1、 王捷律师团队&数据合规 数据合规法律服务 -1-唯有合规 方能致远 王捷律师团队&数据合规 垦丁律师事务所垦丁律师事务所简介简介 垦丁律师事务所是由一群在网络法实务领域有丰富经验的律师,于 2017 年7 月共同创设,是一家完全专注于为客户提供“网络法”法律服务的专业律����师机构。垦丁律所律师来自头部与一线互联网企业、知名律所、著名高校,在互联网法律领域已耕耘并积累多年,正在服务或曾经服务的客户包括了诸多互联网细分领域的知名企业,包括但不限于腾讯、华为、虎牙、YY、美团、OPPO、快手、唯品会、小红书、小米科技、视源股份、迅雷、宝宝树、同程生活、七牛云计算等综合和细分市场头部企业,也包括强生、耐
2、克、松下电器、如新集团、特斯拉、奔驰、小天才、得物等快消品和新兴产品市场,业务范围涉及平台治理、网络安全、数据合规、商业模式合规、网络营销、涉网准入以及网络资本融资等等,行业领域则涉及综合网络平台、网络游戏、数字娱�������乐、视听文化、母婴、金融科技、社交平台、云计算、人力资源、新零售快消品、智能终端、智能家居、新能源汽车、医美保健等等。数据合规法律服务 -2-唯有合规 方能致远 王捷律师团队&数据合规 垦丁数据合规法律服务垦丁数据合规法律服务 数据出境与合规是目前垦丁网络法业务的重要内容。垦丁律师长期保持对数据、个人信息和隐私领域的关注和研究,在互联网业务和产品隐私与个人信息保护、企业内部数据安全制
3、度搭建等方面均有丰富经验,在各类企业出海业务数据合规方面也有着丰富实操经验,参与了多个头部与一线互联网企业产品的数据合规项目,致力于为各大垂类领域的企业提供数据保护的法律合规服务及落地方案,同时提供有关人工智能、物联网等前沿领域数据合规咨询等。最为重要的是,我们不仅协助现有客户进行日常和专项的数据合规工作,更通过诸多前沿涉网数据和个人信息保护的�����司法案例,进一步了解司法在数据、个人信息及隐私保护领域内的规则。我们协助有出海业务需求的企业建立和完善满足中国、欧盟(GDPR)、澳大利亚、新加坡、加拿大等多司法辖区要求的网络安全和数据合规体系,为企业数据全球化流动和海外业务拓展提供全面服务。我们旨在通
4、过专业的法律服务协助企业进行数据出境业务,提升客户网络安全与数据管理水平,预防及应对网络与数据安全问题,保护企业网络安全与数据合规,提升企业的整体竞争力。我们已经为数十家头部及一线大型互联网企业、世界五百强企业提供了专业的数据合规法律服务,对过去三年内企业数据合规需求进行分析与调研后,我们特别针对企业在数据合规方面的常见需求版块,��������为您提供覆盖企业业务场景的全生命周期数据合规解决方案:【整体服务】【整体服务】-数据合规整����体评估及合规方案落地-针对企业现有情况进行摸底排查,找出合规差距,并就合规差距提出合规落地方案,搭建适合企业实际情况的合规制度及流程,梳理各种业务场景并提出合规化建议,完善各种法
5、律文件等,使企业整体上符合个人信息保护法、数据安全法以及相关法律法规的要求。【专项服务】【专项服务】-企业数据出境风险评估全流程服务-服务将照顾到数据出境的全生命周期,包括但不限于为公司提供全方位的数据出境所涉风险的系统分析、协助公司开展数据出境风险自评估并撰写相关法律文件,为数据出境过程中所涉具体内容提供法律咨询、跟进安全评估全流程并提供应对指导等。-产品数据合规服务-就企业某一服务、某一产品、某一商�������业模式等进行专项的数据合规评估并出具和落地合规解决方案;数据合规法律服务 -3-唯有合规 方能致远 王捷律师团队&数据合规-员工个人信息合规服务-就企业的员工个人信息保护从招聘、������背调、入职、在职
6、、离职等整个生命周期环节进行专项数据合规评估并出具和落地合规解决方案;-个人信息保护影响评估服务-就个人信息保护法规定需要做个人信息保护影响评估的事项为企业做个人信息保护影��响评估服务;-个人信息保护制度体系搭建-结合企业的具体情况,根据个人信息保护法要求搭建个人信息保护法制度及流程;-数据合规法律文书起草和完善-隐私政策、个人信息保护指引以及有数据合规有关的合同的起草、完善;-数据合规法律意见书-就企业某一场景、业务出具数据合规法律意见书;-专项�������培训-结合企业的需求,为企业提供数据合规的培训,包括但不限于法律法规培训、合规实务培训等;-其他-其他企业需要的与数据合规有关的专项服务。【数据合规常
7、年顾问服务】【数据合规常年顾问服务】解答企业与数据合规有关的法律咨询,出具法律意见;优化和完善企业的与数据合规有关的法律文书;为企业提供数据合规立法动态等资讯推送;数据合规有关纠纷的协助处理,出具律师函等;为企业提供一定数量的培训服务;其他与数据相关的常年法律顾问服务。【诉讼】【诉讼】提供与数据有关的起诉或应诉等服务,具有丰富的数据相关诉讼经验。【数据保护官】【数据保护官】作为企业的个人信息保护负责人全面统筹与实施企业关于个人信息保护的工作,对个人信息处理活动以及采取的保护措施等行为进行监督;提供“中国国家人事������人才培训网”认证的数据合规官培训认证服务。【������工具服务】【工具服务】-APP 个人信息
8、合�����规检测工具【隐士】-一款高效、便捷的 APP 个人信息合规检测工具,�������为移动应用(APP)个人信息安全提供多方位全面体检,形成简洁易懂的专业检测报告,帮助 APP 经营者高效,低成本地开展 APP 合规问题自查,满足监管要求,助力隐私合规。数据合规法律服务 -4-唯有合规 方能致远 王捷律师团队&数据合规 免责声明免责声明 本文章仅本文章仅代表作者个人观点,仅为提供一般性信息之目的,不应用于替代表作者个人观点,仅为提供一般性信息之目的,不应用于替代专业法律咨询意见。代专业法律咨询意见。尽管本文章中所包含的信息都是我们于发布之时从我们尽管本文章中所包含的信息都是我们于发布之时从我们认为可靠的渠道
9、获得,但认为可靠的渠道获得,但鉴于数据保������护法律法规变化迅速,司法实践也会依鉴于数据保护法律法规变化迅速,司法实践也会依个案实际�������情况处理,因此不对本文章内容、观点以及建议的准确性、可靠性、个案实际情况处理,因此不对本文章内容、观点以及建议的准确性、可靠性、时效性以及完整时效性以及完整性作任何明确或隐含的保证。作任何明确或隐含的保证。本文章仅供企业参考使用,企业切勿依赖,本文章仅供企业参考使用,企业切勿依赖,任何仅依照本文全部或者部分任何仅依照本文全部或者部分内容而做出的决定以及因此造成的后果由行为人自行负责,本文作者明示不内容而做出的决定以及因此造成的后果由行为人自行负责,本文作者明示不予承担任
10、何责任。予承担任何责任。在相关法律法规进行变更或更新时亦不会另行通知。在相关法律法规进行变更或更新时亦不会另行通知。数据合规法律服务 -5-唯有合规 方能致远 王捷律师团队&数据合规 本文作者本文作者 王捷��������律师团队王捷律师团队 编写组成员:王捷编写组成员:王捷 肖锦豪肖锦豪 夏律夏律 黄思妍黄思妍 刘玫君刘玫君 版权所有:垦丁律师事务所王捷律师团队版权所有:垦丁律师事务所王捷律师团队。未经本文作者的书面许可,未经本文作者的书面许可,任何机构和个人不得以任何形式转发、翻版、复制、刊登、发表或引用本文任何机构和个人不得以任何形式������转发、翻版、复制、刊登、发表或引用本文中任何受版权保护的内容。中任何受
11、版权保护的内容。王捷王捷 垦丁律师事务所垦丁律师事务所 +86 +86 欢迎关注我们的公众号欢迎关注我们的公众号 出海互联网法律观察出海互联网法律观察 数据合规法律服务 -6-唯有合规 方能致远 王捷律师团队���������&数据合规 导言导言 随着 个人信息出境标准合同规定(征求意见稿)(以下简称 规定)、数据出境安全评估办法(以下简称办法)的相继公布,由个人信息保护法第三十八条确定的数据出境选用路径的实践脉络已经越发清晰,可以判断,数据出境合规是企业数据出海必须面对的课题。我们一直专注于网络法实务,特别是数������据合规实务工作,在日常为各大企业提供合规服务的过程中,
12、亦遇到各类新型的值得探讨的问题。为了方便实务,让数据出境需求者能够尽快的熟悉,理解我国关于数据出境的各项法律要求与规定,我们计划以规定及办法作为基础,对我国数据出境有关的法律问题进行一个全方位的解读,一方面对数据出境相关的法律法规进行分析,另一方面也就日常工作中遇到的高频出�������境问题进行总结。我们热切地期待与各位同行朋友深入探讨各种新型问题,有任何数据合规实务需求与问题探讨,请随时联系王捷律师团队。数据合规法律服务 -7-唯有合规 方能致远 王捷律师团队&数据合规 目目 录录 垦丁律师事务所简介.-1-垦丁数据合规法律服务.-2-免责声明.-4-本文作者.-5-导言.-6-第一部分:数据出境关键概
13、念剖析第一部分:数据出境关键概念剖析.-12-Q1.如何判断公司业务行为与场景是否属于数据出境?.-12-Q2.如����何理解数据出境的“境”?.-13-Q3.如何准确识别企业行为是否涉及“境内运营”?.-13-Q4.延伸外资企业高频问题之一:没有在中国境内注册,但是在境内开展业务,或向境内提供产品或服务的,是否属于境内运营?.-13-Q5.延伸出海企业高频问题之二:出海企业运营的 App 仅向境外提供服务,不涉及收集境内的数据,是否属于境内运营?.-14-Q6.外资企业高频问题之三:境内主体向另一个位于境内的外资企业的办事处传输数据,是否属于“数据出境”?.-14-Q7.外资企业高频问题之四:数据
14、没有传输也没有存储到中国境外的任何地方,但���外资企业在境外的主体可以访问、查看到这些数据,是否属于“数据出境”?.-14-Q8.外资企业高频问题之五:跨国集团内部的数据传输行为,是否属于“数据出境”?.-15-Q9.如何识别哪些情况不构成数据出境?.-15-Q10.如何判断业务场景是否涉及处理了“个人信息”?.-16-Q11.如何判断业务场景是否涉及处理了“敏感个人信息”?.-16-Q12.如何判断企业是否涉及处理了“重要数据”?.-16-Q13.如何判断企业是否属于“关键信息基础设施运营者(CIIO)”?.-17-Q14.何谓“个人信息保护影响评估”?.-18-Q15.何谓“数据出境安全评估”
15、?.-19-Q16.何谓“数据出境风险自评估”?.-19-第二部分:个人信息出境标准合同规定第二部分:个人信息出境标准合同规定.-20-高频问题与适用解读.-20-Q17.如何准确理解何谓“标准合同条款”?.-20-Q18.企业如何识别是否落入我国规定的适用范围?.-21-Q19.什么类型的企业可能符合签署标准合同的情形?.-21-Q20.通过“申报网信部门安全评估”路径而实现数据出境的企业,是否还需要签署标准合同?.-22-Q21.发起标准合同签署的个人信息处理�����者是否必须是中国境内的注册企业?-22-Q22.如果是境外主体直接收集了境内个人信息的情况下,是否需要签署标准合 数据合规法律服务
16、-8-唯有合规 方能致远 王捷律师团队&数�������据合规 同?.-22-Q23.标准合同签订前已经签订的数据处理相关合同的效力如何?.-23-Q24.企业何种情形下需要签订补充条款?.-23-Q25.企业何种情形下需要重新签订标准合同?.-24-Q26.延伸如果出现需重新签订标准合同的情形,企业需要在多长时间内进行重新签订以及备案?.-25-Q27.如何理解境内个人信息处理者与境外接收方在标准合同中承担的责任与义务?.-25-Q28.如������何理解标准合同中的第三方受益人?.-26-Q29.如何理解“自主缔约与备案管理相结合”?.-27-Q30.进行标准合同备案时需要注意哪些事项?.-27-Q31.标准合同
17、的备案是否是标准合同的生效要件?.-27-Q32.“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”的起算时间是什么?.-28-Q33.规定第����四条中的 100 万、10 万、1 万是指人数还是个人信息的条数?.-28-Q34.个人信息的信息数量计算单位是什么?.-28-Q35.个人信息保护影响评估是否是规定中的必备要求?.-29-Q36.个人信息保护影响评估中的主要评估内容是什么?.-29�������-Q37.延伸规定中要求的个人信息保护影响评估的难点是什么?.-30-Q38.如何理解“境外接收方处理个人信息的活动是否达到本法规定的个人信息保护标准”?.-31-Q39.如何在实务中确定境外
18、接收方的政策法规变化是否影响了个人信息权益?.-31-Q40.延伸标准合同中,技术水平、技术措施、尽到最大努力、足够保护,这些不够精准的表达如何理解?.-32-Q41.未履行备案程序需要承担相应法律责任,但是若因备案标准不清晰,难以落实,该如何处理?.-32-Q42.在满足何种情况下,境外接收方可以再向境外第三方提供所接收的个人信息?.-33-Q43.境外接收方向境外第三方再次提供所接收的个人信息,是����否������需要再次签署标准合同?.-34-Q44.企业在何种情况下可以解除标准合同,以及需要注意的问题包括哪些?-34-Q45.标准合同的违约救济途径包括哪些?.-35-Q46.企业是否需要向个人信息主体
19、提供标准合同副本文件?在提供时有什么注意事项?.-35-Q47.数据出境场景中,除“单独同意”外,企业还需告知用户哪些内容?.-36-Q48.企业�������违反标准合同规定的,对企业出境活动有什么影响?.-37�����-第三部分:数据出境安全评估办法高频问题与适用解读.-38-Q49.本次办法相比先前的各个意见稿版本有何变化?与网安法、个人信息保护法、数安法中关于跨境安全评估的规定有何异同?.-38-Q50.企业如何判断自身业务是否需要进行出境安全评估的申报?.-39-数据合规法律服务 -9-唯有合规 方能致远 王捷律师团队&数据合规 Q51.延伸如何理解“数据处理者向境外提供重要数据”以及具体情况可能包括哪些
20、?.-41-Q52.延伸核心数据是否可以通过安全评估数据出境?.-41-Q53.延伸如������何理解“CIIO 和达量数据处理者向境外提供个人信息”以及具体情况可能包括哪些?.-42-Q54.关键信息基础设施确定指南(试行)提及的 100 万访问人次和办法的人数一样吗?.-42-Q55.办法中提及的 100 万“人”、10 万“人”、1 万“人”是否只计算具有中国国籍的公民?例如,收集境外来境内的游客的个人信息是否应计算在内?.-42-Q56.办法中关于 100 万数据出境的规定是否可以理解为就是个人信息保护法第四十条规定的境内储存达量标准?.-43-Q57.延伸如何理解“累计向境外提供 10 万人个
2������1、人信息或者 1 万人敏感个人信息的数据处理者向境外提供个人信息”,其具体情况可能包括哪些?.-43-Q58.延伸如何理解“网信部门规定的其他需要申报数据出境安全评估的情形”以及具体情况可能包括哪些?.-44-Q59.小剧场仔细研读办法后,为后续便利出境,A 公司就累计起算规则日期的问题前来和律所探讨,A 公司认为,办法是今年 9 月 1 号开始施行,今年的 1 月1 号已经经过,是否可以理解为累计时间的起算点是从 2022 年 1 月 1 日、或 2023 年1 月 1 日才开始起算?.-44�������-Q60.延伸规定关于 100 万人数的标准并没有上一年 1 月 1 号的限制条件,是否意味着只要历史
22、到现在累计达到 100 万人,就得申报而不是采用滚动清零措�������施?-44-Q61.延伸未达到办法要求进行安全评估的人数要求������,但是处理个人信息的条数规模较大是否需要进行安全评估?.-45-Q62.延伸现阶段未达到申报要求但未来有达到要求可能的企业是否需要申报?-45-Q63.企业是否可以通过安排不同主体去承接数据的方式规避办法要求的数据出境安全评估?.-46-Q64.企业在进行数据出境安全评估时将需要经历哪些具体流程?.-46-Q65.企业应该如何进行自评估报告,完成自评估的过程中需要重点关注哪些内容?.-48-Q66.延伸自评估报告和安全评估报告有什么区别?.-49-Q67.标准合同的个人信息保护
23、影响评估与办法规定的自评估有什么区别?.-50-Q68.企业是否需要分开做个人信息保护影响评估以及自评估?.-52-Q6�������9.企业进行自评估以及个人信息保护影响评估的材料是否有可以共用的部分?-52-Q�����70.办法中提及的数据出境的法律文件具体有哪些要求?.-52-Q71.延伸办法中的法律文件和标准合同有什么区别?.-53-Q72.延伸在企业起草法律文件中的安全保障义务条款时,是否可以参考标准合同的内容?.-54-Q73.安全评估结果的有效期持续多久?.-54-Q74.有效期届满时企业何时需要进行重新评估?.-54-数据合规法律服务 -10-唯有合规 方能致远 王捷律师团队&数据合规 Q75.企业
24、在重新申报评估的过程中原评估结果有效期届满,数据出��������境活动效力为何?.-54-Q76.符合安全评估要求的企业需要现在就着手准备安全评估吗?.-55-Q77.若企业不进行安全评估需要承担何种法律责任?.-55-Q78.现阶段不符合办法规定的,办法实施后还需要追究责任吗?.-56-Q79.如果申报材料不符合规定或者对安全评估结果有异议的,企业如何进行补救?.-56-Q80.通过安全评估后是否还有其�������他持续性的审查?.-56-Q81.已经进行了网络安全审核评估的企业,还要做数据出境安全评估吗?.-56-Q82.企业如何合规地进行数据出境活动?.-57-附:2021 年数据出境安全管理办法(征求意见稿)与
25、 2022 年数据出境安全评估办法对比.-58-第四部分:数据出海实践关键问题与海外第四部分:数据出海实践关键问题与海外 SCCs 要点对比要点对比.-64-Q83.什么是 SCCs?.-64-Q84.SCCs 的适用主体和我国标准合同有什么区别?.-65-Q85.SCCs 有哪几种类型?每种类型的适用情形如何?.-65-Q86.如何��������判断企������业跨境传输活动是否需要签署 SCCs?.-65-Q87.符合 SCCs 签署条件的企业必须要签署 SCCs 吗?.-66-Q88.跨国集团内部的数据传输行为可以签署 SCCs 吗?.-66-Q89.企业双方签订完 SCCs 后,若 SCCs 的条款与双方之前
26、签订的合同相冲突,企业需要重新签订合同吗?.-67-Q90.若欧盟用户可以访问中国境内企业提供的网站,并且企业收集了欧盟用户的个人信息,此种情况是否需要签署 SCCs?.-67-Q91.企业签署了 SCCs,需要和中国一样到有关部门进行备案吗?.-67-Q92.延伸标准合同中的����个人信息保护影响评估和欧盟 SCCs 的评估有何不同?.-67-Q93.如果中国企业和位于欧盟境内的企业互相传输数据,双方是否需要同时签署中国标准合同以及签署欧盟 SCCs?.-68-Q94.我国标准合同如何应对欧盟 SCCs 体现的长臂管辖?.-69-Q95.延伸作为数据接收方且为数据控制者的中国企�����业如何应对欧盟相关机
27、构的监管?.-69-Q96.延伸作为数据接收方且为数据处理者的中国企业如何应对欧盟相关机构的�����监管?.-69-Q98.������欧盟 SCCs 与我国标准合同适用的管辖规则一样吗?.-70-Q99.在使用 SCCs 完成跨境数据传输时,企业是否要考虑对第三方受益主体的保护?.-71-Q100.在签署 SCCs 后,如果企业想让额外相关方加入其已签署的 SCCs,可以怎么做?.-71-Q101.是否有可能在 SCCs 中添加其他条款,或将 SCCs 纳入更广泛的商业合同?-71-结语.-73-数据合规法律服务 -11-唯有合规 方能致远 王捷律师团队&数据合规 作者简介.-74-数据合规法律服务 -12-唯
28、有合规 方能致远 王捷律师团队&数据合规 第一部分:数据出境关键概念剖析第一部分:数据出境关键概念剖析 很多看似非常难解答和处理的问题,并非问题本身,更多是基础概念没有真正理解到位。在日常为各大企业提供数据合规法律服务的过程中,我们经常遇到各项要素交织在一起����的复杂情况,解决问题的关键之一,是对基础概念进行准确理解,并识别出待解决问题的真正核心。下面主要就部分数据出境的关键概念进行梳理和解读。Q1.如何判断公司业务行为与场景是否属于数据出境?如何判断公司业务行为与场景是否属于数据出境?目前谈论最热的“数据出境”,其实早在 2017 年版的个人信息和重要数据出境安全评估办法(征求意见稿)已经给出过
29、解析。数据出境,是数据出境,是指“网络运营者将在中国境内运营中收集指“网络运营者将在中国境内运营中收集和产生的个人信息与重要数据,提和产生的个人信息与重要数据,提供给位于境外的机构、组织、个人”。供给位于境外的机构、组织、个人”。同时,本次办法的出台,更为我们进一步厘清了“数据出境活动”的明确定义,即包括两种情况:第一种,是数据处理者将在境内运营中收集和产生的数据传输、存储至第一种,是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。境外。第二种,是数据处理者收集和产生的数据存储在境内,但境外的机构、������第二种,是数据处理者收集和产生的数据存储在境内,但境外的机构、组织或者个人可以访问或者
30、调用。组织或者个人可以访问或者调用。企业在判断公司业务行为是否属于“数据出境”的时候,需要注意以下内容:(1)判断自己是否是我国个人信息保护法中的“数据处理者”,(2)该等数据是否是在“境内运营过程中”收集和产生的,(3)企业的行为是否有涉及“向境外提供”,或被境外“访问或调用”������的情况。数据合规法律服务 -13-唯有合规 方能致远 王捷律师团队&数据合规 Q2.如何理解数据出境的“境”?如何理解数据出境的“境”?我们常说的“出境”和“跨境”,不仅是指物理上跨越国境的行为,更是指从一个司法管辖区域到另一个司法管辖区域的行为,而其中司法管辖区域是既包括独立主权的国家,也包括具有司法独立主权的地区。
31、也包括具有司法独立主权的地区。经常有客户咨询,中国大陆企������业向香港、澳门、台湾地区传输数据,是否属于出境的行为。当我们对“境”有一个更准确的理解时,该问题便能轻松解决。(1)中国大陆与香港、澳门、台湾地区分别属于不同的司法管辖区域;(2)在中华人民共和国出境入境管理法第八十九条中曾有对“出境”进行定义,根据规定,出境是指中国内地前往其他国家或者地区,由中国内出境是指中国内地前往其他国家或者地区,由中国内地前往香港特别行政区、澳门特别行政区,由中国大陆前往台湾地区;地前往香港特别行政区、澳门特别行政区,由中国大陆前往台湾地区;(3)当企业将中国大陆境内收集和产生的重要数据和个人信息向香港、澳门、台
32、湾地区传输时,属于数据出境行为。属于数据出境行为。Q3.如何准确识别企业行为是否涉及“境内运营”?如何准确识别企业行为是否涉及“境内运营”?“境内运营”是一个经常出现在各个规定、办法、指南中的常见概念,也是我们研究“数据出境”行为的常见概念。根据 2017 年信息安全技术 数据������出境安全评估指南(征求意见稿)中的规定,“境内运营(“境内运营(domestic operation)”是指,网络运营者在中华人民共和国境内开展业务,提供产品)”是指,网络运营者在中华人民共和国境内开展业务,提供产品或服务的活动或服务的活动。Q4.延伸延伸外资企业高频问题之一:没有在中国境内注册,但是������在境内外资企业高频问
33、题之一:没有在中国境内注册,但是在境内开展业务,或向境内提供产品或服务的,是否属于境内运营?开展业务,或向境内提供产品或服务的,是否属于��������境内运营?(1)解决难题的关键点在要看到问题的实质。结合前问法律依据,判断是否属于“境内运营”,不以是否在境内注册为判断依据,如果没有在我国境内注册的网络运营者,但在我国境内开展业务,或向中华人民共和境内提供产品或服务的,仍然属于境内运营(2)判断是否“在我国境内开展业务,或向我国境内提供产品或服务的实务因素”,则包括但不限于:是否以为我国境内居民提供服务为目的,提供 数据合规法律服务 -14-唯有合规 方能致远 王捷律师团队&数据合规 产品和服务的过程中是否
34、使用了中文;是否提供了可以用人民币作为结算货币的选项;是否提供了有向中国境内配送物流的服务等等。Q5.延伸延伸出海企业高频问题之二:出海企业运营的出海企业高频问题之二:出海企业运营的 App 仅向境外提供仅向境外提供服务,不涉及收集境内的数据,是否属于境内运营?服务,不涉及收集境内的数据,是否属于境内运营?判断这个问题的关键,一是看出海企业选择使用哪些主体进行运营,二是看收集的数据是否涉及个人信息与重要数据,三是看是否涉及了收集境内的公民个人信息与重要数据。如果出海企业是选择使用境内主体进行运营,且境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品�������或服务,境内的网络运营������者仅向境外机构、
35、组织或个人开展业务������、提供商品或服务,但不涉及境内公民个人信息和重要数据的,则不视为境内运营。但不涉及境内公民个人信息和重要数据的,则不视为境内运营。Q6.外资企业高频问题之三:境内主体向另一个位于境内的外资企业的外资企业高频问题之三:境内主体向另一个位于境内的外资企业的办事处传输数据,是否属于“数据出境”?办事处传输数据,是否属于“数据出境”?在实务中,有很多看似不是数据出境,但实质上属于数据出境的“迷惑性”情况。判断这些问题的关键,主要���看该业务场景是否落入“数据出境”的范围。如前所述,出境的“境”是指跨越了司法管辖区域的边界,如果是向在我国境内,但不属于我国司法管辖的另一主体,或没有在我国境
36、内注册的另一主体提供了数据,且该数据涉及个人信息和重要数据的,则仍然属于“数据出境”。Q7.外资企业高频问题之四:数据没有传输也没有存储到中国境外的任外资企业高频问题之四:数据没有传输也没有存储到中国境外的任何地方,但外资企业在境外的主体可以访问、查看到这些数据,是否属于“数何地方,但外资企业在境外的主体可以访问、查看到这些数据,是否属于“数据出境”?据出境”?如前所述,关键是如何理解“境”,就该问题,本次办法公布后,官方也做出了确������定的回复,虽然数据没有传输、也没有存储至中国境外的地方,仍然存储在位于中国境内的服务器中,但实际上,该等数据可以被境外的机构、组织、个人直接或间接地访问、查看、调用
37、的,仍然属于“数据出 数据合规法律服务 -15-唯有合规 方能致远 王捷律师团队&数据合规 境”,但是如果是属于公开信息,仅通过正常公开网页进行访问等的情况除外。Q8.外资企业高频问题之五:跨国集团内部的数据传输行为,是否属于外资企业高频问题之五:跨国集团内部的数据传输行为,是否属于“数据出境”?“数据出境”?同样是如何理解“境”的问题,即便是跨境集团内部的数据传输行为,由于数据是通过境内的网络运营者从境内转移至境外的,如果该等数据也是如果该等数据也是属于其在境内运营中收集和产生的个人信息和重要数据的,则仍然属于“数属于其在境内运营中收集和产生的个人信息和重要数�����据的,则仍然属于“数据出境”。据
38、出境”。因此,在实务中,当涉及跨国集团常发的集团统一采购、人事管理、OA系统、财务管理、文档管理、供应商管理、远程运维等情况时,将可能经常发生企业内部数据流动,并向境外关联主体提供数据的情况,从而可能会落入“数据出境”的范畴,需要特别注意。Q9.如何识别哪些情况不构成数据出境?如何识别哪些情况不构成数据出境?简而言之,排除了所有属于“数据出境”的情况,则属于不构成数据出境的情况。概括起来,主要有两种情况并不�������属于数据出境:第一,没有进行任何加工和处理的“过境中转数据”,即该等数据只是经由我国境内中转,但没有经过任何的变动或加工处理,则不属于“数据出境”。第二,进一步讨论,并非在我国境内产生和收集
39、的个人信息和重要数据,但信息传入我国进行加工和处理后再出境的“过境中转数据”是否属于数据出境,关于该问题,办法中并未提及,依据早在 2017 年国家标准化管理委员会发布的信息技术 数据出境安全评估指南的 3.7 项的内容“非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。”但由于该指南并未生效,只停留在征求意见稿阶段,且后续立法过程中相关内容有较大变动,该情形目前并未有清晰结论,业内也有认为该情形构成数据出境的趋势。数据合规法律服务 -16-唯有合规 方能致远 王捷律师团队&数据合规����� Q10.如何判断业务场
40、景是否涉及处理了“个人信息”?如何判断业务场景是否涉及处理了“个人信息”?判断企业正在处理的数据是否属于“个人信息”,是开展各类数据合规事项最基本的前提,我国个人信息保护法就何谓“个人信息”给出了明确的定义,即,个人信息,是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。从法条内容可以判断,我国个人信息保护法对“个人信息”的定义是非常宽泛的,只要具有识别自然人相关信息的可能性即可被认定为“个人信息”只要具有识别自然人相关信息的可能性即可被认定为“个人信息”,此外,本法条还进行了反向的规定,只有被真正����匿名化处理过的信息,才不属于个人信息。可见,任何可能
41、识别出特定自然人的各种各样的信息,都可能会被认为是“个人信息”。在实务中,会经常出现有大量看似不是“个�������人信息”的业务数据,则在判断是否属于“个人信息”时候需要特别注意识别,在出现有可能识别到特在出现有可能识别到特定个人的情况下,建议倾向按“个人信息”的标准对待和处理。定个人的情况下,建议倾向按“个人信息”的标准对待和处理。Q11.如何判断业务场景是否涉及处理了“敏感个人信息”?如何判断业务场景是否涉及处理了“敏感个人信息”?同样,我国个人信息保护法,就何谓“敏感个人信息”也给出了具体的定义,敏感个人信息是指,一旦泄露或者非法使用,容易导致自然人的敏感个人信息是指,一旦泄露或者非法使用�������,容易导致
42、自然人的人格尊严受到侵害或者人身、财���������产安全受到危害的个人信息,包括生物识别、人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。四周岁未成年人的个人信息。可见,“个人信息”包括了“敏感个人信息”,并且,法律严格要求了个人信息处理者,只有在具有特定的目的和充分的必要性,并且采取了严格保护措施的情形下,才可以处理敏感个人信息。实务中企业想要判断其处理的信息是否涉及“敏感个人信息”时,可以可以结合该等信息对数据主体权益的影响程度
43、、是否属于特殊类型数据、结合该等信息对数据主体权益的影响程度、是否属于特殊类型数据、以及结以及结合信息安全技术合信息安全技术-个人信息安全规范的附录的举例表等进行�����综合判断。个人信息安全规范的附录的举例表等进行综合������判断。Q12.如何判断企业是否涉及处理了“重要数据”?如何判断企业是否涉及处理了“重要数据”?数据合规法律服务 -17-唯有合规 方能致远 王捷律师团队&数据合规“重要数据”也是在各个规定、办法、指南中都曾经出现的概念,本次办法有对重要数据作出定义,是指一旦遭到篡改、破坏、泄露或者非法指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和获
44、取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据安全等的数据。定义中对重要数据的识别主要关注数据产生的影响力。此外,在 2022 年 1 月发布的信息安全技术 重要数据识别指南(征求意见稿)中,为企业给出了如何识别出“重要数据”的具体指引,包括识别的基本���原则、判断因素和描述格式。还需特别注意的是,基于海量个人信息形成的统计数据、衍生数据也有可能属于重要数据。Q13.如何判断企业是否属于“关键信息基础设施运营者(如何判断企业是否属于“关键信息基础设施运营者(CIIO)”?)”?自网络安全法公布以来,“关键信息基础设施运营者”的概念就持续在各种规定中被使用,后续各项法律
45、规定不断完善后,该概念也逐渐清晰起来。关键信息基础设施安全保护条例 第二条为 CIIO 给出了明确的定义,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公关键信息基础设施是指公共通信和信息服务、能源������、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等益的重要网络设施、信息系统等。关键信息基础设施的确定,通常包括三个步骤
46、,(1)确定关键业务(2)确定支撑关键业务的信息系统或工业控制系统(3)根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统�����发生网络安全事件后可能造成的损失认定关键信息基础设施 同时,条例第九条规定,保护工作部门会结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。制定认定规则考虑的�����因素包括:(1)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;数据合规法律服务 -18-唯有合规 方能致远 王捷律师团队&数据合规(2)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;(3)对其他行业和领域的关联性影响。目前,企业是否为“关
47、键信息基础设施运营者”是由保护工作部门根据其制定的相应规则组织认定的,认定结果工作部门会通知给运营者。可见,如果企业并没有收到主管部门的认定通知的话,可以认为企业暂时不属于如果企业并没有收到主管部门的认定通知的话,可以认为企业暂时不属于CIIO。Q14.何谓“个人信息保护影响评估”?何谓“个人信息保护影响评估”?个人信息保护影响评估是企业对其个人信息处理活动进行合法合规程度检查、判断企业的个人信息处理活动是否对个人信息主体合法权益造成损害及相关风险、以及评估保护个人信息主体的各�����项措施有效性的过程。我国个人信息保护法中明确规定,在几������大特别情形下,企业应当在开展个人信息处理活动之前,先进行个人信息
48、保护影响评估,并且评估报告和处理记录应当至少保存三年。个人信息保护法第五十五条则规定了企业需要进行个人信息影响评估的适用范围个人信息影响评估的适用范围,包括:(1)处理敏感个人信息(2)利用个人信息进行自动化决策(3)委托处理个人信息(4)向其他处理者提供个人信息(5)公开个人信息(6)向境外提供个人信息(7)其他对个人权益有重大影响的个人信息处理活动 个人信息保护影响评估������应当包括下列内容:个人信息保护影响评估应当包括下列内容:(1)个人信息的处理目的、处理方式等是否合法、正当、必要;(2)对个人权益的影响及安全风险;(3)所采取的保护措施是否合法、有效并与风险程度相����适应。数据合规法律服务 -
49、19-唯有合规 方能致远 王捷律师团队&数据合规 在确定数据出境中需要个人信息保护影响评估的前提下,前不久个人信息出境标准合同规定(征求意见稿)进一步�������的对影响评估的适用条件,程序,内容进行了细化扩充,在本专题的�����后续部分将会对问题进行深化解读。Q15.何谓“数据出境安全评估”?何谓“数据出境安全评估”?数据出境安全评估是符合要求的企业需要向境外提供重要数据和个人信息时,由企业申报,国家网信部门进行安全性审核的过程。由企业申报,国家网信部门进行安全性审核的过程。数据安全评估最初在 2017 年我国网络安全法第三十七条出现,同年的个人信息和重要数据出境安全评估办法(征求意见稿)也沿用了此规则,此后,
50、数据安全法、个人信息保护法以及信息安全技术 数据出境安全评估指南等相继在重要数据、数据出境中提出了安全评估的要求。本次办法则是对数据出境安全评估进行了内容的细化。在本专题的后续部分将会对问题进行深化解读。Q16.何谓“数据出境风险自评估”?何谓“数据出境风险自评估”?自评估是上述安全评估的前置程序自评估是上述安全评估的前置程序,本次办法规定�����,企业在申报数据出境安全评估前,需要开展数据出境风险的自评估。在要求提交的申报安全评估材料中,自评估报告是提交的材料之一。自评估报告是提交的材料之一。虽然自评估与个人信息影响保护评估一样都是由企业自主进行的,但是自评估的内容呈现会关系到后续国家网信办的安全评
51、估结果,企业在进行自评估时可以关注配合后续安全评估的要求。本专题������在第三部分也会详细解读自评估值得重点关注的内容事项。此外,许多企业困惑于“自评估”、“安全评估”以及“个人信息保护影响评估”的关系区别,在了解分别是何种程序,由谁负责进行后,本专题在二三部分也将会为大家继续做出详细对比分析。数据合规法律服务 -20-唯有合规 方能致远 王捷律师团队&数据合规 第二部分:个人信息出境标准合同规定第二部分:个人信息出境标准合同规定 高频问题与适用解读高频问题与适用解读 本次规定的发布一共包括两个部分。第一部分为个人信息出境的标准合同法律规定,阐明了 规定 附件中的合同模板(以下简称 标准合同或中国版
52、SCCs)的适用范围,适用要求,责任承担等基本问题。第二部分为国家网信办制定的标准合同,共包括 9 项合同条款,涉及个人信息处理者与境外接收方的权利义务以及第三方受益主体的权利及救济内容。标准合同中包含两份附录,供出境双方填写个人信息出境说明以及补充条款。本文将会总结规定中在业��������内以及企业实务方面常见的关注点以及困惑的内容并进行整理及解答。Q17.如何准确理解何谓“标准合同条款”?如何准确理解何谓“标准合同条款”?根据我国个人信息保护法在第三章关于个人信息跨境传输的规定内容,我们知道,我国提供了三种个人信息跨境传输的机制:(1)数据出境安全评估数������据出境安全评估,属于法定适用情况,即只要达到法律规
53、定的条件,企业就必须申报数据出境安全评估。(2)认证机制认证机制���,属于国家推荐的自愿性的认证情况,主要适用在跨国集团与关联公司之间的个人信息跨境传输活动。(3)标准合同条款标准合同条款,考虑到境外接收方所在国家或地区在个人信息保护立法或执法保护水平上存在的不足,通过境内的个人信息处理者与境外的接收方签署标准合同条款,将我国法律法规所确立的个人信息保护要求转化为对境外接收方具有法律约束力和可执行的合同条款。因此,其实质上是我国 个人信息保护法中确立的同等保护原则的一种跨境传输机制。可见,标准合同条款是个人信息跨境处理活动中可以采用的其中一种合法路其中一种合法路径径。数据合规法律服务 -21-唯有
54、合规 方能致远 王捷律师团队&数据合规 标准合同条款虽然是合同性质,但并不是说双方完成了签署就完事,它仍然它仍然会涉及到我国法律及原则的适用,以及我国的个人信息监管机构也会对标准合会涉及到我国法律及原则的适用,以及我国的个人信息监管机������构也会对标准合同条款的实施了对应的监管要求同条款的实施了对应的监管要求,例如要求进行事前的个人信息影响保护评估、采取保护措施,要求进行备案等。Q18.企业如何识别是否落入我国规定的适用范围?企业如何识别是否落入我国规定的适用范围?该问题的回应可以分成两个部分,一是确定适用场景,二是确定规定场景下的适用条件。从适用场景上看,个人信息保护法第三十八条规定了我国个人信息
55、处理者数据出境的四个路径,而双双方订立标准合同约定权利义务是其中可选用的路径方订立标准合同约定权利义务是其中可选用的路径之一之一。从适用条件上看,根据规定第四条规定:使用标准合同的企业(个人信息处理者)应当同时满足同时满足以下条件:(一)非关键信息基础设施运营者;(二)处理个人信息不满 100 万人的;(三)自上年 1 月 1 日起累计向境外提供未达到 10 万人个人信息的;(四)且自上年 1 月 1 日起累计向境外提供未达到 1 万人敏感个人信息�����的。故可知,以上四项条件是对通过签订标准合同进行数据出镜的个人信息处理��者身份的限制,只有同时满足以上四项条件的个人信息处理者方可使用标准合只有同时满
56、足以上四项条件的个人信息处理者方可使用标准合同同。Q19.什么类型的企业可能符合签署标准合同的情形?什么类型的企业可能符合签署标准合同的情形?由上述问题可知,适用我国标准合同对企业自身情况有严格要求,前述4 个需要同时满足的条件,已经将我国个人信息保护法以及数据出境安全评估办法 中规定的必须向网信部�����门申请数据出境安全评估的情形都排除出去了。即,可以通过签署中国版 SCCs 而实现数据出境的适用主体需要是非关键信非关键信息基础设施运营者息基础设施运营者,且要求是处理个人信息人数或敏感信息数量较少的个人信息处理者,因此,在实务中多适用于用户量小,规模较小的企�����业主体用户量小,规模较小的企业主体。而大
57、型公司 数据合规法律服务 -22-唯有合规 方能致远 王捷律师团队&数据合规 或平台由于收集个人信息体量大,应用场景广泛,易于对个人信息主体的权利造成威胁,其选择签署标准合同作为数据出境路径的可能性一般较低。Q20.通�����过“申报网信部门安全评估”路径而实现数据出境的企业,是否通过“申报网信部门安全评估”路径而实现数据出境的企业,是否还需要签署标准合同?还需要签署标准合同?若在程序意义上,把标准合同与安全评估理解为两种数据出境的路径选择,那么依据个人信息保护法第三十八条规定,两种路径应该是择一即可,即完成评估后无需签署标准合同并进行备案。但该问题还有值得探讨的地方在于,在内容意义上,办法要求评估过
58、程中企业提供相关法律文件,若企业为节省成本,其提供的法律文件内容参考或直接使用标准合同是否可行,关于该问题目前由于办法尚未实施,尚缺乏足够的精准实践反馈,目前尚未有定论,但我们认为标准合同的相关内容最低程度上也是具有参考价值的。Q21.发起标准合同签署的个人信息处理者是否必须是中�������国境内的注发起标准合同签署的个人信息处理者是否必须是中国境内的注册企业?册企业?中国版 SCCs 的适用前提是个人信息处理者依据我国个人信息保护法第三十八条第一款第(三)项,发生了与境外接收方订立合同而向我国境外提供个人信息的情况;同时,在现在公布的标准合同开篇处双方主体中的表述也是使用了“个人信息处理者”,可见,不论
59、是规定本身,还是在标准合同的表述,都是使用了“个人信息处理者”,并没有对该个人信������息处理者是否必须没有对该个人信息处理者是否必须是在境内注册的企业进行要求是在境内注册的企业进行要求,结合我国个人信息保护法的要求,只要是在只要是在个人信息处理活动中可以自主个人信息处理活动中可以自主决定处理目的、处理方式的组织和个人都将会被决定处理目的、处理方式的组织和个人都将会被认定为个人信息处理者认定为个人信息处理者。Q���22.如果是境外主体直接收集了境内个人信息的情况下,是否需要签署如果是境外主体直接收集了境内个人信息的情况下,是否需要签署标准合同?标准合同?判断这个问题,首先分析境外主体直接收集境内自然人个人
60、信息的情况,是首先分析境外主体直接收集境内自然人个人信息的情况,是否属于境内个人信息处理者向境外提供个人信息的情况否属于境内个人信息处理者向境外提供个人信息的情况。数据合规法律服务 -23-唯有合规 方能致远 王捷律师团队&数据合规 从字面的意思来看,境内个人信息处理者向境外提供个人信息,是需要有一个在境内的个人信息处理者,该境内的主体向境外的主体(境外接收方)提供个人信息,此处会有一个境内向境外提供的过程此处会有一个境内向境外提供的过程。因此如果是境外主体收集了境内自然人的个人信息的情况的,并不属�����于境内个人信息处理者向境外提供个人信息的情况,即该情况不属于 个人信息保护法 第三十八条和 规定
6��������1、 意义上的“个该情况不属于 个人信息保护法 第三十八条和 规定 意义上的“个人信息出境”行为人信息出境”行为。从这一点看,由于没有境内主体这个环节,因此难以适用签署标准合同的情形。但需要注意的是,该情况下,如果该境外主体是以向境内自然人提供产品或提供服务为目的的,即当该境外主体落入了个人信息保护法第三条第二款的当该境外主体落入了个人信息保护法第三条第二款的规定规定的,则该境外主体收集并处理境内自然人个人信息的行为仍然是属于“个人信息跨境处理活动”,可以参考网络安全标准实践指南个人信息跨境处理活动安全认证规范 中的规定,由该境外主体由该境外主体在境内设置的专门机构或指定代表申在境内设置的专门机构
62、或指定代表申请认证请认证。Q23.标准合同签订前已经标准合同签订前已经签订签订的数据处理相关合同的效力如何?的数据处理相关合同的效力如何?首先,标准合同第二条第二款规定,个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同冲突,该法条说明了标不得与标准合同冲突,该法条说明了标准合同的优先效力准合同的优先效����力。其次,虽然规定的征求意见稿已经发布,但此时标准合同的正式稿标准合同的正式稿尚未正式生效尚未正式生效,此时开展数据出境的企业双方签订的合同条款效力仍然继续保持原有效力。最后,当标准合同正式生效后,标准合同签订前已经签订的数据处理相关合同与标准合同冲突的条款,以标准合
63、同为准,其他不冲突的条以标准合同为准,其他不冲突的条款依然有效,不会当然导致原������有的合同失效款依然有效,不会当然导致原有的合同失效。Q24.企业何种情形下需要签订补充条款?企业何种情形下需要签订补充条款?实务中常会出现数据出境的企业双方想要进行更细致的条款补充的情况,补充条款并不被标准合同所禁止,同时,也符合规定“自主缔约+备案管理”的目的精神,企业如果认为标准合同中已经规定的内容不足以满足双方的需 数据合规法律服务 -24-唯有合规 方能致远 王捷律师团队&数据合规 要,可以通过标准合同附件可以通过标准合同附件 2 增加补充条款增加补充条款,但需要注意的是,但需要注意的是,企业增加的企业增加的
64、补充条款不能与标准合同条款本身相冲突,也不能通过增加补充条款来规避标补充条款不能与标准合同条款本身相冲突,也不能通过增加补充条款来规避标准合同条款的实施,以及不能通过������增加补充条款来限制和缩小数据主体本应享准合同条款的实施,以及不能通过增加补充条款来限制和缩小数据主体本应享有的数据主体权利。有的数据主体权利。Q25.企业何种情形下需要重新签订标准合同?企业何种情形下需要重新签订标准合同?总结规定内容来看,数据出境双方约定的个人信息各项内容、场景环境发生变化都有可能需要重新签订合同,依据标准合同第八条规定重新签订标准合同的情形有:(一)向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保
65、存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外��������保存期限的;(二)境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的;(三)可能影响个人信息权益的其他情况。在法律规定的基础上,以下两种情形也������是实务中企业需要考虑到的情况:(1)向同一个境外接收方持续传输信息 在这种情形下,可能涉及传输的个人信息的数量变化数量变化和数据类型数据类型的变化,依据规定第八条,需要重新签订标准合同以及重新备案。考虑到企业的成本问题,建议在签署合同前,对协议内容所覆盖的范围和维度进行设计和细化建议在签署合同前,对协议内容所覆盖的范围和维度进行设计和细化,例如
66、对需要传输的个人信息数量、类型、目的、方式、保存期限等维度进行有效预估������,有效预估,减少重复更新合同以及备案减少重复更新合同以及备案。(2)向不同的境外接收方传输信息 在这种情形下企业需要与不同的境外接收方分别签订数据传输协议。不管是只将数据传给单个境外数据接收方,还是需同时传给多个境外数据接收方,每多每多增加一个境外数据接收方,就需要单独签署一份合同,并作一次评估增加一个境外数据接收方,就需要单独签署一份合同,并作一次评估。所以,如如果企业需要和多个境外接收方签署标准合同,可考虑合并同类数据出境的场景,果企业需要和多个境外接收方签署标准合同,可考虑合并同类数据出境的场景,一起进行评估与备案。一
67、起进行评估与备案。数据合规法律服务 -25-唯有合规 方能致远 王捷律师团队&数据合规 值得注意的是,当企业重新签署标准合同以及进行备案时,需要重新进需要重新进行个人信息保护影响评估,并将评估结果和重新签署的标准合同提交网信办行个人信息保护影响评估,并将评估����结果和重新签署的标准合同提交网信办备案备案(至于是否可以仅对发生变化的部分进行评估,有待在实践中确认)。需要明确的是并非境外接收方所在国家或地区的数据保护政策有任何变化,企业就需要重新签订合同,还要看具体是否会对数据主体的权益造成影响,但这也是实务中较难判断的一�������点。所谓牵一发而动全身,考虑到企业因为重新签署合同而投入的成本,企业在企业在首次
68、签订标准合同时,需要进行更精细化的设计��������与首次签订标准合同时,需要进行更精细化的设计与评估评估。Q26.延伸延伸如果出现需重新签订标准合同的情形,企业需要在多长如果出现需重新签订标准合同的情形,企业需要在多长时间内进行重新签订以及备案?时间内进行重新签订以及备案?目前规定中尚未有确定重新签订的备案期限,但是对于符合条件的企业而言,签订 标准合同 及备案是企业开展数据出境活动的前提签订 标准合同 及备案是企业开展数据出境活动的前提。考虑到配合 规定出境安全及保护个人信息权益的精神,为了降低企业风险,企业在得知已达为了降低企业风险,企业在得知已达到重签条件后,宜尽早进行重签到重签条件后,宜尽早进行重
69、签。Q27.如何理解境内个人信息处理者与境外接收方在标准合同中承担如何理解境内个人信息处理者与境外接收方在标准合同中承担的责任与义务?的责任与义务?标准合同 第二条明确了个人信息处理者应当履行的义务,并特别要求个特别要求个人信息处理者对境外接收方承担监督管理者责任人信息处理者对境外接收方承担监督管理者责任。可见,在实务开展过程中,企业进行数据出境活动的时候,企业不仅是出境活动������的主要责任方,更是监管机构企业不仅是出境活动的主要责任方,更是监管机构的重点监督对象的重点监督����对象。而对于境外接收方而言,标准合同将我国数据保护法律法规的各种法律要求转化为境外接收方的合同义务,以使境外接收方可以达到我国法
70、律所要求的保护水平,并特别规定了境外接收方需要配合境内企业接受我国监管机构检查的义务和责任,与前述境内企业需要承担监督与检查责任相呼应。我们对境内个人信息处理者与境外接收方在责任与义务方面进行扼要对比:数据合规法律服务 -26-唯有合规 方能致远 王捷律师团队&数据合规 Q28.如何理解标准合������同中的第三方受益人?如何理解标准合同中的第三方受益人?除合同双方当事人即个人信息处理者与境外接收方外,标准合同还明确明确了保护第三方受益人权益了保护第三方受益人权益的相关内容,这是需要注意的问题。根据标准合同的规定,企业需要向数据主体告知其与境外接收方通过标准合同约定数据主体企业需要向数据主体告知其与境外
71、接收方通过标准合同约定数据主体 数据合规法律服务 -27-唯有合规 方能致远 王捷律师团队&数据合规 为第三方受益人,如果数据主体没有在三十天内明确拒绝的,则可以依据标准合为第三方受益人,如果数据主体没有在三十天内明确拒绝的,则可以依据标准合同享有������第三方受益人的权利。同享有第三方受益人的权利。关于第三方受益人,该概念借鉴了欧盟关于向第三国转移个人数据的标准合同条款的内容,并首次在国内提出,标准合同中赋予个人信息主体相应的权利,即作为合同第三方受益人,有权向个人信息处理者、境外接收方任何一有权向个人信息处理者、境外接收方任何一方主张并要求履行合同中规定的与个人信息主体权利相关的权利方主张并要求履
72、行合同中规定的与个人信息主体权利相关的权利。同时还明确了个人信息主体在权利受到侵犯时,可以通过向监管机构提出投诉或根据管辖规通过向������监管机构提出投诉或根据管辖规则向相关法院提起诉讼的救济途径则向相关法院提起诉讼的救济途径。Q29.如何理解“自主缔约与备案管理相结合”?如何理解“自主缔约与备案管理相结合”?备案制度体现了我国规定的监管规则,是指符合条件的个人信息处理者与境外接收方应当自行订立标准合同,并通过在监管部门备案的方式进行数据出境活动。与欧盟的规定不同的是,欧盟允许数据进出双方在不抵触数据主体基本权利及自由的前提下修订 SCCs 并由各欧盟成员国的监管机构局进行批准,我国规定中提及的“自主
73、缔约与备案管理相结合”的模式则未对是否允许双方修改标准合同条款����进行说明。在实务在实务中不建议中不建议修改标准合同,但可以约定在附录二中进行补充,并且不能与标准合同条款相冲突。关于备案的方式以及频率则在下面的问题中进行说明。Q30.进行标准合同备案时需要注意哪些事项?进行标准合同备案时需要注意哪些事项?依据规定第七条,企业有 3 点需要注意的:(1)在备案的时间上,应当在标准合同生效之日起在标准合同生效之日起 10 个工作日内进行个工作日内进行,(2)在备案机关上,应向所在地省级网信���部门备案所在地省级网信部门备案,(3)在备案的材料上,企业需要提交 2 份材料,包括签署的标准合同以份材料,包括签
74、署的标准合同以及�����个人信息保护影响评估报告及个人信息保护����影响评估报告。Q31.标准合同的备案是否是标准合同的生效要件?标准合同的备案是否是标准合同的生效要件?请注意,备案并非是标准合同条款的生效要件备案并非是标准合同条款的生效要件。数据合规法律服务 -28-唯有合规 方能致远 王捷律师团队&数据合规 规定第三条明确个人信息出境标准合同的使用规则是以“自主缔约与备案管理”相结合,企业不进行备案并不影响合同的效力,但是如果企业不完成备果企业不完成备案,就会可能导致网信部门对企业进行责令改正、停止个人信息出境行为等情况,案,就会可能导致网信部门对企业进行责令改正、停止个人信息出境行为等情况,会对企业业
75、务开展产生不良影响会对企业业务开展产生不良影响。因此,建议企业按要求进行备案。Q32.“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”的起算时间是什么?人信息”的起算时间是什么?“累计”的起算时间点并非规定生效之日,而是在规定生效时间点在规定生效时间点上一年上一年 1 月月 1 日起开始计算累计向境外提供的个人信息人数日起开始计算累计向境外提供的个人信息人数。可见,“累计提供”的个人信息数量应该按年度进行计算,且最长跨度为按年度进行计算,且最长跨度为 2 年年。因此�������,企业应该每年度至少进行一次审查,审查企业向境外提供的
7����6、个人信息业应该每年度至少进行一次审查,审查企业向境外提供的个人信息涉及的总人数是否超过涉及的总人数是否超过/即将超过临界值即将超过临界值,如果超如果超过过,则通过签订标准合同进行数据出境可能已经不能满足现有规定了,便需要进行安全评便需要进行安全评估估。有关出境安全评估的内容将会在本专题第三部分进行详细解读。Q33.规定第四条中的规定第四条中的 100 万、万、10 万、万、1 万是指人数万是指人数还是个人信息的还是个人������信息的条数?条数?本条中的 3 个数字均指的是人数均指的是人数,不是条数。举个极端的例子,从目前的规定来说,如果某企业的国内用户人数超过了 100 万,即便向境外接收方提供了一条
77、个人信息,也需要按照办法的规定申报网信办安全评估。Q34.个人信息的信息数量计算单位是什么?个人信息的信息数量计算单位是什么?规定中提及过“出境个人信息的数量”,并且出境个人信息的数量的变更将会触发重新签署标准合同的可能,因此,如何判断个人信息的“数量”非常重要�����,这一�����点也是笔者存疑并一直思考的地方。实务中,一旦开启数据跨境传输的业务,境外接收方就会不断接收到来自境内的个人信息,如何在标准合同中确定出境个人信息的“数量”成为一个有待解决的问题。该“数量”是以条数、量级、范围计算不甚明确,以及企业在填写个该“数量”是以条数、量级、范围计算不甚明确,以及企业在填写个 数据合规法律服务 -29-唯有合
78、规 方能致远 王捷律师团队&数据合规 人信息数量时是否可以填写具体的范围,而不是具体数字,仍然有待监管机关进人信息数量时是否可以填写具体的范围,而不是具体数字,仍然有待监管机关进一步明确一步明确。Q35.个人信息保护影响评估是否是规定中的必备要求?个人信息���保护影响评估是否是�����规定中的必备要求?这个问题的结论是肯定的这个问题的结论是肯定的,符合条件的企业如果想要选用签署标准合同的方式完成数据出境就必须要进行个人信息保护影响评估,我国依据标准合同开展出境活动采用的是自主缔约和备案管理相结合的方法,签订标准合同的个人信签订标准合同的个人信息处理者必需要进行备案,个人信息保护影响评估报告就是备案材料之一
79、息处理者必需要进行备案,个人信����息保护影响评估报告就是备案材料之一。Q36.个人信息保护影响评估中的主要评估内容是什么?个人信息保护影响评估中的主要评估内容是什么?评估内容主要围绕可能产生个人信息安全风险的各事项进行展开,标准合同在其第五条有列明重点评估的内容:评估维度评估维度 评估项目评估项目 注意事项注意事项 出境目的评估 个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性 数据出境目的、范围、方式不满足合法性、正当性、必要性,不能出境 个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的正当性 个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的必要性 出境
80、个人信息的具体情况 个人信息的数量 结合现有的其他法律规定,其他可以考虑纳入评����估范围的内容包括但不限于:保存的期限、传输的频率、境外接收方曾有的跨境传输经验等 个人信息的范围 个人信息的类型 个人信息的敏感程度 个人信息出境可能对个人信息权益带来的风险 境外接收方的具体境外接收方承诺承担的责任和义务 境外接收方安全管理制度和技 数据合规法律服务 -30-唯有合规 方能致远 王捷律师团队&数据合规 评估维度评估维度 评估项目评估项目 注意事项注意事项 情况 境外接收方履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全 术手��������段保障能力 出境个人信息可能发生安全事件的情况 个人信息出境后
81、泄露、损毁、篡改、滥用等的风险 需要注意综合评估与考虑其他可能影响个人信息出境安全的事项 境外接收方曾发生数据安全事件与否,及时有效处置安全事件与否 个人维护个人信息权益的渠道是否通畅 境外接收方所在国家或者地区的个人信息保护政策法规 目标国家或地区现行数据保护法律法规的情况 境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响 目标国家或地区加入的全球性或区域的数据保护的组织,做出的具有约束力的国际承诺等 目标国家或地区落实数据保护机制的情况 结合王捷律师团队已为不同企业做过的个人信息保护影响评估�������,以及上������述内容判断,评估主要从处理者及接收者双方的个体情况、合同内容、个人信息的
82、数处理者及接收者双方的个体情况、合同内容、个人信息的数据状况、可能发生的安全事件情况以及目的国的法律环境据状况、可能发生的安全事件情况以及目的国的法律环境五个维度进行评估,后续企业在进行评估活动时,可以依据上述五项维度分类�������,设计类型化的评估环节以及完成有针对性的材料准备。Q37.延伸延伸规定中要求的个人信息保护影响评估的难点是什么?规定中要求的个人信息保护影响评估的难点是什么?个人信息保护影响评估要求企业对境外接收方所在国家或者�������地区的个人信要求企业对境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响进行评估息保护政策法规对标准合同履行的影响进行评估,此为评估的难点。在出境安全
83、评估办法中,该项评估是由网信部门进行的。境外政策的变化,是否会影响合同履行,影响的程度如何,实务中由企业判断存在一定难度。企业可能需要境外律师协助评估才能�����满足相应的评估要求企业可能需要境外律师协助评估才能满足相应的评估要求。此外,为了方便企业 数据合规法律服务 -31-唯有合规 方能致远 王捷律师团队&数�����据合规 评估活动,可以在与数据接收方签订的合同中,约定数据接收方有义务协助提供可以在与数据接收方签订的合同中,约定数据接收方有义务协助提供当地的法律政策文本、协助企业进行评估以及在政策变动时及时告知等。当地的法律政策文本、协助企业进行评估以及在政策变动时及时告知等。总之,基于此评估要求,企业需
84、要密切关注数据接收方所在国密切关注数据接收方所在国/地区的法律地区的法律动态。动态。Q38.如何理解“境���外接收方处理个人信息的活动是否达到本法规定的个如何理解“境外接收方处理个人信息的��������活动是否达到本法规定的个人信息保护标准”?人信息保护标准”?该问题的本质是要如何判断一个境外接收方整体上满足 标准如何判断一个境外接收方整体上满足 标准合同 的要求合同 的要求,规定中对境外接收方的考虑主要包括三个方面:第一是境外接收方的情况第一是境外接收方的情况,包括技术、管理制度、应急处理能力等,需要确认境外接收方在技术以及制度上具有保护个人信息安全的能力;第二是境外接收方与个人信息处理者的合同内容第二是境外
85、接收方与个人信息处理者的合同内容,确认双方与个人信息相关的责任要求符合规定标准;第三是境外接收方所在的地区环境第三是境外接收方所在的地区环境,����主要考虑其所在的国家及地区的政策是否会影响个人信息权益。王捷律师团队曾于 2020 年出具全球数据合规观察报告年出具全球数据合规观察报告,里面有就不同不同国家与地区的数据保护法律环境情况国家与地区的数据保护法律环境情况进行介绍,以帮助企业客户更全面地了解目标国家与地区的数据保护动态。Q39.如何在实务中确定境外接收方的政策法规变化是否影响了个人信如何在实务中������确定境外接收方的政策法规变化是否影响了个人信息权益?息权益?这是实务中企业完成个人信息影响保护评估
86、的难点,受限于跨地域、跨法域会产生信息差的客观原因,企业在进行个人信息保护影响评估时要毫无疏漏地分析境外接收方所在国家或者地区的个人信�����息保护政策法规对标准合同履行的影响颇为困难,实务中要求企业需要更有意识的使用全球法律视角来判断问题,有需要更有意识的使用全球法律视角来判断问题,有数据出境业务的企业要对出境国家及地区的法律规定、政策变化保持敏感度。数据出境业务的企业要对出境国家及地区的法律规定、政策变化保持敏感度。王捷律师团队曾于 2021 年出具的 中国与海外多国年出具的 中国与海外多国/地区数据保护及企业合地区数据保护及企业合规要点对比报告规要点对比报告,里面有就部分主流出海国家与地区的数据
87、保护法律要点进行分析与比对,以帮助企业客户更全面地掌握出境目标国家��������及地区的合规要点。数�����据合规法律服务 -32-唯有合规 方能致远 王捷律师团队&数据合规 Q40.延伸延伸标准合同中,技术水平、技术措施、尽到最大努力、足标准合同中,技术水平、技术措施、尽到最大努力、足够保护,这些不够精准的表达如何理解?够保护,这些不够精准的表达如何理解?这不仅是实务中企业常有的困惑,同时也是业界颇为关注的问题,对于该问题可以分两个层面进行回答。首先首先我们可以理解法律中的这些概念表述所希望追理解法律中的这些概念表述所希望追求的法律效果求的法律效果,达成的法律目的法律目的是什么,这样我们在完成评估的过程中许多内容
88�������、就可以基于想要追求的效果作为行动标准进行判断,其次,我们可以进一步分析分析标准细化的规定与方法标准细化的规定与方法。(1)从标准合同的内容上判断,数据安全以及保护个人信息权益是重要的规范目标。这在 标准合同 的多项规定中都可以体现,比如 标准合同 第八����条第(六)项规定尽管在境外处理者违反规定侵害个人权益的情形下,个人信息处理者也可能需要先向个人信息主体承担责任。因此,在判断自己的出境活动评估是否已经是尽到“最大努力”、并“足够保护”个人信息主体时,企业应保持一个严格的态度,并在评估的过程中增加“个人信息主体权益”的判断视角。(2)我国数据出境法律不断完善的过程实际也是出境标准细化的过程,标准合
89、同中的许多技术指标,我国各部门机关是有提供细化规范参考的。如信息安全技术个人信息安全影响评估指南提供的更细节的流程、事项指引,同时������,实践中企业对自评估各事项的经验总结以及有关部门对各评估事项完成度的反馈也是细化这些概述表达的方法。Q41.未履行备案程序需要承担相应法律责任,但是若因备案标准不清晰,未履行备案程序需要承担相应法律责任,但是若因备案标准不清晰,难以落实,该如何处理?难以落实,该如何处理?回应该问题需先判断标准合同确认的备案适用标准,再进一步分析备案标准是否存在需要考虑适用范围不清晰的部分。首先,问题中提及的备案制度作为规定中的要求,当然是在企业开展数据出境活动中适用,数据出境的判断
90、标准我们在第一部分的基础概念解答中已经有详细的解答,标准相对清晰。数据合规法律服务 -33-唯有合规 方能致远 王捷律师团队&数据合规 其次,判断数据出境中企业在何种条件下可以适用 规定 并进行备案,规定内容中有详细要求,前文也有进行列举。从现阶段规定的适用标准来看,还是比较明确的,基于规定,企业适用不清晰的情况应该很少出现,但仍值得进一步分析:第一,何为非关键信息基础设施运营者,这个标准我们第一部分也完成了详细解读;第二,若企业现阶段尚符�����合备案标准,但可能日后有不符合的风险如何处理,由于此时不符合备案条件的情形尚未发生,我们认为该阶段企业仍然可以选用标准合同的路径,但是一般该情况可以在个人信
91、息影响保护评估中体现,如如确有超过条件风险的,企业宜提前做好准备,例如考虑落入安全评估范围时的数确有超过条件风险的,企业宜提前做好准备,例如考虑落入安全评估范围时的数据出境规则。据出境规则。Q42.在满足何种情况下,境外接收在满足何种情况下,境外接收方可以再向境外第三方提供所接收的方可以再向境外第三方提供所接收的个人信息?个人信息?境外接收方原则上不应再向境外第三方提供所接收的个人信息,除非业务确有需要,并且满足特定的要求。具体而言,标准合同要求境外接收方将向个境外接收方将向个人信息提供给位于境外的第三方时需要同时满足以下要求人信息提供给位于境外的第三方时需要同时满足以下要������求:(1)明确有特定
92、的业务需要而提供个人信息,(2)告知个人信息主体境外第三方的具体信息具体信息(境外第三方身份、联系方式、处理目的、方式、个人信息种类及个人行使权利的方式和程序),并������获取个人信个人信息主体单独同意息主体单独同意(但法律法规另有规定的除外),(3)涉及敏感个人信息敏感个人信息的,则需要向个人信息主体告知传输敏感个人信息的必要性及对个人的影响。若难以告知或难以取得单独同意,则境外接收方应及时告知个人信������息处理者并请求其协助告知个人信息主体或协助取得个人的单独同意,(4)与境外第三方达成书面合同与境外第三方达成书面合同,确保境外第三方的保护水平不低于我国数据保护法律的标准,(5)承担因再提供而可能导致的
93、个人信息主体损害的连带责任连带责任,(6)向个人信息处理者提供以上规定的合同副本合同副本。数据合规法律服务 -34-唯有合规 方能致远 王捷律师团队&数据合规 因此,企业在海外业务开展过程中,应首先判断是否确实有进行境外二次流首先判断是否确实有进行境外二次流转的必要转的必要,若确有必要的,不仅应获得个人信息主体的单独同意个人信息主体的单独同意(但法律法规另有规定的除外),还应签订合同,以保障第三方对个人信息的保护水平不低于我保障第三方对个人信息的保护水平不低于我国相关������法律法规规定的个人信息保护标准国相关法律法规规定的个人信息保护标准,并承担承担因再提供而可能导致对个人信息主体造成损害的连带责任
94、连带责任,此外,还应主动向中国境内的数据处理者提�����供以上合同的副本。Q43.境外接收方向境外第三方再次提供所接收的个人信息,是否需要再境外接收方向境外第三方再次提供所接收的个人信息,是否需要再次签署标准合同?次签署标准合同?如果在部分业务场景中境外接收方确需将所接收的个人信息提供给境外第三方,在满足 Q42 中所列明的条件的同时,建议境内个人信息处理者在与境外数据接收方所签订的 标准合同 中以排他性列举的方式明确境内个人信息处理以排他性列举的方式明确境内个人信息处理者所认可的境外第三方(即分处理者或次处理者)者所认可的境外第三方(即分处理者或次处理者)。未经境内个人信息处理者同意,不得再向境外第
95、三方提供个人信息,并要求境外数据接收方������对第三方的过错承担连带责任。综上所述,若存在境外接收方向境外第三方再次提供所接收的个人信息的情况,境内个人信息处理者可以直接在与境外接收方所签的标准合同中约定关境内个人信息处理者可以直接在与境外接收方所签的标准合同中约定关于境外第三方的相关条款于境外第三方的相关条款,比如在标准合同附录一的第(六)项中阐明境外接收方可能再向哪些第三方主体提供个人信息,避免重复签订标准合同或补充协议以及进行多次备案。Q44.企业在何种情况下可以解除标准合同,以及需要注意的问题包企业在何种情况下可以解除标准合同,以及需要注意的问题包括哪些?括哪些?当企业与境外接收方在履行标准合
96、同的过程中,�����根据标准合同第七条的规定,企业可以在出现以下情况的时候与境外接收方解除合同与境外接收方解除合同:(1)境外接收方严重或持续违反标准合同规定的义务;(2)境外接收方遭遇了破产、解散或清算等情况。如果出现以下情况,则企业和境外接收方任何一方都可以解除合同:(1)因境外接收方违反合同规定的义务,且企业暂停向境外接收方传输个人 数据合规法律服务 -35-唯有合规 方能致远 王捷律师团队&数据合规 信息的时间超过一个月(2)境外接收方继续遵守标准合同将会违反其所在国家的法律规定(3)根据境外接收方的主管法院或监管机构作出的不能���������上诉的终局性决定,境外接收方或企业违反了标准合同的规定(4)在监管
97、机构按照相关法律法规作出个人信息出境相关的决定导致标准合同无法执行的情况下 需要注意的是,标准合同的解除,并不能免除境外接收方在个人信息处理过并不能免除境外接收方在个人信息处理过程中的个人信息保护义务程中的个人信息保护义务,境外接收方应当返还、销毀或匿名化处理接收的个人返还、销毀或匿名化处理接收的个人信息;并提供对应的审计报告。信息;并提供对应的审计报告。Q45.标准合同的标准合同的违约救济途径包括哪些?������违约救济途径包括哪些?发生违反标准合同的情形时,个人信息处理者、境外接收方、个人信息主体及有关部门都有可采取的救济措施:(1)个人信息处理者、境外接收方 对于数据出境相关的双方而言,任意一方出
98、现违反合同义务情形的,另一方可以要求其承担违约责任,标准合同提供的合同模版中规定违约责任及于非违约方遭受的损失,在法定情形下或协商一致的情况下,双方亦可解除合同。(2)个人信息主体 对于个人信息主体,也即第三方受益人而言,合同任意一方侵害第三方受益人权益的,个人信息主体都有权获得赔偿。此外,规定还明������确了任何组织和个人发现个人信息处理者违反规定的,都可以向省级以上网信部门投诉、举报。(3)监管部门 省级以上网信部门除通过接收备案进行监督外,也会对标准合同双方的实际处理过程进行主动监管。Q46.企业是否需要向个人信息主体提供标准合同副本文件?在提供企业是否需要向个人信息主体提供标准合同副本文件?在
99、提供时有什么注意事项?时有什么注意事项?目前未见有规定强制要求企业需要主动向个人信息主体提供标准合同的 数�����据合规法律服务 -36-唯有合规 方能致远 王捷律师团队&数据合规 副本文件,但考虑到这是企业的配合义务之一,���因此仍然建议企业在签署标准建议企业在签署标准合同后及时完成副本文件的准备合同后及时完成副本文件的准备,因为标准合同明确个人信息主体具有要求个人信息处理者提供其所签订的标准合同副本的权利,企业必须配合。在提供副本的过程中,企业可以着重考虑保密以及方便个人理解阅读的问题。例如:(1)及时将标准合同进行适当处理,包括遮蔽机密信息(如有),避免商业秘密泄露;(2)提供便于个人信息主体理解合
100、同的摘要内容;(3)在可行的情况下,提供标准合同副本公示入口或其他查看方式。Q47.数据出境场景中,除“单独同意”外,企业还需告知用户哪些内容?数据出境场景中,除“单独同意”外,企业还需告知用户哪些内容�������?由于涉及数据的跨境传输,企业在进行数据出境时需符合 个人信息保护法第三十九条规定的“单独同意”要求。此外,标准合同要求个人信息处理者与境外接收方依据标准合同附录一“个人信息出境说明”所列约定开展与开展与个人信息出境有关的活动,企业还需完成并向个人信息主体告知“个人信息出境个人信息出境有关的活动,企业还需完成并向个人�����信息主体告知“个人信息出境说明”的相关情况说明”的相关情况,包括:(1)传输的个
101、人信息属于特定类别的个人信息主体,列出该特定类别的个������人信息主体;(2)传输的目的;(3)传输个人信息的数量;(4)出境个人信息类别;(5)出境敏感个人信息类别;(6)境外接收方传输的个人信息只向特定的接收方提供,列出该特定的接收方;(7)传输的方式;(8)出境后的存储时间;(9)出境后的存储地点;(10)其他事项。数据合规法律服务 -37-唯有合规 方能致远 王捷律师团队&数据合规 Q48.企业违反标准合同规定的,对企业出境活动有什么影响?企业违反标准合同规定的,对企业出境活动有什么影响?风险承担是企业在开展数据出境活动之前必须要清楚考虑的问题,根据标准合同的内容来看,除承担违约责任或面临行政
102、处罚外,省级以上网信部门有权要求个人信息处理者立即终止个人信息出境活动立即终止个人信息出境活动,由此可能会给企业产生较大损失,是企业在风险承担中需要考虑的事项。数据合规法律服务 -38-唯有合规 方能致远 王捷律师团队&数据合规 第三部分第三部分:数据出境安全评估办法高频问题与适用解读数据出境安全评估办法高频问题与适用解读 办法 的发布促进了我国维护数�������据安全及保护数据利益的制度设计到实践操作的良性衔�������接,本次办法共包括二十条,对安全评估的目的,适用范围,安全评估的目的,适用范围,评估程序,评估内容,评估效果评估程序,评估内容,评估效果等各进行了全面规定。办法实施后,符合要求的企业最好在规定的期限
103、内尽快配合完成评估,尽早熟悉、准备安全评估的相关事项及流程,以避免因违反办法�����规定而导致企业的数据出境活动受到影响。本专题的第三部分,将汇总办法的高频问题以及适用难点,结合团队多年的数据出境业务经验,为大家带来详细解读。Q49.本次 办法 相比先前的各个意见稿版本有何变化?与 网安法、本次 办法 相比先前的各个意见稿版本有何变化?与 网安法、个������人信息保护法个人信息保护法、数安法中关于跨境安全评估的规定有何异同?、数安法中关于跨境安全评估的规定有何异同?与早些年相比,目前我国数据保护相关的法律成果是比较丰富的,借助回答本问题的机会,我们可以先对办法及与数据出境评估相关的立法脉络进行一个梳理。从当下
104、的法律布局来看,在已经实施并生效的法律中,网络安全法网络安全法、数数据安全法据安全法、以及个人信息保护法个人信息保护法共同搭建起了立体的数据安全评估法律体系,其中,网络安全法网络安全法侧重网络安全风险、对关键信息基础设施提出了评估要求;数据安全法数据安全法 更关注重要数据处理相关的评估事项;个人信息保护法个人信息保护法则把安全评估作为个人信息数据出境可能采取的路径之一;而随着办法的发布,后续企业将能获得数据出境������安全评估事项的详细指引,我国安全评估从规定事项到具体做法逐渐������清晰。从办法制定的时间脉从办法制定的时间脉络来看络来看,办法的制定先后经历 2017 年个人信息和重要数据出境安全评估办法(征
105、求意见稿)、2019 年个人信息安全出境评估办法�������(征求意见稿)、2021 年 数据出境安全评估办法(征求意见稿)以及 2022 年数据出境安全评估办法4 个版本,期间名称、内容的改动可以很好地看到我国近年来对数据出境安全立法思路的调整与发展,如对于是否要分类调整个人信息及重要数据、安全评估如何开展、是否需要自评估等,在不断的调整和立法探索中,如今的办法才最终敲定。数据合规法律服务 -39-唯有合规 方能致远 王捷律师团队&数据合规 对我国数据出境评估相关法律规定进行扼要对比如下:(2021 年征求意见稿与 2022 年正式稿的内容对比在����本专题最后附录部分提供)Q50.企业如何判断自身业务是否需
106、要进行出境安全评估的申报?企业如何判断自身业务是否需要进行出境安全评估的申报?是否需要进行安全评估,企业可以按照以下流程图进行判断:�������数据合规法律服务 -40-唯有合规������ 方能致远 王捷律师团队&数据合规 数据合规法律服务 -41-唯有合规 方能致远 王捷律师团队&数据合规 但是,在实务中,企业还有很多既不是个人信息又不是重要数据的数据,且这些数据也会有大量出境的情况存在,若按照现有办法的条文来看,这类的数据,并不需要进行安全评估,或者签署标准合同,但仍然建议企业考虑通过完仍然建议企业考虑通过完成风险自评估的方式来进行自我检测成风险自评估的方式来进行自我检测。Q51.延伸延伸如何如何理解“数据处理
107、者向境外提供重要数据”以及具体情况理解“数据处理者向境外提供重要数据”以及具体情况可能包括哪些?可能包括哪些?办法第十九条对重要数据进行了详���������细的定义,主要强调考虑数据产生的社会影响,该部分在本专题第一部分有进行讲解,进一步补充的是,信息安全技术 重要数据识别指南(以下简称指南)中除给出了重要数据的定义外,对危害国家安全、公共利益等各个领域重要数据的识别需要考虑的因素也作出了详细的列举,故企业可以通过对处理数据的领域进行判断以明确是否处理了重要数据。比如,地图软件中掌握的地图数据,城市车辆的行驶路线等。需要注意的是,指南中规定重要数据不包括国家秘密和个人信息,但是基于海量个人信息形成的统计数据、
108、衍生数据有可能属于重要数据,其中“海量”的具体数字并未明确。在汽车数据安全管理若干规定(试行)中,其明确指出“涉及������个人信息主体超过 10 万人的个人信息”属于重要数据。故在实务中,在实务中,关于海量个人数据的具体化可能需要在不同行业领域进行分别规范关于海量个人数据的具体化可能需要在不同行业领域进行分别规范。Q52.延伸延伸核心数据是否可以通过安核心数据是否可以通过安全评估数据出境?全评估数据出境?从数据类型上看,办法只规定了重要数据、达量的敏感数据及个人数据出境需要进行安全评估,而并未列明核心数据可以通过安全评估完成出境,由此核心数据的数据出境规则值得进一步分析,根据 数据安全法 第二十一条规
109、定:“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度数据,实行更加严格的管理制度。”由此可以判断核心数据可能不能通过安全评核心数据可能不能������通过安全评估办法进行出境估办法进行出境,一是因为核心数据其对国家、社会的重要性重要性要比办法中规定的几种数据类型更高更高,二是数据安全法中已说明将会实行更严格的管理制更严格的管理制度要求度要求,至于这是否意味着核心数据不具有出境的可能性,或者核心数据出境需要适用何种规则,由于其需要更多维度要素的考量,可以在未来进一步观察需要更多维度要素的考量
110、,可以在未来进一步观察。数据合规法律服务 -42-唯有合规 方能致远 王捷律师团队&数据合规 Q53������.延伸延伸如何理解“如何理解“CIIO 和达量数据处理者向境外提供个人信息”和达量数据处理者向境外提供个人信息”以及具体情况可能包括哪些?以及具体情况可能包括哪些?关于关键基础设施运营者,关键信息基础设施安全保护条例(以下简称条例)中给出了明确的定义。除此之外,条例第十条规定保护工作部门保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门果通知运营者,并通报国务院
111、公安部门,故企业应当注意是否接到主管部门的�������认企业应当注意是否接到主管部门的认定结定结果的通知,以判断自己是否属于关键基础设施运营者果的通知,以判断自己是否属于关键基础设施运营者。关于 CIIO 的其他内容,在本专题文章第一部分做了更详细的阐释,如仍有疑问可以进行参照。其次,其次,“处理处理 100 万人以上个人信息万人以上个人信息”是对是对个人信息个人信息处理者处理者所所处理个人信息处理个人信息的的人数要求,同时,处理个人信息主体量达到 100 万,不管向境外传输多少,都不管向境外传输多�������少,都已已落入落入该条该条所规定的范围所规定的范围,需要进行申报,需要进行申报。Q54.关键信息基础设施确定
112、指南(试行)提及的关键信息基础设施确定指南(试行)提及的 100 万访问人次和万访问人次和办法的人数一样吗?办法的人数一样吗?实务中有企业注意到了关键信息基础设施确定指南(试行)(以下简称指南)中也提及到“100 万”的衡量标准,并前来咨询指南的“100 万”与办法的标准是否等同的问题。实际是,虽然都是 100 万,但是衡量标准是不同的,根据指南的规定,“日均访问量超过 100 万人次的网站,或可能影响超过 100 万人工作、生活,或造成超过 100 万人个人信息泄露的网站可认定为关������键信息基础设施。”注意,指南中提����及的标准是 100 万“人次”,而办法则是 100 万“人数”,前者计算访问次数
113、,后者计算主体数量,单个主体可能会访问多次网站,每次访问都会以人次作为计算。Q55.办法中提及的办法中提及的 100 万“人”、万“人”、10 万“人”、万“人”、1 万“人”是否只万“人”是否只计算具有中国国籍的公民?例如,收集境外来境内的游客的个人信息是否应计算具有中国国籍的公民?例如,收集境外来境内的游客的个人信息是否应计算在内?计算在内?该问题的核心在于确认我国保护的个人信息主体的涵盖范围,结论是,只要���� 数据合规法律服务 -43-唯有合规 方能致远 王捷律师团队&数据合规 是我国境内的自然人的个人信息都受到������保护,并不止于我国的公民。该范围可以在个人信息保护法第二条及第三条的内容中找到法
114、律依据,只要是位于我国境内的自然人都将会落入办�������法计算中被判断的主体。如理解有误,欢迎拍砖指正。Q56.办法中关于办法中关于 100 万数据出境的规定是否可以理解为就是个人万数据出境的规定是否可以理解为就是个人信息保护法第四十条规定的境内储存达量标准?信息保护法第四十条规定的境内储存达量标准?该问题出现了一个针锋相对的观点,早在 个人信息保护法 刚发布实施时,其第四十条要求的国家网��������信部的规定数量究竟为何一直是被业内关注的重点,办法实施后,100 万是否应当同时也是个人信息处理者应当把信息储存到境内的标准。有企业认为,既然数据出境的达量标准为 100 万,那么境内储存的标准应当与其等同或者,至少不
115、会比数据出境的标准更低;亦有企业认为,若境内储存的标准为 100 万人数或者要求更严格的话,实务中会为企业的数据处理活动带来过高的处理成本。我们认为,判断该问题可以分为两步:(1)从目前来看,办法规定的������是数据出境的适用规则而并非是数据储存,二者的标准可能有参考价值但不能从法条文义上直接得出数据储存也适用该标准的结论。由此,数据储存的标准不会因为办法的颁布施行而当然的提高数据储存的标准不会因为办法的颁布施行而当然��������的提高。(2)从近年来的实践判断,企业实践中亦尚未出现因掌握个人信息人数达到 100 万即被要求必须在境内储存信息的情形。由此,在未进一步明确境内储存规则之前,目前实务中企业的境内储存规
116、则目前实务中企业的境内储存规则状况可能会仍暂时维持现状状况可能会仍暂时维持现状。Q57.延伸延伸如何理解“累计向境外提供如何理解“累计向境外提供 10 万人个人信息或者万人个人信息或者 1 万人敏万人敏感个人信息的数据处理者向境外��������提供个人信息”,其具体情况可能包括哪些?感个人信息的数据处理者向境外提供个人信息”,其具体情况可能包括哪些?首先,需要注意的是时间起算点为自上年自上年 1 月月 1 日起日起,由于本办法自2022 年 9 月 1 �������日起施行,故在实务中应理解为自 2021 年 1 月 1 日起计算,此条与规定中关于签署标准合同的主体的时间要求衔接,如此规定避免了长避免了长 数据合规法律
117、服务 -44-唯有合规 方能致远 王捷律师团队&数据合规 时间的数据累计,可使数据量较小的数据处理者不必落入监管范时间的数据累计,可使数据量较小的数据处理者不必落入监管范围。其次,10 万人与 1 万人为实际累计向境外传输个人信息主体的人数,关于传输信息的计量单位(例如条数、容量等等)在本专题第二部分文章中也进行了讨论,����这是一个在实务中较为模糊,需要进一步立法规定的问题。最后,关于敏感个人信息,在本专题第一部分进行了解释,故企业在实务中应当注意时间的起算要求以及收集个人信息的种类是否属于敏感个人信息。Q58.延伸延伸如何理解“网信部门规定的其他需要申报数据������出境安全评估如何理解“网信部门规定的其
118、他需要申报数据出境安全评估的情形”以及具体情况可能包括哪些?的情形”以及具体情况可能包括哪些?该条为兜底条款,企业在实务中应当注意经营领域是否有相关行业法规规章对数据收集以及出境具有要求,而不仅局限于网络安全法数据安全法和个人信息保护法等整体性法律框架内。Q59.小剧场小剧场仔细研读办法后,为后续便利出境,仔细研读办法后,为后续便利出境,A 公司就累计起公司就累计起算规则日期的问题前来和律所探讨,算规则日期的问题前来和律所探讨,A 公��������司认为,办法是今年公司认为,办法是今年 9 月月 1 号号开始施行,今年的开始施行,今年的 1 月月 1 号已经经过,是否可以理解为累计时间的起算点是号已经经过,
119、是否可以理解为累计时间的起算点是从从 2022 年年 1 月月 1 日、或日、或 2023 年年 1 月月 1 日才开始起算?日才开始起算?结合现有法条的文义来看,我们理解,累计的起算时间点应当从累计的起算时�������间点应当从 2021 年年 1月月 1 日开始日开始,除非有额外的规定说明,否则办法2022 年 9 月 1 日生效后,就应该在生效的时间点开始遵循办法规定的起算点,即,2022 年 9 月 1 日为生效时间点,自上一年 1 月 1 日开始累计计算。同时,若累计起算的时间点尚需等待 2022 年乃至 2023 年起算,那么办法提出的六个月的整改期,以及尽快完善出台我国数据出境的各项规则的效
120、果也会大打折扣。Q60.延伸延伸规定关于规定关于 100 万人数的标准并没有上一年万人数的标准并没�������有上一年 1 月月 1 号������的限制号的限制条件,是否意味着只要历史到现在累计达到条件,是否意味着只要历史到现在累计达到 100 万万人,就得申报而不是采用人,就得申报而不是采用滚动清零措施?滚动清零措施?从办法的适用标准框架来分析,100 万人目前确实并未采取滚动清零的措施。数据合规法律服务 -45-唯有合规 方能致远 王捷律师团队&数据合规(1)考虑到累计人数达到 100 万,已经是一个相当庞大的数据合集,容易产容易产生较大的数据安全隐患生较大的数据安全隐患,尽管是历史累计,可能牵涉的主体以及产生
121、的社会影响力仍然比较高;(2)从规则设计可行性上看,如果 100 万人数采取的累积规则若仍是上一年1 月 1 号�����,很难有企业会达到很难有企业会达到 100 万的要求,监管目的容易落空万的要求,监管目的容易落空;(3)从适用标准的体系来看,4 项标准分别从主体类型、数据类型、人数规主体类型、数据类型、人数规模、时间累计模、时间累计四个层面进行了多层次的规定,体系上标准相对完善;(4)办法的目的是尽可能的降低法数据安全出境风险目的是尽可能的�������降低法数据安全出境风险,若采用历史累计达 100 万的方式也与办法的目的相符合。Q61.延伸延伸未达到办法要求进行安全评估的人数要求,但是处理个未达到办法要求进
122、行安全评估的人数要求,但是处理个�����人信息的条数规模较大是否需要进行安全评估?人信息的条数规模较大是否需要进行安全评估?鉴于办法中关于 100 万、10 万、1 万均指的是人数要求,而非信息条数的要求。在此情况下,实务和业内基于此标准延伸出了一个疑问,若企业处理的人数未达标准,但是所持有的信息条数足够多,企业是不是就无需进行安全评估。该问题的着眼内容不仅在于人数标准,而在于在该情形下企业是否需要进行安全评估,我们认为,该情形下,虽然企业确实达不到安全评估的人数要求,但虽然企业确实达不到安全评估的人数要求,但是其持有的条数如果足够多,以至于对国家、经济、社会、是其持有的条数如果足够多,以至于对国家、
123、经济、社会、公共健康等产生影响公共健康等产生影响的,企业可能会因为其所处理的数据被认定为重要数据或属于法律规定的其他的,企业可能会因为其所处理的数据被认定为重要数据或属于法律规定的其他情况而达到进行安全评估的要求情况而达到进行安全评估的要求。Q62.延伸延伸现阶段未达到申报要求但未来有达到要求可能的企业是否现阶段未达到申报要求但未来有达到要求可能的企业是否需要申报?需要申报?数据非涉及个人信息且未达到办法要求的,无需进行安全评估申报。数据类型为个人信息的,现阶段未达到申报要求的企业可以通过签订标准合同等其他途径进行数据出境,但是根据������办法第十六条以及第十八条规定,违反违反本办法�����规定的,不仅面临被
124、举报的风险,更有可能构成犯罪,依法追究刑事责任本办法规定的,不仅面临被举报的风险,更有可能构成犯罪,依法追究刑事责任。由于进行出境安全评估申报,需要开展自评估以及安全评估,提交申报书、自评估报告以及各项法律文件,且需要通过省级网信部门查验以及国家网信部门 数据合规法律服务 -46-唯有合规 方能致远 王捷律师团队&数据合规 受理,整个申报过程需要大量时间成本需要大量时间成本,故建议企业应当根据现阶段经营状况进行及时预估,����如果预测未来发展走势积极,应当尽早做好申报准备,以免因为不如果预测未来发展走势积极,应当尽早做好申报准备,以免因为不符合数据出境要求影响企业业务发展。符合数据出境要求影响企业业
125、务发展。Q63.企业是否可以通过安排������不同主体去承接数据的方式������规避办法要企业是否可以通过安排不同主体去承接数据的方式规避办法要求的数据出境安全评估?求的数据出境安全评估?在办法实施后各企业包括业内都有曾进行类似场景的讨论,假设一个需要安全评估的企业主体把个人信息分散给不同的企业主体进行处理,且分散后每个主体都达不到安全评估的要求,此时企业是否就可以不用完成安全评估了。从实务经验来看,判断该问题的核心在于分析处理数据的不同企业之间的关判断该问题的核心在于分析处理数据的不同企业之间的关系如何系如何,若企业与企业之间能够保持独立,人员、资金、管理制度等都能达到不不混同、不融合、不共享混同、不融合、不共
126、享的,我们可以认为,每一个处理数据企业都构成一个完全独立的主体,因此,若此时每一个企业主体处理数据的情形都未达到安全评估的若此时每一个企业主体处理数据的情形都未达到安全评估的要求标准,数据出境活动可以不进要求标准,数据出境活动可以不进行安全评估行安全评估。但����是随着对数据出境监管力度的加强,不排除之后监管部门会通过对不同企不排除之后监管部门会通过对不同企业主体进行详细审查业主体进行详细审查,若通过判定企业之间的数据流转情况、数据融合情况、企数据流转情况、数据融合情况、企业的具体经营状况业的具体经营状况(包括但不限于业务人员的对应的劳动合同关系,各企业主体是否独立承担责任,是否具有独立责任人等),
127、以及向境外提供个人信息和重要向境外提供个人信息和重要数据的各企业之间的关系数据的各企业之间的关系,最终判断出各企业主体之间是较难保持独立性,或实较难保持独立性,或实际为同一企业所控制际为同一企业所控制的话,则仍然需要考虑依据办法要求的内容完成数据出境安全评估。故目前来说,这种方式并不能当然就完全避免企业面临的被监管部门审查问这种方式并不能当然就完全避免企业面临的被监管部门审查问责责的风险的风险。Q64.企业在进行数据出境安全评估时将需要经历哪些具体流程?企业在进行数据出境安全评估时将需要经历哪些具体流程?数据合规法律服务 -47����-唯有合规 方能致远 王捷律师团队&数据合规 数据合规法律服务 -
128、48-唯有合规 方能致远 王捷律师团队&数据合规 Q65.企业应该如何进行自评估报告,完成自评估的过程中需要重点关注企业应该如何进行自评估报告,完成自评估的过程中需要重点关注哪些内容?哪些内容?我们在本专题的第一部分对自评估报告的概念进行了说明,简单来说,自评估报告中需要对数据出境业务、数据出境���������过程中可能涉及的风险、境外接收方的安全保护能力、个人信息权益维护、签订的法律文件等进行评估。结合法条内容,我们理解,风险自评估的报告可以包括如下内容:数据合规法律服务 �����-49-唯有合规 方能致远 王捷律师团队&数据合规 Q66.延伸延伸自评估报告和安全评估报告有什么区别?自评估报告和安全评估报告有什么区
129、别?首先,我们先从两个评估流程的法律规定进行内容上的对比:其次,除常规法条对比外,从实务角度进行理解,讨论该问题的核心目的并不是为了从学理上理解二者的差别,而是知道安全评估办法的重点内容,以便于企业在完成自评估的时候尽可能地配合安全评估办法的着眼点,确保企业数据成功出境,就如同日常中给客户讲解项目报告,关键点在于如何阐述到客户的心槛里才是提高成功率的关键。从对比可以看到,在法条描述的内容里,自评估与安全评估有许多内容保持自评估与安全评估有许多内容保持了一致性了一致性,由此可以推断,对于两个评估环节保持������一致的部分两个评估环节保持一致的部分,企业按照评估要企业按照评估要求完成材料准备求完成材料准备
130、即可。此外,安全评估与自评估的差异性在于,从内容内容上看,相比于企业,国家在考察境外法律、政策方面的评估更具有优势,因此安全评估比自评估多了“关于安全评估比自评估多了“关于 数据合规法律服务 -50-唯有合规 方能致远 王捷律师团队&数������据合规 境外接收方所在国境外接收方所在国/地区的数据安全保护政策法规和网络安全环境对出境数据安地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;遵守中国法律、行政法规、部门规章情况”全的影响;遵守中国法律、行政法规、部门规章情况”这两条;从考察视角考察视�����角上看,自评估自评估相对而言侧重评估个人信息主体的权益在境外是否能得到同等的保障,个人信息主体的权
131、益在境�����外是否能得到同等的保障,出境安全评估除了评估个人信息主体权益外,还更多地考量国家安全、公共利益出境安全评估除了评估个人信息主体权益外,还更多地考量国家安全、公共利益。基于以上差别,可以推断出,企业在进行自评估的时候,在条件允许的情况时候,在条件允许的情况下,可以下,可以事先对境外接收方所在国家的法律政策有所考察,并对国家、社会、个人风险进行一个初步的判断。王捷律师团队曾于 2021 年出具的中国与海外多国/地区数据保护及企业合规要点对比报告,里面有就部分主流出海国家与地主流出海国家与地区的数据保护法律要点进行分析与比对区的数据保护法律要点进行分析与比对,以帮助企业客户更全面地了解境外接收
132、方所在国家的法律政策。概述而言,企业进行自评估的主要目标是为了让数据出境,开展业务自评估的主要目标是为了让数据出境,开展业务,尽管自评估与安全评估在规定上有所差别,但是企业在条件以及成本允许的情况下,进行自评估时可以兼顾�������安全评估的标准,提高获得批准的可能性进行自评估时可以兼顾安全评估的标准,提高获得批准的可能性。Q67.标准合同的个人信息保护影响评估与办法规定的自评估有标准合同的个人信息保护影响评估与办法规定的自评估有什么区别?什么区别?二者的对比如下:个人信息保护影响评估个人信息保护影响评估 自评估自评估(一)个人信息处理者和境外接�������收方个人信息处理者和境外接收方处理个人信息的目的、范围、方式
133、等的合法性、正当性、必要性;(一)数据出境和境外接收方数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;(二)出境个人信息的出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个个人信息权益人信息权益带来的风险;(二)出境数据的出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、国家安全、公共利益公共利益、个人或者组织合法权益组织合法权益带来的风险;(三)境�����外接收方承诺承担的责任义务,以及履行责任义务的管理和技术(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术 数据合规法律服务 -51-唯有合规 方能致远 王捷律师团队&数据合规 个人信
134、������息保护影响评估个人信息保护影响评估 自评估自评估 措施�����、能力等能否保障出境个人信息保障出境个人信息的安全的安全;措施、能力等能否保障出境数据的安保障出境数据的安全全;(四)个人信息出境后个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;(四)数据出境中和出境后数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;(五)境外接收方所在国家或者地区境外接收方所在国家或者地区的个人信息保护政策法规的个人信息保护政策法规对标准合同履行的影响;(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的
135、文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;约定了数据安全保护责任义务;(六)其他可能影响个人信息出境安全的事项。(六)其他可能影响数据出境安全的事项。基于标准合同传输的个人信息的数量以及风险程度相对较低(�����不涉及或较少涉及重要数据、敏感数据),因此,企业进行个人信息保护影响评估更多关注对个人信息权益带来的风险,而自评估还需更多考量数据出境给国家安全、公共自评估还需更多考量数据出境给国家安全、公共利益带来的风险利益带来的风险。企业使用签订标准合同的方式进行传输时,按规定需要备案。若规定生效,网信部门将面临大量的备案工作,不太可能对备案的内容进行实质性审查,因此个人������信息保护影响评
136、估将“评估境外接收方所在国家的法律、政策对履行合个人信息保护影响评估将“评估境外接收方所在国家的法律、政策对履行合同的影响”这一内容规定由企业承担同的影响”这一内容规定由企业承担,从上一问的对比也可以知道,在安全评估中这一内容主要由国家网信部门以及其他有关部门开展,企业����的自评估并不涉及这一点。单从这一项对比来看,个人信息保护影响评估所要评估的内容(广度)个人信息保护影响评估所要评估的内容(广度)是多于自评估的是多于自评估的。但是,自评估自评估由于可能涉及重要数据、敏感个人信息以及传输数量较大,其所需的评估程度(深度)是大于个人信息保护影响评估所需的评估程度(深度)是大于个人信息保护影响评估的。
��������137、此外,对比自评估的第 5 项“是否订立了法律文件来符合数据安全保障义务”,由于个人信息保护影响评估是企业签署标准合同的配套评估活动,且标准合同是网信部门制定的,其中已经涵盖安保义务的约定,故在个人信息保护影响评估中无需另外评估标准合同。对于需要进行安全评估的企业,我们建对于需要进行安全评估的企业,我们建 数据合规法律服务 -52-唯有合规 方能致远 王捷律师团队&数据合规 议可以在签订标准合同的基础议可以在签订标准合同的基础上,再根据具体业务情况签订其他法律文件上,再根据具体业务情况签订其他法律文件。Q68.企业是否需要分开做个人信息保护影响评估以及自评估?企业是否需要分开做个人信息保护影响评
138、估以及自评估?个人信息保护影响评估主要适用数据类型为个人信息个人信息保护影响评估主要适用数据类型为个人信息的情形,自评估自评估则可能涉及到更多数据类型更多数据类型,由于个人信息保护影响评估以及��������自评估涉及的评估广度评估广度以及深度以及深度上的差异,对于不同类型的数据,企业都需要完成数据出境的,有������可能存在分别进行个人信息保护影响评估以及自评估的情况分别进行个人信息保护影响评估以及自评估的情况。Q69.企业进行自评估以及个人信息保护影响评估的材料是否有可以共企业进行自评估以及个人信息保护影响评估的材料是否有可以共用的部分?用的部分?承接上一问,由于个人信息保护影响评估以及自评估涉及的评估广度以及深评
139、估广度以及深度度上的差异,企业可能需要分别进行个人信息保护影响评估以及自评估。但是,这并不意味着二者没有可以共用的部分。相反,许多企业在进行两项评估的过程中实际上有许多调查的事项材料是重有许多调查的事项材料是重合合的,比如涉及到个人信息相关的目的、类型、使用范围、境外接收者保障信息安全的技术和管理制度、境外的责任承担义务等,这也提醒企��������业,在进行各项评在进行各项评估时,相关的评估材料可以进行及时备份和保存,以提高企业经办数据出境流程估时,相关的评估材料可以进行及时备份和保存,以提高企业经办数据出境流程的效率的效率。在对个人信息主体的保护方面,自评估涵盖了个人信息保护影响评估内容,涵盖了个人信息������保
140、护影响评估内容,可以合并进行评估可以合并进行评估。而对于涉及接收方所在国/地区的政策评估,则需要在个人信息保护影响评估中额外进行。Q70.办法中提及的数据出境的法律文件具体有哪些要求?办法中提及的数据出境的法律文件具体有哪些要求?办�������法中表述数据处理者与境外接收者之间签订的文本使用的是“法律文件”而并非“合同”,这说明,企业双方也可能采取在原有合同的基础上签订补充协议或者增加附件的方式完成义务内容的约定,同时与 标准合同 不同,办法 规定发布后并没有提供一个官方的样本,而主要强调法律文件中的数据安全保护责任义务内容,主要包括以下要点:数据合��������规法律服务 -53-唯有合规 方能致远 王捷律师团队&数
141、据合规 数据安全保护责任义务要点数据安全保护责任义务要点 (一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;�����(六)出境数据遭到篡改、破坏、泄露、丢失、转
142、移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。Q71.延伸延伸办法中的法律文件和标准合同有什么区别?办法中的法律文件和标准合同有什么区别?本质上,办法��������的法律文件以及规定提供的标准合同,都能体现国家对于数据出境的监管,只是由于约束的数据内容在涉及的范围、类型、重要性及影响力上存在差异,因此两个文本背后体现出来的,采用的监管策略可能会存在差异,关于差异性,二者的比较可以从多个角度进行分析:维度维度 办法中的法律文件办法中的法律文件 标准合同标准合同 文本类型 包括合同、附件、补充协议等,文本类型更具多样性 合同 适用情形 安全评估办法审核材料
143、规定要求的备案材料����� 规定要求 办法中强调具有数据安全保护责任义务内容的文件,其未必涵盖有完全的合同信息 标准合同具备完整的合同基本内容。文本内容 列明了法律文件需要具备的相关要点,但具体的条款表述并未提供 标准合同相关主体的权利义务内容及责任承担等都已经有详细的阐述。制定主体 由个人信息处理者与境外接收者双方根据办法要求制定 标准合同则由国家网信办提供官方样本供双方签署 数据合规法律服务 -54-唯有合��������规 方能致远 王捷律师团队&数据合规 Q72.延伸延伸在企业起草法律文件中的安全保障义务条款时,是否可以参在企业起草法律文件中的安全保障义务条款时,是否可以参考标准合同的内容?考标准合同的内容?
144、目前来看,标准合同的条款还是具有较高参考价值的,尤其在办法实施的初期,境内������各企业对法律文件的条款内容可能尚缺乏充足的经验帮助判断,标准合同 中关于个人信息处理者及境外接收者的权利义务、对个人信息个人信息处理者及境外接收者的权利义务、对个人信息保护保护的制度及技术要求、对出现侵害个人信息事件风险时的处置措施的制度及技术要求、对出现侵害个人信息事件风险时的处置措施等内容都值得借鉴。由于进行安全评估的个人信息重要性更高,影响力更大进行安全评估的个人信息重要性更高,影响力更大,双方的安全保障双方的安全保障义务条款可能会比标准合同更为严格义务条款可能会比标准合同更为严格。Q73.安全评估结������果的有效期持续
145、多久?安全评估结果的有效期持续多久?安全评估活动并非是一劳永逸的,办法规定评估结果的有效期为出具结果之日起二年,如果企业在评估结果有效期届满后仍计划继续开展数据出境活������动的,应当在有效期届满前应当在有效期届满前 60 个工作日前重新申报评估,即大约三个自然月个工作日前重新申报评估,即大约三个自然月。从办法的时效要求来看,如果达到办法规定要求的企业,持续有数据出境相关业务的话,安全评估可能将会是企业未来频繁接触的流程安全评估可能将会是企业未来频繁接触的流程。Q74.有效期届满时企业何时需要进行重新评估?有效期届满时企业何时需要进行重新评估?需要注意的是,若想确保企业数据出境活动不受评估结果失效而终
146、止,企业需要留够充分的申报时�����间,虽然流程中有规定申报材料流程的相关部门大概的处理时长,但目前办法要求最终出具评估结果的最长时间尚不明确但目前办法要求最终出具评估结果的最长时间尚不明确,建议企业需要重新进行安全评估的,应当尽早着手准备。Q75.企业在重新申报评估的过程中原评估结果有效期届满,数据出境活企业在重新申报评估的过程中原评估结果有效期届满,数据出境活动效力为何?动效力为何?既然目前并不确定评估结果出具的最长时间需要多久,那么尽管企业在 60个工作日前完成重新申报,也有可能会出现原评估结果有效期届满,但是新评估结果也尚未出具的情形,严格按照个人信息保护法以及办法的规定来判断,有效的安全评估
147、结果是符合要求的企业开展数据������出境活动的前置条件,有效期届满后,企业继续进行数据出境活动的,可能会被因违反办法要求而被终止活动。数据合规法律服务 -55-唯有合规 方能致远 王捷律师团队&数据合规 Q76.符合安全评估要求的企业需要现在就着手准备安全评估吗?符合安全评估要求的企业需要现在就着�����手准备安全评估吗?自办法发布后,近日许多企业都前来咨询该问题,未来一段时间内,很有可能是数据安全评估申报的高峰期。首先,办法要求符合安全评估要求的企业坚持事前评估、风险自评估,并在申报安全评估时提交申报书、数据处理者与境外接收方拟订立的法律文件在申报安全评估时提交申报书、数据处理者与境外接收方拟订立的法律文件
148、以及其他材料以及其他材料,这意味着企业需要在申报前完成大量的准备工作;其次,办法第二十条规定,办法自办法自 2022 年年 9 月月 1 日起施行。办日起施行。办法施行前已经开展的数据出境活动,不符合办法规定的,应当自办法法施行前已经开展的数据出境活动,不符合�������办法规定的,应当自办法施行之日起施行之日起 6 个月内完成整改个月内完成整改,即已有数据出境业务的企业应在实施之日起 6 个月内整改,最迟于最迟于 2023 年年 3 月月 1 日完成整改日完成整改;最后,办法规定,国家网信部门应当自向数据处理者发出书面受理通知书之日起 45 个工作日内完成数据出境安全评估,情况复杂或者需要补充、更正材料
149、的,可以适当延长并告知数据处理者预计延长的时间,这意味目前监管目前监管部门部门对于数据出境安全评估审核的期限可能基于情况复杂、材料不足等原因对于数据出境安全评估审核的期限可能基于情况复杂、材料不足等原因有所有所延延迟迟。综上所述,我们建议符合安全评估要求的企业尽快开始�������着手准备安全评估尽快开始着手准备安全评估,避免因提交材料、审核期限等问题导致无法在 办法 实施之日起 6 个月内整改。Q77.若企业不进行安全评估需要承担何种法律责任?若企业不进行安全评估需要承担何种法律责任?办法 明确了企业违反 办法 要求的法律后果,包括依据 网络安全法、网络安全法、数据安全法、个人信息保护法数据安全法、个人信
150、息保护法等法律法规处理,若情节严重,构成犯罪的,还有被追究刑事责任追究刑事责任的风险。我们为企业梳理以上法律中的相关规定如下,供企业参考:(1)网络安全法第六十六条中对违反在境外存储网络数据,或者向境外提供网络数据的行为处罚规定;(2)数据安全法 第四十六条中针对向境外提供重要数据行为的处罚规定;(3)个人信息保护法第六十六、六十七条中对违反规定处理个人信息,或者处理个人信息未履行个人信息保护法规����定的个人信息保护义务的行为处罚规定。数据合规法律服务 -56-唯有合规 方能致远 王捷律师团队&数据合规 Q78.现阶段不符合 办法 规定的,办法 实施后还需要追究责任吗?现阶段不符合 办法 规定的,
151、办法 实施后还需要追究责任吗?企业数据出境现阶段不符合 办法 规定的,由于现阶段 办法 尚未实施,目前还不会受到处罚,但是办法也给企业预留了整改期办法也给企业预留了整改期,这说明,办法是考虑到了企业此时可能不合规的情况,并预留给企业调整时间的。因此,如如�����果果企业在办法实施前已有部分数据出境企业在办法实施前已������有部分数据出境的的情形,建议企业在办法施行之日情形,建议企业在办法施行之日起起 6 个月内完成整改,否则可能面临违规风险个月内完成整改,否则可能面临违规风险。Q79.如果申报材料不符合规定或者对安全评估结果有异议的,企业如何如果申报材料不符合规定或者对安全评估结果有异议的,企业如何进行补救?
152、进行补救?与之前 2021 年征求意见稿的版本相比,办法完善了安全评估的救济流程,企业先把材料交给省级网信部门进行材料的完备性审查先把材料交给省级网信部门进行材料的完�������备性审查,当材料不齐全不齐全时,会退回退回数据处理者并告知补充材料,企业可在此时补充材料,并向省级网信部门重新提交重新提交申报材料。若最终企业无法通过安全评估,数据处理者对国家网信部门的评估结果有异议的,还可以在收到评估结果 15 个工作日内向国家网信部门申申请复评请复评,需注意此复评结果此复评结果为最终结果最终结果。Q80.通过安全评估后是否还有其他持续性的审查?通过安全评估后是否还有其他持续性的审查?是是的的,我国数据出境安全
153、坚持事前评估和持续监督相结合事前评估和持续监督相结合,也就是说国家网信部门可以主动对正在进行的各项企业数据出境活动进行监督,一旦发现已经通过评估的数据出境活动在实际处理过程中不再符合不再符合数据出境安全管理要求的,将将会会书面通知数据处理者终止数据出境活动书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估应���当按照要求整改,整改完成后重新申报评估。Q81.已经进行了网络安全审核评估的企业,还要做数据出境安全评估吗?已经进行了网络安全审核评估的企业,还要做数据出境安全评估吗?从现有法律的规定与监管的角度来看,完成网络安全审核评估的�������企业
154、,建议仍然需要根据企业实际情况以及现有规定进行数据出境安全评估仍然需要根据企业实际情况以及现有规定进行数据出境安全评估。网络安全审查评估与数据出境安全评估在许多内容上都有明显差别,二者共同作为����我国数据安全的法治框架的一部分,数据安全既包括数据出境场景,同时也包括境内活动数据安全既包括数据出境场景,同时也包括境内活动 数据合规法律服务 -57-唯有合规 方能致远 王捷律师团队&数据合规 场景场景。Q82.企业如何合规地进行数据出境活动?企业如何合规地进行数据出境活动?企业马上需要做的工作是判断自身是否符合办法规定的需进行申报的要求,具体的事项受篇幅限制无法完全展开,此处提供大致的�����思路:企业可以先
155、对企业可以先对自己日常经营过程中处理的数据类型、规模、范围、业务流程进行一个确认归类,自己日常经营过程中处理的数据类型、规模、范围、业务流程进行一个确认归类,并梳理出企业内部的数据处理流程,以确��������保企业对其合规的判断足够精确并梳理出企业内部的数据处理流程,以确保企业对其合规的判断足够精确。其次,若符合办法规定的安全评估标准的,由于办法规定�����了有限的由于办法规定了有限的整改期,且可能近段时间为申报的高峰期,整改期,且可能近段时间为申报的高峰期,企业企业可以尽早按照办法的要求完可以尽早按照办法的要求完成申报材料的准备成申报材料的准备。最后,企业除了考虑办法的要求外,本次解读第二部分规定的内容也需要关注
156、,尤其标准合同中约定的各项权利义务及责任标准合同中约定的各项权利义务及责任承担承担,可以成为企,可以成为企业日常数据出境活动中完成法律文件时的参������考内容业日常数据出境活动中完成法律文件时的参考内容。当然,企业若想要安全合规的完成数据出境,只考虑出境规则是不够的,企业内部数据处理各项环节都可能企业内部数据处理各项环节都可能会有违规的风险会有违规的风险,精准的找到出血点,并对症下药,也是保证合规的关键。具体具体开展企业数据合规的相关事宜时,也非常欢迎企业与王捷律开展企业������数据合规的相关事宜时,也非常欢迎企业与王捷律师团队进一步联系。师团队进一步联系。数据合规法律服务 -58-唯有合规 方能致远 王捷律
157、师团队&数据合规 附:附:2021 年数据出境安全管理办法(征求意见稿)与年数据出境安全管理����办法(征求意见稿)与 2022 年数据出境年数据出境安全评估办法对比安全评估办法对比 征求意见稿征求意见稿 数据出境安全评估办法数据出境安全评估办法 主要改动内容主要改动内容 第四条:第四条:数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。第四条:第四条:数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:1.把原第(二)项上升到第(一)项;(一)关键信息基础设施的�����运营者收集和产生的个人信息
158、和重要数据;(一)数据处理者向境外提供重要数据;2.合并原第(一)项及第(三)项的内容;(二)出境数据中包含重要数据;(二)关键信息基础���设施运营者和处理 100 万人以上个人信息的数据处理者向境外提供个人信息;3.增加原第(四)项的累计起算时间,为上年 1月 1 日。(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;(三)自上年自上年 1 月月 1 日起日起累计向境外提供 10 万人个人信息或者 1 万人敏感个人信息的数据处理者向境外提供个人信息;(四)累计(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估
159、的情形。(五)国家网信部门规定的其他需要申报数据出�������境安全评估的情形。第五条:第五条:数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,重点评估以下事项:第五条第五条 数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项:1.原第(二)项“数量”改为“规模”;(一)数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;2.原第(三)项删除;数据合规法律服务 -59-唯有合规 方能致远 王捷律师团队&数据合规 征求意见稿征求意见稿 数据出境安全评估办法数据出境安
160、全评估办法 主要改动内容主要改动内容(二)出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;3.原第(五)项“再转移”的规定删除,原“泄露、毁损、篡改、滥用等的风险”调整为“篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险”(三)数据处理者在数据转移环数���据处理者在数据转移环节的管理和技术措施、能力等能节的管理和技术措施、能力等能否防范数据泄露、毁损等风险否防范数据泄露、毁损等风险;(四)境外接收方承诺承担的责任义务,以及
161、履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;4.原第(五)项新增“其他具有法律效力的文件”;(五)数据������出境和再转移再转移后泄泄露、毁损、篡改、滥用等的风露、毁损、篡改、滥用等的风险险,个人维护个人信息权益的渠道是否通畅等;(四)数据出境中和出境后遭到篡篡改、破坏、泄露、丢失、转移或者改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;5.增加新第(六)项兜底条款。(六)与境外接收方订立的数据出境相关合同是否充分
162、约定了数据安全保护责任义务。(五)与境外接收方拟订立的数据出境相关合同或者其他具�������有法律效其他具有法律效力的文件等力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;(六)其他可能影响数据出境安全(六)其他可能影响数据出境安全的事项。的事项。第六条:申报数据出境安全评估,应当提交以下材料:第六条 申报数据出境安全评估,应当提交以下材料:1.删除“其他具有法律效力的文件”(一)申报书;(一)申报书;(二)数据出境风险自评估报告;(二)数据出境风险自评估报告;(三)数据处理者与境外接收方拟订立的合同或者其������他具有法律或者其他具有法律效力的文件等(以下统称合效力的文件等(以下统称合同);同
163、);(三)数据处理者与境外接收����方拟订立的法律文件;数据合规法律服务 -60-唯有合规 方能致远 王捷律师团队&数据合规 征求意见稿征求意见稿 数据出境安全评估办法数据出境安全评估办法 主要改动内容主要改动内容(四)安全评估工作需要的其他材料。(四)安全评估工作需要的其他材料。第七条:第七条:国家网信部门自收到申报材料之日起七个工作日内,确定是否受理评估并以书面通知形式反馈受理结果。第七条第七条 省级网信部门应当自收到申省级网信部门应当自收到申报材料之日起报材料之日起 5 个工作日内完成完个工作日内完成完备性查验。申报材料齐全的,将申备性查验。申报材料齐����全的,将申报材料报送国家网信部门;申报材报
164、材料报送国家网信部门;申报材料不齐全的,应当退回数据处理者料不齐全的,应当退回数据处理者并一次性告知需要补充的材料。并一次性告知需要补充的材料。国家网信部门应当自收到申报材料之日起 7 个工作日内,确定是否受理并书面通知数据处理者。1.补充网信部������做出反馈是否受理评估结果的前段程序 第九条:第九条:数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务,应当包括但不限于以下内容:第九条第九条 数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容:1.第(三)项“限制”调整为“对于”;(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等
1����65、;(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;2.第(四)项“国家、地区法律环境发生变化导致难以保障数据安全时,”改为“国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时”;(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;(二)数据在境������外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;3.第(五)项,增加违反法律文件约定的数据安全保护义务的补救措施的情形。(三)限制(三)限制境外接收方将出境数据再转移给其他组织、个人的约束条款;(三)对
166、于境外接收方将出境数据再转移给其他组织、个人的约束性要求;4.完善细化了第(六)项的适用情形。数据合规法律服务 -61-唯有合规 方能致远 王捷律师团队&数据合规 征求意见稿征求意见稿 数据出境安全评估办法数据出境安全评估办法 主要改动内容主要改动内容(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发国家、地区法律环境发生变化导致难以保障数据安全生变化导致难以保障数据安全时时,应当采取������的安全措施;(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策数据安全保护政策法规和网络安全环境发生变化以及法规和网络安全环境发生变化以及
167、发生其他不可抗力情形导致难以保发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措障数据安全时,应当采取的安全措施;施;(五)违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;(五)违反法律文件约定的数据安违反法律文件约定的数据安全保护义务的补救措施全保护义务的补救措施、违约责任和争议解决方式;(六)发生数据泄露发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。(六)出境数据遭到篡改、破坏、出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获泄露、丢失、转移或者被非法获取、非法利用等风险时取、非法�����利用等风险时,妥善开展应急处置的要求和保障个人
168、维护其个人信息权益的途径和方式。第十条:第十条:国家网信�������部门受理申报后,组织行业主管部门组织行业主管部门、国务院有关部门、省级网信部门、专门机构等进行安全评估。第十条:第十条:国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。1.删除“行业主管部门”相关内容 涉及重要数据出境的,国家网信涉及重要数据出境的,国家网信部门征求相关行业主管部门意见部门征求相关行业主管部门意见����� 第十三条:第十三条:数据处理者应当按照本办法的规定提交评估材料,材料不齐全或者不符合要求的,应当及时补充或者更正,拒不补充或者更正的,国家网信部门可以终止安全评估;数据处理者对所提交
169、材料的真实性负责,故意提交虚假材料的,按照评估不通过处理 第十一条:第十一条:安全评估过程中,发现数据处理者提交的申报材料不符合要求的,国家网信部门可以要求其补充或�������������者更正。数据处理者无正当理由不补充或者更正的,国家网信部门可以终止安全评估。数据处理者对所提交材料的真实性负责,故意提交虚假材料的,按照评估不通过处理,并依法追究相应法律责并依法追究相应法律责任。任。1.原第十三条调整至第十一条。2.“材料不齐全或者不符合要求的,应当及时补充或者更正,”调整为“国家网信部门可以要求其补充或者更正。”3.增加追究法律责任说明 数据合规法律服务 -62-唯有合规 方能致远 王捷律师团队&数据合规 征求意
170、见稿征求意见稿 数据出境安全评估办法数据出境安全评估办法 主要改动内容主要改动内容 第十一条:第十一条:国家网��������信部门自出具书面受理通知书之日起四十五个工作日内完成数据出境安全评估;情况复杂或者需要补充材料的,可以适当延长,但一般不超可以适当延长,但一般不超过六十个工作日过六十个工作日。第十二条:第十二条:国家网信部门应当自向数据处理者发出书面受理通知书之日起 45 个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知更正材料的,可以适当延长并告知数据处理者预计延长的时间。数据处理者预计延长的时间。1.删除了延长时间的规定 评估结果应当书面通知数据处理评估结果应当
171、书面通知数据处理者。者。2.增加了评估结果书面通知程序要求 第十三条第十三条 数据处理者对评估结果有异议的,可以在收到评估结果 15 个工作日内向国家网信部门申请复评,复评结果为最终结论 1.新增评估结果异议救济方法 第十二条:第十二条:数据出境评估结果����有效期二年。在有效期内出现以下情形之一的,数据处理者应当重新申报评估:第十四条:第十四条:通过数据出境安全评估的结果有效期为 2 年,自评估结果自评估结果出具之日起计算出具之日起计算。在有效期内出现以下情形之一的,数据处理者应当重新申报评估:1.完善了有效期的起算时间点。(一)向境外提供数据的目的、方式、范围、类型和境外接收方处理数据的用途、方
172、式发生变化,或者延长个人信息和重要数据境外保存期限的;(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;2.细化了第(二)项的适用情形,具体到“国家或者地区数据安全保护政策法规和网络安全环境发生变化或其他不可抗力”,(二)境外接收方所在国家或者境外接收方所在国家或者地区法律环境发生变化地区法律环境发生变化,������数据处理者或者境外接收方实际控制权发生变化,数据处理者与境外接收方合同变更等可能影响出境数据安全的;(二)境外接收方所在国家或者地境外接收方所在国家或者地区数据安全保护政策法规和网络安区数据安全保
173、护政策法规和网络安全环境发生变化以及发生其他不可全环境发生变化以及发生其他不可抗力情形抗力情形、数据处理者或者境外接收方实际控制权����发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;(三)出现影响出境数据安全的其他情形。(三)出现影响出境数据安全的其他情形。数据合规法律服务 -63-唯有合规 方能致远 王捷律师团队&数据合规 征求意见稿征求意见稿 数据出境安全评估办法数据出境安全评估办法 主要改动内容主要改动内容 有效期届满,需要继续开展原数据出境活动的,数据处理者应当在有效期届满六十个工作日前重新申报评估。有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满 60
174、 个工作日前重新申报评估 未按本条规定重新申报评估的,应当停止数�������据出境活动。第十四条:第十四条:参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。第十五条:第十五条:参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供、非法使用。非法使用。1.增加“非法使用”表述 第十六条:第十六条:国家网信部门�������发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当撤销评估应当
175、撤销评估结果结果并书面通知数据处理者,数据处理者应当终止数据出境活动。需要继续开展数据出境活动的,数据处理者应当按照要求进行整改,并在整改完成后重新申报评估。第十七条:第十七条:国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估 1.调整不再符合要求时的程序,删除“应当撤销评估结果”。第十九条:第十九条:本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非�������法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
176、1.新增对重要数据的定义 数据合规法律服务 -64-唯有合规 方能致远 王捷律师团队��������&数据合规 第四部分:数据出海实践关键问题与海外第四部分:数据出海实践关键问题与海外 SCCs 要点对比要点对比 在专题的前三部分,我们已经基本完成了对近期境内数据出境相关的重要法律内容进行了解读,除对国内的相关规定进行详细的研究以外,实务及业内同时也关注欧盟与我国境内数据出境规定的比����较,由于本专题主要围绕 办法 及 规定 的内容展开,我们拟在第四部分也针对欧盟地区与之相对应的部分进行分析比较,而在欧盟地区并无国家安全评估的相关要求,因此,我们将会对欧盟 SCCs与国内的规定进行比对。欧盟委员会于 2021 年
177、 6 月 4 日以发布(EU)2021/91 号执行决定的方式提供的标准合同条款最新版本(Standard Contractual Clauses,下称“SCCs”)。此最新版本的 SCCs 总共分为 4 个部分,主要规定了个人信息数据跨境传输过程中数据输出方与数据接收方与数据保护相关的权利义务、数据主体的利益保护、向第三国传输的相关事项以及法律适用等方面的内容。Q83.什么是什么是 SCCs?SCC����s 全称为 Standard Contractual Clau�����ses(标准合同条款)。现行 SCCs 是一组由欧盟委员会于 2021 年 6 月 4 日通过的标准合同条款,旨在保护离开了EEA(欧
178、洲经济区)的个人数据,确保个人数据在数据接收方处得到 GDPR 规定的同等保护。SCCs 中包含 2 套,其中一套适用于数据控制者与数据处理者之间的数据委数据控制者与数据处理者之间的数据委托处理活动托处理活动(“委托处理 SCCs”);另一套则适用于向第三国传输个人数据向第三国传输个人数据的情形(“跨境传输 SCC�������s”或“SCCs”)。从 EEA 境内向境内向 EEA 境外的数据接收方传输个人数据境外的数据接收方传输个人数据时,必须遵守 GDPR及其针对个人数据国际传输制定的规则。跨境传输 SCCs 是可用于合规的保障措可用于合规的保障措施之一,也是相对高效且节省成本的保障措施之一施之一,也是
179、相对高效且节省成本的保障措施之一。跨境传输 SCCs 有助于统一跨境处理方法,从而确保继续遵守 GDPR 对数据跨境传输的要求,并有助于确保个人数据的自由流动。数据合规法律服务 -65-唯有合规 方能致远 王捷律师团队&数据合规 Q84.SCCs 的适用主体和我国标准合同有什么区别?的适用主体和我国标准合同有什么区别?两份文件中对于主体的划分是有较大差别的,在我国标准合同中对双方主体的划分方式主要为境内的个人信息处理者以及境外的数据接收方境内的个人信息处理者以及境外的数据接收方,����而 SCCs的主���体划分则与我国不同,SCCs 在境内及境外场景划分的基础之上,还基于数基于数据跨境传输双方对数据的支
180、配状态进行了角色区分据跨境传输双方对数据的支配状态进行了角色区分,即数据控制者和数据处理数据控制者和数据处理者者,二者区别在于,数据控制者决定数据处理的目的和方式,而数据处理者基于数据控制者决定数据处理的目的和方式,而数据处理者基于数据控制者的委托按照其指示进行数据处理活动数据控制者的委托按照其指示进行数据处理活动。Q85.SCCs 有哪几种类型?每种类型的适用情形如何?有哪几种类型?每种类型的适用情形如何?如上问所述,企业依据对数据处理目的以及处理方式是否具有决定能力,可区分为数据控制者(数据控制者(controller)和数据处理者�������和数据处理者(processor)2 种角色。SCCs 根
181、据数据输出方以及数据接收方的不同角色定位分为 4 种类型(Module)。具体为:第一种类型(Module One:c-c)适用于数据控制者向数据控制者的跨境传输;第二����种类型(Module Two:c-p)适用于数据控制者向数据处理者的跨境传输;第三种类型(Module Three:p-p)适用于数据处理者向数据处理者的跨境传输;第四种类型(Module Four:p-c)适用于数据处理者向数据控制者的跨境传输。企业可以根据具体的业务场景,判断双方的角色,选择相应的类型(Module)进行签署。Q86.如何判断企业跨境传输活动是否需要签署如何判断企业跨境传输活动是否需要签署 SCCs?该问题下
182、我们首要考虑的是我国境内企业何时可能需要签署 SCCs,如果企业是数据输出方,依据欧洲委员会 2022 年 5 月�������公布的新版 SCCs 问答的第 24 问规定,在判断是否适合签署 SCCs 时,需要考虑以下 4 个问题,第一,企业(数据输出方)是否受 GDPR ������管辖;第二,数据跨境传输的双方是否为 GDPR 规定的数据控制者或者数据处理者;第三,传输的是否为个人数据;第四,数据接收方是否不受 GDPR 管辖。数据合规法律服务 -66-唯有合规 方能致远 王捷律师团队&数据合规 如果以上四个问题的答案均为是如果以上四个问题的答案均为是则企业可以考虑使用 SCCs 作为跨境传输的工具。Q87.符合
183、符合 SCCs 签署条件的企业必须要签署签署条件的企业必须要签署 SCCs 吗吗?根据欧洲委员会 2022 年 5 月发布的官方问答提供的内容,SCCs 的条款是的条款是在自愿的基础上使用的,各企业并无义务必须签署在自愿的基础上使用的,各企业并无义务必须签署 SCCs,企业也可以选择自行制定一份符合 GDPR 要求的合同。但是由于已经存在官方的 SCCs 标准合同模板,出于节省成本和确保合规等出于节省成本和确保合规等因素因素的考虑,实际场景中,的考虑,实际场景中,SCCs 是许多符合签是许多符合签署条件的企业原意选择的路�������径署条件的企业原意选择的路径。该问题进一步有讨论价值的内容在于,相比较之下
184、,我国符合规定条件的企业是否必须要签署标准合同抑或是允许签署同等保护水平的合同完成数据出境,根据个人信息保护法第三十八条的内容,企业通过数据出境的四种路径是确定的,在提及标准合同的出境路径时,并未做额外未做额外允许签署同等水平协允许签署同等水平协议的说明议的说明,同时规定中也未对该部分进行阐述,而考虑到一�����方面备案相比较于安全评估可能监管的力度会稍微放宽,另一方面若自行起草相关合同可能需要有更严格审核,在没有更进一步的官方解释的情况下,在没有更进一步的官方解释的情况下,未来我国境内企业选择官方标准合同��������模版而非自行拟定合同是风险更低的选择。Q88.跨国集团内部的数据传输行为可以签署跨国集团内部的数
185、据传输行为可以签署 SCCs 吗?吗?可以可以。SCCs 与 BCRs 不同,SCCs 既可以适用于向境外第三方进行数据传既可以适用于向境外第三方进行数据传输的场景,也可以适用于跨国集团内部的数据传输。实务中,输的场景,也可以适用于跨国集团内部的数据传输。实务中,也常也常有企业会咨询有企业会咨询我们我们 SCCs����� 和和 BCRs 哪种方式更推荐使用。哪种方式更推荐使用。具有约束力的公司规则(具有约束力的公司规则(BCRs)适用于从事联合经济活动的企业集团或企)适用于从事联合经济活动的企业集团或企业集团的每个相关成员,包括其雇员业集团的每个相关成员,包括其雇员。不过,BCRs 不适用于与第三方不
186、适用于与第三方(例如服务提供商、客户、供应商等)之间的数据跨境转移之间的数据跨境转移,并且采用 BCRs 工具要求跨国企业必须在欧洲经济区内有实体以及由主管监管机构批准。由此可以判断,BCRs 进行跨境传输的成本较高,建议企业采用签署内部进行跨境传输的成本较高,�������建议企业采用签署内部 SCC 的方式进行集团的方式进行集团内部的数据跨内部的数据跨境传输境传输。数据合规法律服务 -67-唯有合规 方能致远 王捷律师团队&数据合规 Q89.企业双方签订完企业双方签订完 SCCs 后,若后,若 SCCs 的条款与双方之前签订的合同的条款与双方之前签订的合同相冲突,企业需要重新签订合同吗?相冲突,企业需要
187、重新签订合同吗?类似的问题其实我们在本专题第二部分探�����讨我国标准合同的问题时也讨论过,即若曾经签署的条款与生效后的标准合同条款冲突时如何处理,此情形下 SCCs 与标准合同的处理结论类似,从效力优先性上判断,效力优先性上判断,SCCs 第五第五条有说明,若条有说明,若 SCCs 的条款内容与双方存在的或未来订立的协议内容间存在冲的条款内容与双方存在的或未来订立的协议内容间存在冲突,应以突,应以 SCCs 条款为准条款为准。因此,在双方签署 SCCs 后,一般企�������业并非必须重新签订合同,后续的数据跨境传输活动可以后续的数据跨境传输活动可以 SCCs 的条款为准的条款为准。Q90.若欧盟用户可以访问中
188、国境内企业提供的网站,并且企业收集了欧若欧盟用户可以访问中国境内企业提供的网站,并且企业收集了欧盟用户的个人信息,此种情况是否需要签署盟用户的个人信息,此种情况是否需要签署 SCCs?不需要。适用 SCCs 的前提是存在一个数据控制者(或处理者)向另一个数据处理者(或控制者)进行跨境数据传输,在该问题的场景下,则并不存在两个这样的数据传输主体,我们可以通过案例更好理解这个问题,比如欧盟用户 A 在中国境内公司 B 的网站中享受服务,填写用户信息,此时由于数据是由用户 A自己直接上传给公司 B 的,而并非由两个数据控制者或处理者之间完成传输,此时无������需签署 SCCs。Q91.企业签署了企业签署了
189、SCCs,需要和中国������一样到有关部门进行备案吗,需要和中国一样到有关部门进行备案吗?与我国规定里体现的“自主缔约+备案管理”相结合不同,欧盟欧盟 SCCs 无无需备案需备案,企业签署 SCCs 之后,即可将数据依据合同约定的方式进行跨境传输。但是,虽然没有备案的要求,依据 SCCs 第 14 条的规定,数据输出方可能也需数据输出方可能也需要对传输的具体情况�����进行评估要对传输的具体情况进行评估。Q92.延伸延伸标准合同中的个人信息保护影响评估和欧盟标准合同中的个人信息保护影响评估和欧盟 SCCs 的评的评估有何不同?估有何不同?我们先了解 SCCs 评估的背景,在 Schrems II 案后,欧盟更
190、加强调了当使用SCCs 作为数据跨境传输工具时对数据接收方的评估,一旦评估的过程中发现传一旦评估的过程中发现传输行为可能出现有悖欧盟规定的最低限度保障措施要求,则可能需要考虑停止输行为可能出现有悖欧盟规定的最低限度保障措施要求,则可能需要考虑停止 数据合规法律服务 -68-唯有合规 方能致远 王捷律师团队&数据合规 数据传输或者采取适当补救措施数据传输或者采取适当补救措施。而根据 SCCs 第�������� 14 条(b)的规定,评估需要考虑的内容,包括处理链条的长度、涉及的信息数量和使用的传输渠道;预期的处理链条的长度、涉及的信息数量和使用的传输渠道;预期的再传输;接收者的类型;处理的目的;传输的个人数据
191、的类别和格式;发生传输再传输;接收者的类型;处理的目的;传输的个人数据的类别和格式;发生传输的经济领域;传输数据的存储位置;目的地第三国与传输的具体情况相关的法律的经济领域;传输数据的存储位置;目的地第三国与传输的具体情况相关的法律和惯例;为补充本条款下的保障措施而制定的任何相关的合同、技术或组织保障和惯例;为补充本条款下的保障措施而制定的任何相关的合同、技术或组织�������保障措施,包括在传输过程中采取的措施以及在目的����地国家处理个人数据的措施。措施,包括在传输过程中采取的措施以及在目的地国家处理个人数据的措施。完成对 SCCs 的简单介绍后,结合我们本专题第二部分已经提及的个人信息影响保护内容,我们会
192、发现,两个评估间有许多相似的特点,比如,需要考虑数据的类型、方式;对境外接收主体个人信息保护能力的考察;境外接收方所在地区,国家的法律政策影响等,评估的核心目����的都在于确保数据安全能够符合文本制定国/区域的要求。同时,两个评估间当然也有差异性的部分,比如程序程序上,我国的评估是数据出境的必须要求,而 SCCs 中的评估并非出境活动所必须,侧重点上,标准合同的评估内容内容会更全面,除了与 SCCs 一样关注境外风险以外,对境内主体的考量也是评估的重点之一。Q93.如果中国企业和位于欧盟境内的企业互相传输数据,双方是否需要如果中国企业和位于欧盟境内的企业互相传输数据,双方是否需要同时签署中国标准合同
193、以及签署欧盟同时签署中国标准合同以及签署欧盟 SCCs?我们的建议是在符合各自的适用前提的条件下,中国标准合同以及欧盟中国标准合同以及欧盟SCCs 均要签署均要签署。标准合同以及 SCCs 规定的适用,都是境内输出方向境外接收方进行数据传输的情况。在问题提及的双向传输的场景内,可以理解为,在在国内企业数据传输向欧盟企业时受标准合同调整;在欧盟企业向国内企业进国内企业数据传输向欧盟企业时受标准合同调整;在欧盟企业向国内企业进行数据传输时受行数据传输时受 SCCs 调整调整。同时,从数据保护目的上看,为了确保数据在第三国能够得到和在境内同等的保护水平,企业分别签署可以分别就中国数据出������境以及欧盟数据
194、出境事�����宜进行约束,可以确保中国数据在欧盟能得到充分保护,以及欧盟数据在中国能够得到可以确保中国数据在欧盟能得到充分保护,以及欧盟数据在中国能够得到GDPR 规定的同等保护水平规定的同等保护水平。数据合规法律服务 -69-唯有合规 方能致远 王捷律师团队&数据合规 Q94.我国标准合同如何应对欧盟我国标准合同如何应对欧盟 SCCs 体现的长臂管辖?体现的长臂管辖?判断该问题的重点在于关注我国对境内���企业数据出境的保护,在欧盟 GDPR的框架下,企业主体间若通过 SCCs 完成数据出境,要求企业必须配合欧盟监管企业必须配合欧盟监管部门各项安全性调查部门各项安全性调查,面对欧盟 SCCs 的监管要求,
195、我国标准合同也做出了相似的回应,同样也要求境外接收方接受并配合我国监管机构采取的各项安全性境外接收方接受并配合我国监管机构采取的各项安全性措施措施,从制度设计上分析,我国标准合同在监管内容上的回应能够很好的保护了我国境内企业及个人信息主体的利益。Q95.延伸延伸作为数据接收方且为数据控制者的中国企业如何应对欧盟作为数据接收方且为数据控制者的中国企业如何应对欧盟相关������机构的监管?相关机构的监管?结合我们过去积累的实务来看,要妥善应对数据出境目的国的监管是一个复杂的实践课题,一方面需要对企业内部、合作方、数据本身等各维度进行颗粒度足够精细的详尽调查研究,另一方面也还需要各方人员的深度配合,才能形成契
196、合每个企业自身情况的定制化建议。因此,我们就该问题部分先提供一个大致的方向,依据 SCCs 第 13(b)条的约定,作为数据接收方的企业有责任服从欧盟有责任服从欧盟相关监管机关的管辖,回应其询问,接受审计相关监管机关的管辖,回应其询问,接受审计。因此,企业应保留在约定职责范围内进行处理活动的适当文件,按照欧盟监管机构的要求提供此类证明文件按照欧盟监管机构的要求提供����此类证明文件。如想了解更详细的定制化应对策略,也欢迎联系我们。Q96.延伸延伸作为数据接收方且为数据处理者的中国企业如何应对欧盟作为数据接收方且为数据处理者的中国企业如何应对欧盟相关机构的监管?相关机构的监管?同样,如上问题所述,此部
197、分我们先提供一个大致的应对方向,企业应该保企业应该保存有关代表数据输出方进行数据处理活动的文件,以及能够证明企业遵守了存有关代表数据输出方进行数������据处理活动的文件,以及能够证明企业遵守了SCCs 条款下约定的义务(包括但不限于采取了技术和组织措施等)的文����件条款下约定的义务(包括但不限于采取了技术和组织措施等)的文件。如果企业收到欧盟监管机构的要求,可以提供上述材料用于证明。除此之外,企业在日常经营活动中,也需要配合数据控制者的审计活动以及回应来自监管机构的也需要配合数据控制者的审计活动以及回应来自监管机构的问询问询。数据合规法律服务 -70-唯有合规 方能致远 王捷律师团队&数据合规 综上,不管
198、企业是作为控制者或者是处理者,其对处理活动的记录文件十分必要,可以用于证明企业遵守了 SCCs 约定的条款义务、回应可能来自监管机构的审查。Q97.SCCs 和标准合同的文本是否都可以删减更改?和标准合同的文本是否都可以删减更改?在涉及合同双方当事人权利义务,第三人权利,责任承担等合同的核心内容时,无论是 SCCs 还是标准合同都不可以删减更改,我国标准合同各项内容由国家网信部门官方制定,对双方主体以及受益第三人的各项事项都做出了符合我国对数据出境安全要求以及实现数�����据出境安全目的的条款规定,因此,我我国标准合同除非有特别说明,一般不得删减更改国标准合同除非有特别说明,一般不得删减更改,当然,标
199、准合同中个人信息处理者和境外接收方允许自由磋商的部分有可以调整的空间,双方可以在双方可以在谈判过程中酌情调整谈判过程中酌情调整,如附件一的个人信息出�����境说明及附件二的约定其他条款的部分等。同样,根据 2022 年 5 月欧盟委员会的官方问答。SCC�����s 的文本不得更改,除非(1)为了选择模块或文本)为了选择模块或文本中提供的选项;(中提供的选项;(2)为完成文本必要的,例如指明)为完成文本必要的,例如指明主管法院和监督机构,并制定时间段;(主管法院和监督机构,并制定时间段;(3)为填写附件;()为填写附件;(4)为添加额外的保)为添加额外的保护措施,以提高数据的保护水平。但这些改变并不能视为改变了
200、核心的文本内容护措施,以提高数据的保护水平。但这些改变并不能视为改变了核心的文本内容。Q98.欧盟欧盟 SCCs 与我国标准合同适用的管辖规则一样吗?与我国标准合同适用的管辖规则一样吗?无论是 SCCs 或是我国的标准合同,在企业双方就合同各事项发生争议纠纷时,原则上都倾向于由本国或本地区的司法机关进行处理,我国标准合同第九条第(五)项中就提及个人信息处理者及�����境外接收方可以选择就争议事项寻求指定仲裁机构提起仲裁或向国内有管辖权的人民法院提起诉讼指定仲裁机构提起仲裁或向国内有管辖权的人民法院提起诉讼。SCCs 体现的管辖内容基本与标准合同的约定一致,但需要注意的是,在 p-c 的类型(Modul
201、e 4)下,SCCs 允许数据传输双方约定欧盟境外的法院欧盟境外的法院进行争议的解决。数据合规法律服务 -71-唯有合规 方能致远 王捷��������律师团队&数据合规 Q99.在使用在使用 SCCs 完成跨境数据传输时,企业是否要考虑对第三方受益完成跨境数据传输时,企业是否要考虑对第三方受益主体的保护?主体的保护?SCCs 的四个模块中都有较大的篇幅用以规定跨境传输双方如何保护第三方受益主体利益的内容,包括如确认双方责任承担,充分考虑境外接收方国家及地区的法律政������策,规定第三方受益主体有权要求企业提供合同副本,以及规定第三方受益主体的救济方法等,这部分内容为我国标准合同的规定内容提供了很高的借鉴价值,从内容
202、上比较,两份文件在第三方受益主体的保护上比较相似在第三方受益主体的保护上比较相似,也进一步体现了我国对保护个人信息保护主体权益的重视程度。因此,无论是何种场景,企业对个人信息保护的合规性都是数据出境活动中需要着重考虑的部分。Q100.在签署在签署 SCCs 后,如果企业想让额外相关方加入其已签署的后,如果企业想让额外相关方加入其已签署的 SCCs,可以怎么做?可以怎么做?在 SCCs 合同签订后,如果有第三方想加入,可以根据 SCCs 第 7 条(docking clause)的约定,在合同缔��������约方同意后,以数据输出方或数据接收方的身份填写以数据输出方或数据接收方的身份填写附录并签署的方式加入附
203、录并签署的方式加入,加入之后该第三方就享有该第三方就享有 SCCs 合同约定的权利以及需合同约定的权利以及需要承担相应的义务要承担相应的义务。这与我国标准合同的规定存在差别,标准合同要求标准合同要求数据出境后再传输到第三方主体的,需要境外接收方与第三方重新达成对个人数据出境后再传输到第三方主体的,需要境外接收方与第三方重新达成对个人信息保护程度不信息保护����程度不低于我国法律规定标准的书面协议低于我国法律规定标准的书面协议。Q101.是否有可能在是否有可能在 SCCs 中添加其他条款,或将中添加其他条款,或将 SCCs 纳入更广泛的纳入更广泛的商业合同?商业合同?如果合同缔约双方有其他事项需要��������在合
204、同中约定,只要该合同条款不损害数只要该合同条款不损害数据主体的权利,同时也不直接或间接地与据主体的权利,同时也不直接或间接地与 SCCs 合同正文规定的内容冲突合同正文规定的内容冲突,合同缔约双方可以在 SCCs 中增添额外条款。除此之外,如若合同缔约双方欲将 SCCs 置于缔约方之间的其他商业合同之中,也需要满足以上要求,即不损害数据主体的权利,同时也不直接或间接地与SCCs 合同正文规定的内容冲突。合同双方应当根据约定的管辖地域的法律要求,应签署并遵守 SCCs,并将其纳入他们的其他������������合同中。数据合规法律服务 -72-唯有合规 方能致远 王捷律师团队&数据合规 关于将 SCCs 合同纳入商业
205、合同中,举例如下:SCCs 国际数据传输第 12(a)条规定了缔约双方的责任,其要求合同双方不得在商业合同(其中包括了 SCCs的合同)中制定一般免责条款,因为这将与 SCCs 的本条款相冲突。故在不违反SCCs 正文内容的前提下,可以将其以附件等形式纳入缔约方之间的商业合同中。【小结】:【小结】:以上为我们本次数据出境实务以上为我们本次数据出境实务 100 问的全部问题,实际上,关于问的全部问题,实际上,关于数据跨境传输的相关问题还有很多很多,远非寥寥一百问可以囊括,在接下来的数据跨境传输的相关问题还有�����很多很多,远非寥寥一百问可以囊括,在接下来的实践中,也会出现更多实务性落地性的问题,以及需
206、要监管进一步阐明的疑难问实践中,也会出现更多实务性落地性的问题,以及需要监管进一步阐明的疑难问题。作为数据合规共同体的一部分,我们非常期待能够有机会和各位同行、伙伴、题��。作为数据合规共同体的一部分,我们非常期待能够有机会和各位同行、伙伴、朋友一起进行深入探讨和研究,共同进步,互相成就。朋友一起进行深入探讨和研究,共同进步,互相成就。数据合规法律服务 -73-唯有合规 方能致远 王捷律师团队&数据合规 结语结语 数据作为如今时代下的重要生产资料,其安全性问题不仅关乎个人权利,对社会稳定,国家利益而言都至关重要,在数据立法活动于全球范围内各国全面铺开的情况下,我国通过各方努力,实现了数据立法从无变
207、有再到多而全的突破,后续的数据法治工作重心,除了继续完善法律体系外,实践中的操作衔接与法律适用也是不可忽视的内容。该部分离不开实务中各企业人员以及法律人携手配合共同完成。本专题是我们�������殚精竭虑后的创作成果,归纳了数据出境的相关法律内容以及实务操作层面的各类问题,以 100 问的方式推出,共累积接近 4 万字,分成 4 个部分 7 篇文章依次推出,100 问中所涉及的问题既包括基础性的概念讲解,也包括对热点问题的分析,还包括对实务前沿问题的判断,致力于让每一位不同基础,不同需求的读者都能够在专题中有所收获。希望从零读懂系列的专题能够为各位带来些许营养,也更欢迎有困惑,有数据出境实践需求的读者与我们
208、联系。同时,本文可能仍有不少错漏或欠缺考虑的地方,我们也热切期待各位实务同行可以给我们多多指正,提出宝贵建议与意见。数据合规法律服务 -74-唯有合规 方能致远 王捷律师团队&数据合规 王捷王捷 作者简介作者简介 执业律师,垦丁 W&W 国际法律团队创始人,垦丁(广州)筹备�����负责人,联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰 ������RuG 国际经济法与商法硕士,获得数据安全师认证。王捷律师专注于网络法领域的研究和实务,特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规,已为多家知名互联网公司及大中型外资企业提供专业
209、法律服务,覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作,拥有 10 年的科技型公司实务经验与中外律所从业背景,深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求,快速响应并提供基础到战略的有效支持,并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。王捷律师关于中国与海外多国/地区数据保护及企业合规要点对比的论文,在全球最高分的六篇论文中,荣获国际知名隐私组织 FPF 第 12 届政策制定者年度隐私论文奖,该文章同时被������评为年度隐私政策制定者“必读”文章。与此同时,她还是出海互联网法律观察公众号主理人,输出了多篇专业互联网与数据合规文章,部分刊登于国际知名专业数据库。
sgpjbg002
工作日 8:30 - 17:30
报告分类
