作者介绍:刘耀华 中国信息通信研究院互联网法律研究中心高级研究员
2021年8月20日,我国《个人信息保护法》正式出台,明确了个人信息处理规则、个人在个人信息处理活动中的权利、个人信息处理者的义务等重要制度。其中,个人信息跨境流动作为数据治理的重要问题,《个人信息保护法》中做出了明确规定,回应了产业实践需求,为保障我国个人信息依法有序流动完善了制度基础。
跨境数据流动是数据治理相关法律体系的关键议题,现行规定已经做出了初步的制度设计。《网络安全法》首次提出了安全评估的管理方式,第三十七条针对关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据明确了本地化存储的原则,对于因业务需要,确需向境外提供的数据,关键信息基础设施的运营者应当进行安全评估,安全评估的具体办法由国家网信部门会同国务院有关部门制定。《数据安全法》第三十一条重申了《网络安全法》关于关键信息基础设施的重要数据的出境管理规定,同时规定其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。另外,我国汽车、金融、征信、医疗等有关行业领域的文件也针对行业数据的跨境流动进行了明确,如2021年8月20日公布的《汽车数据安全管理若干规定(试行)》中规定“重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。未列入重要数据的涉及个人信息数据的出境安全管理,适用法律、行政法规的有关规定”。总体来看,现行的数据跨境流动制度以《网络安全法》为主,明确了本地化和安全评估两种管理举措(仅针对关键信息基础设施运营者的个人信息和重要数据),但是随着数字经济全球化不断加速推进,数据的出境需求日益旺盛,出境场景不断丰富,出境路径需要在安全评估的基础上进一步拓展。
《个人信息保护法》进一步完善了关于个人信息出境的管理规定,在《网络安全法》基础之上,增加了专业机构的个人信息保护认证、国家网信部门的标准合同等方式,个人信息出境的合法路径日益便利。
一是安全评估。根据《个人信息保护法》的规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估。《个人信息保护法》与《网络安全法》《数据安全法》三部立法在跨境数据流动方面形成了很好的衔接,侧重从不同的角度对“安全评估”的适用范围进行了规定,《网络安全法》侧重从关键信息基础设施的角度,明确了个人信息和重要数据的安全评估。2021年08月17日,国务院公布的《关键信息基础设施安全保护条例》中对“关键信息基础设施”的认定标准也做出了进一步的规定和细化;《数据安全法》侧重从重要数据的角度,明确了关键信息基础设施的重要数据出境需要进行安全评估,其他重要数据的出境管理规定另行制定;《个人信息保护法》侧重从个人信息的角度,明确了关键信息基础设施和处理个人信息达到一定数量的个人信息处理者,跨境提供个人信息需要进行安全评估。当前,安全评估的考量因素还有待进一步明确。《网络安全法》《数据安全法》《个人信息保护法》当中均没有明确规定进行安全评估需要考量的因素,从个人信息合法权益保护的角度看,安全评估的考量因素可以包括传输个人数据的必要性、传输个人数据双方的合同规定、境外接收方的个人数据保护能力、所在国的个人数据保护水平和相关立法等具体内容,以期最大程度实现我国个人数据在传到境外之后仍然能够获得足够保护的目标。另外,针对《个人信息保护法》中没有规定应当进行安全评估的主体,是否可以自愿申请进行安全评估的情况,也有待相关立法进一步明确。
二是保护认证。根据《个人信息保护法》的规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,可以按照国家网信部门的规定经专业机构进行个人信息保护认证之后,将个人信息跨境提供到境外。专业机构的个人信息保护认证是在国家网信部门的统筹协调下开展的第三方认证,同时兼具专业性和中立性,能够有效确保个人信息出境之后获得足够的保护。但并非所有的个人信息处理者都可以使用认证方式,按照《个人信息保护法》的规定,必须通过安全评估才能跨境提供个人信息的主体则不能仅仅依赖认证这一方式。同时,通过认证方式跨境提供个人信息的情况还有很多要素需要后续的配套制度规定进行明确,如专业认证需要考虑的要素、认证有效期限、认证之后是否需要在监管部门处进行登记等内容。
三是标准合同。根据《个人信息保护法》的规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,可以按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务之后,将个人信息跨境提供到境外。通过标准合同跨境传输数据的制度最早始于2001年,当前最具代表性和典型性的是《通用数据保护条例》(GDPR)中的规定,明确把标准合同作为可以将欧盟公民个人数据传输到境外的主要方式之一。《个人信息保护法》对这一方式进行了吸收借鉴。相比于安全评估和专业机构认证的方式来说,标准合同所具有的指导性和便利性更加适应实践需要。一方面,标准合同由国家网信部门制定,在很大程度上体现出了国家对于跨境数据流动的保护要求,依据标准合同可以实现对个人信息跨境的良好保护;另一方面,国家公布标准合同之后,符合要求的个人信息处理者在跨境传输个人信息之前,只要按照标准合同中的内容与境外接收方订立合同即可,效率更高。2021年6月,欧盟委员会发布了最新的《国际数据转移标准合同条款》,根据不同场景明确了不同出境要求,强化了对跨境传输个人信息的保护力度,未来,国家网信部门在制定标准合同的过程中也可以对欧盟的标准合同进行一定参考。同时,个人信息处理者需要注意的是,标准合同文本只是个人信息出境合同中的一部分,个人信息处理者可根据自身需求与境外接收者就权利义务关系签订更具体的合同,但不得修改标准合同文本的条款,不得减损标准合同中的保护水平,且增加条款亦不得与标准合同文本相抵触。
此外,《个人信息保护法》中还规定了个人信息可以跨境提供的特殊方式,如法律、行政法规或者国家网信部门规定了其他的条件的,以及我国缔结或者参加的国际条约、协定的对向境外提供个人信息的条件等有规定的,可以适用其他的规定。
根据《个人信息保护法》的规定,三种个人信息出境方式的适用存在一定关联。一方面,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备安全评估、专业认证、标准合同中的任一条件,但需要注意的是,关键信息基础设施的个人信息和处理个人信息达到一定数量的只能通过安全评估之后跨境提供个人信息,这是没有变更空间的。除此之外,其他个人信息处理者可以根据国家网信部门的规定选择适用专业认证或标准合同的方式跨境提供个人信息。另一方面,三种出境方式并非互相排斥,而是可以叠加使用的,即所有个人信息处理者均可以选择两种或两种以上的方式,如必须进行安全评估的主体可以叠加选择保护认证或标准合同中的一种或两种方式,其他主体可以同时选择保护认证和标准合同的方式。
针对个人信息出境,除了第三十八条规定的一般性条件外,《个人信息保护法》还明确了两项特殊性要求。
一方面,规定了单独同意的要求。根据《个人信息保护法》第三十九条,个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。另一方面,规定了“同等保护水平”和“问责制”的要求。根据《个人信息保护法》第三十八条,向境外提供个人信息的,个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。这一要求体现了主要国家和地区立法中通用的“同等保护水平”的思路。当前,以GDPR为代表的多个国家和地区立法中均以本国的个人信息保护水平为基准,明确个人信息跨境流动要求,如GDPR规定只有欧盟委员会认为其他国家或地区的个人数据保护水平能够达到欧盟的标准时才能被列入“充分性保护”白名单;日本、俄罗斯、韩国等国家的立法中也有类似规定。但是,与国外立法判断其他国家制度是否达到“同等保护水平”要求不同,我国《个人信息保护法》中规定,应当达到我国个人信息保护标准的是境外接收方处理个人信息的活动。同时,《个人信息保护法》将确保境外接收方处理个人信息活动达到我国标准的义务施加于个人信息处理者(即境内传输方)之上,趋同于加拿大等国在跨境数据流动管理中采用的“问责制”原则,如加拿大《个人信息保护和电子文件法》规定,传输个人信息时,拥有或保管个人信息的机构应当对个人信息负责,包括已经转移到第三方机构的情形。“问责制”原则的使用能在一定程度上提高个人信息传输方的审慎注意义务。
从个人信息处理者的角度说,在跨境提供个人信息过程中,应当考虑从以下方面完善相关的保障措施:事前,详细了解境外接收方的数据保护能力,确保境外接收方未被国家网信部门列入“限制或禁止个人信息提供清单”;事中,严格监督境外接收方是否按照合同约定的目的处理个人信息,是否将个人信息再次传输给其他方;事后,即合同目的达成后,应对个人信息进行删除或其他合法处理,且在境外接收方发生侵害个人权益事件后,支持和帮助个人行使权利。
除了对一般个人信息处理者的个人信息跨境提供活动进行要求外,《个人信息保护法》还对国家机关处理的个人信息做出更严格的要求。根据第三十六条规定,国家机关处理的个人信息应当遵守本地化存储的要求,确需向境外提供的,也只能通过安全评估这一种方式进行出境。
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。