适用场景
涉及向境外(尤其是欧盟)传输个人信息的中国出海企业,在业务运营中需要将用户、员工等个人信息提供给境外关联方、服务商或合作伙伴时,必须关注并选择合规路径。
核心要点
1. 合规路径选择:先评估,后选择
中国《个人信息保护法》规定了三条主要出境路径:安全评估、保护认证和标准合同。企业首先需判断自身是否触发强制安全评估(如处理超100万人信息、关键信息基础设施运营者等)。若未触发,则可在认证与标准合同之间选择。欧盟GDPR则主要关注目的地保护水平,路径包括充分性认定、有约束力公司规则(BCR)和标准合同条款(SCC)。
2. 中欧标准合同核心差异:适用前提与场景
中国标准合同(SCC)有严格的适用门槛,主要考察处理者自身的数据处理规模(如人数、敏感信息量),且目前仅明确涵盖“处理者至境外处理者”及“处理者至境外受托方”两种场景。欧盟SCC则无此规模门槛,但强调目的地保护不足,且覆盖了控制者与处理者之间全部四种传输关系。
3. 合同刚性要求:文本不可修改与备案义务
中欧两地的标准合同文本均不允许对核心条款进行修改,仅可在附录中添加不冲突的补充条款。关键区别在于,中国SCC要求合同生效后10个工作日内向省级网信部门备案,且情况变化需重签重备;欧盟SCC虽无强制备案,但要求记录转移影响评估以备核查。
4. 法律管辖与争议解决:必须遵守的属地原则
中国SCC强制要求适用中国法律,争议可由有管辖权的中国法院或《纽约公约》成员国仲裁机构解决。欧盟SCC则通常要求适用欧盟成员国法律,并由欧盟成员国法院管辖。两者均通过合同使境外接收方接受本国监管机构的长臂管辖。
5. 第三方受益人机制与目的地法律评估
两地标准合同均设立了个人信息主体作为第三方受益人的权利保护机制。同时,都要求数据转出方评估境外接收方所在地的法律环境是否会影响合同履行,确保数据出境后保护水平不降低。中国方面需将此评估纳入个人信息保护影响评估(PIA)报告并备案。
实务建议
- 第一步自检:根据中国法规,快速核对自身数据处理量(是否超100万人、10万人、1万敏感信息)及是否属于关键信息基础设施运营者,以确定能否采用标准合同路径。
- 场景匹配:明确数据出境关系是“处理者-处理者”还是“处理者-受托方”,确保选择的中国SCC适用当前场景。若涉及从欧盟向中国传输,需同步遵循欧盟SCC规则。
- 完成前置评估:在签署中国SCC前,必须开展全面的个人信息保护影响评估(PIA),重点评估境外法律环境对合同履行的影响及接收方的安全保障能力。
- 严格使用合同文本:直接使用官方发布的标准合同范本,切勿修改核心条款。补充商业条款应写入附录,并确保不与标准条款冲突。
- 及时履行备案义务:合同生效后10个工作日内,向所在地省级网信部门提交标准合同及PIA报告进行备案。
- 建立动态管理机制:业务或数据出境情况发生重大变化时,需重新评估合规路径,必要时重新签订合同并备案。
- 区分签署与备案:在中国SCC路径下,合同生效后即可开展数据出境活动,无需等待备案完成,但备案是必须履行的法定义务。
风险提示
- 误区:认为签署了标准合同就万事大吉。合同仅是合规的一部分,必须同步完成PIA评估、个人信息主体告知同意(如需)等全套义务。
- 误区:试图用一份合同同时满足中欧双方要求。因管辖法律、争议解决等核心条款存在根本冲突,必须分别签署符合各自法域要求的合同。
- 注意事项:中国SCC目前不支持多方签约机制。如果存在多个出境方或多个接收方,可能需要分别签署多份合同并进行多次备案。
- 注意事项:境外接收方所在地法律环境是监管审查重点。若评估发现其法律可能妨碍合同履行,则标准合同路径可能不适用,需考虑其他方案。
- 注意事项:备案后并非高枕无忧。网信部门有权进行事后监督,发现风险或安全事件时,可约谈企业并要求整改。