陈万莉
贵州惟胜道律师事务所 合伙人
贵州省优秀律师,贵州大学、贵州财经大学《法律检索》《法律文书写作》等实务课程导师,贵阳市律师协会民事专业委员会副主任,贵州省律师协会民事专业委员会秘书长,《中小企业合规管理体系有效性评价》起草成员。
为此,我们结合标准办法、备案指南,对企业关心的个人信息标准合同备案几个重点问题进行问答式解读。
1.个人信息出境标准合同适用于什么情况?
标准合同适用于以订立标准合同方式开展个人信息出境活动的个人信息处理者。但应注意的是,能够通过订立标准合同开展个人信息出境活动的需要符合几个条件:
(1)非关键信息基础设施运营者;
(2)处理个人信息不满100万人的;
(3)自上年1月1日起累计向境外提供个人信息不满10万人的;
(4)自上年1月1日起累计向境外提供敏感个人信息不满1万人的;
如果处理者是关键信息基础设施运营者、或处理个人信息达到100万人,或者自上年1月1日起累计向境外提供个人信息满10万或1万个人敏感信息,则应当进行出境安全评估。且处理者不能采取数量拆分手段规避出境安全评估。
2.以订立标准合同方式开展个人信息出境活动,需要哪些合规动作?
以订立标准合同方式开展个人信息出境活动的三个合规动作是,+个人信息保护影响评估+标准合同缔约+标准合同备案。
3.什么是个人信息保护影响评估?
个人信息保护影响评估是向境外提供个人信息的前置程序要求,重点内容包括:
(1)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
(2)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;
(3)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
(4)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(5)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
(6)其他可能影响个人信息出境安全的事项。
且在备案指南附件中给出了评估报告的模版,各处理者可根据报告模版、结合上述重点评估内容开展评估工作,制作评估报告。
4.什么是标准合同缔约?
缔约是指个人信息处理者与境外接收方签订个人信息标准合同,且根据标准办法要求,双方可以约定其他条款、但不得与标准合同冲突。因此,对标准合同部分不应当进行调整,但可以在附录二其他条款中增加与标准合同不冲突的条款。
5.什么是标准合同备案?
备案是指根据标准办法,个人信息处理者应当在标准合同生效之日起10个工作日内向省级网信部门备案。备案方式是通过送达书面材料并附带材料电子版。书面材料包括:
(1)统一社会信用代码证件影印件;
(2)法定代表人身份证件影印件;
(3)经办人身份证件影印件;
(4)经办人授权委托书;
(5)承诺书;
(6)标准合同;
(7)《个人信息保护影响评估报告》。
其中第(4)-(7)项材料,备案指南均给出了模版。备案结果包括通过、不通过。通过备案的,省级网信办向个人信息处理者发放备案编号。
6.标准合同备案不通过怎么办?
不通过备案的,个人信息处理者将收到备案未成功通知及原因,要求补充完善材料的,个人信息处理者应当补充完善材料并于10个工作日内再次提交。
7.备案通过后是否一劳永逸?
不是的。在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:
(1)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
(2)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
(3)可能影响个人信息权益的其他情形。
个人信息处理者在标准合同有效期内补充订立标准合同的,应当向所在地省级网信办提交补充材料;重新订立标准合同的,应当重新备案。补充或者重新备案的材料查验时间为15个工作日。
8.此前已经开展个人信息出境活动的怎么办?
标准办法自2023年6月1日施行,在此之前已经开展个人信息出境活动且不符合办法规定的,则应当在6个月内完成整改,即2023年11月内。