适用场景
所有涉及向境外传输个人信息的中国出海企业,尤其是在寻求相对轻量级、无需监管审批的合规机制时。本指南适用于2023年6月1日《个人信息出境标准合同办法》生效后,以及2023年12月1日整改宽限期截止前后的合规实践。
核心要点
1. 个人信息出境三大机制全面落地
《个人信息保护法》规定的安全评估、认证、标准合同三大个人信息出境合规机制已全部落地。标准合同因其无需监管审批、准备工作相对轻量化,成为企业关注的重点,并于2023年6月1日生效,提供6个月整改期至12月1日。
2. 标准合同条款的积极信号与优化
相较征求意见稿,最终版《标准合同》在多方面合理减轻了境内外双方义务。例如,明确“单独同意”仅限于基于个人同意处理信息的情形;解耦了双方责任,不再强制境内提供方无条件“先行赔付”;并以“书面说明”取代“审计报告”降低境外方自证成本。
3. 借鉴欧盟经验,部分“伪痛点”可控
《标准合同》在要求境外接收方接受中国监管机构监督管理、接受中国境内诉讼等方面,借鉴了欧盟标准合同条款(SCC)的成熟经验。对于已签署欧盟SCC的境外接收方,此类条款并非实质性障碍,谈判难度相对可控。
4. 保存期限:监管机构的核心关注点
《标准合同》及其附录明确要求企业需具体约定并向个人告知个人信息的保存期限,甚至细化到年、月、日。这凸显了监管机构对数据留存期限的重视,构建完善的数据留存制度是企业数据出境合规的必然要求。
5. 条款匹配与补充约定:实务难点
《标准合同》未区分境外接收方作为个人信息处理者(C-C)或受托人(C-P)的场景,可能导致部分条款义务不匹配,如对境外方审计要求。此外,部分条款约定过于具体,限制了双方补充约定的空间,任何补充约定都不得与标准合同相冲突。
实务建议
- 全面评估企业数据出境场景,选择最适合的合规机制(标准合同、安全评估或认证)。
- 梳理个人信息处理的合法性基础,确保仅在基于“个人同意”时才获取“单独同意”,避免不必要的合规负担。
- 在签署《标准合同》时,与境外接收方明确细化双方的数据法律关系及责任分配,尤其是在违约情形下。
- 建立并完善企业内部的数据留存期限制度,确保个人信息保存期限具体、合理且可落实,并能向个人信息主体清晰告知。
- 与境外接收方沟通时,可参考其签署欧盟SCC的经验,解释中国标准合同中类似条款的合理性,以促进谈判。
- 仔细审阅《标准合同》条款,针对境外接收方类型(C-C或C-P)可能带来的义务不匹配问题,在不冲突的前提下进行补充约定,以确保合同的可执行性。
- 在提供合同副本时,可在不影响个人理解的前提下进行适当处理(如遮密),但需确保关键信息清晰可读。
风险提示
- 未能赶在2023年12月1日整改宽限期前完成个人信息出境合规整改。
- 对“单独同意”的适用范围理解偏差,导致合规操作不足或过度。
- 未能在合同中明确约定个人信息保存期限,或约定过于模糊、不合理,面临监管风险。
- 在C-C/C-P场景下,未充分考虑境外接收方的实际履约能力,导致合同条款难以落地执行。
- 自行补充约定与《标准合同》强制条款发生冲突,引发合规风险。
- 忽视境外接收方接受中国监管机构监督管理和中国境内诉讼的条款,可能导致谈判受阻或后续争议。