2023中国个人信息出境标准合同白皮书
AI智能总结
中国个人信息出境标准合同白皮书 中国个人信息出境标准合同白皮书 联合发布 国家网络与信息系统安全产品质量检验检测中心盈科律师事务所全国网络数据安全合规中心 闪捷信息科技有限公司威科先行 iLaw 中国个人信息出境标准合同白皮书 中国个人信息出境标准合同 白皮书 总主编 副主编 郭卫红 盈科全国网络数据安全合规中心副主任邮箱:guoweihong@yingkelawyer.com微信:daveylawyer 沈亮(shenliang@mctc.org.cn)、许云松(xuyunsong@secsmart.com) 编委会 姜斯勇、黎水林、李贺、葛若芸、曹祖彬、袁博、李芸飞、周一琼、吴君戈 中国个人信息出境标准合同白皮书 目录 前言1 第一部分全球与中国个人信息跨境合规及监管趋势2 一、全球个人信息跨境合规及监管趋势2 (一)欧盟2 (二)美国2 (三)新加坡3 (四)韩国3 (五)日本3 (六)俄罗斯4 二、中国个人信息跨境合规及监管现状4 路径一:数据安全评估审查4 路径二:个人信息保护认证5 路径三:个人信息出境标准合同5 第二部分中国个人信息出境焦点问题及标准合同应对方案7 一、个人信息出境中的焦点问题7 (一)境内个人信息处理者特定身份鉴别7 (二)盘点出境个人信息的数量7 (三)个人信息怎么样才算“出境”8 (四)识别出境个人信息中的重要数据9 (五)如何处理敏感个人信息9 二、适用标准合同路径进行个人信息跨境传输的主体及场景10 (一)适用标准合同的个人信息处理主体10 (二)适用标准合同的个人信息跨境场景11 三、应对方案——个人信息出境标准合同备案11 (一)事前:内部合规、准备出境12 (二)事中:执行标准合同备案14 (三)事后:持续监督、适时更新15 第三部分重点行业个人信息跨境传输要点解析16 一、金融16 (一)金融机构和个人金融信息16 (二)个人金融信息跨境传输常见场景16 (三)个人金融信息跨境传输合规要点17 二、汽车18 (一)个人汽车信息出境概况18 (二)个人汽车信息跨境传输常见场景19 (三)个人汽车信息跨境传输合规建议20 三、医疗健康20 (一)个人医疗健康信息跨境传输法律规制20 (二)个人医疗健康信息跨境传输常见场景21 中国个人信息出境标准合同白皮书 四、跨境电商22 (一)跨境电商相关个人信息出境场景及法律规制22 (二)跨境电商相关个人信息跨境传输合规要点23 五、航空23 (一)个人航空信息跨境传输法律规制24 (二)个人航空信息跨境传输常见场景24 结语26 附:发布单位简介27 盈科简介27 检测中心简介27 闪捷简介28 中国个人信息出境标准合同白皮书 前言 基于对个人信息的保护和对国家安全的重视,越来越多的国家和地区开始加强对企业跨境个人信息流动的监管。个人信息合规跨境传输成为当今企业跨国经营时必须面临和解决的问题。 近年来,我国逐渐通过一系列法律法规,明确了个人信息出境的三大基础路径:数据出境安全评估、个人信息保护认证和个人信息出境标准合同。基于《个人信息出境标准合同办法》于2023年6月1日起开始施行,并随着2023年5 月30日国家网信办发布《个人信息出境标准合同备案指南(第一版)》,我国个人信息出境标准合同路径已落地执行。 中国个人信息出境标准合同白皮书 第一部分全球与中国个人信息跨境合规及监管趋势 一、全球个人信息跨境合规及监管趋势 随着大数据时代的到来,数据作为重要的经济生产要素、国家安全资源,已成为各国争夺的对象。世界主要经济体先后出台了数个个人信息保护相关法案,整体来看,全球各法域对个人信息的跨境流动监管趋严。 (一)欧盟 欧盟于2016年通过《通用数据保护条例》(GDPR),明确规定了个人数据跨境转移的条件。目前欧盟个人信息跨境传输路径主要分为以下三种机制: 一是充分性认定。根据GDPR规定,只有当第三国对个人数据的保护水平达到欧盟的要求,欧盟成员国的个人数据才能进行数据跨境流动。认定第三国是否提供“充分”数据保护,主要是根据第三国个人数据保护相关法律制度的完备情况、执行情况等因素判断。但目前中国尚未通过该认定; 二是适当保障措施,常见的为标准合同条款(SCCs)和约束性企业规则(BCRs)。标准合同条款是从欧洲经济区向区域外第三国或组织跨境传输数据时使用的标准合同文本,通过合约的形式约束数据输出者和数据输入者,以确保个人数据获得充分的保护。约束性企业规则可以简单地理解为适用于跨国企业的“白名单”,即当欧盟行政机关对整个企业内部的数据跨境流通合规框架审查合格之后,企业内部的个人数据跨境流通不再受限; 三是克减情形。克减仅适用于只涉及少量数据主体在特定情形下偶尔进行的数据跨境传输,数据输出者不应将此作为常规化数据跨境传输的合法依据。 (二)美国 美国对个人数据跨境传输的政策规制整体持开放态度,先后与欧盟签订《安全港协议》和《隐私盾协议》,对大西洋两岸跨境转移个人数据的隐私保护进行规范。 但在特定的重要数据上,美国则采取了相应限制措施。如制定被称为“全球最贵数据保护法案”的《加州消费者隐私法案》(CCPA)和对部分关键技术与特定 中国个人信息出境标准合同白皮书 领域的数据出口进行限制的《出口管理条例》(EAR)。另外,美国在医疗健康领域的《健康保险可携性和责任法案》(HIPAA)和金融服务数据方面的《格雷姆-里奇-比利雷法案》(GLB)等行业特殊规定也需要重点关注。 (三)新加坡 《个人数据保护法》(PDPA)是新加坡的主要个人信息保护�法,用来管理各机构对个人数据的收集、使用和披露。PDPA适用于所有在新加坡收集、使用和披露个人数据的营业机构,无论其是否在新加坡物理存在。 PDPA规定,企业必须遵守数据转移限制的义务。即除非企业能确保个人数据的接收者受到法律上可执行的义务的约束,被转移的个人数据获得与PDPA规定的保护标准相当的保护,否则个人数据不能被转移到新加坡以外的国家或地区。这些“可依法执行的义务”包括根据法律法规、合同或具有约束力的公司规则或任何其他具有法律约束力的文书规定的义务。 (四)韩国 韩国是世界上对数据安全相关规定最严格的法域之一。韩国个人信息保护委员会 (PIPC)在对《个人信息保护法》(PIPA)的修正案中增加了向海外传输个人数据的方法。除此之外,还颁布了一系列PIPA的配套实施条例,包括《个人信息保护标准指南》《关于个人信息影响评估的通知》《违反个人信息保护法的处罚标准》《个人信息技术和行政保护措施标准》等。 (五)日本 日本与欧盟于2019年作出“充足性认定”,互相认定对方的保护水平及安全措施,允许个人数据在欧盟和日本之间自由流动。但日本对于其本土个人数据跨境传输态度较为严格。2022年4月修订后的《日本个人信息保护法》(APPI)在保留原有要求处理个人信息的经营者应获取数据主体的同意之外,新增了披露信息接收方所在国家及该国的个人信息保护体系、信息接收方采取的个人信息保护措施的要求;如采取必要措施确保该境外第三方持续实施了与APPI对个人信息的保护要求相当的保护措施,并能够在数据主体要求的情况下提供关于企业采取的必要措施的信息等要求。 中国个人信息出境标准合同白皮书 (六)俄罗斯 俄罗斯在新修订的《联邦个人数据法》第22条规定了“个人数据处理通报”义务,增加了个人数据跨境传输的前置通报,意味着运营商要履行两份通报义务,即“个人数据处理通报”义务和“个人数据跨境流动通报”义务,两份通报要分开发送,这项要求已于2023年3月1日起生效。同时,俄罗斯《联邦个人数据保护法》对于个人信息出境的监管提出相对严格的要求,概括为相关机构、国外政府或者国家必须拥有同等的数据保护水平才可以将个人信息传输出。 二、中国个人信息跨境合规及监管现状 根据《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》或《个保法》)和《信息安全技术个人信息安全规范》(GB/T35273—2020)等制度规范,个人信息指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、出生日期、身份证件号码、住址、通信通讯联系方式、健康生理信息等。 自2017年6月1日《中华人民共和国网络安全法》(以下简称《网络安全法》)实施以来,我国�法机构及有关政府主管部门逐步推动建�同个人信息出境相关的法律、法规和监管规则,至今已初步形成以《网络安全法》《数据安全法》和 《个人信息保护法》三法为纲领,结合配套办法、规定、标准和指南为补充的个人信息跨境传输合规框架。 根据《个人信息保护法》第38条等有关法律法规,我国个人信息跨境传输目前已确�以下“三大路径”: 路径一:数据安全评估审查 国家互联网信息办公室(以下简称国家网信办)于2022年7月7日发布的《数 据出境安全评估办法》(以下简称《安全评估办法》)第4条明确了数据出境安全评估审查的强制触发条件: 1、数据处理者向境外提供重要数据; 2、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外 中国个人信息出境标准合同白皮书 提供个人信息; 3、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息; 4、国家网信部门规定的其他需要申报数据出境安全评估的情形。 此外,在提交申报前,企业需要完成数据出境风险自评估,并提交拟订�的法律约束性文件。数据出境风险自评估报告对于顺利通过安全评估审查至关重要,可以理解为是企业向网信部门提交的“考卷”。因而企业在提交申报前需要按照要求开展数据合规治理工作,完成数据风险筛查及整改。 路径二:个人信息保护认证 个人信息保护认证是跨国企业或同一经济实体处理个人信息出境业务的重要手段,该机制的适用情形和底层逻辑与欧盟的约束性企业规则类似,认证获批后即可在法定/约定范围内进行个人信息跨境传输。 2022年11月至12月我国先后发布了《个人信息保护认证实施规则》及其配套文件《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》,对开展跨境处理活动的个人信息保护认证机制作出完善。个人信息保护认证流程由五个主要环节组成,分别是认证申请、技术验证、现场审核、认证决定、获证后监督。 路径三:个人信息出境标准合同 《个人信息出境标准合同办法》(以下简称《标准合同办法》)和《个人信息出境标准合同备案指南(第一版)》(以下简称《备案指南》)对于能够采取标准合同实施个人信息跨境的主体范围进行了界定,包括: 1、非关键信息基础设施运营者; 2、处理个人信息不满100万人的; 3、自上年1月1日起累计向境外提供个人信息不满10万人的; 4、自上年1月1日起累计向境外提供敏感个人信息不满1万人的。 中国个人信息出境标准合同白皮书 根据目前规定,个人信息处理者必须同时满足上述四项条件,才能适用标准合同路径,任意一条不满足,则境内个人信息处理者应进行个人信息出境安全评估或个人信息保护认证。 纵观全球各法域的个人信息出境监管趋势,整体呈现出法规逐渐完善、路径逐渐清晰的特点。接下来我们将以中国个人信息出境过程中面临的重点问题为基础,分析个人信息标准合同的适用及落地方案。 中国个人信息出境标准合同白皮书 第二部分中国个人信息出境焦点问题及标准合同应对方案 数据出境不仅影响个人信息权益,更关乎国家安全和社会公共利益。中国监管机构正在陆续出台一系列法规对个人信息出境活动进行规制,相关企业正在面临新一轮的数据合规挑战。数据违规出境不仅会面临监管处罚风险,更会损害跨国公司的声誉,甚至触发刑事责任。接下来我们将分析个人信息出境实践中的焦点问题,并分享个人信息出境标准合同如何落地实施。 一、个人信息出境中的焦点问题 (一)境内个人信息处理者特定身份鉴别 境内个人信息处理者是否被认定为关键信息基础设施运营主体(CIIO)是首先需要关注的问题。根据《网络安全法》《关键信息基础设施安全保护条例》以及国家标准《信息
