潜精研思 笔耕不辍

出版物/Publications更多分类

地址:北京市东城区建国门内大街26号新闻大厦7-8层

电话:86 10 8800 4488, 6609 0088

传真:86 10 6609 0016

邮编:100005

国枫视角

个人信息合规出境综述——不同路径的规定演变及若干实务梳理(下)

发布时间:2024.01.12 来源: 浏览量:37

从《个保法》到《出境评估办法》《标准合同办法》等规定的接连出台,个人信息出境合规问题被节奏紧密地推上研究和实践的高潮,企业在相关实践中亦存在诸多亟待解决的疑惑。本文尝试总结梳理我国个人信息合规出境的规定演变以及实务难点,以供读者作有益参考。


个人信息合规出境综述——不同路径的规定演变及若干实务梳理(上)》(以下简称“上篇”)中,我们主要探讨了有关通过国家网信部门组织的安全评估 (以下简称“出境安全评估”)向境外提供个人信息的相关规定与落地实践,本篇我们将继续梳理包括按照国家网信部门的规定经专业机构进行个人信息保护认证(以下简称“出境个保认证”)、与境外接收方签订国家网信部门制定的标准合同(以下简称“出境标准合同”)以及其他法定路径的相关内容。


三、 出境个保认证的规定与实践


(一)规定演变


个人信息保护认证,用于证明个人信息处理者在认证范围内开展的个人信息处理活动符合认证依据之标准的要求,此处可认证的个人信息处理活动自然也包括个人信息的跨境传输活动等。由中国网络安全审查认证和市场监管大数据中心(原“中国网络安全审查技术与认证中心”,以下简称“CCRC”)负责个人信息保护认证的具体实施工作[1]。

《中华人民共和国个人信息保护法》(以下简称“我国个保法”)规定,个人信息处理者要想合法合规地向境外提供个人信息,经专业机构进行个人信息保护认证是可供选择的路径之一。截至本文,出境个保认证的主要规定(含征求意见稿)汇总如下:

1eb844c1473400989d7f15e3639b8ebd.jpg

现行规定并未明确出境个保认证所适用的情形,一般理解,如不属于必须通过出境安全评估的特定场景,即可选择以出境个保认证的路径操作。结合国际经验,相较而言,出境个保认证更常见于频发、长期的,发生在跨国集团、关联实体等之间的个人信息出境情形,而出境标准合同更适合相对偶发的个人信息出境情形。


da64c9d91e09c3820a31fc8121d61d70.png

(二) 操作流程


根据《个人信息保护认证实施规则》(以下简称“《个保认证规则》”)的规定,出境个保认证的大致流程如下:


05e94cec8a7d47f9a52adc1a8da748ff.png

(三)落地实践


 

选择出境个保认证路径,需要委托从事个人信息保护认证工作的认证机构,认证模式为“技术验证 + 现场审核 + 获证后监督”,执行严格的认证实施程序。相较出境标准合同路径而言,出境个保认证路径更为严苛,所涉费用通常情形下高于出境标准合同路径。



根据《关于实施个人信息保护认证的公告》所附《个保认证规则》,对于涉及跨境处理活动的个人信息处理者,个人信息保护认证的认证依据不仅限于GB/T 35273-2020《信息安全技术 个人信息安全规范》(以下简称“GB/T 35273”),还包括TC260-PG-20222A《个人信息跨境处理活动安全认证规范》(以下简称“《跨境安全认证规范》”)。

个人信息保护认证标志为:

35a875f392de17754ce99c931fc39bb6.png

2023年12月15日,CCRC发布信息,其依据GB/T 35273等有关国家标准,向珠海澳科大科技研究院、支付宝(中国)网络技术有限公司、北京华品博睿网络技术有限公司、京东科技信息技术有限公司等5家企业颁发了我国首批个人信息保护认证证书[2]。根据2023年12月25日中国工信新闻网刊载的来源于人民邮电报的报道称,“基于‘澳门科技大学科研数据跨境流动管理系统’的科研工作和管理业务所涉及的个人信息处理活动”项目获得的全国首张“个人信息保护认证”证书(证书编号:CCRC-PIP-0001)如下图[3]。

38d59045c21d57db2bdd3258ba1912d6.jpg

根据该证书显示,认证依据标准为“GB/T 35273-2020《信息安全技术个人信息安全规范》”,但并未列示“TC260-PG-20222A《个人信息跨境处理活动安全认证规范》”作为依据标准,亦无《个保认证规则》中包含跨境处理活动的个人信息保护认证标志,故可能并非属于符合我国个保法规定的个人信息处理者向境外提供个人信息的个人信息保护认证。

鉴于国家标准《信息安全技术 个人信息跨境传输认证要求》为征求意见稿,正式国标的出台尚需时日,且前述我国已颁发的“个人信息保护认证”证书中并未发现《个保认证规则》中规定的“包含跨境处理活动的个人信息保护认证标志”,故通过出境个保认证方式实现向境外提供个人信息的路径尚需落地实践案例的检验。

四、 出境标准合同的规定与实践


(一)规定演变


出境标准合同,是满足特定情形时,由个人信息处理者按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务,监管部门通过备案方式进行管理,从而实现个人信息合规出境的方式。

截至本文,出境标准合同的主要规定(含征求意见稿)汇总如下:

75dc9a2d578118fd7fa5f463f6702b14.png

(二)操作流程


根据“网信江苏”公众号于2023年7月7日发布的《江苏省个人信息出境标准合同备案指引(第一版)》,出境标准合同备案流程如下图:

c82018dc307d715a47c995e6834d56db.jpg

(三)落地实践


个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形:“(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供个人信息不满10万人的;(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。法律、行政法规或者国家网信部门另有规定的,从其规定”[4]。

自出境标准合同申报通道开启至今,从各省级网信办以及其他发布公布的成功案例汇总如下(不完全统计):

4446681ea0c471441d3dea39b4c8d62d.jpg

在个人信息出境标准合同备案项目中,最为关键的两份法律文件是《个人信息出境标准合同》和《个人信息保护影响评估报告》。个人信息保护影响评估是我国个保法第55条规定的法定义务,即满足特定情形时应当事先进行个人信息保护影响评估,其中一项情形就是向境外提供个人信息。

在《个人信息保护影响评估报告(模版)(出境版)》(即《个人信息出境标准合同备案指南(第一版)》附件5)发布之前,实践中通常以GB/T 39335-2020《个人信息安全影响评估指南》(以下简称“GB/T 39335”)作为撰写评估报告的主要参考。与GB/T 39335相比,《个人信息保护影响评估报告(模版)(出境版)》在报告体例、评估维度等方面存在较大差别,更像于浓缩版的《数据出境自评估报告》,强调了对境外部分的影响评估内容。

五、法定其他路径的探索


根据我国个保法第三十八条规定,满足“法律、行政法规或者国家网信部门规定的其他条件”,亦可向境外提供个人信息。

根据国家互联网信息办公室(以下简称“国家网信办”)发布的《规范和促进数据跨境流动规定(征求意见稿)》,“自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称“负面清单”),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。负面清单以外的数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”。如正式稿仍保留同样规定,那么经规定程序报送国家网信办备案后的自贸区负面清单的施行,可视为满足“国家网信部门规定的其他条件”,负面清单外的数据出境,可不受制于出境安全评估、出境个保认证及出境标准合同的路径要求。

另,上篇提及的《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》,系由国家网信办与香港创新科技及工业局共同发布,针对特定区域内(即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市,或者香港特别行政区),除非“被相关部门、地区告知或者公开发布为重要数据的个人信息”外,个人信息处理者及接收方可通过订立该指引所附标准合同的方式进行粤港澳大湾区内内地和香港之间的个人信息跨境流动,而无需遵照前文所述出境安全评估、出境个保认证和出境标准合同三种路径操作,亦可视为满足“国家网信部门规定的其他条件”。

六、结语


个人信息跨境流动,需要考量个人信息主体在享受便利生活的同时,希望免受歧视、防止隐私暴露以及能够保障行权响应的心理预期;需要考量企业期望通过挖掘个人信息价值,对其付出实质性处理的数据享有合法的竞争性权益,从而收获可观经济利益的商业目的;更需要考量国家着力发展数字经济,既要保护个人信息主体权益,同时必须保护国家安全和公共利益的平衡需求。

数据(含个人信息)跨境流动是当下和未来经济发展的必然,让我们共同期待数据跨境流动新规的出台,翘首期盼个人信息合规出境正式开启2.0版本新篇章。



脚注


[1]《个人信息保护认证》,来源:中国网络安全审查认证和市场监管大数据中心官网,网址:https://www.isccc.gov.cn/zxyw/sjaq/grxxbhrz/index.shtml,最新访问日期:2024年1月12日。

[2]《5家企业获颁首批个人信息保护认证证书》,来源:中国网络安全审查认证和市场监管大数据中心官网,网址:https://www.isccc.gov.cn/xwdt/tpxw/12/909546.shtml,最新访问日期:2024年1月12日。

[3]《全国首张“个人信息保护认证”证书正式发出》,来源:中国工信新闻网,网址:https://www.cnii.com.cn/rmydb/202312/t20231225_532719.html,最新访问日期:2024年1月12日。

[4]《个人信息出境标准合同办法》第四条。

[5]《北京市通过首家企业个人信息出境标准合同备案》,来源:“网信北京”微信公众号(https://mp.weixin.qq.com/s/PCJluMb_6hdpB5BbMCsz5g),发布日期:2023年6月25日。

[6]《浙江通过首家企业个人信息出境标准合同备案》,来源:“网信浙江”微信公众号(https://mp.weixin.qq.com/s/V7lrDK9jcRC-PXlEKMJ0VA),发布日期:2023年7月10日。

[7]《信华信完成辽宁省首例个人信息出境标准合同备案工作》,来源:“大连市互联网协会”微信公众号(https://mp.weixin.qq.com/s/gdCTW-zaBIVOAWbRgu4DQw),发布日期:2023年7月15日。

[8]《海南省通过首家企业个人信息出境标准合同备案》,来源:“网信海南”微信公众号(https://mp.weixin.qq.com/s/nGXMKSH-47EK9jt8dMd71w),发布日期:2023年9月14日。

[9]《湖北通过首家企业个人信息出境标准合同备案》,来源:“网信湖北”微信公众号(https://mp.weixin.qq.com/s/xCfWXJH-CYN40WdiH9gCVw),发布日期:2023年10月20日。

[10]《湖南通过首家企业个人信息出境标准合同备案》,来源:“网信湖南”微信公众号(https://mp.weixin.qq.com/s/0lTsSg9BfdDoBaNFgQgvxA),发布日期:2023年11月16日。

[11]《江西通过首批企业个人信息出境标准合同备案》,来源:“网信江西”微信公众号( https://mp.weixin.qq.com/s/krMyJDelfk-NDwDxEJStww),发布日期:2023年11月23日。


图片.png

相关人员