资讯洞见
魏德华、陈真祯 撰写
2023年5月30日,中国国家互联网信息办公室(“网信办”)在《个人信息出境标准合同办法》(“《标准合同办法》”)即将于2023年6月1日生效之际发布了《个人信息出境标准合同备案指南(第一版)》(“《备案指南》”)。《备案指南》对《个人信息出境标准合同》(“《标准合同》”)的备案范围、备案方式、备案流程做出了详细的说明,并提供了咨询方式以及相关备案文件的模板。
本文将结合《标准合同办法》以及《个人信息保护法》,对《标准合同》的备案所涉及的重点文件和问题进行讨论。
1. 个人信息保护影响评价报告
除《标准合同》以外,《备案指南》要求的最重要的一份申请文件就是《个人信息保护影响评价报告》(“《评价报告》”)。个人信息处理者需要在文件模板的基础上根据企业的实际情况撰写。
《评价报告》共分为以下四个部分:
(1) 评估工作简述。企业需要介绍评估工作的基本情况,包括起止时间、组织情况、实施过程、实施方式,以及第三方机构参与评估的情况等。
(2) 出境活动的整体情况。在该章节中,企业需要详细说明个人信息处理者的基本情况、个人信息出境涉及的业务和信息系统、拟出境个人信息情况、个人信息处理者个人信息保护能力情况、个人信息出境后境外接收方的情况、是否向第三方提供个人信息以及如何确保标准合同条款落实等。
(3) 拟出境活动的影响评估情况。在该章节中,企业需要就《评估报告》模板中列明的各个事项进行逐项说明,以评估个人信息出境的合法性、正当性、必要性,以及相关安全风险。
(4) 在《评价报告》的最后,企业需要综合以上评估情况和相应的整改情况,对个人信息出境活动做出客观的影响评估结论,并充分说明得出评估结论的理由和论据。
除此以外,根据《备案指南》所附《承诺书》的要求,个人信息保护影响评估工作应当在备案前三个月之内完成,并且至备案之日未发生重大变化。
鉴于《评估报告》涉及部分网络数据安全技术方面的内容,在起草的过程中建议咨询法律专家以及网络数据安全专业人员的意见。
2. 补充或者重新备案
《标准合同》备案完成后,如果出现以下情形之一的,企业应当重新进行个人信息保护影响评估,补充或者重新订立标准合同,并向网信办进行备案:
(1) 向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
(2) 境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
(3) 可能影响个人信息权益的其他情形。
除此以外,企业在《标准合同》的有效期内订立标准合同的补充协议或重新订立《标准合同》的,应当进行补充备案或重新备案。
3. 宽限期
对于需要进行《标准合同》备案的企业,《标准合同办法》给出了六个月的宽限期,即在《标准合同办法》生效后的6个月内,已经开展个人信息出境业务的企业,可以在宽限期内继续进行个人信息跨境传输。在宽限期满,即2023年12月1日之后,未进行《标准合同》备案的,或者备案未通过的,不得再继续进行个人信息的跨境传输。
4. 法律责任
《标准合同办法》并未直接规定未备案的法律责任,但规定了可以依据《个人信息保护法》等法律进行处罚,处罚包括责令改正、警告、没收违法所得、责令暂停或终止提供服务、停业整顿、吊销相关业务许可或营业执照,以及最高5000万元人民币或个人信息处理者上一年度营业额的5%以下的罚款等。如果个人信息处理者的行为构成犯罪的,还应当承担相应的刑事责任。
关于《标准合同办法》的更多详细信息,请参考本行较早前发布的《中国个人信息境外传输标准合同》一文。
尽管《标准合同办法》给予了6个月的宽限期,但由于备案需要做大量的准备工作,我们强烈建议需要备案的公司尽快开始着手进行备案程序,以免影响公司正常业务的运营。如果您对《个人信息出境标准合同》合同的备案有任何进一步的问题,或者需要我行协助贵司进行备案的,欢迎随时与我们联络。