的姓名,无非一万条信息而已;但如果是一千人累积了一年的购物数据,这个量级可能是百万级别。” 3 境外接收方需专设联系人处理询问和投诉 《规定》拟提出,标准合同的主要内容包括个人信息处理者和境外接收方的基本信息;个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等;个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来的安全风险所采取的技术和管理措施等;境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响;个人信息主体的权利,以及保障个人信息主体权利的途径和方式;救济、合同解除、违约责任、争议解决等。 其中标准合同的“救济”条款中写道,境外接收方应在组织内部确定一个联系人,授权其答复有关个人信息处理的询问或投诉,并应及时处理个人信息主体的任何询问或投诉。境外接收方应将联系人信息告知个人信息处理者,并以简单易懂的方式,通过单独通知或在其网站公告,告知个人信息主体该联系人的姓名和联系方式。 而关于争议解决,标准合同拟规定,个人信息主体作为第三方受益人向个人信息处理者或境外接收方提起诉讼的,应当根据《中华人民共和国民事诉讼法》的规定确定管辖。如何理解这一规定? 吴沈括表示,当事人双方有权约定民事诉讼管辖,而合同的法律适用与纠纷的诉讼管辖是两个独立问题。“可以根据法定规则判定境内或境外提起诉讼,而并非因为用了我国提供的标准合同条款,就一定由中国法院管辖。这一规定避开了‘一刀切’,交给民事诉讼法解决——民事诉讼法在管辖问题方面有各种规则可以选择。” “标准合同适用的场景非常丰富,在这样的情况下,很难通过单一的诉讼管辖规则来做出明确规定,所以需要沿用民事诉讼法的相关规定来解决多种场景下的合同纠纷管辖问题。”他进一步解释道。 在法律责任方面,《规定》拟提出,个人信息处理者若出现未履行备案程序或者提交虚假材料进行备案,未履行标准合同约定的责任义务且侵害个人信息权益造成损害,或影响个人信息权益的其他情形,由省级以上网信部门依照个保法责令限期改正;拒不改正或者损害个人信息权益的,责令停止个人信息出境活动,依法予以处罚;构成犯罪的,依法追究刑事责任。 采写:南都记者樊文扬 蒋琳 实习生 程雨祺 NLP 2.0