作者丨陳際紅 陳煜烺 林婉琪 張媛媛

2023年2月24日,國家網(wǎng)信辦發(fā)布《個人信息出境標準合同辦法》(以下簡稱“《辦法》”)及其附件《個人信息出境標準合同》(以下簡稱“《標準合同》”),并于6月1日正式實施。正式稿塵埃落定,也意味著繼《數(shù)據(jù)出境安全評估辦法》、《網(wǎng)絡安全標準實踐指南—個人信息跨境處理活動安全認證規(guī)范V2.0》(以下簡稱“《認證規(guī)范》”)后,《個人信息保護法》(以下簡稱“《個保法》”)第三章所確立的個人信息跨境傳輸三大機制正式落地。

整體上,本次正式稿沿用了《個人信息出境標準合同規(guī)定(征求意見稿)》的立法理念、規(guī)則框架以及監(jiān)管模式,關(guān)于此部分的解讀,請見此前文章:

中國版標準合同條款揭開面紗,能否成為個人信息出境的通途(一)?

中國版標準合同條款揭開面紗,能否成為個人信息出境的通途(二)?

本文將就企業(yè)應對《辦法》的相關(guān)焦點問題進行解讀,并結(jié)合我們的跨境項目經(jīng)驗,為企業(yè)提供具有針對性的實操應對方案。

一、如何適配三種數(shù)據(jù)跨境傳輸機制?三種數(shù)據(jù)跨境機制有何差別?

針對個人信息及重要數(shù)據(jù)[1]出境活動,《個保法》《數(shù)據(jù)出境安全評估辦法》確立了“申報安全評估”“訂立標準合同并備案”“開展個人信息保護認證”三種數(shù)據(jù)跨境傳輸機制,結(jié)合我們在大量跨境項目中的實戰(zhàn)經(jīng)驗,建議企業(yè)在適配出境機制時可遵循“兩步走”原則,第一步為識別法定觸發(fā)場景,第二步為選擇最佳出境機制。

第一步:識別法定觸發(fā)場景

企業(yè)應首先識別出境場景是否屬于依法需申報安全評估的情形,如觸發(fā),則直接選擇申報安全評估作為出境機制。需注意,企業(yè)不得采取數(shù)量拆分等手段規(guī)避安全評估的申報(《辦法》第四條)。

第二步:選擇最佳出境機制

如未觸發(fā)申報安全評估,則可進入第二步,結(jié)合本次出境所涉及的業(yè)務活動及數(shù)據(jù)情況,針對性地選擇最佳出境機制,即訂立《標準合同》或開展個人信息保護認證。具體可參考如下因素:

一是考慮個人信息出境活動的期限和頻次。對于短期、臨時性的個人信息出境行為,或跨境交易中場景清晰的個人信息出境,作為基礎(chǔ)性機制,《標準合同》具有時效快(合同生效后即可出境)、成本低的優(yōu)點,適合企業(yè)在開展跨境業(yè)務時,將其作為附件與業(yè)務活動的主合作協(xié)議一并進行磋商、簽署,而無需第三方認證機構(gòu)介入。

二是考慮開展個人信息出境活動的主體。針對集團關(guān)聯(lián)公司之間的跨境傳輸,鑒于集團關(guān)聯(lián)公司間的業(yè)務關(guān)系較為穩(wěn)定,制定并遵循統(tǒng)一的個人信息跨境處理規(guī)則較易實現(xiàn),采用個人信息保護認證的方式有助于“一攬子”解決多個境內(nèi)實體的出境問題。此外,以跨境活動作為產(chǎn)業(yè)生態(tài)鏈的企業(yè),亦宜選擇個人信息保護認證作為出境機制。

具體見下圖:

針對三種跨境機制,其主要差別如下表:

二、相比征求意見稿,正式稿有哪些核心變化?

針對《辦法》,正式稿主要有如下核心變化:

  • 進一步強調(diào)與申報安全評估的分野,并新增例外情形。正式稿新增了禁止個人信息處理者采取數(shù)量拆分等手段規(guī)避申報安全評估的規(guī)定,并就《標準合同》的適用范圍增加了“法律、行政法規(guī)或者國家網(wǎng)信部門另有規(guī)定的,從其規(guī)定”的例外規(guī)定。(《辦法》第四條)

  • 明確《標準合同》文本不可修改。締約雙方可以約定與《標準合同》不相沖突的其他條款,但不得修改《標準合同》文本;同時,國家網(wǎng)信部門有權(quán)對《標準合同》文本進行調(diào)整。(《辦法》第六條)

  • 新增重新開展個人信息保護影響評估的義務。如觸發(fā)法定事項,除征求意見稿所明確的“補充或重新訂立《標準合同》并重新備案”外,正式稿提出個人信息處理者還應重新開展個人信息保護影響評估。(《辦法》第八條)

  • 新增“約談并要求整改”的風險控制手段。正式稿新增規(guī)定,對于個人信息出境活動存在較大風險或者發(fā)生個人信息安全事件時,網(wǎng)信辦可以采取約談手段,并要求個人信息處理者相應整改以消除隱患。(《辦法》第十一條)

  • 新增6個月整改期限。正式稿明確《辦法》自2023年6月1日起施行,此前已經(jīng)開展的個人信息出境活動,不符合《辦法》規(guī)定的,應自施行之日起6個月內(nèi)完成整改。(《辦法》第十三條)

針對《標準合同》,正式稿主要有如下核心變化:

  • 明確單獨同意僅適用于以同意為合法性基礎(chǔ)的處理活動。《個保法》出臺以后,關(guān)于“單獨同意”與合法性基礎(chǔ)的爭論方興未艾,此次《標準合同》第二條第(三)項正式明確“基于同意向境外提供個人信息的”,才需取得單獨同意。

  • 調(diào)整締約雙方協(xié)助義務,明確以境內(nèi)數(shù)據(jù)處理者為抓手,監(jiān)管境外個人信息處理活動。如《標準合同》第二條第(七)項刪除征求意見稿中關(guān)于境外接收方答復監(jiān)管機構(gòu)詢問的例外情形,進一步體現(xiàn)以境內(nèi)處理者作為監(jiān)管抓手的趨勢。

  • 貼合企業(yè)實踐,在合規(guī)的前提下提供更靈活的義務履行方式。如《標準合同》第二條第(九)項及第三條第(三)項將“遮蔽處理”調(diào)整“適當處理”;第三條第(五)項將“刪除或匿名化處理”調(diào)整為“應當刪除,如刪除從技術(shù)上難以實現(xiàn),應停止除存儲和采取必要安全保護措施之外的處理”。

  • 對標《個保法》等適用法律法規(guī)調(diào)整境外接收方的合同權(quán)利與義務,增加“目的限定”“最小必要”等原則的落實。如《標準合同》第三條下新增要求“境外接收方受托處理個人信息不得超出約定的處理目的、處理方式”;第(四)項新增要求“境外接收方采取對個人權(quán)益影響最小的方式處理”。

  • 調(diào)整合同解除情形。《標準合同》第七條新增因境外接收方所在國或地區(qū)政策或法規(guī)變化導致無法履約的合同解除情形;刪除了境外接收方破產(chǎn)、解散或清算及因監(jiān)管機構(gòu)原因?qū)е碌暮贤獬樾巍?

  • 調(diào)整責任形式。《標準合同》第八條刪除了征求意見稿中繁雜的責任分配機制,明確連帶責任需依法確定,并提出“對外連帶,對內(nèi)按份”的歸責原則。

除上述核心變化外,我們在此前的分析中詳細對比了正式稿與征求意見稿的區(qū)別,具體請見:修改對比及要點速覽 |《個人信息出境標準合同辦法》發(fā)布[2] 。

三、《標準合同》為個人信息處理者和境外接收方設(shè)定了哪些義務?

《標準合同》為個人信息處理者和境外接收方設(shè)定了一系列義務,經(jīng)梳理,主要包括1)處理活動的透明性、合法性、必要性及其他限制;2)個人信息安全保障;3)個人信息權(quán)益保護;4)合同履行的協(xié)助義務和舉證責任;5)接受監(jiān)管及信息透明義務五個方面,具體如下:

(一)處理活動的透明性、合法性、必要性及其他限制

(二)個人信息安全保障

(三)個人信息權(quán)益保護

(四)合同履行的協(xié)助義務和舉證責任

(五)接受監(jiān)管與信息透明義務

四、如何開展個人信息保護影響評估(PIA)?

《個保法》第五十五條設(shè)定了個人信息處理者在向境外提供個人信息前事前進行個人信息保護影響評估(Personal Information Protection Impact Assessment,以下或稱“PIA”),并對處理情況進行記錄的義務,但該義務相對具有內(nèi)部性,企業(yè)往往對此項合規(guī)工作的“優(yōu)先級”不夠重視。此次《辦法》第七條將個人信息保護影響評估報告作為備案標準合同時必須提交的材料之一,這實際上意味著網(wǎng)信部門針對個人信息跨境場景下的PIA(以下簡稱“跨境PIA”)已有監(jiān)管抓手。

具體而言,企業(yè)可按照如下方式開展跨境PIA:

1. 以《個保法》及《個人信息安全影響評估指南》為依據(jù),搭建PIA基礎(chǔ)制度。

實踐中,企業(yè)多以2020年11月發(fā)布的GB/T39335-2020《信息安全技術(shù)個人信息安全影響評估指南》(以下簡稱“《個人信息安全影響評估指南》”)作為開展PIA的主要參考。我們理解,《個人信息安全影響評估指南》作為普適性指南,可支撐企業(yè)搭建基礎(chǔ)PIA制度。但《個人信息安全影響評估指南》發(fā)布于《個保法》出臺之前,且其附錄A中明確“個人信息出境場景的評估可參照有關(guān)國家標準執(zhí)行”,因而還需結(jié)合其他相關(guān)標準、規(guī)范,確定跨境PIA的具體評估要點。

2. 結(jié)合《個保法》《辦法》《認證規(guī)范》《數(shù)據(jù)出境安全評估辦法》的要求,就跨境PIA的主要評估內(nèi)容事先進行準備。

目前,監(jiān)管部門尚未發(fā)布《標準合同》路徑下的跨境PIA報告模板。在具體模板出臺前,企業(yè)可結(jié)合《個保法》《辦法》《網(wǎng)絡安全標準實踐指南—個人信息跨境處理活動安全認證規(guī)范V2.0》(以下簡稱“《認證規(guī)范》”)《數(shù)據(jù)出境安全評估辦法》的要求,就PIA的主要評估內(nèi)容事先進行準備。前述文件對PIA評估要點的列舉具體如下表所示。

PIA評估要點對比表(實質(zhì)性差異以藍色字體標注)

經(jīng)對比,三種出境路徑下的評估要點相對具有一致性,企業(yè)可暫時以網(wǎng)信部門發(fā)布的《數(shù)據(jù)出境風險自評估報告(模板)》為底稿開展PIA,但需注意:

1) 評估范圍僅限于個人信息,重點應側(cè)重于個人信息出境活動對個人信息主體權(quán)益的影響;

2) 無需再評估法律合同是否充分約定了數(shù)據(jù)安全保護責任義務;

3) 對境外接收方法律環(huán)境的評估應著重考慮其對標準合同履行的影響。

我們理解,企業(yè)可結(jié)合《標準合同》第四條第(二)項及《認證規(guī)范》第5.4條e)項確定前述第3)點的具體評估內(nèi)容。此外,歐盟就依據(jù)標準合同作為數(shù)據(jù)跨境傳輸保障機制時應進行的數(shù)據(jù)跨境傳輸評估(Transfer Impact Assessment,以下或稱“TIA”)同樣涉及對第三國法律環(huán)境的評估。由于歐盟標準合同機制與我國標準合同機制均追求同等保護標準,具有相同的價值取向,故TIA提出的關(guān)于第三國法律環(huán)境的評估因素,也可作為企業(yè)評估境外接收方所在國家或地區(qū)法律環(huán)境的參考。前述文件對法律環(huán)境評估要點如下表所示。

法律環(huán)境評估要點對比表

此外,雖然《辦法》第五條第(五)項將法律環(huán)境評估范圍限定為“個人信息”相關(guān),但我們理解境外接收方所在國家或地區(qū)的網(wǎng)絡安全及域外管轄相關(guān)法律環(huán)境等也可能對合同履行產(chǎn)生影響,如是否存在相關(guān)阻斷法律適用規(guī)定、境外司法或監(jiān)管機構(gòu)是否有可能認定以中國法為準據(jù)法的合同無效等。

五、締約雙方是否可修改《標準合同》條款的文本?

根據(jù)《辦法》第六條,《標準合同》應當嚴格按照《辦法》附件文本進行訂立,締約雙方不得更改現(xiàn)有合同文本,但可約定與《標準合同》不相沖突的其他條款。這意味著過去企業(yè)希望在既有數(shù)據(jù)出境合同中以新增條款的形式涵蓋《標準合同》要點的做法,可能無法滿足《辦法》的要求,企業(yè)必須按照《標準合同》文本進行簽署,在此之外可約定補充條款??梢?,《標準合同》作為一種納入強監(jiān)管的合同,極大地限縮了合同意思自治的空間,以確保同等保護標準的實現(xiàn)。

值得一提,根據(jù)《辦法》第六條第一款,國家網(wǎng)信部門有權(quán)進一步調(diào)整《標準合同》的文本。由于締約雙方不可更改文本,一旦調(diào)整,企業(yè)可能會面臨新版本《標準合同》的換簽問題。此等“預留修訂空間”的規(guī)定在我國部門規(guī)章層級中并不多見。我們理解,本次《標準合同》正式發(fā)布的大背景在于盡快落實“跨境三件套”,以確保我國跨境機制監(jiān)管的全面落地和實施。在此背景下,我國對于《標準合同》的出境路徑仍處于探索階段;即使是在國際上,歐盟委員會亦根據(jù)企業(yè)所面臨的數(shù)據(jù)跨境傳輸實踐,對已施行近二十年的SCCs進行調(diào)整,并于2021年適時頒布了新版GDPR SCCs。據(jù)此,“預留修訂空間”實乃本土實踐及國際經(jīng)驗的應有之義。此外,從跨國企業(yè)的實踐來看,在規(guī)章層面作出此等明文規(guī)定,亦有益于企業(yè)在與境外接收方磋商換簽事宜時提出“調(diào)整合同文本系中國法所明確要求”,以降低溝通成本,幫助企業(yè)更順利地推進出境合同的訂立和實施。

六、如何理解備案管理機制?監(jiān)管部門會對出境活動做實質(zhì)性審查嗎?

與《數(shù)據(jù)出境安全評估辦法》所確立的事前審查機制不同,《辦法》所要求的備案程序是一種事后機制,目的是為了在不影響正常業(yè)務活動的同時將跨境個人信息處理活動納入監(jiān)管機構(gòu)的視野,并對監(jiān)管機構(gòu)保持透明性。針對高風險或違規(guī)出境活動,才會進一步采取約談等監(jiān)管手段,或課以行政處罰。

根據(jù)《辦法》第六條、第七條,企業(yè)在開展個人信息保護影響評估并經(jīng)《標準合同》生效后,即可開展個人信息出境活動,但個人信息處理者應當在《標準合同》生效之日起10個工作日內(nèi)向所在地省級網(wǎng)信部門備案,并提交《標準合同》文本及個人信息保護影響評估報告。

此外,《辦法》第八條規(guī)定,當個人信息出境活動發(fā)生實質(zhì)性變化時,需重新開展個人信息保護影響評估,補充或者重新訂立《標準合同》,并重新備案。具體而言,“實質(zhì)性變化”即指出境活動發(fā)生了可能影響個人信息權(quán)益的情形,具體包括:

  • 事實變化:境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發(fā)生變化,或者延長個人信息境外保存期限;

  • 法律變化:境外接收方所在國家或者地區(qū)的個人信息保護政策和法規(guī)發(fā)生變化等可能影響個人信息權(quán)益;

  • 其他可能影響個人信息權(quán)益的變化。

具體備案及重新備案流程如下圖:

七、6個月整改期內(nèi),企業(yè)有哪些To-Do-List?

第一,全面識別數(shù)據(jù)出境場景,適配數(shù)據(jù)出境機制。企業(yè)應首先全量梳理業(yè)務活動中所涉及的數(shù)據(jù)出境場景,明確是否構(gòu)成特殊主體(關(guān)鍵信息基礎(chǔ)設(shè)施運營者),盤點所出境的數(shù)據(jù)資產(chǎn),準確統(tǒng)計跨境傳輸?shù)臄?shù)量(如涉及個人信息),并適配相應數(shù)據(jù)出境機制(適配方案具體見“一、如何適配三種數(shù)據(jù)跨境傳輸機制?”)。

第二,積極推動訂立《標準合同》的簽署工作,銜接現(xiàn)有出境合同文本(如有)。實踐中,如何“說服”境外接收方同意訂立《標準合同》往往成為該等出境機制落實過程中的關(guān)鍵。建議可考慮法律合規(guī)性和業(yè)務必要性等因素進行磋商,并引入第三方律所等專業(yè)人士對于《標準合同》的重點內(nèi)容進行說明和闡釋,以最大程度提高境外接收方就《標準合同》文本達成共識的效率。此外,針對已部署GDPR SCCs等出境合同文本的跨國公司,還需考慮如何與現(xiàn)有文本相銜接(具體見“九、《標準合同》與GDPR SCCs有哪些區(qū)別?已建立GDPR SCCs的企業(yè)應如何應對?”)。

第三,開展個人信息保護影響評估。關(guān)于開展個人信息保護影響評估的具體要求,請見“四、如何開展個人信息保護影響評估?”。

第四,開展合規(guī)整改。需根據(jù)個人信息保護影響評估的情況,針對個人信息處理者及境外接收方的合規(guī)差距,制定合規(guī)整改計劃表,并推進整改工作。包括但不限于起草隱私政策等告知文本,制定同意/其他合法性基礎(chǔ)方案,設(shè)計產(chǎn)品交互界面(如需),落實行權(quán)響應機制,采取管理措施和技術(shù)措施,并逐項審查落實《標準合同》為締約雙方設(shè)定的義務清單等。

第五,開展《標準合同》及個人信息保護影響評估報告的備案工作。關(guān)于備案的具體要求,請見“六、如何理解備案管理機制?

第六,建立企業(yè)內(nèi)部數(shù)據(jù)跨境的長效合規(guī)機制,包括但不限于數(shù)據(jù)跨境合規(guī)管理手冊及定期評估機制。通過建立數(shù)據(jù)跨境合規(guī)管理手冊,為業(yè)務部門提供個人信息跨境場景的識別指引及不同跨境機制下的適配方案,并就合規(guī)開展數(shù)據(jù)跨境傳輸提供具體指引,例如是否履行透明性要求并具備合法性基礎(chǔ),是否建立行權(quán)機制、是否建立數(shù)據(jù)安全事件響應機制等,確保業(yè)務部門“有章可循”,避免觸發(fā)合規(guī)紅線。此外,備案并非一勞永逸,企業(yè)應建立內(nèi)部定期評估機制,跟蹤自身出境活動的事實變化及域外法律變化,密切關(guān)注可能觸發(fā)重新評估、重新備案的情形(《辦法》第八條)等。

八、網(wǎng)信部門針對《辦法》有哪些監(jiān)管手段?如違反《辦法》,締約雙方可能面臨哪些責任?

由于備案管理相較申報安全評估,系一種更為中立的事后備案而非審查機制,為彌補此等機制的可能不足,《辦法》進一步設(shè)定了兩類監(jiān)管手段:1)舉報監(jiān)督機制,網(wǎng)信部門可經(jīng)舉報獲知個人信息處理者違規(guī)向境外提供個人信息的情況(《辦法》第十條);2)主動發(fā)現(xiàn)機制,網(wǎng)信部門如發(fā)現(xiàn)個人信息出境活動存在較大風險或發(fā)生安全事件,將主動觸發(fā)監(jiān)管,采取約談并要求整改(《辦法》第十一條),我們理解,“發(fā)現(xiàn)”的方式可能包括查看備案材料、啟動專項檢查等。

如違反《辦法》,締約雙方可能面臨行政、刑事及民事責任。《辦法》第十一條采取“較大風險或安全事件”而非“違法開展出境活動”的表述,我們傾向于認為此處并非指向違法出境后的行政責任,而是網(wǎng)信部門監(jiān)管出境風險的手段。如企業(yè)違反《辦法》開展出境活動的,仍需依據(jù)《個保法》承擔相關(guān)行政責任,包括但不限于被要求終止個人信息出境活動[4]。如構(gòu)成犯罪的,還可能依據(jù)《中華人民共和國刑法》承擔刑事責任。針對民事責任,一方面,《標準合同》第八條設(shè)定了違約責任條款,締約雙方可能因違約而向?qū)Ψ交蛳騻€人信息主體承擔違約責任;另一方面,締約雙方如違反《個保法》《辦法》等法律法規(guī)侵犯個人信息主體權(quán)益的,還可能會承擔侵權(quán)責任。

九、《標準合同》與GDPR SCCs有哪些區(qū)別?已建立GDPR SCCs的企業(yè)應如何應對?

標準合同條款(Standard Contractual Clauses, SCCs)為歐盟GDPR下常用的個人數(shù)據(jù)跨境傳輸保障機制之一。中國版《標準合同》與GDPR SCCs的主要異同如下所示。

可見,《標準合同》雖與GDPR SCCs整體取向一致,但仍在適用場景、責任分配、條款表述等方面存在較大差異。針對已建立GDPR SCCs的企業(yè),鑒于《辦法》第六條明確要求《標準合同》應當嚴格按照網(wǎng)信部門制定的模板訂立,故我們理解很難通過修改GDPR SCCs框架下的SCCs條款文本以使之符合中國法下《辦法》及《標準合同》的要求,而需重新訂立中國版《標準合同》。

針對已簽訂集團間數(shù)據(jù)跨境傳輸框架協(xié)議的跨國集團而言,則可考慮將《標準合同》文本作為單獨附件適用于中國法下的個人信息跨境傳輸場景。同時,企業(yè)應注意對跨境傳輸框架協(xié)議的總則條款進行審查,確保其不與《標準合同》沖突,特別是不得削弱或者減少一方在《標準合同》下規(guī)定的責任和義務;或可在中國專章中明確,當總則條款與《標準合同》沖突時,優(yōu)先適用《標準合同》。

十、針對《辦法》出臺前的出境活動如何處理?是否仍需訂立《標準合同》并備案?

《辦法》第十三條明確了溯及既往的效力,即針對《辦法》實施前的個人信息出境活動,同樣需適用《辦法》的相關(guān)規(guī)定訂立《標準合同》、開展個人信息保護影響評估以及備案,并設(shè)定了6個月的整改期。可以發(fā)現(xiàn),其與《數(shù)據(jù)出境安全評估辦法》第二十條關(guān)于溯及力的規(guī)定采取了一致的邏輯。具體而言:

  1. 對于已經(jīng)完成傳輸,且境外接收方已經(jīng)刪除或匿名化措施處理個人信息的出境活動,無需再適用《辦法》。

  2. 對于已經(jīng)完成傳輸、但境外接收方仍繼續(xù)在存儲或處理個人信息的出境活動:由于個人信息處理活動是一個連續(xù)的行為,境外接收方的后續(xù)處理行為仍可能對個人權(quán)益產(chǎn)生影響,我們傾向于認為《辦法》適用于此種情形。

  3. 對于正在進行中的個人信息出境活動:在過渡期內(nèi),企業(yè)因業(yè)務需要需進行個人信息跨境傳輸?shù)?,仍可繼續(xù)進行,但應在過渡期內(nèi)訂立《標準合同》、完成對現(xiàn)有個人信息出境行為的個人信息保護影響評估,并依法完成備案工作。

[注]

[1] 如出境數(shù)據(jù)構(gòu)成重要數(shù)據(jù),則均需申報安全評估,故本文對重要數(shù)據(jù)相關(guān)規(guī)則不再贅述,而聚焦于個人信息跨境的機制適配。

[2] https://mp.weixin.qq.com/s/8xgSjfMZn9TcSeIrufkLjw。

[3] 歐盟數(shù)據(jù)保護委員會(EDPB):Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data version 2.0(關(guān)于補充數(shù)據(jù)傳輸工具的 01/2020號建議 第2版);Recommendations 02/2020 on the European Essential Guarantees for surveillance measures (針對監(jiān)控措施的關(guān)于歐盟重要保障的02/2020號建議)。

[4] 根據(jù)《個人信息保護法》第六十六條第二款,如企業(yè)違法開展個人信息處理活動(含出境活動),情節(jié)嚴重的,可以責令暫停相關(guān)業(yè)務或者停業(yè)整頓。我們理解,此處暫停相關(guān)業(yè)務可能包括要求終止個人信息出境活動。

[5] 此處由于目前征求意見稿的適用條件并未明確此點,有可能會導致境外已適用《個保法》的處理者受到重復的義務約束。

[6] EU Commission THE NEW STANDARD CONTRACTUAL CLAUSES – QUESTIONS AND ANSWERS, Q23

[7] EDPB Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR (version for public consultation)

[8] 然而,由于近年來“Schrems II”相關(guān)案例爭議的影響,實質(zhì)性達成充分性保護水平成為EDPB監(jiān)管的重點,具體體現(xiàn)在:EDPB:Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data Version 2.0 Adopted on 18 June 2021

[9] EU Commission THE NEW STANDARD CONTRACTUAL CLAUSES – QUESTIONS AND ANSWERS, Q33

[10] EDPB:Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data(Version 2.0 Adopted on 18 June 2021)

[11] EU Commission THE NEW STANDARD CONTRACTUAL CLAUSES – QUESTIONS AND ANSWERS, Q7 & 8

作者簡介

陳際紅 律師

北京辦公室 合伙人

業(yè)務領(lǐng)域:知識產(chǎn)權(quán)權(quán)利保護, 網(wǎng)絡安全和數(shù)據(jù)保護, 反壟斷和競爭法

特色行業(yè)類別:金融行業(yè), 通訊與技術(shù)

陳煜烺

北京辦公室 知識產(chǎn)權(quán)部

林婉琪

北京辦公室 知識產(chǎn)權(quán)部

張媛媛

北京辦公室 知識產(chǎn)權(quán)部

* 陳瑞庭對本文亦有貢獻。

聲明:本文來自中倫視界,版權(quán)歸作者所有。