2022年6月30日,中國的國家互聯網信息辦公室(“網信辦”)發表了許多國際企業關注的《個人信息出境標準合同》(”標準合同”)草案,以及《個人信息出境標準合同規定》(”合同規定”)草案。分析《標準合同》對於企業進行跨境數據提供非常重要,因為簽署《標準合同》預計將成為中國境內個人信息提供給境外最主要的方式,以下本文介紹《個人信息出境標準合同》以及歐盟2021年的歐盟標準契約條款(”EU SCC”)
什麼是數據出境?
一般情況想到個人資料出境或是個人信息出境都是想到個人資料檔案整包傳遞到境外的公司或個人,但是出境遠遠超過我們的想像。以下為中國網信辦針對記者提問的回答。
问:《办法》所称数据出境活动是指什么?
《数据出境安全评估办法》答记者问_中國網信網
答:《办法》所称数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。
歐盟個人資料保護委員會the European Data Protection Board (“EDPB”) EDPB針對此事說明為
An “exporter” must transmit or otherwise make personal data available to an “importer”.
Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR
從上面兩大權威機關的解釋來看,個資的跨境傳輸不是只侷限在整包資料透過電子郵件、傳遞儲存裝置的方式提供,而是包含使其獲得讀取權限。
例如A企業將其個人資料檔案庫開放讀取權限給境外的人,使得境外B企業可以透過帳號密碼登入訪視A企業所保有的個人資料時,這就構成跨境傳輸/提供!
中國個保法規範三種關於跨境傳輸的義務
中國個保法第38條規定
(一)依照本法第四十條的規定通過國家網信部門組織的安全評估;
(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;
(三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;
(四)法律、行政法規或者國家網信部門規定的其他條件。
中國版《標準合同》與EU SCC的比較
中國版的個人信息保護法以及相關的規定,主要架構還是沿用了歐盟GDPR的規範,並且在GDPR的架構下以下直接進行兩者的比較,方便讀者可以快速的進入這兩者的內容,
| 議題 | 中國《標準合同》 | EU SCC | 差異 |
| 適用範圍 | (一)非關鍵信息基礎設施運營者; (二)處理個人信息反對100人的; (三)自上年1月1日累計向外界提供未達到10個人信息的; (四)自上年1月1日累計向外界提供未達到1人敏感個人信息的。 | 一般適用於將資料轉移到歐盟境外的國家,且這些國家未取得適足性認證( not been granted an adequacy decision) | 適用範圍具有重大差異 |
| 整體架構 | 無區分模組,只要是資料處理者轉離到境外的主體皆須適用 | 2021年SCC改版,採取模組化的結構,依照資料主體間不同的角色進行資料的交換與轉移。分成四種模組 控制者移轉到控制者 控制者移轉到處理者 處理者移轉到另一處理者 處理者到其所指定的控制者 | 整體架構具有重大差異 |
| 額外約定約款 | 只要在不違反標準合同範圍下,可以任意約定不同約款,皆是有效 | EU SCC作為合約附件,是可以與其他合約並存,且只要是不違反EU SCC下皆為有效 | 約略一致 |
| 締約前:保護影響評估 | 個人信息處理者必須進行個人信息保護評估(’PIPIA’),根據 中國個保法的要求,在個人信息提供中國境外之前都必須評估,包括評估有關個人信息保護的當地政策和適用的法律對符合標準合同的影響 | 對個人信息移轉境外無明確的保護影響評估要求,但需要根據 EDPB 進行轉移影響(“TIA”) | 存在差異,但差異不大 |
| 締約後義務 | 事後報備制。個人信息處理者需要在合約生效十天內提供標準合同與相關報告給省級主管機關。且該個人信息移轉產生重要變化時需要再重新履行影響評估與簽訂合約 | 無任何事後報備的要求 | 嚴重差異 |
| 安全港條款 | 須符合中國個保法的要求 | 需與GDPR規定一致 | 約略一致 |
| 監管部門 | 個人信息處理者必須回應監管部門的要求。且境外個人信息接受方依照標準合同條款也需要在合約結構底下接受監管部門的監督 | 境外接收方需要在SCC底下接受主管機關的監督,且需要回應主管機關的監督 | 約略一致 |
| 準據法與管轄法院選擇 | 標準合同必須由中國法律解釋、管轄 當有任何境外接收方與中國境內提供方發生爭議發生時,需要由仲裁方式解決或是由中國法院解決 個人信息主體有任何針對境內提供方或是境外接收方爭議時,需要由中國的涉外法律適用法來決定管轄 | 依照四個不同模組來決定準據法 | 嚴重差異 |
| 個資處理條款 | 此條款於中國個保法體系被省略 | 個人處理條款需適用 GDPR 第28條 | 嚴重差異 |
為什麼這重要
跨國集團,特別是有在中國營業據點的集團,如何資料跨國傳輸就非常重要。尤其在中國監管未來更用力監督之下,用數據三法如何整改跨國企業雖然還不明確,但目前還是需要完備所有法規要求才是最安全的方式。
且依照《數據出境安全評估辦法》第20條:「本办法自2022年9月1日起施行。本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。」
延伸資料
你想更了解歐盟GDPR可參考以下連結
GDPR條文:https://gdpr-info.eu
歐盟官方直屬機構認證課程(有中文字幕):https://pinkrose.info/2xweI