应对《个人信息出境标准合同办法》行动建议

—中国新规《个人信息跨境传输格式合同办法》的影响 毕马威(KPMG)网络安全— 2022年7月7日，国家互联网信息办公室发布《数据跨境安全评估办法》（“安全评估办法”），自2022年9月1日起施行。《安全评估办法》明确了数据跨境安全评估（以下简称“安全评估”）申报的情形，并对安全评估提出了具体要求。 2022年11月4日，网信办发布《关于实施个人的公告》。 信息保护认证“（”公告“），自2022年11月4日起生效。公告明确了个人信息保护认证实施细则，要求个人信息处理者遵守GB/T35273《信息安全技术个人信息安全规范》。从事跨境处理活动的处理者还应遵守TC260-PG-20222A“安全”的要求 个人信息跨境处理活动认证规范“（“认证规范”)。 2023年2月24日，网信办发布《个人信息跨境传输标准合同办法》（以下简称《标准合同办法》）和《个人信息跨境传输标准合同》（以下简称《标准合同》），自2023年6月1日起施行。 个人数据跨境传输的合规途径 自宣布这些关于跨境转移标准合同的最新监管变化以来，三个明确了个人信息跨境传输的路径。其中包括：（1）通过安全网信办评估;（2）经个人信息保护专业机构认证;或（3）输入根据CAC制定的标准合同与离岸接收方签订合同。 关键信息基础设施运营者（CIIO）应当将在中国境内运营期间，存储在中华人民共和国境内收集和产生的个人信息和重要数据。因商业目的需要向境外提供此类数据的，应当按照网信办会同国务院有关部门制定的办法进行安全评估。 其他数据处理者应确定拟出库数据的类型和规模以及数据交叉的实际情况。 边界传输方案，并相应地执行或选择适用的合规性路径： 涉及个人信息跨境传输的其他数据处理者，以及 适用于任何的安全评估下列情形之一: 1.一个数据处理器提供重要 是否有安全的条件评估*见面吗? 处理超过100万人个人信息的数据处理者提供出境个人信息的; 数据处理者自上年1月1日起共提供10万人出境个人信息或者1万人敏感个人信息的;和 网信办规定的需要申报出境安全评估的其他情形。 35273年,tc260 - pg - 20222 a 开展跨境数据风险自我评估 获得认证后进行技术验证、现场审核和监督 严格按照标准合同模板执行合同 按照要求准备安全评估申报材料坚持之前的评估和持续监控 自合同生效之日起10个工作日内进行备案 注意：数据处理者不得采取卷拆分等措施，以避免安全评估。数据处理者 符合《安全评估办法》第四条规定情形之一的，仍需按照规定通过其省级CAC向CAC申报安全评估。 1。非冲突性的条款 在签订标准协定或添加补充协定时，两个级别的“无冲突”要求应被认为是: 补充协议不得与标准协定中的条款相冲突。也就是说，术语中的标准合同优先于合同双方商定的其他条款。 其他法律文件中的条款不得与标准协定中的条款冲突。即标准中的条款 合同优先于合同双方之间的其他协议和法律文件中的条款。 2。第三方受益人的机制 合同涉及三方：个人信息处理者（“处理者”）、境外接收方（“接收方”）和个人信息(“个人”)。 个人享有合同的相应权利。处理者和接收方，作为 合同、签订和履行协议，而个人作为第三方受益人被授予通过双方协议享有相应的权利。 个人有权主张个人权利。在侵犯个人信息权利的情况下，个人 可以根据《个人信息保护法》向处理者主张权利，也可以直接主张合同任何一方或双方根据标准协定内容享有的权利。 3所示。六个月的宽限期 处理者应在六个月内纠正个人信息跨境活动的不合规行为《格式合同办法》生效日期（即2023年11月30日前）。 4所示。个人信息主体的权利 应告知个人为合同的第三方受益人。处理器需要通知 个人，已与接收人约定该个人是合同下的第三方受益人。如果个人在30天内未提出明确的反对意见，则个人可以请求处理者或接收者协助解决合同下的个人主体权利。 保护个人权利。处理者和接收者在进行个人信息跨境活动期间需要采取适当措施响应个人的合理请求。 参考资料：个人信息跨境传输标准合同办法，国家互联网信息办公室 5.处理者和接收方的法律责任 个人有权要求各方或双方承担民事责任。当一方当事人承担的责任超过该方能够承担的责任时，其有权向另一方当事人追偿。 当处理者或接收者需要承担全部责任时 1.违反保护义务的当事人应当承担民事责任。 2.处理者可能需要承担行政责任或刑事责任。 国家互联网信息办公室发现跨境转移高风险的个人信息活动或个人信息安全事件，可能会采访依法处理者。处理器应纠正并消除隐藏风险的要求。 网络行政监管的采访 6。处理器的主要义务 1.仅在要求的最小范围内离岸提供个人信息 个人信息主题 3.获得个人同意（适用于跨境的情况 个人信息的转移基于同意）; 4.根据要求向个人提供合同副本。 1.调查接收者是否有组织和技术措施，以及 2.提供相关法律法规和技术标准的副本。 1.回复监管机构的询问; 2.为跨境处理活动提供合规审计结果; 3.承担履行合同义务的举证责任。 PIPIA应进行，PIPIA报告应至少保存三年。 深潜水intothenew“标准合同” 7.收件人的主要义务 1.根据合同处理个人信息; 2.应个人要求提供标准协定的副本; 3.以对个人权益影响最小的方式处理个人信息; 4.个人信息的保留期限应为实现 5.如果涉及自动化决策，则应遵循透明、公平和公正的原则 6.采取补救措施应对安全事件，及时履行通知和记录义务; 7.提供遵守标准协定义务所需的必要信息; 8.告知个人联系渠道; 9.在行使个人权利时回应个人的要求。 1.在与处理者约定的范围内处理个人信息; 2.向处理器提供合规认证材料，允许处理器进行 3.向处理器提供所有必要的信息。 1.接受监管机构的监督管理; 2.服从监管机构采取的措施或决定; 3.提供书面确认，说明已采取所需措施。 1.客观记录个人信息处理活动，并至少保留记录 2.采取technicalandmanagement措施; 3.建立最低授权的访问控制权限; 4.及时、规范地应对安全事件。 向第三方离岸接收者提供个人信息： 2.告知个人信息的提供并获得单独同意（适用） 在同意的基础上处理个人信息的情况）; 3.与第三方签署书面协议，并在 1.从处理器提前Obtainconsent; 2.根据合同约定处理个人信息; 3.监督第三方的处理活动。 标准合同安排的关键阶段 1确定个人信息是否可以通过以下方式转移到海外 1数据处理器是否CIIO; 2正在处理的个人信息量; 3累计出境转移个人信息和敏感个人信息的数量 前一年的1月1日以来的信息。 2梳理现有跨境数据传输业务 数据处理者应明确跨境传输活动涉及的细节，如目的、范围、规模、方式、个人信息类别、境外接收方、保留期限和地点，以及境外接收方是否有分包处理 PIPIA必须在执行标准合同之前进行。PIPIA主要关注详细内容和评估过程。请参考以下幻灯片中PIPIA的介绍。 合同中可能仍有部分需要补充，例如联系 个人信息跨境转移活动的信息、地址、详情等 标准协定的实施面临以下挑战： (1)目前，尚未印发《标准协定》的正式英文译文。 (2)合同的标准条款不能修改。CAC严格定义了 标准协定格式条款。缔约双方应妥善协商调整商业部分; (3)合规性要求。企业可能面临签署离岸版的要求 合同谈判和结论 标准合同或与接收方合作履行外国法律要求的义务。企业应仔细评估他们将要执行的文件或他们需要履行的合规义务是否违反了中国的法律要求。 审查要求：处理者应当自《标准合同》生效之日起10个工作日内向省级互联网信息办公室申请备案。值得注意的是，完成备案手续并不是标准合同生效的先决条件。 2本合同签订后的后续监管 在标准协定有效期内有下列情形之一的，处理方应重新执行PIPIA，补充或重新执行标准协定，以及执行申请程序: (1)个人信息跨境传输活动的变化; (2)接收者所在地的个人信息保护法规和政策的变化，可能影响个人信息权益的; (3)其他可能影响个人信息权益的情形。 (1)持续监控和评估个人信息保护政策的变化 Post-contract执行 (2)积极行使对受托人的合同监督检查权; (3)对合同项下的加工活动进行合规审计; (4)积极响应个人信息主体的请求。 个人信息保护影响评估（PIPIA）的法律依据 什么时候PIPIA需要进行吗 有下列情形之一的，个人信息处理者应当进行个人信息处理。 事先评估信息保护影响并保留处理记录： (1)敏感的个人信息的处理; (2)使用个人信息进行自动决策; (3)委托他人处理个人信息，向其他个人信息处理者提供 个人信息和披露个人信息; (4)向境外各方提供个人信息; (5)其他对个人权利有重大影响的个人信息处理活动，以及 —个人信息保护法（PIPL）第55条 根据《GB/T39335-2020个人信息安全技术指导原则》 影响评估“，PIPIA是检验个人信息处理活动合规性，识别可能损害个人信息主体合法权益的各种风险，评估用于保护个人信息主体的各种措施的有效性的过程。 PIPIA概述使用、存储和共享个人信息的方式和原因跨业务操作和共享服务。 PIPIA的目的是识别风险对处理个人信息的影响和采取补救行动因此,以及履行相关监管要求比鹏。 个人信息保护影响评估的法律依据(租) 此外，以下规定对PIPIA对缔结跨境转移的两种途径提出了更详细的要求。标准合同和获得个人信息保护认证: 个人信息保护认证 关于实施个人信息保护认证的公告国家互联网信息办公室和国家市场监管 公告中提到了两个标准。处理者应符合《GB/T35273信息安全技术个人信息安全规范》的要求。对于从事跨境处理活动的处理者，还需要遵守《TC260-PG-20222A个人信息跨境处理活动安全认证规范》的要求。 全国信息安全标准化技术委员会《跨境个人信息处理活动安全认证规范V2.0》 第5.4条：个人信息处理者应当对拟向境外接收方提供个人信息的活动进行PIPIA，并形成PIPIA报告，至少保存3年。评估报告至少应包括以下项目： 个人信息处理者和境外接收方处理个人信息的目的、范围和方式的合法性、正当性和必要性; 个人信息跨境处理的规模、范围、类型、敏感性和频次，以及个人信息跨境处理可能给个人信息权益带来的风险; 境外接收方承诺的责任和义务，以及履行责任义务的管理和技术措施和能力，能否确保个人信息跨境处理的安全; 泄漏、损坏、篡改、滥用等风险。在个人信息的跨境处理中，以及个人保护其个人信息权益的渠道是否容易获得; 个人信息保护政策法规对境外接收方所在国家或地区履行个人信息保护义务和个人保护的影响信息权利和利益; 其他可能影响个人信息跨境处理安全的因素。 结论的标准合同 个人信息跨境传输标准合同办法，国家互联网信息办公室第五条个人信息处理者在个人信息跨境传输前，应当进行PIPIA，主要包括以下几点： 个人信息处理的目的、范围和方法的合法性、正当性和必要性由个人信息处理者和离岸接收者提供; 拟出境的个人信息的规模、范围、类型、敏感性，以及个人跨境转移可能造成的个人信息权益 境外接收方承诺承担的义务，以及境外接收方履行义务的管理和技术措施及能力能否保证拟出境的个人信息的安全; 个人信息跨境传输后被篡改、损坏、泄露、丢失和滥用的风险，以及个人保护个人信息权益的渠道是否畅通，以及 个人信息保护政策法规对个人信息保护政策法规对个人信息保护政策的影响。 离岸收件人所在国家或地区的标准合同; 其他可能影响个人信息跨境传输安全的因素。 个人信息保护影响评估流程 公司应考虑内部控制目标和风险偏好，以确定规避/减轻/接受风险等行动。 对个人权利和影响利益 影响数据主体的自我决策的正确 生成歧视性待遇个人声誉损害或精