数据出境合同范本第1篇
《办法》第四条规定,个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合下列情形:
(一)非关键信息基础设施运营者;
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供个人信息不满10万人的;
(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
可以看出,订立标准合同的方式更适合规模较小、个人信息处理量较少的企业,业务量更大的企业可以通过数据出境安全评估申报的方式实现个人信息出境合规。
区别于去年6月30日发布的《个人信息出境标准合同规定(征求意见稿)》,《办法》中表明,即使同时满足以上四种情形,订立标准合同也并非企业的唯一选择,法律、行政法规或者国家网信部门另有规定的,从其规定。
《办法》还特别指出,个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。对于关键信息基础设施运营者或处理个人信息超过100万人的企业而言,数据出境安全评估仍是重要方式。
数据出境合同范本第2篇
《办法》指出,标准合同应当严格按照《办法》附件中提供的标准合同范本订立;个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。同时,标准合同范本中,指出“如本合同与双方订立的任何其他法律文件发生冲突,本合同的条款优先适用”。
此前的征求意见稿则是以列举的方式规定了标准合同的主要内容,相较之下,《办法》收窄了合同意思自治的范围,这意味着相关机构将以更严谨的方式监管个人信息出境。因此,企业应重点关注境外法规是否与个人信息出境标准合同条款存在相悖的内容,对于已与境外接收方签署的个人信息处理相关合同,应根据标准合同范本进行修改、补充。
数据出境合同范本第3篇
企业在开展数据或个人信息出境工作时应凝聚各方共识,在数据出境合规工作中建立标准化文件、工作方法以及标准化评估颗粒度,以便于企业能最大程度满足监管要求,实现合规出境。为此,我们整理了最新发布的《个人信息出境标准合同》供读者朋友参考查阅,以及近50份《全球SCC标准合同汇总》,如有需要,可自行扫码获取。
tHeenD.
Copyright©rightsreserved.
数据出境合同范本第4篇
个人信息出境合规的关键在于事前防范,《办法》中从目的、风险、义务、法律差异等角度明确了个人信息保护影响的评估重点,通过多个角度检查其合规合法的程度,以预防、减小对个人信息主体的安全风险:
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
(二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;
(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
(六)其他可能影响个人信息出境安全的事项。
总体而言,做好个人信息保护影响评估有利于在早期发现识别风险,从而规范企业日常经营,降低潜在的公众担忧,减小合规成本。
数据出境合同范本第5篇
相较于之前发布的《办法》及标准合同征求意见稿,此次正式颁布的版本对企业拟定标准合同在意思自治上更进一步限缩,境内个人信息处理者及境外接收方须严格按照国家网信部门提供的条款签订与履行,有权变更标准合同的主体为国家网信部门。该《办法》附件标准合同内容完整且详尽,涉及基本信息、个人信息处理者及境外接收方义务、个人信息主体权利、接受地法律法规与合同履行的关系、救济措施及违约责任等多个方面。此外,《办法》明确规定规定企业在补充约定时不得与标准合同条款相冲突,合同双方其他的“法律文件”也不得与合同条款相冲突。
数据出境合同范本第6篇
《办法》第三条指出“自主缔约”,这意味着签署标准合同并非强制性法律义务。依据《_个人信息保护法》第三十八条第一款,个人信息处理者因业务等需要,确需向_境外提供个人信息的,还可以通过以下方式:
1、经专业机构进行个人信息保护认证;
2、通过国家网信部门组织的数据出境安全评估申报;
3、依据法律、行政法规或者国家网信部门规定的其他条件自由流动。
然而,如果企业未订立标准合同,同时也未满足其他合法的个人信息出境路径要求,将可能因违反《个人信息保护法》而承担法律责任。
数据出境合同范本第7篇
通常个人信息出境行为表现为:
1、境外存储:数据处理者将在境内运营中收集和产生的数据、个人信息传输、存储至境外;
2、境内访问:境外的机构、组织或者个人访问或者调用存储在境内的数据处理者收集和产生的个人信息。
《_出境入境管理法》第八十九条中明确了“出境”的定义,即“出境,是指由中国内地前往其他国家或者地区,由中国内地前往香港特别行政区、澳门特别行政区,由中国大陆前往台湾地区。”因此,当企业将中国大陆境内收集和产生的重要数据和个人信息传输至香港、澳门、台湾地区,也属于数据出境行为。
数据出境合同范本第8篇
标准合同生效之日起10个工作日内应当向所在地省级网信部门备案。
如果标准合同有效期出现以下情形之一,应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行备案手续:
一是向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
二是境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
三是可能影响个人信息权益的其他情形。
与此同时,网信办完善了违反个人信息出境规定的法律责任制度,将违反个人信息出境行为的法律责任进行整合,从列举违法情形改为兜底式的“违反本办法规定的”,并对管理体制进行了调整,删除了“省级以上网信部门”进行处罚的规定,为省级以下网信部门赋予了个人信息出境合规的管理职责,更加适应个人信息出境合规的工作实际。
数据出境合同范本第9篇
《个人信息出境标准合同》体现三方权利义务关系,即:境内个人信息处理者、境外接收方以及个人信息主体。境内个人信息处理者与境外接收方作为合同相对方签订并履行合同,势必对个人信息主体的权利产生直接影响。然而标准合同将个人信息主体纳入,作为受益人考虑,赋予个人信息主体直接起诉个人信息处理者与境外接收方的权利,并通过连带责任条款,为个人信息主体提起诉讼和救济提供了便利。
根据《办法》第四条规定,个人信息处理者仅在同时符合下列情形下可以通过订立标准合同的方式向境外提供个人信息:
(1)非关键信息基础设施运营者;
(2)处理个人信息不满100万人的;
(3)自上年1月1日起累计向境外提供个人信息不满10万人的;
(4)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
对比《数据出境安全评估办法》的适用情形,我们发现国家互联网信息办公室依据二者在数据处理者特定身份和处理个人信息数量级别两个方面对两种出境机制的适用情形作出了明确的划分。这为企业根据自身身份以及数据出境活动具体情况判断确定需要适用的路径给出了明确参照,有利于企业进行路径选择。
我们可以看出,通常标准合同适用于规模较小、对国家与公共利益影响较低的数据处理者及关键信息基础设施运营者之外的普通数据处理主体。对于落入《数据出境安全评估办法》适用范围的个人信息处理者,则应依法向网信部门申报数据出境安全评估,而不得采取数量拆分等手段将依法应当通过出境安全评估的个人信息选择通过订立标准合同的方式向境外提供。
无疑在实际个人信息出境活动中,此种类型的场景也是广泛存在的,如跨国公司内部的企业员工个人信息管理与传输,中国企业向境外购买或提供服务中触发的将个人信息传输至境外的情形,均可能属于标准合同的适用场景。
若根据《办法》规定,企业数据出境活动符合适用标准合同的范围,则该企业作为个人信息处理者订立标准合同的一般流程为:
第一步:开展个人信息保护影响评估;
第二步:依照标准合同范本订立合同;
第三步:向所在地省级网信部门备案标准合同;备案材料包括:标准合同、个人信息保护影响评估报告;
第四步:网信部分向企业反馈需补充、重新订立标准合同的情形或完成备案。
个人信息保护影响评估,旨在要求企业事先预见并预防、降低其数据出境活动对个人信息主体带来的安全风险,因此企业需要从自身个人信息数据出境目的、风险及义务设置等角度对其个人信息数据出境活动开展预评估并建立应对的合规机制,《办法》在以下方面要求企业重点分析和论述:
(1)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性
(2)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;
(3)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
(4)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
(5)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
(6)其他可能影响个人信息出境安全的事项。
企业应当严格按照《办法》附件中提供的标准合同范本订立其个人信息数据出境标准合同,《办法》规定个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。
同时,如合同范本与双方订立的任何其他法律文件发生冲突,该合同的条款优先适用,因此企业需关注相关境外法律法规以及此前已与境外信息接收方订立的合同是否存在冲突,并进行相应的修改和增减。
如企业在标准合同履行期间出现《办法》第八条明确规定的情势变化的情形,需重新开展个人信息保护影响评估,补充或重新订立标准合同并向网信部门重新提交备案手续。
自标准合同生效之日起10个工作日内企业应当向所在地省级网信部门备案。
对于在《办法》施行前已经开展但不符合《办法》规定的个人信息出境活动,企业应当自6月1日《办法》施行之日起6个月内完成整改。
新颁布的《个人信息出境标准合同办法》可谓国家网信部门针对企业数据出境活动的又一重要监管制度和举措,尤其可见国家网信部门对个人信息数据的保护力度显著加强,标准合同范本的正式使用也填补了各单位和企业在个人信息数据出境业务中实际可适用国家标准文件的空白。
在之后这段整改期内,存在个人信息出境业务的企业仍需把握时间,梳理自身业务场景及数据流,制定相应的合规制度、完成风险评估和整改工作,并在网信部门规定期限内完成备案,以保证企业相关业务继续顺利开展,及防范个人信息出境风险、避免信息安全事件的发生。我们也将从专业角度结合既往业务经验,协助企业依据自身实际建立数据出境合规制度并进行数据出境活动各路径的搭建、申报与备案。
冯超律师团队由十余名律师和专利代理人组成,可用中、英、日、法、马来语等向客户提供知识产权、数据保护、外商投资、民商事争议解决等领域的法律服务。
数据出境合同范本第10篇
《办法》出台,数据出境安全评估进入整改倒计时,监管趋严的背景下,企业面临的合规压力越来越大。对此,企业加强对相关法律法规的学习,积极依法治企,防范个人信息出境活动风险,避免发生个人信息安全事件。而在《办法》施行前已经开展但不符合《办法》的个人信息出境活动,应当自6月1日施行之日起6个月内完成整改,这意味着在年底之前,通过订立标准合同实现个人信息出境的企业应尽快完成备案。
数据出境合同范本第11篇
相较于英国iDta关注数据向英国国境之外的数据进口方转移数据,欧盟SCC则更重视数据的接受方是否不受欧盟GDpR管辖。
根据欧盟GDpR第条:数据控制者、数据处理者在欧盟有营业场所的,不论数据处理行为发生在欧盟还是境外;第条:1.本法适用于设立在欧盟内的控制者或处理者对个人数据的处理,无论其处理行为是否发生在欧盟内。2.本法适用于对欧盟内的数据主体的个人数据处理,即使控制者和处理者没有设立在欧盟内,其处理行为:(a)发生在向欧盟内的数据主体提供商品或服务的过程中,无论此项商品或服务是否需要数据主体支付对价;或(b)是对数据主体发生在欧盟内的行为进行的控的。3.本法适用于设立在欧盟之外,但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理。可以明确该数据接受方是否属于欧盟GDpR管辖,若符合不受欧盟GDpR管辖的条件,则欧盟SCC将需要被签署。
网络信息技术重塑了数据、信息和知识的商业价值和社会功能。审视国内外近年来的立法趋势,个人信息保护和数据安全评估显然已经成为各国立法者首要关注的规范议题。即便是以商业利益为优先考虑的美国,在联邦和州政府层面,也先后制定了有关个人信息、商业数据使用限定条件的规范性文件。虽然各国立法者对“数据安全”的概念和外延存在差异化认知,但在具体的立法活动中,欧盟《通用数据保护条例》(以下简称“GDpR”)《日本个人信息保护法》《巴西通用数据保护法》等规范性文件均是围绕“数据安全”与“数据利用”两种法益的平衡方案予以展开。并且,在个人信息保护立法体系趋于成熟之后,数据安全立法的重心也在发生转变,即从法律效力层级的制度框架转向行政法规层级的具体机制细化。在这一转变过程中,数据安全出境的立法问题自然而然地呈现于立法者面前:既满足我国“国家安全”和“数据安全”立法目标,又不会对数据跨境传输的商业活动造成非必要阻碍的数据跨境流动监管制度该如何建构?
现阶段,学界有关数据跨境流动制度的理论探讨主要聚焦于两个层面:一是在制度设计层面,我国数据跨境流动监管体系结构的建构多以欧盟GDpR中规定的“充分性保护”认定机制为基础,主张我国应当借鉴欧盟模式,建立数据出境安全评估制度、数据跨境传输合同标准化等具体制度;二是在国际法层面,探讨我国数据跨境传输监管制度的对外效力,以及我国如何在国际数据跨境传输规则制定过程中争夺话语权,包括我国应当如何充分衔接国内法与国际法规则,避免外国以“长臂管辖”规则为由指责和干涉我国数据安全监管活动。不难发现,这两种研究趋势的重心均集中于具体制度建构,其原因在于数据跨境传输监管问题在很大程度上是有关数据如何安全地传输以及将数据传输过程如何纳入有效的行政监管框架内。然而,具体制度的建构依然需要在理论层面回应这些制度模式的选择依据和正当性基础。
我国《数据出境安全评估办法(《征求意见稿》)》(以下简称《征求意见稿》)已于近期公布。《征求意见稿》第8条规定了我国数据出境安全评估的重点事项,即在跨境数据传输时,要求数据处理者与境外接收方就订立合同是否充分约定了数据安全保护义务进行说明。第9条更是细化了“充分约定”的判断标准,对合同应当约定的必要事项进行列举。合同条款标准化一直被认为是数据跨境传输领域的有效监管工具,欧盟GDpR将标准化合同条款(SCC)嵌入了跨境数据流动的全过程,原因在于该项机制既能实现监管者对于数据跨境传输重要事项的直接审核,也能基于违约责任督促数据处理者积极履行数据安全保护义务。当然,先前提及的如何建构满足安全立法目标且实现数据充分流动的制度建构问题仍然存在于该领域,其在理论层面有三类问题需要予以阐明。
第一,欧盟模式与我国合同“充分约定”模式之间存在何种关联性?从现有条款来看,我国仅对合同内容约定事项作出强制性要求,并没有对具体的合同条款作出限定。结合《征求意见稿》第8条内容来看,数据处理者与境外接收方订立的合同仅是数据出境安全评估的评估对象。而欧盟模式所建构的标准化合同条款(SCC)则是在“数据接收方在不满足GDpR要求的‘能够提供与欧盟同等保护水平’”情形时,数据处理者与数据控制者可以选择的“替代方案”。两相比较,无论是在数据跨境传输制度的体系结构层面,还是在合同内容限定层面,两种合同标准化模式特征差异明显,这是否意味着我国的数据跨境传输合同监管模式需要遵循另一套理论逻辑?
第二,《征求意见稿》第8条、第9条的“充分约定”应如何理解?这究竟是有别于欧盟模式的中国数据安全立法逻辑之特点,还是需要在解释论和制度论层面对标准化合同机制予以进一步明确?虽然《征求意见稿》言明了数据跨境传输合同标准化的制度路径以及合同内容的类型化,但在实施层面,数据处理者在合同中约定了诸如“数据出境目的、方式和传输范围”“数据境外保存地点、期限”“限制再传输的约束条款”等内容,但这不等于数据处理者符合这些要求就已经满足了数据出境安全评估所要求的数据安全风险防范标准。事实上,《征求意见稿》第8条、第9条提供的仅是合同标准化的基本路径,监管机构仍然需要提供一套类似政府采购合同、保单标准化模式的类型化数据跨境传输合同范本,并且要能够与《数据安全法》第21条规定的重点数据目录和数据分类分级制度衔接。
第三,我国数据跨境传输合同标准化机制的调整范围和体系定位究竟如何解释?我国现行立法有关数据安全评估的制度内容包括业务评估、出境评估、事件评估、自评估、年度评估等内容,在这些评估机制尚未体系化之前,是应当按照《征求意见稿》的第8条的规定将数据跨境传输合同标准化机制视为出境评估的事项之一,还是应当将合同标准化机制置于所有类型的数据出境制度背景下,将其上升至与安全评估机制相平行的监管制度?
面对新的认证规则,企业该如何应对?
周亚超向财经e法透露,《认证规则》出台后,安恒信息已接到不少客户的咨询,包括适不适合做认证、怎么做认证,以及认证的价值等问题。周亚超发现,很多企业想通过认证来证明或提升自身的个人信息保护能力。此外,大型企业会比中小型企业意愿更强烈,因为认证是有成本的,不仅需要整改,且满足认证当中所规定的相关制度、技术以及和相应的安全措施,甚至还要配备专业人员等。
“这对于中小型企业来说可能负担较重。”周亚超说。
不过从企业角度,周亚超希望看到实际案例和激励措施落地。比如,企业如果做到了自证合规,并具备安全保障措施,但依然没有避免安全事件和风险,“是否能有一定程度的减轻或者豁免安全责任等?”
吴卫明认为,《认证规则》可以为产业界提供更明确的合规指导,同时也能带动个人信息安全咨询和相关合规工具的发展,进而推动建立更好的产业生态,并引导好的企业脱颖而出。“企业应该积极响应监管要求做到自证合规,“吴卫明说。“也会促进企业更好的发展”。
左晓栋援引数据出境安全的例子称,传统产品和服务解决不了企业的如下问题:如何证明实际出境的数据是合规的,没有境外业务是否会发生数据出境,以及如何监测出境数据等等。他指出,包括个人信息保护认证在内的数据安全评定将直接催生大量数据安全咨询需求,且各类机构亟需数据安全合规工具的支持,这都将成为企业新的业务增长点。
在此基础上,标准合同一共包含定义、个人信息处理者的义务、境外接收方的义务、当地个人信息保护政策法规对遵守本合同条款的影响、个人信息主体的权利、救济、合同解除、违约责任和其他九条内容,分别可以依次与上图中的主要内容对应。下文将对上述主要内容中的重点依次予以介绍和分析。
标准合同明确适用于个人信息处理者向境外接收方传输个人信息的情形。
对于“个人信息处理者”,标准合同采用与《个人信息保护法》下相同的含义。与欧盟GDpR不同的是,我国《个人信息保护法》将“个人信息处理者”定义为“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”,基本可以类比于欧盟GDpR下的控制者(Controller)而非处理者(processor)的概念。据此,标准合同排除了受委托处理个人信息的主体向境外传输个人信息的情形,对于此类情形而言,应当由相应的个人信息处理者与境外接收方签订合同。较为典型的场景为,云服务提供商接受云租户的指示向境外主体传输个人信息,应由云租户与境外主体签订标准合同,而云服务商无需签订。
对于“境外接收方”,标准合同将其定义为“位于_境外并自个人信息处理者处接收个人信息的组织或个人”,并未对其是否属于《个人信息保护法》下的“个人信息处理者”做出限定。因此,可以理解为,该“境外接收方”既可能是我国《个人信息保护法》下的个人信息处理者,也有可能是受上述个人信息处理者委托处理个人信息的受委托处理者。但是,从双方责任义务的描述(见下文“3.标准合同双方责任义务”)来看,标准合同特别对境外接收方属于受个人信息处理者委托处理个人信息时应满足的义务做出单独规定,这表明,境外接受方作为个人信息处理者身份和作为受委托处理者时,应履行的合规义务具有高度一致性,以及标准合同实则更多将境外接收方理解为“个人信息处理者”。
此处与欧盟的SCC存在差异。无论是欧盟SCC版本(即,95指令下的分别于2001年、2004年和2010年制定的版本),还是其版本(即,欧盟委员会根据GDpR于2021年6月通过的新版本),均根据个人数据的发送方和接收方身份的不同进行了不同版本的区分。我国香港地区今年5月份发布的个人资料跨境转移建议合约条文范本,也采取了根据角色区分不同版本的模式。对此,我们认为,标准合同尽管在形式上未基于角色做出版本区分,但实质初步达到了合同双方各自明确自身责任义务的效果。此外,实践操作中也存在同一份商业合同下,境外接收方同时具有个人信息处理者和受委托处理者双重身份的情况,此种处理方式则能够帮助避免双方签署多份合同的不便。
标准合同附录一专门对个人信息出境的基本内容进行了描述,包括个人信息主体类别、传输目的、个人信息数量、个人信息类别、敏感个人信息类别、再传输接收方、传输方式、存储时间和地点等。其中,出境个人信息和敏感个人信息类别参考推荐性国标《信息安全技术个人信息安全规范》(GB/t35273)和相关标准。
对于传输个人信息和敏感个人信息的数量,如前所述,由于适用通过签订标准合同的方式向境外提供个人信息的情形包括:自上年1月1日起累计向境外提供未达到10万人个人信息和未达到1万人敏感个人信息,因此,该数量应当限于此范围内。
标准合同中规定的对于个人信息处理者和境外接收方的义务分别可以总结如下表3所示。
可以看出,因为分别作为跨境传输个人信息的发送方与接收方,个人信息处理者和境外接收方均涉及对所传输个人信息的处理,因此,双方的责任和义务多数具有类似属性,包括处理个人信息应遵循的合法合规、最小必要等一般性原则,以及所负有的对个人信息主体的知情同意、安全保护义务,和对监管部门的响应、提供必要信息的配合义务。
然而,由于二者在获取个人信息的链条上分属上下游关系,分别面对的是个人信息获取源头(个人信息主体)和个人信息再传输下游(如有),因此,二者亦存在责任和义务上的特殊之处。这些特殊义务包括: