金诺法谈 | 跨国企业个人信息出境标准合同备案项目的 实务方法与监管洞察
2023-11-02464一、个人信息出境流程监管尺度的或有变化与宏观建议
自《个人信息出境标准合同办法》(“标准合同办法”)和《个人信息出境标准合同备案指南(第一版)》生效以来,《个人信息保护法》下个人信息出境的第三条路经——标准合同路径已经正式落地。(注1)按照标准合同办法第十三条关于6个月过渡期的规定,相关企业应当在2023年11月30日前完成备案前的整改工作(注2),达到个人信息出境的合规标准。因此,众多不需要办理数据出境安全评估的国内跨国企业,已经纷纷启动了标准合同签署的准备工作。但依然还有很多中小型跨国企业,尚未注意到上述国内监管要求,或者虽然有所了解,但未能意识到该规定的重要性以及相关工作的紧迫性。
也正是在以上过渡期内,国家互联网信息办公室又于2023年9月28日公布了《规范和促进数据跨境流动规定(征求意见稿)》(“征求意见稿”或“新规”),对于为实施人力资源管理所必需的员工个人信息出境,以及预计1年内出境人数不满1万人的个人信息出境场景,释放了更加便利的出境监管信号。
因此,无论是已经启动标准合同签署工作的跨国公司,还是依然在观望中的跨国公司,在这一重大利好信号面前,均提出同样的问题,即“我公司个人信息出境的场景均是开展跨国业务和实施人力资源管理所必需的,而且出境人数未超过1万人,是否意味着将来可以无需签署标准合同即可直接进行个人信息出境了?”
在回答上述问题之前,对于上述政策,我们的理解可以概括为以下三句话:
(1)宏观层面,监管趋势势必会放宽对开展业务所必需、实施人力资源管理所必需、人数规模不大、敏感程度不高的场景下的个人信息出境监管。
(2)相关企业即便未来确实无需签署标准合同并备案,境内的个人信息处理者依然要履行《个人信息保护法》项下的各项合规义务,包括个人信息影响保护评估(“PIA”)、取得个人单独同意等。
(3)即便正式规定和征求意见稿内容完全一致,其具体的解读和适用,依然需要本着谨慎的态度,并有待在实践中持续观察。
基于上述理解,我们认为,现阶段,跨国公司不宜再采取观望态度,而是应当抓紧启动个人信息出境流程,同时保持对以上新规的持续观察,并在实务工作中提前做好应对。
本文将从实务层面总结中小型跨国企业在现阶段开展个人信息出境合规工作的方法论,以及在新规最终出台情况尚不确定的当下,企业可以从哪些方面做好提前应对,以不变应万变。
二、中小规模跨国企业个人信息出境标准合同项目的实务方法论
中小规模跨国企业境内个人信息出境往往带有如下特征:
(1)出境场景多为境内员工个人信息出境、境内供应商和客户联系人的个人信息出境;
(2)出境人数规模不大,敏感度不高,大都是开展跨国业务和集团全球化管理所必需。
因此,中小规模跨国企业的个人信息出境流程多为标准合同路径。
如前文所述,即便未来此类场景无需再签订标准合同和备案,境内主体作为个人信息出境方,依然要履行《个人信息保护法》项下的各项合规义务,因此境内主体需要就个人信息出境开展PIA工作,并借助PIA工作发现合规薄弱事项,进行优化整改,落实国内各项合规要求。
基于我们的过往经验,境内主体开展PIA工作,可以按照准备——实施——整改——完成——建立可复用工具这几大环节来具体开展。以下通过表格方式对各环节的工作框架进行归纳总结:
三、新规出台前的应对工作
我们理解,跨国公司在目前新规正式出台内容不确定的当下,应当采取应对措施。主要包括以下方面:
首先,从意识层面,不要对未来无需签订标准合同和备案抱有侥幸心理。
第二,对于境内存在多个主体,多个主体布局于不同省份,多个主体均有个人信息出境场景,且场景类型不同的跨国企业来说,建议企业在开展PIA工作前,依然按照假定需要备案标准合同的思路,与主管部门进行沟通,落实申报路径和签约主体的选择问题,并在此基础上进行PIA梳理和盘点工作。以便在确定需要签署并备案标准合同的情况下,能够快速和现有PIA工作进行衔接。
第三,建议企业持续关注新规最终出台情况以及监管部门是否针对细节问题配合出台配套解读,例如:
(1)对于豁免进行标准合同备案的情形,是否连同签署标准合同一并豁免?若是,如何进一步与《个人信息保护法》第三十八条规定的个人信息出境三条基本路径相匹配?
(2)为实施人力资源管理所必需而向境外提供境内员工个人信息的场景,是否包括业务系统本就搭建在境外,境内公司向境外集团总部提供境内员工个人信息,用于国内员工登录境外系统,完成境内公司的本职工作这一场景?
(3)对于“实施人力资源管理所必要”,应当如何进行理解?恐怕不宜简单理解为,在人力资源管理场景下,员工的全部出境字段都默认为具有出境的必要性。
(4)预计一年内向境外提供不满1万人个人信息的,也属于豁免签订标准合同的情形。但被直接豁免申报的基于人力资源管理必要性出境的员工人数,是否合并计算到该1万人范围内?
以上问题,均有待在新规出台时进行进一步解释,以及在后期实践过程中不断完善。
注释
注1:《个人信息保护法》第三十八条第一款规定:个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。
注2:标准合同办法第十三条规定:“本办法自2023年6月1日起施行。本办法施行前已经开展的个人信息出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。”