随着数据安全的重要性日益提升,我国数据合规监管也日趋严格。目前已形成了以《网络安全法》、《数据安全法》和《个人信息保护法》为基础的数据保护合规体系。就个人信息出境而言,《个人信息保护法》(以下称“个保法”)第三十八条对于因开展业务等而需要向中国境外提供个人信息的中国境内公司指出了三条主要合规路径,即通过安全评估、进行个人信息保护认证,以及与境外接收方订立标准合同。
在此基础上,《数据出境安全评估办法》、《个人信息保护认证实施规则》、《个人信息出境标准合同办法》(以下称“《标准合同办法》”)等规则相继落地,为广大具有个人信息出境需求的企业提供了明确指引。根据我们的实务经验,中国境内的国际货运代理企业绝大多数有个人信息出境需求,且大多可适用标准合同路径。
根据2023年6月1日起施行的《标准合同办法》,在2023年11月30日前,有个人信息出境需求的公司应当与各境外个人信息接收方签订标准合同,同时在标准合同生效之日起10个工作日内向所在地省级网信部门备案。由此,是否必须进行标准合同备案、如何开展自评估等成为国际货运代理企业近期最为关心的问题。结合承办的货代企业个人信息出境申报案例,我们归纳了以下十大高频问题予以解答。
一 个人信息出境的三条合规路径如何选择?
三种路径中,如符合监管规定的以下条件,标准合同备案是性价比最高的一种。根据《标准合同办法》第四条,公司通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形:
(一)非关键信息基础设施运营者(CIIO);
(二)处理个人信息不满100万人的;
(三)自上年1月1日起累计向境外提供个人信息不满10万人的;
(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
如不符合上述任一情形,企业应当通过网信办数据出境安全评估方能向境外提供个人信息。此外,如涉及向境外提供重要数据,亦应当通过安全评估。
当然,无需通过安全评估路径出境个人信息的企业也可以选择认证路径。但在认证路径下,同样需要与境外接收方签署全面的数据处理协议,开展个人信息保护影响评估并撰写评估报告的义务也未得到豁免。并且,根据《个人信息保护认证实施规则》,个人信息保护认证的认证模式为:技术验证+现场审核+获证后监督,认证机构应当在3年的认证有效期内,对获得认证的个人信息处理者进行持续监督,并合理确定监督频次。因此,鉴于目前阶段选择认证路径对货代企业而言成本较高且流程繁琐,大多数货代企业也达不到安全评估的标准,备案路径成了第一选择。
二 员工规模很小的货代企业,必须要进行
个人信息出境标准合同备案吗?
首先,货代企业出境个人信息主体通常包括中国境内合作机构商务联系人、员工,因此仅根据员工数量评估企业需履行的个人信息出境合规义务是不全面的。其次,公司处理个人信息的规模小并不意味着可以不履行个人信息出境的合规义务。简言之,企业处理个人信息达到安全评估标准的,必须向网信办申报安全评估;未达到标准的,可以通过进行个人信息保护认证或者与境外接收方订立标准合同的方式出境个人信息。路径可选,但必须择其一(法律、行政法规或者国家网信部门另有规定的除外)。
三 公司货运信息系统、员工管理系统等内
部系统数据均存储于中国境内,是否可
以认为公司不涉及个人信息出境?
应分情况讨论。个人信息出境可分为主动出境和被动出境两类。主动出境指个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外,例如中国境内A公司将客户商务联系人信息打包通过邮件发送至中国境外B公司邮箱;被动出境指个人信息处理者将收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出,例如,中国境内A公司员工管理系统数据存储于中国境内,但中国境外B公司作为A公司海外母公司有权远程登录该员工管理系统。
四 公司主要货代业务系由境外收货人或其
货代(以下称“客户”)委托,合作了很
多境外客户。境外客户可登录公司货
运信息系统,追踪货物动态,并可下
载相关提单,提单上可能载有中国境
内托运人的商务联系人信息。以上情
形,是否属于公司将中国境内托运人的
商务联系人信息向境外提供?
在指定货场景下,公司并不主动向中国境内托运人收集个人信息,仅作为受托人从客户处获得必要的中国境内托运人商务联系人信息。公司在收到商务联系人个人信息后出于办理国际货物运输的目的会将信息(通过提单等载体)流转至承运人等国际货物运输相关主体,但从个保法角度看,公司此时的法律地位为“受托处理个人信息”。而公司需要履行个人信息出境备案义务的前提是,公司属于“个人信息处理者”。
因此,当公司仅作为货代受托处理(包括跨境传输)个人信息时,合规义务远低于个人信息处理者。公司受托将境内托运人商务联系人信息传输出境时,并无与境外收货人或其代理签订标准合同的法定义务。况且,境内发货人与境外收货人早有基础商业合同存在,境内发货人商务联系人信息早已在其缔结商业合同阶段就已出境,公司并非首次将该个人信息传输出境。
五 备案需要提交哪些材料?
有哪些时间节点需要注意?
网信办会实质审查公司所提交的材料吗?
根据《个人信息出境标准合同备案指南(第一版)》(以下称“《标准合同备案指南》”),备案流程整理如上。个人信息保护影响评估工作应为备案之日前三个月内完成,且至备案之日未发生重大变化,因此我们建议公司自评估工作的基准日起三个月内要向网信办提交备案材料。
根据我们的实务经验,虽然备案路径的材料要求低于安全评估路径,但省级网信办对备案材料并非形式审查,也会提出实质修改建议,监管口径为“材料查验”。
六 如果应网信办要求修改已提交的备案材
料,修改后再次提交的日期很可能超出
了标准合同签订日起10个工作日,是否
违反《标准合同办法》第七条“个人信息
处理者应当在标准合同生效之日起10个
工作日内向所在地省级网信部门备案”的
要求?
根据我们的实务经验,就《标准合同办法》第七条所称“备案”日期,目前监管以公司首次提交备案材料日期为准。
七 备案一次有效期多久?哪些情形需要重
新备案?
根据《标准合同办法》,标准合同生效后方可开展个人信息出境活动。至于合同有效期,标准合同并未明确提及。结合《标准合同办法》第八条“在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:
(一)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
(二)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
(三)可能影响个人信息权益的其他情形。”,我们理解只要没有前述应当重新备案的情形,并且双方未解除合同,依法签署的标准合同应持续有效。换言之,只要标准合同持续有效,公司也履行了备案义务,其实不存在“备案有效期”的问题。
八 公司业务比较简单,个保影响评估报告
是否可以简单化处理?提交个保影响
评估报告以及经签署的标准合同,是
否就算完成了备案?
与数据出境安全评估类似,网信办于《标准合同办法》正式生效前夕发布了《标准合同备案指南》,对于《标准合同办法》提及的标准合同备案管理、个人信息保护影响评估等相关规定提出了更为细化的要求。更重要的是,《标准合同备案指南》给出了评估报告模板,模板要点详实,虽然并未强制要求所有公司都按照模板写报告,但我们建议使用官方模板,并保证每一级标题都论述到位。表面上看,备案只需要向网信办提交所签订的标准合同和个人信息保护影响评估报告(以及营业执照、承诺书等程序性材料),但网信办并非仅作“形式审查”,备案也存在不通过的结果。
因此,尽管企业处理的个人信息规模很小,但“麻雀虽小,五脏俱全”,报告模板提及要点均不得忽视。
九 公司聘请了第三方机构撰写、准备备
案材料,自身还需要做什么吗?
个人信息出境备案项目应至少分为三个阶段,第一步:梳理、盘点企业(或称“个人信息处理者”)个人信息出境活动,包括个人信息处理者及境外接收方基本情况、个人信息出境涉及业务和信息系统情况、拟出境个人信息情况、个人信息处理者及境外接收方个人信息保护能力情况;第二步:制定整改方案并推进落实,以达到个保法要求的个人信息出境标准;第三步:评估企业个人信息出境影响,准备个人信息出境合同及评估报告,以提交网信办备案;根据网信办意见补充完善备案材料,以通过备案。
如企业聘请第三方机构,在很大程度上可以减轻自身压力,尤其是第三步的评估以及撰写、准备具体材料。但第一、二步企业需大力配合第三方机构的盘点工作、与其协商明确整改方案,并由牵头部门推进整改。此外,虽然标准合同正文不予修改,但境外接收方理解、接受并签署合同一般需要较长时间的沟通与解释,因此我们建议在第一阶段盘点工作完成后,即开始草拟标准合同附录,并与境外接收方协商合同签署事宜,防止延误时效。
十 货代企业要想达到个保法要求的个人
信息出境标准,顺利完成备案,一般
需要进行哪些整改?
很多货代企业使用的是境外集团公司的官网,其中个人信息保护做的比较好的货代集团会有适用于全球的一般性的个人信息处理规则(以下称“隐私政策”),但基本没有根据中国境内业务实际情况制定的本土化隐私政策,且缺少本土化的个人信息保护制度、个人信息保护机构。根据个保法的要求,有必要制定适用于中国境内货代企业的隐私政策。并且,我们建议制定内部个人信息保护制度,组建个人信息保护机构(例如个人信息保护小组/委员会/办公室等,虚拟架构亦可),一方面提高备案通过几率,另一方面也是个人信息保护大势所趋。
此外,根据我们的实务经验,个保法规定的“告知-同意”义务履行不到位是普遍问题。因此,通过修订员工手册/劳动合同/职位申请表向员工/候选人告知个人信息出境情况,通过隐私政策/个人信息出境声明向中国境内合作机构商务联系人告知个人信息出境情况尤为重要。进一步,在告知的基础上应取得个人信息主体对出境事宜的单独同意。不过,如果企业能够对信息进行匿名化处理,根据个保法的规定,这些信息不再属于“个人信息”,自然也无需履行前述合规义务。
根据《标准合同办法》,在2023年11月30日前,有个人信息出境需求的公司应当完成整改。考虑到备案涉及多项自查整改工作,且跨部门、跨境沟通需求较多,一般需花费三个月左右,建议有个人信息出境需求的公司尽快开始规划和准备。本文系我们根据承办的国际货运代理企业个人信息出境合规项目经验所撰写,任何问题或需求,敬请通过以下方式联系。
// 作者简介 //
陈雷
安杰世泽律师事务所 合伙人
邮箱:chenlei@anjielaw.com
执业领域:海事海商、国际贸易及海关、
保险及再保险、国际商事争议解决
陈雷律师拥有近20年的执业经验并成功代理了上百件具有一定影响力的复杂案件,目前担任上海市律师协会海事海商专业委员会主任,曾于2019年入选司法部涉外律师千人名单,国际法律评级刊物《钱伯斯》多年航运领域上榜律师。
李文成
安杰世泽律师事务所 律师
邮箱:liwencheng@anjielaw.com
执业领域:银行保险合规、数据合规、航运与贸易
// 来源简介 //
北京安杰世泽律师事务所
官方网站:https://www.anjielaw.com/
安杰世泽律师事务所是一家全方位、多领域的综合性律师事务所。我们釆取一体化的管理模式,坚持统一的法律服务标准,实行规范的客户服务体系, 致力于为客户提供优质高效和量身定制的法律服务。安杰世泽在北京、上海、深圳、广州、海口、南京、厦门和香港设有办公室,拥有合伙人、高级顾问、执业律师、律师助理、律师秘书及支持人员约400人。
安杰世泽律师事务所发展迅速,在资本市场与证券、反垄断与反不正当竞争、私募股权投资与风险投资、知识产权、争议解决、劳动法、并购与跨境投资、保险与再保险、海商海事、银行与金融、能源、国际贸易、科技媒体与电信、私人财富管理、房地产与建设工程、酒店与文旅、传媒、娱乐与体育等领域有着丰富的法律服务经验和卓越的业绩。
安杰世泽由一群来自不同执业领域的资深律师创立。事务所的主要合伙人均毕业于中国和海外最负盛名的法学院,并从一流的国际律师事务所获得了丰富的工作经验。
安杰世泽律师事务所及事务所多位合伙人被 Chambers & Partners、Who's Who legal、Legal 500、IFLR1000、Asialaw Profiles、Asia Legal Business、LEGALBAND、Benchmark Litigation、China Business Law Journal等各类权威法律媒体高度推荐。
我们倡导合伙人、顾问和律师等专业人士在不同领域、不同专业方向的充分发展,同时强调不同专业之间的分工合作。安杰世泽合伙人通过各尽其职、精诚合作的工作方式,确保事务所能集中最佳资源和最强的服务团队为客户提供最可行的法律解决方案。
我们建立了健全的内部风险控制制度与合理的治理结构,实行法律服务出品的复核制度、利益冲突检索制度、重大疑难问题的集体讨论与分析评估制度,确保客户利益的最大化。
我们拥有完善的员工培训体制,注重培养律师在执业生涯中的职业素养及实践经验,鼓励不同教育背景与工作经历的员工在事务所成就个人的职业发展,分享安杰世泽的永久存续与稳健发展所带来的长期收益。
我们重视其作为现代社会合格企业公民的社会责任,积极投身于社会公益事业,并且参与了包括提供法律援助服务、投入慈善基金、设立高校奖学金项目在内的大量社会公益活动。
09-24 来源:英士律师
01-07 来源:信德海事网
11-15 来源:信德海事网 作者:阮航
11-29 来源: 中国船舶油污基金
10-15 来源:柳邦声 世界海运
03-08 来源:信德海事网
07-27 来源:叶伟东 中远保险经纪
01-04 来源:信德海事网
07-02 来源:诺亚天泽保险经纪
12-27 来源:蓝海现代法律 作者郭萍