资讯洞见
中国国家互联网信息办公室(网信办)近日发布了《个人信息出境标准合同办法》(以下简称《办法》)及个人信息出境标准合同(以下简称《标准合同》)。《办法》将于2023年6月1日生效,但是将有6个月的整改宽限期。 因此,最迟从2023年12月1日起,在中华人民共和国(中国)境外的实体或个人可能需要签署《标准合同》,才能从其在中国的子公司、关联公司或合作伙伴那里取得个人信息,或访问存储在中国的个人信息。
首先,中国境内的个人信息处理者应满足以下所有条件,才能通过使用《标准合同》向国外提供个人信息。
(a) 不是关键信息基础设施运营者。
(b) 处理的个人信息不满100万人。
(c) 自上年1月1日起累计向境外提供个人信息不满10万人;并且
(d) 自上年1月1日起累计向境外提供敏感个人信息不满1万人。
在相关个人信息超过上述第(2)、(3)或(4)项中任一数量时,应当进行数据出境安全评估,因此中国境内的个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。
我们将《办法》和《标准合同》中可能被境外接收方关注的要点列明如下。
1. 中国境内的个人信息处理者和境外接收方不能修改《标准合同》,但他们可以约定与《标准合同》不冲突的其他条款。 例如,《标准合同》第9条规定该合同应受中华人民共和国法律管辖。因此,各方双方无权选择管辖法律。任何附加条款都将被列入《标准合同》的附录中。
2. 在相关标准合同生效之后才能向境外提供个人信息。中国境内的个人信息处理者应当在《标准合同》生效之日起10个工作日内向网信办备案。未办理该备案并不影响《标准合同》的效力。
3. 应当在《标准合同》附录一中明确约定向境外接收方提供的个人信息在出境后的保存期限的起止日期。
4. 境外接收方接到所在国家或者地区的政府部门、司法机构关于提供《标准合同》项下的个人信息要求的,应当立即通知中国境内的个人信息处理者。
5. 同时符合以下所有条件的,境外接收方才可向中国境外的第三方提供其所接收的个人信息。
(i) 确有业务需要。
(ii) 适当告知个人信息主体。
(iii) 取得个人信息主体的单独同意。
(iv) 与第三方达成书面协议,确保第三方的个人信息处理活动达到中国法律规定的个人信息保护标准;并且境外接收方承担因向中国境外的第三方提供个人信息而侵害个人信息主体享有权利的法律责任。
(v) 根据个人信息主体的要求向其提供境外接收方与第三方签订的书面协议的副本。
6. 境外接收方遵守《标准合同》将违反其所在国家或者地区的法律规定的,任何一方有权解除《标准合同》。
7. 《标准合同》各方依法承担连带责任的,个人信息主体有权请求任何一方或双方承担责任。
8. 个人信息主体就《标准合同》争议行使第三方受益人权利的,个人信息主体可以依据《中华人民共和国民事诉讼法》向有管辖权的法院提起诉讼。
9. 任何组织和个人发现个人信息处理者违反《办法》向境外提供个人信息的,可以向网信部门举报。
尽管如此,在中国境外人士直接向中国境内的数据主体收集个人信息时,不涉及中国境内的个人信息处理者,因而不需要签订《标准合同》。
请参考我们之前发布的客户资讯以了解中国法律下向境外提供个人信息管理机制的背景信息。 我们强烈建议有中国业务的经营者考虑跨境转移个人信息的必要性,将个人信息匿名化的可行性,以及在2023年12月1日之前签署《标准合同》的时间表。 如果您有兴趣获取《标准合同》的英文翻译,或对个人信息的跨境转移有任何疑问,请联系我们。