随着数据安全的重要性日益提升,我国数据合规监管也日趋严格。目前已形成了以《网络安全法》、《数据安全法》和《个人信息保护法》为基础的数据保护合规体系。就个人信息出境而言,《个人信息保护法》(以下称"个保法")第三十八条对于因开展业务等而需要向中国境外提供个人信息的中国境内公司指出了三条主要合规路径,即通过安全评估、进行个人信息保护认证,以及与境外接收方订立标准合同。
在此基础上,《数据出境安全评估办法》、《个人信息保护认证实施规则》、《个人信息出境标准合同办法》(以下称"《标准合同办法》")等规则相继落地,为广大具有个人信息出境需求的企业提供了明确指引。根据我们的实务经验,中国境内的国际货运代理企业绝大多数有个人信息出境需求,且大多可适用标准合同路径。
根据2023年6月1日起施行的《标准合同办法》,在2023年11月30日前,有个人信息出境需求的公司应当与各境外个人信息接收方签订标准合同,同时在标准合同生效之日起10个工作日内向所在地省级网信部门备案。由此,是否必须进行标准合同备案、如何开展自评估等成为国际货运代理企业近期最为关心的问题。结合承办的货代企业个人信息出境申报案例,我们归纳了以下十大高频问题予以解答。
1. 个人信息出境的三条合规路径如何选择?
三种路径中,如符合监管规定的以下条件,标准合同备案是性价比最高的一种。根据《标准合同办法》第四条,公司通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形:
(一)非关键信息基础设施运营者(CIIO);
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供个人信息不满10万人的;
(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
如不符合上述任一情形,企业应当通过网信办数据出境安全评估方能向境外提供个人信息。此外,如涉及向境外提供重要数据,亦应当通过安全评估。
当然,无需通过安全评估路径出境个人信息的企业也可以选择认证路径。但在认证路径下,同样需要与境外接收方签署全面的数据处理协议,开展个人信息保护影响评估并撰写评估报告的义务也未得到豁免。并且,根据《个人信息保护认证实施规则》,个人信息保护认证的认证模式为:技术验证+现场审核+获证后监督,认证机构应当在3年的认证有效期内,对获得认证的个人信息处理者进行持续监督,并合理确定监督频次。因此,鉴于目前阶段选择认证路径对货代企业而言成本较高且流程繁琐,大多数货代企业也达不到安全评估的标准,备案路径成了第一选择。
2. 员工规模很小的货代企业,必须要进行个人信息出境标准合同备案吗?
首先,货代企业出境个人信息主体通常包括中国境内合作机构商务联系人、员工,因此仅根据员工数量评估企业需履行的个人信息出境合规义务是不全面的。其次,公司处理个人信息的规模小并不意味着可以不履行个人信息出境的合规义务。简言之,企业处理个人信息达到安全评估标准的,必须向网信办申报安全评估;未达到标准的,可以通过进行个人信息保护认证或者与境外接收方订立标准合同的方式出境个人信息。路径可选,但必须择其一(法律、行政法规或者国家网信部门另有规定的除外)。
3. 公司货运信息系统、员工管理系统等内部系统数据均存储于中国境内,是否可以认为公司不涉及个人信息出境?
应分情况讨论。个人信息出境可分为主动出境和被动出境两类。主动出境指个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外,例如中国境内A公司将客户商务联系人信息打包通过邮件发送至中国境外B公司邮箱;被动出境指个人信息处理者将收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出,例如,中国境内A公司员工管理系统数据存储于中国境内,但中国境外B公司作为A公司海外母公司有权远程登录该员工管理系统。
4. 公司主要货代业务系由境外收货人或其货代(以下称"客户")委托,合作了很多境外客户。境外客户可登录公司货运信息系统,追踪货物动态,并可下载相关提单,提单上可能载有中国境内托运人的商务联系人信息。以上情形,是否属于公司将中国境内托运人的商务联系人信息向境外提供?
在指定货场景下,公司并不主动向中国境内托运人收集个人信息,仅作为受托人从客户处获得必要的中国境内托运人商务联系人信息。公司在收到商务联系人个人信息后出于办理国际货物运输的目的会将信息(通过提单等载体)流转至承运人等国际货物运输相关主体,但从个保法角度看,公司此时的法律地位为"受托处理个人信息"。而公司需要履行个人信息出境备案义务的前提是,公司属于"个人信息处理者"。
因此,当公司仅作为货代受托处理(包括跨境传输)个人信息时,合规义务远低于个人信息处理者。公司受托将境内托运人商务联系人信息传输出境时,并无与境外收货人或其代理签订标准合同的法定义务。况且,境内发货人与境外收货人早有基础商业合同存在,境内发货人商务联系人信息早已在其缔结商业合同阶段就已出境,公司并非首次将该个人信息传输出境。
5. 备案需要提交哪些材料?有哪些时间节点需要注意?网信办会实质审查公司所提交的材料吗?
根据《个人信息出境标准合同备案指南(第一版)》(以下称"《标准合同备案指南》"),备案流程整理如上。个人信息保护影响评估工作应为备案之日前三个月内完成,且至备案之日未发生重大变化,因此我们建议公司自评估工作的基准日起三个月内要向网信办提交备案材料。
根据我们的实务经验,虽然备案路径的材料要求低于安全评估路径,但省级网信办对备案材料并非形式审查,也会提出实质修改建议,监管口径为"材料查验"。
6. 如果应网信办要求修改已提交的备案材料,修改后再次提交的日期很可能超出了标准合同签订日起10个工作日,是否违反《标准合同办法》第七条"个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案"的要求?
根据我们的实务经验,就《标准合同办法》第七条所称"备案"日期,目前监管以公司首次提交备案材料日期为准。
7. 备案一次有效期多久?哪些情形需要重新备案?
根据《标准合同办法》,标准合同生效后方可开展个人信息出境活动。至于合同有效期,标准合同并未明确提及。结合《标准合同办法》第八条"在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:(一)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;(二)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;(三)可能影响个人信息权益的其他情形。",我们理解只要没有前述应当重新备案的情形,并且双方未解除合同,依法签署的标准合同应持续有效。换言之,只要标准合同持续有效,公司也履行了备案义务,其实不存在"备案有效期"的问题。
8. 公司业务比较简单,个保影响评估报告是否可以简单化处理?提交个保影响评估报告以及经签署的标准合同,是否就算完成了备案?
与数据出境安全评估类似,网信办于《标准合同办法》正式生效前夕发布了《标准合同备案指南》,对于《标准合同办法》提及的标准合同备案管理、个人信息保护影响评估等相关规定提出了更为细化的要求。更重要的是,《标准合同备案指南》给出了评估报告模板,模板要点详实,虽然并未强制要求所有公司都按照模板写报告,但我们建议使用官方模板,并保证每一级标题都论述到位。表面上看,备案只需要向网信办提交所签订的标准合同和个人信息保护影响评估报告(以及营业执照、承诺书等程序性材料),但网信办并非仅作"形式审查",备案也存在不通过的结果。
因此,尽管企业处理的个人信息规模很小,但"麻雀虽小,五脏俱全",报告模板提及要点均不得忽视。
9. 公司聘请了第三方机构撰写、准备备案材料,自身还需要做什么吗?
个人信息出境备案项目应至少分为三个阶段,第一步:梳理、盘点企业(或称"个人信息处理者")个人信息出境活动,包括个人信息处理者及境外接收方基本情况、个人信息出境涉及业务和信息系统情况、拟出境个人信息情况、个人信息处理者及境外接收方个人信息保护能力情况;第二步:制定整改方案并推进落实,以达到个保法要求的个人信息出境标准;第三步:评估企业个人信息出境影响,准备个人信息出境合同及评估报告,以提交网信办备案;根据网信办意见补充完善备案材料,以通过备案。
如企业聘请第三方机构,在很大程度上可以减轻自身压力,尤其是第三步的评估以及撰写、准备具体材料。但第一、二步企业需大力配合第三方机构的盘点工作、与其协商明确整改方案,并由牵头部门推进整改。此外,虽然标准合同正文不予修改,但境外接收方理解、接受并签署合同一般需要较长时间的沟通与解释,因此我们建议在第一阶段盘点工作完成后,即开始草拟标准合同附录,并与境外接收方协商合同签署事宜,防止延误时效。
10. 货代企业要想达到个保法要求的个人信息出境标准,顺利完成备案,一般需要进行哪些整改?
很多货代企业使用的是境外集团公司的官网,其中个人信息保护做的比较好的货代集团会有适用于全球的一般性的个人信息处理规则(以下称"隐私政策"),但基本没有根据中国境内业务实际情况制定的本土化隐私政策,且缺少本土化的个人信息保护制度、个人信息保护机构。根据个保法的要求,有必要制定适用于中国境内货代企业的隐私政策。并且,我们建议制定内部个人信息保护制度,组建个人信息保护机构(例如个人信息保护小组/委员会/办公室等,虚拟架构亦可),一方面提高备案通过几率,另一方面也是个人信息保护大势所趋。
此外,根据我们的实务经验,个保法规定的"告知-同意"义务履行不到位是普遍问题。因此,通过修订员工手册/劳动合同/职位申请表向员工/候选人告知个人信息出境情况,通过隐私政策/个人信息出境声明向中国境内合作机构商务联系人告知个人信息出境情况尤为重要。进一步,在告知的基础上应取得个人信息主体对出境事宜的单独同意。不过,如果企业能够对信息进行匿名化处理,根据个保法的规定,这些信息不再属于"个人信息",自然也无需履行前述合规义务。
根据《标准合同办法》,在2023年11月30日前,有个人信息出境需求的公司应当完成整改。考虑到备案涉及多项自查整改工作,且跨部门、跨境沟通需求较多,一般需花费三个月左右,建议有个人信息出境需求的公司尽快开始规划和准备。本文系我们根据承办的国际货运代理企业个人信息出境合规项目经验所撰写,任何问题或需求,敬请通过以下方式联系。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
