台資銀行在大陸要將個人資訊傳輸到境外或母行,須遵守6月1日生效的新規定。由大陸互聯網信息辦公室公布,並於2023年6月1日實施的《個人信息出境標準合同辦法》,是落實2021年11月1日實施的《個人信息保護法》中,有關大陸個人信息出境規則關於標準合同制度的具體要求。
台資銀行在大陸因業務或銀行內控、合規要求,需要向境外總行傳輸個人有關信息,若沒有達到資料出境安全評估標準,就需關注是否要與境外接收方訂立標準合同,以作為符合要求的措施之一。
「通過訂立標準合同的方式向境外提供個人信息」,應同時符合四項條件,一是非關鍵信息基礎設施運營者;二是處理個人信息不滿100萬人;三是自上年1月1日起累計向境外提供個人信息不滿10萬人;四是自上年1月1日起累計向境外提供敏感個人信息不滿1萬人。
台資銀行針對上述要求,有以下重點必須注意:
第一、所謂「非關鍵信息基礎設施運營者」的定義並非自行判斷,而是須由保護工作部門認定,也就是說,只要沒有接到保護工作部門認定為關鍵信息基礎設施運營者的通知,就是屬於「非關鍵信息基礎設施運營者」。
第二、若處理的個人信息超過100萬人,此時信息的出境須注意,即使只有一條個人信息送出境,也是屬於申報資料出境安全評估的範圍,不能再走標準合同路徑。
第三,須評估自2022年1月1日起到自行評估日止,累計向境外提供個人信息的數量有無超過10萬人,或敏感個人信息數量是否超過1萬人。若處於臨界點,則銀行需要考慮未來個人信息持續出境的可能性,評估是否會觸發資料出境須進行安全評估。要注意,這裡指的敏感個人信息,是指一旦洩露或非法使用,容易導致自然人的人格尊嚴受到侵害或人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融帳戶、行蹤軌跡等信息,以及不滿14周歲未成年人的個人信息。
第四、不能通過業務拆分、主體分拆等手段,將應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供,意味著台資銀行若在大陸有多家分行,則須合併評估所處理的個人信息總量。
第五、6月1日實施的《個人信息出境標準合同辦法》,給予六個月緩衝期,也就是說大陸台資銀行最遲應在2023年12月1日前簽訂法定《標準合同》,並在合同生效日起十個工作日內完成備案手續。此次新規規定,標準合同雙方簽訂生效後,銀行方可開展個人信息出境活動,即先簽約後出境,不得先出境後再補標準合同。雖然境內個人信息處理者可以與境外接收方約定其他條款,但不能與標準合同相衝突,也就是不能減輕或削弱雙方在標準合同項下的責任。
一旦網信部門發現個人信息出境活動存在較大風險,或發生個人信息資訊事件,都會依法對個人信息處理者進行約談。對於有違法行為,將依《個人信息保護法》規定,除沒收違法所得外,還會責令暫停或終止提供服務,並直接對負責人員罰款,同時禁止在一定期限內擔任企業的董監高,最後記入信用檔案予以公示。
大陸台資銀行可自評估是否有觸發信息出境安全評估標準的可能性,對於不觸發安全評估路徑採用標準合同路徑的部份,應及時向境外接收方提供標準合同,對涉及境外接收方責任和義務條款,雙方應充分溝通,及時完成標準合同的簽署。
(本文發自上海,網址www.mychinabusiness.com)