跳转到主要内容

文章分类

2022年6月30日,中国网络空间管理局(“CAC”)发布了期待已久的个人信息出口标准合同草案(“标准合同”),以及标准合同规则草案(“规则”)。对标准合同在企业跨境数据传输策略中的应用和要求进行分析至关重要,因为签署标准合同预计将是实现个人信息从中国大陆国际传输的最常用方法。Linklaters的Alex Roberts和Yang Fan以及赵盛律师事务所的Tiantian Ke研究了标准合同最新草案的关键方面,并与欧盟2021标准合同条款(“欧盟SCCs”)进行了比较。

出身背景

过去几周,关注与来自中国大陆的个人信息跨境传输相关的监管动态已成为日常事务,自2021《中华人民共和国个人信息保护法》(“PIPL”)于2021年11月1日生效以来,监管动态几乎同样频繁。

PIPL采用了三种主要的转移机制:

  • 通过CAC领导的安全评估,该评估仅适用于触发2022年9月1日生效的实施措施中规定的某些阈值的组织;
  • 从授权机构获得认证,由于其约束性规则尚未发布,基础计划的实施仍然未经测试;和
  • 与上述其他两种机制相比,签署标准合同似乎是一种相对商业友好的方法,国际企业可能会寻求依赖这种方法。

与欧盟SCC的比较

对于许多受通用数据保护条例(条例(EU)2016/679)(“GDPR”)约束并已实施欧盟SCC的跨国公司来说,也许好消息是标准合同受到欧盟SCC制度的极大影响。尽管如此,虽然标准合同类似于欧盟SCC,但它似乎在许多方面与欧盟SCC有所不同,如适用范围、总体结构以及它承担的额外备案义务。了解这两种制度之间的合规差距对于寻求将标准合同和欧盟SCC作为其国际数据传输战略一部分的企业至关重要。

我们在下面列出了一个对比图,突出了中国标准合同和欧盟标准合同之间的一些关键问题。

关键问题

中国标准合同

EU SCCs

比较

适用范围

标准合同可用于某些场景,即如果个人信息处理器(类似于GDPR下的控制器):

  • 不是关键信息基础设施运营商;
  • 处理不超过100万个人的个人信息;
  • 自上一年1月1日以来,累计向境外接收者提供的个人信息总数不超过100000人;和
  • 自上一年1月1日以来,已累计向境外接收者提供了总计不超过10000人的敏感个人信息。

欧盟SCC一般适用于向欧盟以外未获得充分性决定的第三国进行的任何转让。

然而,它们不适用于数据进口商也受GDPR约束的情况,在这种情况下,欧洲数据保护委员会(“EDPB”)将发布一套单独的条款。

完全不同

总体结构

一刀切的方法

虽然我们知道中国当局首先考虑了一种两个模块的方法,比如

在香港(请参阅此处的Insight文章),标准合同的草案格式已经发布,只有一种格式:由个人信息处理者和海外接收者签署。

四模块方法:

欧盟SCC可用于传输:

从一个控制器到另一个控制器(“C2C”);

从控制器到处理器(“C2P”);

从一个处理器到另一个处理器(“P2P”);和

从处理器到其指定控制器(“P2C”)。

完全不同

合同的灵活性

存在一定程度的灵活性。特别是,标准合同有一个空白的附录II,在附录II中,只要不与标准合同相矛盾,合同双方可以就额外条款达成一致(在这种情况下,以标准合同为准)。

欧盟SCC可纳入更广泛的合同,并辅以其他条款或附加保障措施,前提是这些条款不与欧盟SCC相抵触,也不损害数据主体的基本权利或自由。

大致对齐

合同前步骤:转让影响评估

个人信息处理者必须进行个人信息保护影响评估(“PIPIA”),该评估需要在任何数据导出之前根据PIPL进行,包括评估有关个人信息保护的当地政策和适用法律对遵守标准合同的影响。

PIPIA必须保留三年。

数据导出没有强制性的数据保护影响评估要求,但根据EDPB指南,需要进行传输影响评估(“TIA”)。

对于保留TIA记录,没有具体的保留要求。

存在差异,但有一定的相似性

合同后步骤:备案程序

申请程序适用。个人信息处理者必须在标准合同生效之日起十天内向其所在地的省级CAC提交其标准合同和PIPIAs报告。

如果发生可能影响个人信息利益的某些变更,则必须重新签署标准合同并重新提交备案。

没有备案义务,但某些咨询要求可能在有限的情况下适用,例如,对是否可以使用欧盟SCC进行个案分析,并且根据TIA结果,数据输出方可能需要实施补充措施并与主管监管机构协商。

完全不同

遵守数据处理原则和保障措施

根据PIPL要求,各方必须遵守合法处理、透明度、最低必要性、存储限制、安全和问责制的义务和原则。

根据GDPR要求,各方必须遵守合法处理、透明度、最低必要性、存储限制、安全和问责制的义务和原则。

大致对齐

接受监督机构的监督

个人信息处理方保证对监管机构的询问做出回应,除非双方同意离岸接收人将做出回应,在这种情况下,如果离岸接收人未能在规定时限内做出回应,个人信息处理人仍必须做出回应。

离岸接收方必须接受监管机构在标准合同实施过程中的监督和管理。

各方必须能够证明合规性,并根据要求向监管机构提供文件。

数据导入方必须接受主管监管机构的监督,包括回复询问、配合监管机构的审计并遵守监管机构采取的措施。

双方必须能够证明合规性,并根据要求向监管机构提供文件。

大致对齐

管辖法律和管辖权的选择

标准合同仅受中华人民共和国(“中国”)法律法规的管辖。

当个人信息处理方和离岸接收方之间发生争议时,他们只能通过仲裁(通过《承认及执行外国仲裁裁决公约》成员的仲裁机构)或在中国法院进行的诉讼来解决争议。

如果数据主体对作为第三方受益人的个人信息处理方或离岸接收方提起诉讼,则应根据《中华人民共和国民事诉讼法》的规定确定管辖权。

根据四个模块:

C2C:各方必须选择任何欧盟成员国的管辖法律和法院管辖权,前提是此类法律选择允许第三方受益人权利。

C2P或P2P:各方必须选择数据出口商所在欧盟成员国的管辖法律,前提是此类法律选择允许第三方受益人权利;双方必须就任何欧盟成员国法院的管辖权达成一致。

P2C:当事人可以选择任何管辖法律和任何法院的管辖权,前提是此类法律选择允许第三方受益人权利。

数据主体还可以向其惯常居住地所在的欧盟成员国法院提起针对数据出口商和/或数据进口商的法律诉讼。

完全不同

数据处理术语

省略了数据处理术语(特别是考虑到“一刀切”的方法)。其中一个含义是,在控制器-处理器场景中,必须另外包含单独的处理术语,以反映PIPL下的要求。

包括GDPR第28条规定的处理器术语。

完全不同

这对你意味着什么?

一旦标准合同实施,已采用包含欧盟SCC的内部国际集团数据传输协议的范围内组织将需要重新审查其集团内协议,并制定反映标准合同的附加条款,以符合中国的国际数据传输规则。然而,中国当局仍需澄清几个问号,例如标准合同是否必须作为一个整体纳入,标准合同可以修改到什么程度,以及如何处理额外的P2P和P2P传输,因为标准合同的当前范围似乎不包括此类传输。

虽然目前草案下一立法步骤的具体时间表尚未公开,但我们预计,由于另一种传输机制(即数据输出安全评估)已经敲定,规则草案和标准合同可能会在相对较短的时间内敲定。至关重要的是,在中国境内或与中国开展跨境业务的组织将需要完成全面的数据保护检查,并评估他们可能使用或必须遵守哪些对外传输机制-如果他们没有这样做,现在可能是最后一次。

本文:https://cioctocdo.com/international-chinas-draft-standard-contract-cros…

文章链接