个人信息跨境提供标准合同为中小企业提供了一条便捷合法的数据出境通道,企业通过签署符合国家标准的合同即可完成合规手续,但必须同时履行个人信息保护影响评估和告知同意义务两个前提条件。
个人信息跨境提供标准合同——中小企业数据出境的合规方法
对于大量中小企业来说,数据出境的场景往往较为简单,数据量较小,不需要申报安全评估。个人信息跨境提供标准合同制度恰好为这类中小企业提供了一条简洁经济的合规路径。根据个人信息保护法第三十八条的规定,个人信息处理者可以通过与境外接收方订立标准合同的方式向境外提供个人信息。本文详细介绍标准合同的适用条件、签署流程和合规要点。
一、标准合同的适用条件
个人信息跨境提供标准合同适用于无需申报安全评估的数据出境场景。根据相关规定,处理个人信息不满一百万人、自上年一月一日起累计向境外提供个人信息不满十万人且不包含敏感个人信息的数据处理者,可以选择签署标准合同的方式进行合规。此外,关键信息基础设施运营者和处理重要数据的个人信息处理者必须申报安全评估,不适用标准合同方式。
中小企业应当注意定期评估自身的个人信息处理规模和数据出境数量。如果企业的个人信息处理规模达到了申报安全评估的门槛,或者数据出境数量超过了标准合同的适用限额,就必须转为申报安全评估。
二、标准合同的核心内容
国家互联网信息办公室于2023年发布了个人信息跨境提供标准合同的正式版本。标准合同的核心条款包括以下几个方面。个人信息处理者和境外接收方的义务条款,明确双方在数据保护中的各自责任。个人作为信息主体的权利条款,明确个人对自身信息享有的知情权、访问权、更正权、删除权和投诉权等。违约责任和争议解决条款,明确违反合同约定的法律后果和争议仲裁方式。合同解除和终止条款,明确合同解除的条件和后续数据处理的安排。
合同双方可以在标准合同的基础上增加补充条款,但不得对标准合同的实质性条款进行修改,也不得附加与标准合同内容相抵触的条款。增加补充条款的,应当以附件形式附在标准合同后。
三、签署前的合规准备工作
在签署标准合同之前,企业需要完成两项重要的合规准备工作。第一项是个人信息保护影响评估,即对个人信息跨境提供活动的风险和影响进行全面评估。评估内容包括个人信息的出境目的和必要性、境外接收方的数据保护能力、个人信息出境对个人权益的影响、境外接收方所在国家和地区的法律环境对个人信息保护的影响。影响评估完成后应当形成书面报告,作为合规文件的组成部分。
第二项是告知同意义务。企业应当以显著方式、清晰易懂的语言向个人告知以下事项:境外接收方的名称和联系方式、数据出境的目的和范围、数据出境的类型和敏感程度、个人向境外接收方行使权利的方式和程序。在获得个人的单独同意后方可进行数据出境活动。
四、标准合同的签署与备案
标准合同由个人信息处理者与境外接收方共同签署。签署时应当确保合同版本与国家网信办公布的最新版本一致。合同应当使用中文版本,也可以同时使用外文版本,但中英文版本有冲突的以中文版本为准。合同签署后,个人信息处理者应当在合同生效之日起十个工作日内,向所在地省级网信部门完成备案。
备案材料包括标准合同正式文本、个人信息保护影响评估报告、个人信息处理者与境外接收方的主体资格证明文件等。省级网信部门收到备案材料后出具备案回执,备案完成。
五、合同履行中的持续义务
标准合同签署和备案后,个人信息处理者仍然承担持续性的合规义务。企业需要定期对标准合同的履行情况进行监督,确保境外接收方按照合同约定的目的和方式使用个人信息。个人信息处理者应当在每年的一月三十一日前向网信部门报告上一年度标准合同的履行情况。
如果在合同履行过程中发现境外接收方存在违反合同约定的行为,个人信息处理者应当立即要求境外接收方改正,必要时应当中止个人信息出境活动,并向网信部门报告。如果境外接收方所在地的法律使境外接收方无法履行合同义务的,个人信息处理者应当立即终止个人信息出境的授权。
六、常见问题解答
问:标准合同是否适用于向中国香港和澳门地区提供个人信息? 答:标准合同制度适用于所有向中华人民共和国境外提供个人信息的情形,包括香港特别行政区和澳门特别行政区。向香港和澳门提供个人信息同样需要按照标准合同的流程办理合规手续。
问:多家关联企业是否可以共同使用一份标准合同? 答:标准合同是一对一的合同,每个个人信息处理者与每个境外接收方之间应当单独签署标准合同。多家关联企业共同向同一境外接收方提供个人信息的,应当分别签署标准合同。
问:标准合同的有效期是多久? 答:标准合同的有效期由合同双方在合同中约定。建议合同有效期以不超过三年为宜,以便在合同期满后重新评估数据出境的必要性和合规性。
北京企密安信息安全技术有限公司为中小企业提供个人信息跨境提供标准合同起草、个人信息保护影响评估和网信部门备案全流程服务。如需合规咨询,请致电010-63711822或发送邮件至jess@baomiwang.com。
