跳转到主要内容

文章分类

2022年6月30日,中国网络空间管理局(“CAC”)发布了个人信息出口标准合同条款(征求意见稿)(“标准合同条款草案”)。标准合同条款草案旨在实施《个人信息保护法》(“PIPL”)第38(1)(3)条,并规定了在中国境外转让个人信息的合法方法之一。标准合同条款草案包含一份类似于标准合同条款(“SCC”)的标准合同,并规定了个人信息处理者和海外接收者的要求。在第二部分中,OneTrust数据指南研究考察了CAC提供的标准合同条款。

介绍

标准合同明确了包括个人信息、敏感个人信息和个人信息处理者在内的定义与PIPL(第1条)中规定的含义相同。另一方面,个人信息主体被定义为与个人信息相关的自然人。类似地,海外接收者被定义为位于中华人民共和国(“PRC”)境外的组织或个人,从个人信息处理机构接收个人信息,最后,监管机构指省级或省级以上的CAC(第1条)。

关于后续法律法规和部门法规,标准合同明确了未定义术语的含义将与后续和部门法律法规中规定的含义一致(第1条)。此外,如果标准合同与双方签订或签署时已经存在的任何其他协议相冲突,则以标准合同条款为准(第9条)。在这一点上,标准合同将受中华人民共和国相关法律法规的管辖(第9条)。

个人信息处理者的保证(第2条)

标准合同要求个人信息处理者确保根据相关法律法规收集和使用个人信息,并将个人信息输出限制在达到处理目的所需的最低限度。此外,个人信息处理者必须确保个人信息主体已被告知以下信息:

  • 海外收件人的姓名,包括其联系信息;
  • 附录I中个人信息导出说明中概述的信息;
  • 行使其权利的方式和程序;
  • 个人信息主体是个人信息处理方和海外接收方之间的合同中规定的第三方受益人,根据该合同,如果主体在30天内未明确拒绝,则其有权行使其权利;和
  • 应要求提供标准合同的副本——为保护商业秘密或其他机密信息,相关内容可能会被适当掩盖,但个人信息处理人必须承诺提供有效的摘要,以帮助个人信息主体理解标准合同的内容。

此外,标准合同规定,个人信息处理者必须做出合理努力,确保海外接收者能够履行标准合同规定的义务,并采取技术和组织措施,如加密、匿名和取消身份;除其他事项外,考虑个人信息的类型、数量、范围和敏感性、传输的数量和频率,以及海外接收者传输和保留个人信息的持续时间。

在同意方面,标准合同规定,个人信息处理者必须确保获得个人的同意,除非相关法律法规不要求同意。值得注意的是,当涉及敏感个人信息时,必须告知个人信息主体传输敏感个人信息的必要性以及传输对个人的影响。如果涉及14岁以下未成年人的个人信息,则需要未成年人父母和/或其他监护人的同意。除此之外,法律或行政法规要求书面同意的,必须获得此类同意,但相关法律法规规定不需要书面同意的情况除外。

个人信息处理者负责回复监管机构有关海外收件人处理活动的询问。这不适用于双方同意海外收件人将作出回应的情况。然而,如果海外接收人未在要求的时限内作出答复,个人信息处理人将被要求根据其合理获得的信息在合理的时限内做出答复。

重要的是,个人信息处理者承担证明标准合同义务已履行的举证责任。此外,个人信息处理方需向CAC提供相关法律法规要求的必要信息,包括海外接收方根据第3(10)条提供和协助的所有审计结果。

海外收件人的保证(第3条)

根据个人信息处理者的规定,除非事先获得个人信息主体的同意,否则海外接收者必须确保个人信息的处理符合附录I中个人信息输出说明中规定的范围。海外接收人还负责确保个人信息的输出仅限于达到处理目的所需的最低限度。此外,海外收件人必须根据要求向个人信息主体提供标准合同副本;在这种情况下,为了保护商业秘密或其他机密信息,相关内容可能会被适当掩盖,前提是包含有效的摘要,以帮助个人信息主体理解标准合同的内容。

关于个人信息的存储,标准合同规定,存储期必须是实现处理目的所需的最短时间,强调一旦存储期结束,必须删除或匿名个人信息(包括所有备份),除非获得个人信息主体的单独同意。在这一点上,标准合同明确规定,一旦删除或匿名完成,海外接收人必须向个人信息处理人提供审计报告。

安全处理个人信息

海外收件人应采取有效的技术和管理措施,确保个人信息的安全,包括防止意外或非法破坏、丢失、伪造或未经授权提供或访问个人信息。为了履行这一义务,海外接收者应采取数据保护影响评估(“DPIA”)中规定的技术和组织措施。此外,海外收件人必须定期进行检查,以确保所采取的措施继续保持适当的安全水平。

海外接收人还必须确保被授权处理个人信息的人员遵守其保密义务,并制定了最低授权访问控制政策,以确保只有授权人员才能访问完成其职责所需的最低限度的个人信息。

数据泄露报告

如果发生数据泄露,海外收件人必须立即采取适当的补救措施,以减轻对个人信息主体的不利影响。此外,海外收件人必须根据法律法规的要求立即通知个人信息处理人、个人信息主体(如需要)和CAC。通知必须包含以下内容:

  • 个人信息泄露的原因;
  • 泄露的个人信息类型以及可能造成的危害;
  • 已采取的补救措施;
  • 个人可以采取的减轻伤害的措施;
  • 负责处理数据泄漏的负责人或团队的联系方式。

在这一点上,海外接收方必须记录并保留与数据泄露及其影响相关的所有事实,包括采取的所有补救措施。

向前传输和子处理者

禁止在中国境外继续传输个人信息,除非同时满足以下要求:

  • 存在提供个人信息的真正业务需求;
  • 已通知个人信息主体:
    • 第三方的身份;
    • 他们的联系方式;
    • 处理的目的;
    • 处理方式;
    • 个人信息的类型;和
    • 行使其权利的方式和程序;和
  • 已获得个人的同意,但相关法律法规不要求同意的情况除外。

此外,根据个人信息处理者的要求,如果涉及敏感个人信息,必须告知个人信息主体转移敏感个人信息的必要性以及对个人的影响。对于未成年人,如果涉及14岁以下未成年人的个人信息,必须征得其父母和/或其他监护人的同意。最后,如果法律和行政法规要求,必须获得书面同意,除非规定不需要书面同意。如果难以通知或获得个人信息主体的同意,海外收件人应立即寻求个人信息处理人的协助。

海外接收者应与第三方达成协议,确保个人信息保护水平不低于中国法律法规规定的标准。此外,海外接收者和第三方将对因子处理而对个人信息主体造成的任何潜在损害承担连带责任,海外接收人需要监督第三方的个人信息处理活动。此外,海外收件人必须向个人信息处理方提供协议副本,并获得其事先同意。与上述要求类似,分包第三方不得处理超出附录I中个人信息导出说明约定的目的和方式的个人信息。

值得注意的是,标准合同涉及自动决策,指出以这种方式使用个人信息的海外接收者必须确保透明度,以及公平和公正的结果,在交易价格和其他交易条件方面不适用不合理的差别待遇。通过自动决策促进的推送通知和直接营销还必须包括不针对个人特征或提供拒绝个人特征的方便方式的选项。

证明遵守

海外接收人应向个人信息处理人提供所有必要的信息,以证明其遵守标准合同的义务,允许个人信息处理者访问数据文件和文件,或对合同涵盖的处理活动进行审计。在这一点上,海外接收者应协助个人信息处理者自己或委托第三方进行审计,并根据要求向个人信息处理人员提供其在个人信息保护方面的资格证明。

在记录保留方面,海外接收人需要保留至少三年的个人信息处理活动的客观记录,并且必须根据相关法律法规的要求,直接或通过个人信息处理者向CAC提供相关记录文件。最后,海外接收人必须按照监督标准合同实施的相关程序接受CAC的监督和管理,包括但不限于回复询问、配合检查、遵守所采取的措施或决定,以及提供所采取的必要行动的书面证据。

评估第三国的个人信息保护政策和法规(第4条)

在遵守标准合同条款的情况下,双方必须保证,经过合理努力,他们不知道海外接收方所在国家或地区的个人信息保护政策和法规(包括提供个人信息的任何要求或授权公共机构访问个人信息的规定),这将阻止海外接收方履行其在标准合同下的义务。

根据上述要求,必须考虑以下因素:

  • 出口的具体情况,包括:
    • 传输中涉及的个人信息的类型、数量、范围和敏感性;
    • 传输的规模和频率;
    • 转让和保留期的持续时间;
    • 个人信息处理的目的;
    • 海外接收人以前在跨境转移和处理类似个人信息方面的经验,海外接收人是否发生过数据安全相关事件,以及是否及时有效地进行了处理;和
    • 海外收件人是否收到该国家或地区公共当局的个人信息请求以及海外收件人的回复。
  • 海外收件人所在国家或地区的个人信息保护政策和法规必须包括以下要素:
    • 国家或地区现行的个人信息保护法律法规和一般适用标准;
    • 国家或地区已加入的个人信息保护区域或全球组织,以及作出的具有约束力的国际承诺;和
    • 国家或地区的个人信息保护机制,如是否有个人信息保护监督执法机构和相关司法机构;和
  • 海外接收方的安全管理系统和技术能力。

根据上述规定,海外接收人在根据上述规定进行评估时,应确认其已尽最大努力向个人信息处理人提供必要的相关信息。此外,双方必须记录评估过程和结果。最后,如果海外接收方因个人信息保护政策的变化和/或海外接收方所在国家或地区法规的变化(包括海外接收方所在国或地区法律或强制措施的变化)而无法履行标准合同,一旦意识到上述变化,应立即通知个人信息处理者。

个人信息主体权利(第5条)

双方必须承认个人信息主体有权执行标准合同中的义务,包括其第三方受益人权利。更具体地说,个人信息主体有权了解、做出决定、限制或拒绝对其个人信息的其他处理、查阅、复制、更正、补充、删除,以及要求解释其个人信息处理规则。此外,如果个人信息主体要求对已离开该国的个人信息行使其权利,则个人信息主体可以要求个人信息处理者采取适当措施实现这一点,或直接向海外接收者提出请求。

重要的是,如果个人信息处理方无法实现个人信息主体权利的行使,则必须通知并要求海外接收方协助实现。在这一点上,海外接收人必须根据个人信息处理人的通知或个人信息主体的要求,实现个人信息主体行使的权利。此外,海外收件人必须使用清晰易懂的语言,以突出的方式,真实、准确、完整地向个人信息主体提供相关信息。

然而,如果个人信息主体提出过多或不合理的请求,特别是重复请求,海外接收者可以在考虑实施和运营成本后收取合理费用或拒绝按照其要求行事。此外,如果海外接收方打算拒绝请求,则必须告知拒绝的原因,以及个人信息主体向相关监管机构提出投诉并寻求司法救济的方法。

作为合同的第三方受益人,个人信息主体也有权向个人信息处理者或海外接收者索赔并要求其履行与其权利相关的条款,但某些例外情况除外,例如第2(4)、(5)、(6)和(7)条。

补救措施(第6条)

海外接收人必须在组织内确定一名联系人,该联系人有权回复有关个人信息处理的询问或投诉,并且必须及时处理个人信息主体的任何询问或投诉。海外接收人还必须将其联系信息告知个人信息处理人和个人信息主体,并通过网站上的单独通知或公告以易于理解的方式通知后者。通知或公告必须包括联系人和联系信息,如办公室电话号码或电子邮件地址。

双方必须同意,如果个人信息主体与合同一方之间发生争议,双方将相互通报情况,并合作及时解决争议。如果争议无法友好解决,个人信息主体可以根据第6条第(2)款行使其作为第三方受益人的权利,并且海外接收人必须接受其向CAC提出投诉或向第9条第(4)款规定的法院提起诉讼的权利。

此外,海外接收人必须同意,个人信息主体的争议解决将基于中国的相关法律法规,并且个人信息主体为捍卫其权利而做出的选择不会减损其根据其他法律法规寻求补救的实质性或程序性权利。

取消和/或违约

合同的取消(第7条)

标准合同概述了与违约和合同解除相关的要求。具体而言,在违反合同的情况下,如果海外收件人违反了标准合同规定的义务,个人信息处理方可以暂停个人信息的传输,直到违规行为得到纠正或标准合同终止。此外,在以下情况下,个人信息处理人员有权取消标准合同:

  • CAC根据相关法律法规做出决定,如个人信息出口的安全评估,这使得标准合同无法执行;和
  • 双方同意终止本合同,尽管本合同的终止并不解除双方在处理个人信息过程中保护个人信息的义务。

除上述规定外,个人信息处理方有权终止标准合同,并在以下情况下通知CAC:

  • 根据第7条第(1)款的规定,个人信息处理方暂停向海外收件人发送个人信息超过一个月;
  • 海外收件人遵守标准合同将违反其所在国的法律规定;
  • 海外接收方严重或持续违反其在标准合同下的义务;
  • 根据海外接收人的主管法院或监管机构的最终且不可上诉的决定,海外接收人或个人信息处理人违反标准合同的规定;和
  • 海外接收人破产、解散或清算。

在上述一种、两种或四种情况下,海外收件人也可以取消本协议。

一旦合同被取消,海外接收人必须立即归还、销毁或匿名其根据本协议收到的个人信息,并提供一份审计报告,说明个人信息已被销毁或匿名。

违约(第8条)

标准合同解释了当事各方对所遭受损害的责任。此外,标准合同明确了当事方作为第三方受益人侵犯个人信息主体权利的责任以及该主体的赔偿权。重要的是,标准合同指出,如果个人信息处理者和海外接收者因违反本协议而对个人信息主体造成重大或非重大损害负有共同责任,则他们将对个人信息对象承担连带责任。

请注意,标准合同还概述了与赔偿相关的要求,并强调双方必须同意,如果个人信息处理方根据第8(6)条对海外接收方造成的损害负责,则其有权向海外接收方追偿损害。

结论

标准合同草案是实施PIPL下数据传输要求的重要一步。标准合同条款草案目前在2022年7月29日之前公开征求公众意见。

本文:https://cioctocdo.com/china-draft-standard-contract-provisions-operatio…

文章链接