《个人信息出境标准合同办法》正式稿发布,保护力度加码 | xxx《个人信息出境标准合同办法》正式稿发布,保护力度加码 – xxx
菜单






《个人信息出境标准合同办法》正式稿发布,保护力度加码

二月 27, 2023 - 安全内参

文/史蕾 杨玥祺

2023年2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》),自2023年6月1日起施行。《办法》分为正文与附件两个部分,与2022年6月30日发布的《个人信息出境标准合同规定(征求意见稿)》(以下简称《征求意见稿》)相比,从总体趋势上进行了保护力度的加码。

0正文主要变化

正文的保护力度加码主要体现在限缩企业对标准合同条款的修改范围以及标准合同变更时的个人信息保护影响评估义务上,但也进行了部分放宽,具体如下:

第四条标准合同的适用范围,新增兜底条款以及反面规定,明确了在法律、行政法规或者国家网信部门另有规定的情况下也可以通过订立标准合同进行数据出境;企业不得通过数量拆分手段规避数据出境安全评估申报。

《办法》第四条 个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。

第六条标准合同的内容要求,删除了《征求意见稿》对标准合同条款类型的列举说明,直接要求企业“应当”“严格按照”附件订立标准合同。虽允许企业与合作方约定其他条款,但笔者理解该条意为仅允许企业在附件的标准合同模板基础上做“加法”,而不得做“减法”,实际上进一步限缩了企业在商业洽谈中自主定制标准合同的空间,合作阻力增强

《办法》第六条 标准合同应当严格按照本办法附件订立。国家网信部门可以根据实际情况对附件进行调整。

个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。

标准合同生效后方可开展个人信息出境活动。

第八条需要补充或重新订立标准合同的场景下新增了进行个人信息保护影响评估的要求。同时,相比《征求意见稿》仅要求重新订立合同及备案的要求,承认了仅对合同条款进行补充的可行性,不再一味要求重新订立合同。在场景列举中,不再将出境数据的“数量变化”作为需要变更合同的情形,一定程度上放宽了限制。

《办法》第八条 在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:

(一)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;

(二)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;

(三)可能影响个人信息权益的其他情形。

第十一条企业违反《办法》要求进行数据出境时的监管应对,相比《征求意见稿》要求监管“应当书面通知个人信息处理者终止个人信息出境活动”的一刀切严要求,改为相对和缓的“可以依法约谈”,企业若按照监管要求积极响应、消除隐患,则无需终止个人信息出境活动,为企业的数据出境业务提供了更大的容错空间。

《办法》第十一条 省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改,消除隐患。

新增第十三条明确了企业的整改期限,此前已经开展个人信息出境活动,需要在2023年12月1日之前完成标准合同的签署或变更

《办法》第十三条 本办法自2023年6月1日起施行。本办法施行前已经开展的个人信息出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。

0附件主要变化

整体而言,附件个人信息出境合同文本的变化体现在语言的精炼化、法律术语及要求与现有法律法规的统一上,本文对前述非实质性变化不再进行总结,主要实质性变化见下:

不再要求个人信息处理者与境外接收方提供电话和电子邮件两种联系方式以及国籍,而是自定义“联系方式”,在信息收集的最小必要性上实践监管先行。

行文与立场更强调平等商事主体之间的民事约定,而非强调企业对监管部门履行法定义务的行政要求。更符合企业合同订立的需求。此外术语上与现有出境文件相衔接,例如将《征求意见稿》的“出境个人信息的数量、类型 “替换为《数据出境安全评估办法》的”出境数据的“规模、种类“。

第二条个人信息处理者的义务中,将“答复监管机构关于境外接收方个人信息处理的询问“义务明确作为个人信息处理者单方的义务,不再留有义务主体摇摆的缝隙。

第三条境外接收方的义务中,细化了境外接收方超出标准合同范围处理个人信息时,对个人信息主体应当履行的义务,包括基于同意处理个人信息时征求单独同意的义务,以及涉及不满十四周岁的未成年人个人信息时征求其父母或其他监护人单独同意的义务。

第三条第(五)项关于受托者删除个人信息的义务进行了合理限缩,不再要求受托者提供删除或匿名化后的审计报告,仅要求提供书面说明,且删除个人信息从技术上难以实现的,不再强制要求删除处理,但受托者应当停止采取除存储与必要保护措施外的其他措施。

第四条为境外接收方增加了一项通知义务,第(六)项规定境外接收方接到所在国家或者地区的政府部门、司法机构关于提供本合同项下的个人信息要求的,应当立即通知个人信息处理者。

第七条解除条款,新增境外接收方所在国家或地区的法律法规及政策变化导致境外接收方无法履行合同,作为个人信息处理者暂停向境外传输信息的情形之一。不再将境外接收方破产、解散或清算作为合同解除事由。

附录一个人信息出境情况明中的存储时间要求精确到年月日。

声明:本文来自享法互联网JoyLegal,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。








Notice: Undefined variable: canUpdate in /var/www/html/wordpress/wp-content/plugins/wp-autopost-pro/wp-autopost-function.php on line 51