近日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》),自2023年6月1日起施行。国家互联网信息办公室有关负责人表示,出台《办法》旨在落实《个人信息保护法》的规定,保护个人信息权益,规范个人信息出境活动。
近年来,随着数字经济的蓬勃发展,个人信息出境需求快速增长。为满足日益增长的个人信息出境需要,保护个人信息权益,《办法》规定了个人信息出境标准合同(以下简称“标准合同”)的适用范围、订立条件和备案要求,明确了标准合同范本,为向境外提供个人信息提供了具体指引。
《办法》明确了个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合下列情形:一是非关键信息基础设施运营者;二是处理个人信息不满100万人的;三是自上年1月1日起累计向境外提供个人信息不满10万人的;四是自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
《办法》要求,个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估并明确重点评估内容。规定个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。提出在标准合同有效期内个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续的具体情形。《办法》还对监督管理、法律责任、合规整改要求等作出了规定。
“《个人信息保护法》提供了高水平的个人信息保护标准,标准合同的适用有利于保障境外接收方处理个人信息的活动达到我国《个人信息保护法》规定的个人信息保护标准,确保个人信息出境后个人信息主体权益依然受到保护。”中国信通院互联网法律研究中心主任方禹表示。同时,《办法》的出台积极回应了社会关切,在为中小企业个人信息跨境业务合作提供法治保障的同时,减轻了中小企业负担,有利于进一步促进数据自由流通和数字经济发展。
《办法》是继《数据出境安全评估办法》之后,第二部落实《个人信息保护法》个人信息出境管理规定的专门性部门规章,具有承前启后推动个人信息出境管理制度体系化的重要作用。《数据出境安全评估办法》明确了数据出境管理中的“安全评估”,《办法》与其共同作为《个人信息保护法》的配套规章,进一步落实了有关个人信息出境管理制度的顶层设计。
方禹认为,《办法》的正文和附件标准合同范本前后衔接,既明确了个人信息出境标准合同的监管要求,又保障了合同双方的意思自治和合同磋商空间。总之,将标准合同作为个人信息出境的方式,是我国网络立法上的创新举措,有利于积极应对互联网新业态新模式带来的风险挑战,为促进个人信息跨境流动提供法治保障。
此外,《办法》细化了风险管理,在《个人信息保护法》第五十五条提出个人信息保护影响评估后,进一步针对出境场景细化了影响评估的评估项,比如境外接收方承诺履行的个人信息保护义务、措施和能力,个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险。
“个人信息处理者在选定标准合同作为个人信息跨境传输合规路径的情况下,需要在向境外提供个人信息前进行影响评估,此为对《个人信息保护法》的落实。”北京理工大学教授洪延青表示。同时,我国标准合同的主要内容,如个人信息在提供、处理安全、自动化决策处理等方面借鉴了有关国家和地区的有益做法,为数据跨境流动制度的国际合作奠定了基础,争取与更多的国家和地区建立稳定可行的数据流通双多边机制。
总的来说,《办法》体现了四方面鲜明导向:一是以人民为中心,把维护个人信息主体合法权益放在首要位置;二是坚持一致性,《办法》与我国《个人信息保护法》等法律法规要求保持一致;三是突出简明性,标准合同范本内容注重易于企业理解、实践和应用;四是强调开放性,标准合同范本内容与国际通用规则的理念相兼容,便于企业对外开展对等的商业合作。相信《办法》能够为我国加大对外开放合作提供重要的制度保障。
可见,《办法》以标准合同为抓手规范我国个人信息出境管理制度,是我国深化开放合作、探索个人信息跨境流动与治理的新举措。方禹表示,出台《办法》不仅补充完善了我国数据跨境监管制度体系,体现了我国网络立法的系统性、整体性、协同性、时效性,更为数字经济浪潮中的中国企业提供了法治保障和具体指引。