2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》),对个人信息出境标准合同(以下简称《标准合同》)的适用条件和备案监管等作了具体规定,自2023年6月1日起施行。《办法》的施行,反映了尊重国际规则又适应中国国情的个人信息出境监管体系的新发展。
一、《标准合同》的适用主体、保护目的、效力范围与生效条件
1.适用《标准合同》的主体限定
《办法》对于能够采取《标准合同》实施个人信息跨境的主体范围进行了非常明确的界定,包括:非关键信息基础设施运营者;处理个人信息不满100万人的;自上年1月1日起累计向境外提供个人信息不满10万人的;自上年1月1日起累计向境外提供敏感个人信息不满1万人的。个人信息处理者必须同时满足上述四项条件,才能够适用《标准合同》。
2.基于合同出境的个人信息保护最低约束条件
《标准合同》明确其制定直接目的在于“为了确保境外接收方处理个人信息的活动达到中华人民共和国相关法律法规规定的个人信息保护标准”、“明确个人信息处理者和境外接收方个人信息保护的权利和义务”。基于此目的设置了个人信息出境活动中,作为境外接收方的外国企业、组织等实体的最低合同义务要求,并通过合同对各方权利义务的合理分配、法律适用与违约责任等予以规定,保障了对个人信息出境活动的各方管理制度、安全技术措施的验证与追责,使得个人、境内外企业组织等实体完全可以通过民事诉讼等方式维护自身合法权益,而无需动辄启动公权力。
3.民事合同层面的优先适用与效力
根据《标准合同》第九条,个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同如与《标准合同》冲突,《标准合同》条款优先适用,且个人信息处理者和境外接收方不能对《标准合同》的内容进行调整或删减,否则将视为未签订《个人信息保护法》第38条规定的标准合同。而如果未签订《标准合同》,则可能导致对《个人信息保护法》出境条件的不符合而承担不利法律后果。
若各方确需对个人信息的出境情况进行补充,补充条款不应对《标准合同》条款进行任何效力修订、否定或排除,不得与《标准合同》相冲突,并不得规定低于《标准合同》设置的义务和责任,特别是不得对个人信息主体的权利及其行使设定任何障碍或限制。
还需要注意,签订和履行《标准合同》仅是从民事合同层面约定的各方权利义务,以及违反合同约定的民事责任,并不能当然减轻或免除个人信息处理者因违反《个人信息保护法》而导致的其他法律责任。
4.《标准合同》的生效条件与备案性质
《办法》第七条要求个人信息处理者应当在《标准合同》生效之日起10个工作日内,向所在地省级网信部门备案。该条明确了《标准合同》的生效不依赖于备案或任何前置条件,备案《标准合同》不属于行政许可,即使未备案,也不影响合同本身的有效性,充分尊重各方当事人的意思自治,但同样这不影响因违反《个人信息保护法》而产生的相关行政责任。如果在合同有效期内发生重大的约定事项变化,个人信息处理者需要补充或者重新签订《标准合同》并备案。
二、《标准合同》的体系结构与形式完备性
1.属于业务主合同下个人信息处理的特别约定
《标准合同》在开篇的背景描述(也称“鉴于条款”)中即明确,为境内外双方商务、业务等(法律商事活动)主合同的某种附件、补充或特别约定,并非单独设计,而是贴合企业、组织等实体的真实业务需求,和对《个人信息保护法》规定的“因业务等需要”,确需向境外提供个人信息的准确回应。