适用场景
计划或正在向境外提供个人信息的中国企业,特别是涉及用户数据跨境传输的互联网、电商、金融科技、SaaS服务等企业,在业务启动或数据出境前需要重点关注。
核心要点
1. 标准合同是强监管路径,义务必须履行
《个人信息出境标准合同》是受网信部门备案和持续监督的合规路径,企业必须严格履行合同约定的各项义务。这不仅是合同责任,更可能触发行政监管和民事侵权责任,企业需高度重视。
2. 处理者与接收方责任明确,处理者承担先行赔付
合同明确了个人信息处理者与境外接收方的具体义务。处理者需承担举证责任,证明合同义务已履行。在发生损害时,处理者需对个人信息主体先行承担赔偿责任,再向有过错的境外接收方追偿。
3. 个人信息主体被设定为第三方受益人,权利增强
合同将个人信息主体设定为第三方受益人,使其有权直接依据合同向处理者或接收方任何一方主张权利、获取合同副本并寻求救济。这大大增强了个人对其跨境数据的控制权和救济途径。
4. 出境前必须进行个人信息保护影响评估(PIA)
企业在签订标准合同前,必须开展个人信息保护影响评估。评估重点包括出境活动的合法性、必要性、对个人权益的影响、双方安全保障能力,以及境外接收方所在国家/地区的法律政策环境对合同履行的影响。
5. 境外再转移受到严格限制
境外接收方若要将数据再次转移给其他境外第三方,必须满足严格条件:确有必要、告知并获同意、与第三方签订同等保护水平的协议、承担连带责任,并向处理者提供协议副本。受托处理时的转委托还需事先获得处理者同意。
实务建议
- 在采用标准合同路径后,立即更新隐私政策,明确告知用户其作为第三方受益人的权利及合同核心内容。
- 建立并保存完整的合规记录,包括PIA报告、合同履行过程文档、对境外接收方的审计记录等,以应对监管检查和举证要求。
- 在合同中明确约定境外接收方需设立专门联系人,用于处理个人信息主体的查询和投诉,并监督其履行告知义务。
- 若业务涉及境外接收方可能将数据再转移,务必在标准合同中明确相关限制条款,并建立审批和监督机制。
- 定期(如每年)或在境外接收方所在国法律环境发生重大变化时,重新评估其对履行标准合同的影响。
风险提示
- 误区:认为签订标准合同后就万事大吉。注意:合同义务的持续履行和记录保存至关重要,否则仍面临违约和监管风险。
- 误区:忽视对境外接收方的持续监督。注意:处理者有责任监督接收方履行义务,应通过合同约定审计权并定期行使。
- 注意事项:标准合同具有优先适用性,企业与其他境外方签订的任何相关协议不得与其条款冲突。
- 注意事项:即使境外接收方处理数据超出合同范围但获得了个人同意,仍可能构成对处理者的违约,需在合同中明确责任划分。