国家互联网信息办公室发布的《个人信息出境标准合同办法》6月1日起正式施行。为指导和帮助个人信息处理者开展个人信息出境标准合同备案,网信办随即发布了《个人信息出境标准合同备案指南(第一版)》,规定了个人信息出境标准合同的适用范围、订立条件和备案要求,明确了标准合同范本,为个人信息出境提供了具体指引。
上海远业律师事务所律师唐建告诉记者,上述《合同办法》的出台是为了细化风险管理,平衡商业自由和监管需要。而《备案指南》的发布则是为企业提交备案材料提供了明确的指引。企业在准备标准合同备案时,须严格遵循《备案指南》的要求,逐一满足各项规定。
为企业制作出境版PIA报告提供详细模板是《备案指南》亮点之一,这份模板涵盖了自评估工作简述、出境活动整体情况、拟出境活动影响评估情况以及出境活动影响评估结论四个章节,并具体阐述了企业需进行评估的各项内容。
唐建表示,企业应当依照《备案指南》的要求,完整地罗列出所有涉及个人信息出境的数据中心的相关信息,如数据中心的名称、详细地址及对应系统等,不能错误地认为第三方数据不需要企业填写。根据《备案指南》附件2提供的《经办人授权委托书(模板)》,个人信息出境标准合同备案经办人应为个人信息处理者单位内部工作人员。这也反映出相关部门更倾向于与企业内部人员直接联系,推进相关数据出境合规工作。这也对企业内部配备专业合规人员,提出了更高的要求。
同时,企业进行备案工作时一定要留出充足的时间。根据《备案指南》规定,省级网信办收到材料后,会在15个工作日内完成材料查验,并通知个人信息处理者备案结果。如果个人信息处理者被要求补充完善材料的,则个人信息处理者应当在10个工作日内再次提交备案材料。补充或者重新备案的材料查验时间为15个工作日。
如果在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;可能影响个人信息权益的其他情形。
“企业如果可以顺利一次性通过材料查验,15个工作日便能备案通过。如果需要补充完善材料的,可能需要至少40个工作日才能取得备案结果。”唐建表示,根据过往的经验来看,企业补充完善材料的可能性很大,因此一定要提早准备备案事宜。
值得注意的是,《备案指南》明确了备案的结果分为通过和不通过两种情形。在汉坤律师事务所律师段志超看来,这说明主管部门可能对备案材料开展实质审查。对于未通过备案的企业,《备案指南》并未规定相关企业可能会承担何种责任。按照《标准合同办法》第6条以及第7条的规定,备案并非标准合同生效的先决条件,个人信息处理者在标准合同生效后方可开展相关出境活动。
相关企业如果未能通过标准合同备案,对其相关个人信息的出境活动是否存在影响。段志超表示,考虑到相关企业未能通过备案的原因可能是备案所涉合同和《标准合同办法规定》有冲突或个人信息保护影响评估存在问题,进而导致其个人信息处理可能会被认定为存在违反《个人信息保护法》,因此我们认为备案不通过可能导致企业被责令终止个人信息出境活动,甚至面临其他行政处罚的风险。