应对《个人信息出境标准合同办法》行动建议

个人信息跨境传输合规管理 —中国新规《个人信息跨境传输格式合同办法》的影响 毕马威(KPMG)网络安全 — 2023年4月 表的内容 01 跨境数据的合规路径概述转移03 02 深入了解新“标准合同”05 03 背景的个人信息保护影响评估(PIPIA)09 04 建议13 05 毕马威的个人信息保护管理服务14 时间轴的监管发展 2015 7月 国家 安全法律 2017 6月 网络安全法律 2021 9月 数据安全法律 2021 11月 个人信息保护法 2023 6月 个人信息跨境传输标准合同措施 措施 安全评估 跨境 个人信息和关键数据的转移（征求意见稿） 安全措施评估跨 个人信息的边界转移（征求意见稿） 措施 跨境数据措施安全评估 跨境数据传输(草案征求意见) 9月 传输安全评估 11月 声明的 实施个人信息保护认证 2017 4月 2019 6月 2021 10月 2022 •2022年7月7日，国家互联网信息办公室发布《数据跨境安全评估办法》（“安全评估办法”），自2022年9月1日起施行。《安全评估办法》明确了数据跨境安全评估（以下简称“安全评估”）申报的情形，并对安全评估提出了具体要求。 •2022年11月4日，网信办发布《关于实施个人的公告》。 信息保护认证“（”公告“），自2022年11月4日起生效。公告明确了个人信息保护认证实施细则，要求个人信息处理者遵守GB/T35273《信息安全技术个人信息安全规范》。从事跨境处理活动的处理者还应遵守TC260- PG-20222A“安全”的要求 个人信息跨境处理活动认证规范“（ “认证规范”)。 •2023年2月24日，网信办发布《个人信息跨境传输标准合同办法》（以下简称《标准合同办法》）和《个人信息跨境传输标准合同》（以下简称《标准合同》），自2023年6月1日起施行。 个人数据跨境传输的合规途径 自宣布这些关于跨境转移标准合同的最新监管变化以来，三个明确了个人信息跨境传输的路径。其中包括：（1）通过安全网信办评估;（2）经个人信息保护专业机构认证;或（3）输入根据CAC制定的标准合同与离岸接收方签订合同。 关键信息基础设施运营者（CIIO）应当将在中国境内运营期间，存储在中华人民共和国境内收集和产生的个人信息和重要数据。因商业目的需要向境外提供此类数据的，应当按照网信办会同国务院有关部门制定的办法进行安全评估。 其他数据处理者应确定拟出库数据的类型和规模以及数据交叉的实际情况。边界传输方案，并相应地执行或选择适用的合规性路径： 适用于任何的安全评估 下列情形之一: 1. 一个数据处理器提供重要 出站数据; 处理超过100万人个人信息的数据处理者提供出境个人信息的; 数据处理者自上年1月1日起共提供10万人出境个人信息或者1万人敏感个人信息的;和 网信办规定的需要申报出境安全评估的其他情形。 是 2. 是否有安全的条件评估*见面吗? 3. 没 4. 选项1 选项2 标准合同 个人信息 保护认证 申请 认证 要点申请准备 认证的准备要点的 • 要点声明准备: • • •开展跨境数据风险自我评估 按照要求准备安全评估申报材料 进行个人信息 保护影响评估 (PIPIA) 严格按照标准合同模板执行合同 自合同生效之日起10个工作日内进行备案 • • 开展PIPIA 满足GB/T的要求 35273年,tc260-pg-20222a 获得认证后进行技术验证、现场审核和监督 • • 坚持之前的评估和持续 监控 • 注意：数据处理者不得采取卷拆分等措施，以避免安全评估。数据处理者 符合《安全评估办法》第四条规定情形之一的，仍需按照规定通过其省级CAC向CAC申报安全评估。 宣言 安全评估 个人信息 重要的数据 涉及个人信息跨境传输的其他数据处理者，以及重要的数据 •合同涉及三方：个人信息处理者（“处理者”）、境外接收方（“接收方”）和个人信息(“个人”)。 •个人享有合同的相应权利。处理者和接收方，作为 合同、签订和履行协议，而个人作为第三方受益人被授予通过双方协议享有相应的权利。 •个人有权主张个人权利。在侵犯个人信息权利的情况下，个人 可以根据《个人信息保护法》向处理者主张权利，也可以直接主张合同任何一方或双方根据标准协定内容享有的权利。 突出了 1。非冲突性的条款 在签订标准协定或添加补充协定时，两个级别的“无冲突”要求应被认为是: •补充协议不得与标准协定中的条款相冲突。也就是说，术语中的标准合同优先于合同双方商定的其他条款。 •其他法律文件中的条款不得与标准协定中的条款冲突。即标准中的条款 合同优先于合同双方之间的其他协议和法律文件中的条款。 2。第三方受益人的机制 ) 3所示。六个月的宽限期 •处理者应在六个月内纠正个人信息跨境活动的不合规行为 《格式合同办法》生效日期（即2023年11月30日前）。 4所示。个人信息主体的权利 •应告知个人为合同的第三方受益人。处理器需要通知 个人，已与接收人约定该个人是合同下的第三方受益人。如果个人在30天内未提出明确的反对意见，则个人可以请求处理者或接收者协助解决合同下的个人主体权利。 •保护个人权利。处理者和接收者在进行个人信息跨境活动期间需要采取适当措施响应个人的合理请求。 参考资料：个人信息跨境传输标准合同办法，国家互联网信息办公室 5.处理者和接收方的法律责任 个人有权要求各方或双方承担民事责任。当一方当事人承担的责任超过该方能够承担的责任时，其有权向另一方当事人追偿。 当联合责任是发生 1.违反保护义务的当事人应当承担民事责任。 2.处理者可能需要承担行政责任或刑事责任。 当处理者或接收者需要承担全部责任时 6。处理器的主要义务 1.仅在要求的最小范围内离岸提供个人信息 处理的目的; 2.履行通知的义务; 3.获得个人同意（适用于跨境的情况个人信息的转移基于同意）; 4.根据要求向个人提供合同副本。 国家互联网信息办公室发现跨境转移高风险的个人信息活动或个人信息安全事件，可能会采访依法处理者。处理器应纠正并消除隐藏 风险的要求。 网络行政监管的采访 个人信息主题 1.调查接收者是否有组织和技术措施，以及能力履行义务; 2.提供相关法律法规和技术标准的副本。 离岸接受者 1.回复监管机构的询问; 2.为跨境处理活动提供合规审计结果; 3.承担履行合同义务的举证责任。 监管当局 PIPIA应进行，PIPIA报告应至少保存三年。 内部管理 7.收件人的主要义务 1.根据合同处理个人信息;2.应个人要求提供标准协定的副本;3.以对个人权益影响最小的方式处理个人信息;4.个人信息的保留期限应为实现 个人信息主题 处理的目的; 5.如果涉及自动化决策，则应遵循透明、公平和公正的原则之后; 6.采取补救措施应对安全事件，及时履行通知和记录义务;7.提供遵守标准协定义务所需的必要信息;8.告知个人联系渠道;9.在行使个人权利时回应个人的要求。 个人信息处理器 1.在与处理者约定的范围内处理个人信息;2.向处理器提供合规认证材料，允许处理器进行合规审计和审查文件;3.向处理器提供所有必要的信息。 监管当局 1.接受监管机构的监督管理;2.服从监管机构采取的措施或决定;3.提供书面确认，说明已采取所需措施。 内部管理 1.客观记录个人信息处理活动，并至少保留记录三年;2.采取technicalandmanagement措施;3.建立最低授权的访问控制权限;4.及时、规范地应对安全事件。 向第三方离岸接收者提供个人信息： 第三方(如适用) 1.业务需求;2.告知个人信息的提供并获得单独同意（适用）在同意的基础上处理个人信息的情况）;3.与第三方签署书面协议，并在 个人的要求。 个人信息处理的分包： 1.从处理器提前Obtainconsent;2.根据合同约定处理个人信息;3.监督第三方的处理活动。 劲的执行 Post-contract 执行 1确定个人信息是否可以通过以下方式转移到海外结论标准合同 1数据处理器是否CIIO; 2正在处理的个人信息量; 3累计出境转移个人信息和敏感个人信息的数量前一年的1月1日以来的信息。 2梳理现有跨境数据传输业务 数据处理者应明确跨境传输活动涉及的细节，如目的、范围、规模、方式、个人信息类别、境外接收方、保留期限和地点，以及境外接收方是否有分包处理 活动。 3开展PIPIA PIPIA必须在执行标准合同之前进行。PIPIA主要关注详细内容和评估过程。请参考以下幻灯片中PIPIA的介绍。 1进行申请程序 审查要求：处理者应当自《标准合同》生效之日起10个工作日内向省级互联网信息办公室申请备案。值得 注意的是，完成备案手续并不是标准合同生效的先决条件。 2本合同签订后的后续监管 在标准协定有效期内有下列情形之一的，处理方应重新执行PIPIA，补充或重新执行标准协定，以及 执行申请程序: (1)个人信息跨境传输活动的变化; (2)接收者所在地的个人信息保护法规和政策的变化，可能影响个人信息权益的; (3)其他可能影响个人信息权益的情形。 3其他强制措施 (1)持续监控和评估个人信息保护政策的变化 法规在收件人的位置; (2)积极行使对受托人的合同监督检查权; (3)对合同项下的加工活动进行合规审计; (4)积极响应个人信息主体的请求。 1.完善合同条款 合同中可能仍有部分需要补充，例如联系 个人信息跨境转移活动的信息、地址、详情等 2.合同谈判和结论 标准协定的实施面临以下挑战： (1)目前，尚未印发《标准协定》的正式英文译文。 (2)合同的标准条款不能修改。CAC严格定义了标准协定格式条款。缔约双方应妥善协商调整商业部分; (3)合规性要求。企业可能面临签署离岸版的要求 标准合同或与接收方合作履行外国法律要求的义务。企业应仔细评估他们将要执行的文件或他们需要履行的合规义务是否违反了中国的法律要求。 标准合同安排的关键阶段 03 个人信息保护影响评估的背景 个人信息保护影响评估（PIPIA）的法律依据 有下列情形之一的，个人信息处理者应当进行个人信息处理。事先评估信息保护影响并保留处理记录： (1)敏感的个人信息的处理; (2)使用个人信息进行自动决策; (3)委托他人处理个人信息，向其他个人信息处理者提供个人信息和披露个人信息; (4)向境外各方提供个人信息; (5)其他对个人权利有重大影响的个人信息处理活动，以及的利益。 —个人信息保护法（PIPL）第55条 什么时候PIPIA需要进行吗 根据《GB/T39335-2020个人信息安全技术指导原则》 影响评估“，PIPIA是检验个人信息处理活动合规性，识别可能损害个人信息主体合法权益的各种风险，评估用于保护个人信息主体的各种措施的有效性的过程。 PIPIA概述使用、存储和共享个人信息的方式和原因跨业务操作和共享服务。 PIPIA的目的是识别风险对处理个人信息的影响和采取补救行动因此,以及履行相关监管要求比鹏。 什么是PIPIA 03 个人信息保护影响评估的背景 个人信息保护影响评估的法律依据 (租) 此外，以下规定对PIPIA对缔结跨境转移的两种途径提出了更详细的要求。标准合同和获得个人信息保护认证: 个人信息保护认证 关于实施个人信息保护认证的公告国家互联网信息办公室 和国家市场监管 公告中提到了两个标准。处理者应符合《GB/T35273信息安全技术个人信息安全规范》的要求。对于从事跨境处理活动的处理者，还需要遵守《TC260-PG-20222A个人信息跨境处理活动安全认证规范》的要求。 全国信息安全标准化技术委员会《跨境个人信息处理活动安全认证规范V2.0》 第5.4条：个人信息处理者应当对拟向境外接收方提供个人信息的活动进行PIPIA，并形成PIPIA报告，至少保存3年。评