我國《個人信息保護法》已于2021年11月1日施行,其中對向境外提供個人信息作出了一系列規定,第三十八條規定了“通過國家網信部門組織的安全評估”、“按照國家網信部門的規定經專業機構進行個人信息保護認證”、“按照國家網信部門制定的標準合同與境外接收方訂立合同”等個人信息跨境合規路徑。2023年2月24日,國家互聯網信息辦公室公布《個人信息出境標準合同辦法》(以下簡稱《辦法》),明確了個人信息出境標準合同(以下簡稱“標準合同”)的訂立、備案等要求,為《個人信息保護法》視域下的個人信息跨境方式之一的“標準合同”提供了落地藍本與中國方案。

我國的個人信息出境標準合同在形式上參考了國際上較常見的標準合同條款模板,同時充分考慮了中國法律的本土化表達,并在以下方面充分展現了中國方案的優越性:

第一,注重制度匹配。《辦法》在清晰界定自身適用范圍的同時,也實現了與其他數據出境安全管理制度的有效銜接。比如,《數據出境安全評估辦法》要求數據處理者與境外接收方擬訂合同等具有法律效力的文件,《辦法》提出的標準合同內容與上述法律文件內容要求銜接適用。因此,僅涉及個人信息出境的數據處理者申報數據出境安全評估時,相關法律文件可參照《辦法》附件擬訂。

第二,細化風險管理。《辦法》在《個人信息保護法》第五十五條提出個人信息保護影響評估(以下簡稱“影響評估”)后進一步針對出境場景細化了影響評估的評估項,比如境外接收方承諾履行的個人信息保護義務、措施和能力;個人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風險。個人信息處理者在選定標準合同作為個人信息跨境傳輸合規路徑的情況下,需要在向境外提供個人信息前進行影響評估,此為對《個人信息保護法》的落實。

第三,平衡商業自由和監管需要。我國對標準合同采用“自主締約與備案管理相結合”的原則。一方面,標準合同無需事先審批即可生效;另一方面,個人信息處理者的備案行為為網信部門持續監督提供了管理抓手?!掇k法》第六條規定,標準合同應當嚴格按照本辦法附件訂立,生效后個人信息處理者方可開展個人信息出境活動;第七條規定,個人信息處理者應當在標準合同生效之日起10個工作日內向所在地省級網信部門備案。從文義上理解,《辦法》明確了標準合同應該嚴格按照《辦法》附件訂立,省級網信部門備案不會對合同生效產生影響。

第四,場景覆蓋全面。根據標準合同范本第一條第(二)項,“境外接收方”是指在中華人民共和國境外自個人信息處理者處接收個人信息的組織、個人。這里的境外接收方既包括可以自主決定處理目的、處理方式的組織、個人,也包括受個人信息處理者委托處理個人信息的受托人。因此,訂立標準合同的雙方可能有“處理者—受托人”和“處理者—處理者”兩種情形,也就是說,境內處理個人信息的受托人,不能作為標準合同的相對方,再次轉委托境外主體處理個人信息。

第五,注重國際銜接。我國標準合同的主要內容,如個人信息再提供、處理安全、自動化決策處理等方面借鑒了有關國家、地區的有益做法,為數據跨境流動制度的國際合作奠定了基礎,爭取與更多的國家地區建立穩定可行的數據流通雙多邊機制。

總的來說,《辦法》體現了四方面鮮明導向:一是以人民為中心,把維護個人信息主體合法權益放在首要位置;二是堅持一致性,《辦法》與我國《個人信息保護法》等法律法規要求保持一致;三是突出簡明性,標準合同范本內容注重易于企業理解、實踐和應用;四是強調開放性,標準合同范本內容與國際通用規則的理念相兼容,便于企業對外開展對等的商業合作。相信《辦法》能夠為我國加大對外開放合作提供重要的制度保障。(作者:洪延青 北京理工大學教授