设为首页|收藏本站|
发帖
登录 注册
西兔生活网 华人生活 移民签证 高云:《个人信息出境标准合同》的点评和建议改进(下 . ...
回复 发帖
返回列表 发新帖
开启左侧

[问答] 高云:《个人信息出境标准合同》的点评和建议改进(下 ...

[复制链接]
20862 0
24号是乔治 发表于 2022-9-7 03:25:45 | 只看该作者 打印 上一主题 下一主题
 
作者:高云
本文就中国数据跨境新规——《个人信息出境标准合同规定》及《标准合同》(征求意见稿)内容进行全面分析并提出相应的改进建议,具体分析包括标准合同的法律地位、合同框架和体系、境外接收者的主体范围、个人信息处理者和境外接收方的义务难点、个人信息主体的法律地位、合同解除、合同转让、合同备案以及实施流程重点等十一个重点问题,期待监管部门能够充分听取来自于实务界的声音,做出更好一版的《规定》和《标准合同》。
为规范个人信息出境活动,国家互联网信息办公室(下称“网信办”)于2022年6月30日发布了《个人信息出境标准合同规定(征求意见稿)》(下称《规定》)和《个人信息出境标准合同》(下称《标准合同》)。作为《个人信息保护法》(下称《个保法》)的配套制度与文件,与此前网信办发布的《数据出境安全评估办法(征求意见稿)》(下称《评估办法》)《网络数据安全管理条例(征求意见稿)》(下称《网数条例》)等规范形成了一个完整的数据跨境规范和监管体系,共同确保《个保法》第三十八条得到落实执行。
本文就《标准合同》的相关重点问题、制度创新和不足进行点评,旨在与行内人士进行专业交流。
六、关于个人信息主体的法律地位和加入方法
《标准合同》第二条第(三)款规定,个人信息主体依据本合同约定为第三方受益人,如果个人信息主体未在三十天内明确拒绝,则可以依据该合同享有第三方受益人的权利。
上述条款吸取了欧盟立法的先进经验,将个人信息主体定义为《标准合同》的“第三方受益人”,系借鉴了欧盟《关于向第三国转移个人数据的标准合同条款》的先进经验,在中国现行法律对于此类立法尚属空白的情况下,这种积极探索创新的态度值得表扬。
但需要注意的是,并非《标准合同》当中写明“沉默即代表同意”的内容,即可对合同主体之外的第三人生效,我们需要做更多工作。
因为根据《民法典》第140条规定,“……沉默只有在有法律规定、当事人约定或者符合当事人之间的交易习惯时,才可以视为意思表示”,所以,如果仅仅是《标准合同》有约定授予合同之外第三方个人信息主体拥有的合同权利,这是不足够的,仍然可能存在个人信息主体有异议的问题。
所以,高云建议用户应该分别在个人信息主体与个人信息处理者之间的协议,还有与境外接收方之间的协议当中,补上相应的同意约定,取得个人信息主体的认可更为稳妥。
七、关于联系人信息
《标准合同》开头的合同主体信息、以及正文当中的联系人信息部分,都要求写明联系人的具体情况,此举为保证个人信息主体方便联系和投诉所设,这个初衷是好的,但需要兼顾降低实际操作繁琐度的问题。
因为《标准合同》需要备案,如果将某个联系人信息固定到《标准合同》当中,就意味着联系人不能轻易更换,否则企业就可能因为更换联系人这个小事情,又需要对《标准合同》重新办理备案,这种工作其实非常浪费人力和时间。
高云建议比较简单的解决方法,是在《标准合同》当中仅作出要求合同双方都指定相应的联系人的内容即可。对于具体联系人的姓名、电话和邮箱等具体信息,不必写入《标准合同》,可以在网信部门网站上开设个人信息处理者的联系人公示栏目。如果将来企业因为工作变更或联系人离职需要更换,企业自行登录该公示栏目直接修改即可,既简单省事又能够满足要求。
八、关于合同解除权的误读和补充
1.《标准合同》对于个人信息主体授权过宽,容易引起误读
《标准合同》条款第七条指的是合同解除权,即守约方可以在发生约定情形时宣布解除合同。而《标准合同》第五条第(六)款规定了个人信息主体有权向个人信息处理者和境外接收方任何一方主张并要求履行第七条的权利,两个条款结合起来,容易引起误读的结果是,第三方受益人有权宣布解除《标准合同》。
这样的解读其实经不起推敲,因为根据《民法典》第563条规定,合同解除只能由当事人一方在发生五种法定情形之一时提出,即有权解除合同的主体不包括合同之外其他人。
高云估计,《标准合同》第五条所述的真正意思是,个人信息主体有权主张的仅仅是第七条当中的第(四)款权利,即“经双方当事人同意解除合同,但本合同的解除并不免除其在个人信息处理过程中的个人信息保护义务”,而非有权宣布解除《标准合同》。
高云认为,上述错误主要是因为合同写作技术存在问题,条款引用范围不清所致。在合同写作方法当中,避免此类错误的应对方法是尽量减少甚至杜绝条款之间的互相引用,解决错误的最好方法就是让错误的前提不存在。
2.《标准合同》当中的合同解除条款约定范围不妥,而且遗漏约定境外接收方解除权和违约方解除权两种情形
现在的《标准合同》规定较为宽广的个人信息处理者合同解除权,境外接收方的合同解除权很狭窄,这种方式不妥。在实务当中,出现上述方式的原因通常是因为合同系强势一方起草,所以内容偏向强势方。
但是,《标准合同》为政府部门所写,应当考虑同时兼顾双方利益,现在有所偏向的写法,容易予人不够公平的印象和口实,其实也没有必要。
因为数据跨境传输属于超高风险业务场景,任何一方违约都可能导致海量的个人信息外泄,影响面非常大,赋予双方尽量宽广的合同解除权,显然比赋予一方能够给予个人信息更强有力的保护,更能体现《个保法》的立法宗旨。
建议《标准合同》强化境外接收方解除权的约定。此外,《民法典》当中已有明确规定,违约方也拥有相应的合同解除权,因此《标准合同》也应当补充相应的内容。
九、关于合同转让的禁止
由于个人信息跨境提供属于超高风险业务场景,合同被转让就会导致境外接收方变动,如果变动频繁就容易增加个人信息泄露的风险。因此,限制甚至是禁止合同转让,是非常关键的一步。
但是,现在的《标准合同》版本没有对于合同转让事宜作出约定,这是比较大的一个漏洞。
不要以为在补充合同当中简单写一句“合同未经一方同意不得转让”的类似约定即可解决问题。因为根据《民法典》第545条规定,“当事人约定非金钱债权不得转让的,不得对抗善意第三人”。
换而言之,如果你在合同当中没有充分阐述写明禁止合同转让给第三方的合理理由和第三方所面临的违约和被拒绝履行等法律后果,合同双方均无权阻止合同转让发生。
如果第三方依据《民法典》规定受让了合同的权利义务,法律上即可有权要求个人信息处理者提供个人信息,这显然是非常危险的。
还有,合同转让这种行为甚至连合同备案都无法阻止,因为依据《规定》和《标准合同》,合同是先生效后备案,而且仅为形式备案,所以合同是否备案均可被转让。
十、关于合同备案的三个问题
1.关于合同备案与合同成立、生效的设计
按照《规定》,个人信息处理者可以先提供数据再备案,备案只是形式备案。《标准合同》因而写明,合同在双方签订后即生效。由此推断,似乎《标准合同》、补充协议以及备案都只是规定动作,没有太大实质意义。
其实不然,综观我国的数据安全立法,涉及数据的所有行为和内容都要求必须遵循合法性、正当性和必要性。所以,《标准合同》以及补充内容绝不能仅仅符合形式要求,还应当符合实质要求,如果有所懈怠,将给合同双方埋下一系列不可预测的地雷。如果将来一旦发生安全审查、认证评估或泄露事故,需要倒查责任时,情况就会变得一发不可收拾了。
为了帮助当事人拥有更好的风险控制能力,建议《标准合同》将合同成立和生效的约定权还给当事人,让当事人根据实际情况另行处理。
根据《民法典》第502条关于“依法成立的合同,自成立时生效,但是法律另有规定或者当事人另有约定的除外”的规定,个人信息处理者可以视风险高低程度,与境外接收者作出不同约定:
对于低风险的数据跨境流动,可以约定合同在双方签订之日成立且生效。
对于高风险的数据跨境流动,可以约定合同在签订之日成立,但在完成备案之日才生效。
2.如何避免减少不必要的反复备案?
无论是《规定》和《标准合同》,显然都没有对一旦发生《标准合同》轻微变化,例如增加多个境外接收者、基于不同目的出境、变更联系人等等,如果严格执行,则需要反复签署、评估和备案,这容易让企业浪费大量的时间精力。
在这点上,我们完全可以参考国内关于集采合同的模式设计,允许合同任何一方的关联方,以《合同加入通知》等方式,宣布加入已签署的《标准合同》项目当中,在相关主体资质和承诺要求均符合原有《标准合同》要求的前提下,豁免签订和备案《标准合同》,如此做法可以大幅简化程序,提高效率。
3.如何应对短期内同时大量并发的备案工作?
可以预见到在《规定》生效之后,将有大量企业在短期内,一起拥到网信部门办理《标准合同》备案登记。对于此类数量多、重复性强的工作,建议由国家网信部门牵头开发《标准合同》线上人工智能审查和备案登记系统提高工作效率。高云根据开发类似人工智能系统的经验认为,类似系统难度不高,开发时间不长,但能够显著提高工作效率,非常值得。
十一、关于实施流程的三大重点
高云建议客户应当围绕《标准合同》为中心制定整体实施方案,特别需要注意如下要点:
1.千万不要把《标准合同》当中一个合同模板,以为简单签名盖章了事,双方想写什么内容就贴入附件即可,正确态度是将《标准合同》作为数据出境合规工作的的关键节点和核心,围绕它开展如下三项重点工作:
第一,向前回溯,考虑如何开展个人信息影响评估、境外接收主体和委托代理人资格判断等事宜,确保合同签订的前提条件充分成就。
第二,向下深化,考虑如何对合同内容进行补充、细化、扩充、备案、成立和生效等。
第三,向后延伸,构思清楚《标准合同》签订之后如何执行保护措施、应对泄露事件、应对投诉等问题。
2.在合同项目的准备阶段,要注重做好如下工作:
第一,对于境外接收方、委托代理人的主体资格进行合法性和充分性认定。
第二,在产品前端加上相关的单独同意、告知说明和附件下载,例如“向个人信息主体告知境外接收方的名称或姓名、联系方式、附录一个人信息出境说明中的相关情况,以及行使个人信息主体权利的方式和程序等事项,并已取得个人单独同意”等相关功能页面。还有,将《标准合同》、双方签订副本(经适当遮蔽)、有效摘要等在内容展示并允许下载。
第三,做好个人信息影响评估工作。
第四,要求境外主体做好响应个人的DSR权利和救济的相应配套开发、设计和实现工作。
第五,合同双方都要做好对个人信息的日常维护保护措施、应对泄露事件、应对投诉等问题的制度和应对流程。
3.在合同内容写作和签订阶段,要注意做好如下工作:
第一,聘请专业律师团队,对于《标准合同》的内容进行适当的补充、扩张和解释,在确保补充合同内容符合欧盟等外国SCCs的同时,不要忘记更重要的是,补充合同内容必须符合我国《民法典》的相关规定。
第二,在合同签订方式上,灵活选择书面签和电子签两种方式。考虑到因为疫情原因,国际快递来回的在途时间较长,而标准合同要求在合同生效之日起10日内向省级网信部门备案,这就可能面临合同还没有寄回时已经超过生效10日的尴尬局面,所以最好选择电子签的方式。
结语
综上所述,《规定》和《标准合同》使得数据跨境监管措施的靴子终于落地,高云期待监管部门能够充分听取来自于实务界的声音,做出更好一版的《规定》和《标准合同》,大家一起为打开中国数据合规新局面共同努力。
——————————————————————

作者:
汪宏杰(笔名:高云),广东启源律师事务所高级顾问、“高云合同六法”创始人。汪宏杰于1993年成为执业律师,至今从事法律专业工作30年,长期从事不良资产、IPO、并购重组、网络安全和数据合规等方面法律事务,曾为多家国内外知名企业例如广州点动信息科技股份有限公司提供过网络服务和数据安全方面的尽职调查、风险评估、制度和体系建设等专项法律服务,系国内最早一批涉足数据法律实务并且获得丰富实务操作经验的法律专业人才之一。


上一篇:普通人怎样移民加拿大?移民加拿大的5种方法分享
下一篇:《数据出境安全评估办法》常见问题汇总、解读和场景应用 ...
标签:欧盟征求意见稿征求意见合同规定中国数据
@



1.西兔生活网 CTLIVES 内容全部来自网络;
2.版权归原网站或原作者所有;
3.内容与本站立场无关;
4.若涉及侵权或有疑义,请点击“举报”按钮,其他联系方式或无法及时处理。
举报

关联主题
回复

使用道具 举报

 
返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

24号是乔治白金会员

0关注

6粉丝

465帖子

热门图文
热门帖子
排行榜
活跃网友
返回顶部快速回复上一主题下一主题返回列表APP下载手机访问
Copyright © 2016-2028 CTLIVES.COM All Rights Reserved.  西兔生活网  小黑屋| GMT+8, 2024-5-8 19:04