1.适用《标准合同》的主体限定
《办法》对于能够采取《标准合同》实施个人信息跨境的主体范围进行了非常明确的界定,包括:非关键信息基础设施运营者;处理个人信息不满100万人的;自上年1月1日起累计向境外提供个人信息不满10万人的;自上年1月1日起累计向境外提供敏感个人信息不满1万人的。个人信息处理者必须同时满足上述四项条件,才能够适用《标准合同》。
2.基于合同出境的个人信息保护最低约束条件
《标准合同》明确其制定直接目的在于“为了确保境外接收方处理个人信息的活动达到中华人民共和国相关法律法规规定的个人信息保护标准”、“明确个人信息处理者和境外接收方个人信息保护的权利和义务”。基于此目的设置了个人信息出境活动中,作为境外接收方的外国企业、组织等实体的最低合同义务要求,并通过合同对各方权利义务的合理分配、法律适用与违约责任等予以规定,保障了对个人信息出境活动的各方管理制度、安全技术措施的验证与追责,使得个人、境内外企业组织等实体完全可以通过民事诉讼等方式维护自身合法权益,而无需动辄启动公权力。
3.民事合同层面的优先适用与效力
根据《标准合同》第九条,个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同如与《标准合同》冲突,《标准合同》条款优先适用,且个人信息处理者和境外接收方不能对《标准合同》的内容进行调整或删减,否则将视为未签订《个人信息保护法》第38条规定的标准合同。而如果未签订《标准合同》,则可能导致对《个人信息保护法》出境条件的不符合而承担不利法律后果。
若各方确需对个人信息的出境情况进行补充,补充条款不应对《标准合同》条款进行任何效力修订、否定或排除,不得与《标准合同》相冲突,并不得规定低于《标准合同》设置的义务和责任,特别是不得对个人信息主体的权利及其行使设定任何障碍或限制。
还需要注意,签订和履行《标准合同》仅是从民事合同层面约定的各方权利义务,以及违反合同约定的民事责任,并不能当然减轻或免除个人信息处理者因违反《个人信息保护法》而导致的其他法律责任。
4.《标准合同》的生效条件与备案性质
1.属于业务主合同下个人信息处理的特别约定
《标准合同》在开篇的背景描述(也称“鉴于条款”)中即明确,为境内外双方商务、业务等(法律商事活动)主合同的某种附件、补充或特别约定,并非单独设计,而是贴合企业、组织等实体的真实业务需求,和对《个人信息保护法》规定的“因业务等需要”,确需向境外提供个人信息的准确回应。
2.《标准合同》的合同条款结构
1.个人信息处理者的义务
《标准合同》第二条以(境内)个人信息处理者单方陈述、保证和承诺的方式直接规定了其法律义务,其中个人信息保护影响评估是签订《标准合同》之前,或者说至少不晚于签订时应完成的事项。个人信息保护影响评估报告属于备案材料。
2.境外接收方的义务
境外接收方的义务主要面向(境内)个人信息处理者和个人信息所涉及的主体本身两方面进行规定。由于《标准合同》制定目的之一是“确保境外接收方处理个人信息的活动达到中国相关法律法规规定的个人信息保护标准”,即对出境后的个人信息仍能实施有效保护,因此第三条境外接收方的义务成为《标准合同》最复杂的条款。
3.境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响
《标准合同》第四条要求合同双方从勤勉尽责出发进行保证和声明,主要考虑内容包括:(1)境外接收方过往的个人信息活动实践,包括执法和司法要求提供个人信息及其应对等情况的披露;(2)对境外接收方所在国家或者地区的个人信息保护政策法规、执法司法机构、标准等进行整体披露;(3)政策法规发生变化时的通知义务,直至解除合同。
4.个人信息主体的权利和救济
《标准合同》规定的个人信息主体权利是对《个人信息保护法》第四章内容的合同化,但个人信息主体非《标准合同》的合同方,因此《标准合同》对“第三方”个人信息主体设置权利时充分考虑了可接受和可行性,同时避免对个人信息主体设置任何义务或障碍。
可接受和可行性的考虑主要体现为:(1)个人信息主体可以分别、单独向个人信息处理者或境外接收方主张权利;(2)境外接收方应当以显著方式、清晰易懂的语言真实、准确、完整地告知个人信息主体相关信息,这一要求体现为境外接收方应主要通过可访问的隐私政策、可切换语言种类的不同页面,具有辨识度的请求和投诉联络方式;(3)境外接收方同意个人信息主体就合同争议的解决依据为中国相关法律法规等等。
5.合同解除与违约责任
从国际经验来看,在国际间政策法律和安全环境缺乏充分性认定,认证机构和结论的互通互认、信任基础存在较大差异的当前,《标准合同》因其灵活便捷和风险有限,可以成为个人信息跨境使用的重要法律工具,并在合同的相对性中回应各方利益需求的不断变化。整体来看,我国《办法》和《标准合同》对个人信息跨境场景给出了一致性而又留有弹性空间的标准合同范本,结构体系基本完备,内容聚焦个人信息主体权利保护,有助于个人信息处理者简化跨境合规流程,反映了当下个人信息处理者在进行出境评价、评估时的重点关注,切实考虑了个人信息跨境的不同法域冲突与协调问题,其施行有助于个人信息处理者、境外接收方等实体梳理各方权利义务,将技术措施、管理制度等要求落地到可举证、可追责的程度。
对于越发多元化的中国数字经济模式而言,如何借助于包括《标准合同》、安全评估等在内的个人信息跨境法律工具,充分发挥法律、管理和技术的不同聚合、叠加、去重、互补的安全保障和规范功能,同时开展实施后的效果反馈和使用评估,《办法》的尝试值得期待。