2.《标准合同》的合同条款结构
《标准合同》按照中国法下民事合同从设立到履行、再到可能解除或终止的“合同生命周期”管理的过程进行设计,属于国际上普遍认可的合同条款的结构形式。《标准合同》主要条款有九条,囊括了定义、个人信息处理者的义务、境外接收方的义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利、救济、合同解除、违约责任以及其他通用条款,符合《民法典》的合同体系化要求,紧密围绕个人信息保护打造,特别突出了对第三方受益者“个人信息主体权利”的事前保护和事后“救济”机制,构成了合同中第三方权益的强化约定,是《民法典》第522条等在数据处理类合同中的细化,并具有《个人信息保护法》的鲜明特色。
三、《标准合同》主要条款解读与适用
1.个人信息处理者的义务
《标准合同》第二条以(境内)个人信息处理者单方陈述、保证和承诺的方式直接规定了其法律义务,其中个人信息保护影响评估是签订《标准合同》之前,或者说至少不晚于签订时应完成的事项。个人信息保护影响评估报告属于备案材料。
2.境外接收方的义务
境外接收方的义务主要面向(境内)个人信息处理者和个人信息所涉及的主体本身两方面进行规定。由于《标准合同》制定目的之一是“确保境外接收方处理个人信息的活动达到中国相关法律法规规定的个人信息保护标准”,即对出境后的个人信息仍能实施有效保护,因此第三条境外接收方的义务成为《标准合同》最复杂的条款。
3.境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响
《标准合同》第四条要求合同双方从勤勉尽责出发进行保证和声明,主要考虑内容包括:(1)境外接收方过往的个人信息活动实践,包括执法和司法要求提供个人信息及其应对等情况的披露;(2)对境外接收方所在国家或者地区的个人信息保护政策法规、执法司法机构、标准等进行整体披露;(3)政策法规发生变化时的通知义务,直至解除合同。
4.个人信息主体的权利和救济
《标准合同》规定的个人信息主体权利是对《个人信息保护法》第四章内容的合同化,但个人信息主体非《标准合同》的合同方,因此《标准合同》对“第三方”个人信息主体设置权利时充分考虑了可接受和可行性,同时避免对个人信息主体设置任何义务或障碍。
可接受和可行性的考虑主要体现为:(1)个人信息主体可以分别、单独向个人信息处理者或境外接收方主张权利;(2)境外接收方应当以显著方式、清晰易懂的语言真实、准确、完整地告知个人信息主体相关信息,这一要求体现为境外接收方应主要通过可访问的隐私政策、可切换语言种类的不同页面,具有辨识度的请求和投诉联络方式;(3)境外接收方同意个人信息主体就合同争议的解决依据为中国相关法律法规等等。
5.合同解除与违约责任
作为典型的合同条款,《标准合同》规定了合同解除的触发情形和可能导致的违约责任,特殊考虑在于在合同解除与违约责任中需要充分考虑个人信息主体的权利,由于个人信息主体往往并不能第一时间获知数据泄露或其他损害其权益的情况,这也对条款设计的协调与呼应提出更高要求。例如无论何种情形导致合同解除,境外接收方应及时返还、销毁或匿名化处理其根据合同所接收到的个人信息(包括所有备份),并向个人信息处理者提供书面说明。删除个人信息从技术上难以实现的,应当停止存储和采取必要的安全保护措施之外的处理。
四、总结与展望构筑了基于合同出境的个人信息保护的最低约束条件,体现了中国对个人信息保护的多层次、高规格要求
从国际经验来看,在国际间政策法律和安全环境缺乏充分性认定,认证机构和结论的互通互认、信任基础存在较大差异的当前,《标准合同》因其灵活便捷和风险有限,可以成为个人信息跨境使用的重要法律工具,并在合同的相对性中回应各方利益需求的不断变化。整体来看,我国《办法》和《标