您的位置 : 环球研究 / 环球评论 / 新闻详情
个人信息出境合规指引之三——《网络安全标准实践指南 个人信息跨境处理活动安全认证规范》
2022年11月15日孟洁 | 殷坤 | 鲁裕鑫(实习生张晓颖对本文亦有贡献)

引言

 

2022年11月8日,全国信息安全标准化技术委员会(以下简称“信安标委”)再次发布《网络安全标准实践指南 个人信息跨境处理活动安全认证规范(v2.0征求意见稿)》(以下简称“《认证规范v2.0(征求意见稿)》”),并向社会公开征求意见。半年前,信安标委于2022年4月29日发布了《网络安全标准实践指南 个人信息跨境处理活动认证技术规范(征求意见稿)》,成为首个探索个人信息跨境处理活动认证制度,并且为《中华人民共和国个人信息保护法》(以下简称“《个保法》”)第三十八条“个人信息保护认证制度”提供了落地支撑。此后两个月,信安标委于2022年6月24日正式发布《网络安全标准实践指南 个人信息跨境处理活动安全认证规范》(以下简称“《认证规范v1.0》”)。然后尚未组织正式认证,在发布《认证规范v1.0》正式稿不到五个月时间,信安标委又将1.0版本升级到了2.0版本,并两次征求社会广泛意见,结合这半年中陆续发布《个人信息出境标准合同规定(征求意见稿)》(以下简称“《标准合同规定征求意见稿》”)和实施《数据出境安全评估办法》,足以看出监管部门针对《个保法》第三十八条能够实施落地的良苦用心和谨慎态度。

 

 

相较于《认证规范v1.0》,《认证规范v2.0(征求意见稿)》修订的内容主要包括删除了对“适用情形”的具体限定、新增了第三板块“术语定义”、细化了与境外接收方签署的具有法律约束力的协议应包含的具体内容、新增了个人信息保护机构的具体职责、增加了个人信息保护影响评估的相关要求,以及进一步细化并完善了个人信息处理者和境外接收方的责任义务等。本文将通过梳理和总结《认证规范v2.0(征求意见稿)》中关于个人信息保护认证制度的适用情形、认证方式、基本原则、处理规则等内容,以期通过初步解读为企业了解个人信息出境安全认证机制提供参考。

 

一、体系定位:个人信息跨境保护机制之一

 

根据国际标准化组织(ISO)对“认证”的通用定义,“认证”是指由独立机构提供书面证书,证明相关产品、服务或系统符合特定要求。在个人信息保护领域,适用认证机制可以提高保护个人信息主体权益的透明度,也可以促使企业间的合作关系更加可靠。譬如,根据《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)序言第100条,建立认证机制可以提高透明度和遵守法规的程度。GDPR没有强制要求控制者和处理者进行认证,根据GDPR第42条第3款,认证是一个自愿过程,旨在帮助组织证明其符合GDPR的各项要求。换言之,认证的对象包括很多,例如中小企业的数据处理过程、数据跨境传输等都可以作为被认证的对象。这也是为什么GDPR关于认证的条款(第42条和第43条)没有被放在第V章跨境传输中的原因。

 

并且,根据GDPR第46条,认证(Certification)和签署标准合同条款(Standard Contractual Clauses)、约束性公司规则(Binding Corporate Rules,以下简称“BCR”)等同被作为合法跨境传输的前提和机制之一。因此,企业如需进行跨境传输,选择认证自然也是一种证明合规的措施。根据欧盟数据保护委员会(European Data Protection Board,以下简称“EDPB”)于2022年6月30日发布的《关于认证作为传输工具的指南 07/2022》(Guidelines 07/2022 on certification as a tool for transfers),在跨境传输场景下,申请认证的主体是位于欧盟境外的数据接收方。而数据提供方则需要满足其在GDPR下的合规要求,对认证结果的有效性等问题进行验证和核查。根据GDPR第42条,认证证书可由成员国数据保护机构(Supervisory Authority)、成员国认可的认证机构(Certification Body)颁布,认证标准可以由EDPB批准,也可由成员国监管机构批准。认证有效期最长3年,但如果符合认证的条件在届满时未发生变化,认证有效期可延长。

 

而在我国,认证同样被作为个人信息跨境传输的机制之一。根据《个保法》第三十八条,个人信息处理者向境外提供个人信息时,需满足以下四个条件之一:

  • 依照本法第四十条的规定通过国家网信部门组织的安全评估;
  • 按照国家网信部门的规定经专业机构进行个人信息保护认证;
  • 按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
  • 法律、行政法规或者国家网信部门规定的其他条件。

对于《个保法》第三十八条第一款第一项所提出的安全评估,2022年7月7日,国家互联网信息办公室(以下简称“网信办”)发布了《数据出境安全评估办法》最终版,该办法已于2022年9月1日生效并实施。我们此前已发布《环球合规与风控 | 数据出境合规指引之二——依规开展数据出境安全评估》进行解读。对于《个保法》第三十八条第一款第三项所提出的标准合同,2022年6月30日,网信办发布了《标准合同规定征求意见稿》,并公开向社会征求意见。我们的解读请详见《环球合规与风控 | 个人信息出境合规指引之一——签署“中国版”个人信息出境标准合同》。本文文首提及的信安标委于2022年度对《认证规范》的草案形成到几次修订均属于落实《个保法》第三十八条第一款第二项提出的个人信息保护认证制度。

 

二、适用情形

 

从比较的角度先对《认证规范v1.0》和《认证规范v2.0(征求意见稿)》适用情形的区别进行概括:

 

 

《数据出境安全评估办法》和《标准合同规定征求意见稿》规定的适用哪套保护个人信息出境的机制,通过下述四方面来判断:(1)个人信息处理者是否被认定为关键信息基础设施运营者(以下简称“CIIO”);(2)处理的个人信息所对应的主体是否超出100万人;(3)累计向境外提供的个人信息所对应的主体是否达到10万人以上(自上年1月1日起);(4)累计向境外提供的敏感个人信息对应的主体是否达到1万人以上(自上年1月1日起)。如果上述四个问题中有一个答案为“是”,则个人信息向境外传输前必须通过申报出境安全评估后方能进行,无法采用订立标准合同的方式作为个人信息跨境传输的保护措施。如果上述问题的答案均为“否”,则通过与境外接收方签署标准合同后可以合规地向境外接收方提供个人信息。虽然《个保法》第三十八条是要求个人信息处理者任选其一方式,但其实在选择顺序上需要先评估是否符合申报出境安全评估,不适用时才能考虑适用出境标准合同的机制。

 

《认证规范v1.0》的适用情形是“跨国公司或者同一经济、事业实体下属子公司或关联公司之间”传输数据和“《中华人民共和国个人信息保护法》第三条第二款适用的个人信息处理活动”(即在我国境内运营过程中产生的个人信息直接采集并存储于境外服务器)。因此,此前普遍认为只有发生上述两种数据处理活动的,才可以申请认证,并且可能发生于(1)符合出境安全评估条件的,应当申请安全评估的同时可再申请认证(通常为对自身合规要求基准高且内部预算比较充足的企业),认证为可选项、加分项,安全评估为必须项;(2)不符合出境安全评估条件的,应当签署出境标准合同并可申请出境安全认证(通常亦属于对自身合规要求基准高的企业);或者只选择申请出境安全认证(标准合同与认证二选一)。

 

“跨国公司及同一实体下的子公司和关联公司间的个人信息处理活动”作为出境安全认证的适用条件这点,比较类似于GDPR下的BCR规定。BCR也是通过对跨国公司内部对数据跨境传输设置内部规则的方式实现自我约束,从而满足合规要求。GDPR规定BCR应当经过由欧盟成员国数据保护监管机构认可(approve)。EDPB也在官网上对于经过认可实施BCR的组织进行了公示。如果跨国集团获得了经认可的BCR,则该公司无需得到另行批准即可直接将欧盟境内的个人数据传输到同一集团内欧盟境外的其他公司,即使其他公司位于没有按照GDPR要求为个人数据提供足够保护的国家。总之,BCR可以保证公司在GDPR的总体框架下通过其内部制度保证集团内部适用统一的标准来实现对数据主体的保护,并达到防范数据跨境可能引发潜在风险的目的。与BCR不同,我国的跨境处理活动认证并非由监管机关认可,而由认证机构实施认证。相较于GDPR,对于跨国公司内部的个人信息跨境传输,我国《个保法》并未进行特殊规定。此外,除了两类跨境数据处理活动外,其他跨境数据处理活动能否适用《认证规范v1.0》,均是企业重点关注的问题。

 

《个保法》第三条第二款适用的个人信息处理活动,包括:(一)以向境内自然人提供产品或者服务为目的[1];(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。因此,如果境外个人信息处理者直接收集中国境内的个人信息,理应遵守《个保法》的要求。例如国外的某跨境电商平台直接收集中国境内用户的个人信息,并将其存储在位于境外的服务器。《认证规范v1.0》认为处于境外的个人信息处理者在境外“直接采集”产生于中国境内的个人信息属于“个人信息跨境处理”活动,可以选择认证机制作为个人信息跨境的前提条件。

 

本次《认证规范v2.0(征求意见稿)》的适用情形删除了具体的两类数据跨境处理活动,扩大到所有的个人信息处理者开展的跨境数据处理活动。但《认证规范v2.0(征求意见稿)》仍然对《认证规范v1.0》规定的两类数据跨境活动,即“跨国公司或者同一经济、事业实体下属子公司或关联公司”和“《中华人民共和国个人信息保护法》第三条第二款规定的境外个人信息处理者”的认证申请主体在《认证规范v2.0(征求意见稿)》第二条中进行了特别提示,可见其特殊性。

 

三、认证申请主体:境内主体

 

对于申请认证的主体,《认证规范v2.0(征求意见稿)》相较于《认证规范v1.0》,增加了一项总体要求,即申请认证的个人信息处理者应取得合法的法人资格、正常经营且具有良好的信誉、商誉,这也排除了个人和其他非法人组织申请认证的可能。

 

其他内容与《认证规范v1.0》并无区别,基本上都应当由境内主体提交认证申请,并承担相应法律责任,无法由境外接收方申请认证。就上节中提到的当涉及两类特殊的数据跨境活动,其申请认证的主体具体如下:

 

 

GDPR序言第80条提及,如数据控制者未在欧盟境内设立实体,但根据适用条件需要适用GDPR,则应当指定一名代表。该代表应由控制者书面授权明确指定,代表其履行GDPR下的义务。此类代表的指定不影响控制者在GDPR下的责任或义务。如果控制者不遵守规定,指定代表应接受强制执行程序。第27条第4款也规定,控制者指定代表不影响可能对控制者本身提起的法律诉讼。根据上述要求,GDPR下的当地代表可能被引入诉讼执行程序中,但不影响控制者本身应当承担的责任。

 

根据我国《个保法》第五十三条,《个保法》第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。对于在我国境内设立的专门机构或者指定代表,《个保法》虽然并未对其应当承担的法律责任进行专门规定,但仍应当适用《个保法》第七章对于违法处理个人信息或未履行个人信息保护义务行为的一般法律规定。《认证规范v2.0(征求意见稿)》也规定申请认证的主体须承担法律责任,我们认为此处的法律责任即应当参考《个保法》第七章,情节严重的,将由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

 

同时,如前所述,GDPR下跨境传输场景中由数据接收方申请认证,而《认证规范v2.0(征求意见稿)》则要求境内出境方或境外个人信息处理者在境内设置的专门机构或指定代表进行认证,这无形中给境内主体施加了监督压力。规定由境内主体申请认证主要可能是为了便于开展认证工作的实施、就认证活动而言方便监管以及追究法律责任。我们认为,虽然规定法律责任的直接承担方为境内主体,但并不能理解为境外主体不受认证机制的监管,即参与个人信息跨境处理的相关方均应受认证机制的监管。

 

此外,《个保法》规定应“按照国家网信部门的规定经过专业机构进行认证”,《认证规范v2.0(征求意见稿)》虽然对认证的申请主体做了明确规定,但并未明确有资格开展认证业务的机构名单,也未明确成为个人信息跨境活动的安全认证机构须满足何等条件,但确定了认证机构有权对境外接收方做出的承诺进行监督。同时,《认证规范v2.0(征求意见稿)》写到,本规范由中国网络安全审查技术与认证中心与中国电子技术标准化研究院等单位提供技术支持,我们推断这两家机构很大概率会是跨境安全认证的专业机构,但具体机构名录还将等待官方进一步公布。

 

四、术语定义

 

较《认证规范v1.0》而言,《认证规范v2.0(征求意见稿)》新增了第三章“术语定义”,具体列明了文中所涉“个人信息主体”“个人信息处理者”及“境外接收者”的定义。

 

“个人信息主体”是指“个人信息所标识或者关联的自然人”,此定义与《标准合同规定征求意见稿》中的定义一致;“个人信息处理者”是指“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”,此定义与《个保法》第七十三条的定义一致;《认证规范v2.0(征求意见稿)》对“境外接收者”的定义为“位于中华人民共和国境外并自个人信息处理者处接收个人信息的组织或个人”,该定义与《标准合同规定征求意见稿》中的“境外接收方”定义相一致。

 

可见,《认证规范v2.0(征求意见稿)》提及的相关术语都来源于既有的法律和部门规章,并未提出新的概念或是术语。企业在适用《认证规范v2.0(征求意见稿)》时,只需要与《个保法》和相关法律法规保持一致进行判断即可,没有增加新的难度。

 

五、基本原则

 

《认证规范v2.0(征求意见稿)》提出了关于个人信息保护认证活动的六项基本原则,其中部分原则与《个保法》下的基本原则相同,但也有本次《认证规范v2.0(征求意见稿)》新增的原则性规定。相较于《认证规范v1.0》,《认证规范v2.0(征求意见稿)》对基本原则做了更为详尽的补充,进一步细化了个人信息处理者和境外接收方应遵守的基本原则的具体内涵。例如在公开、透明原则中,《认证规范v1.0》规定个人信息处理者需要向个人信息主体告知“个人信息跨境提供的目的、范围和处理方式”,而《认证规范v2.0(征求意见稿)》要求个人信息处理者和境外接收方需要及时向个人信息主体告知“境外接收方的名称、联系方式,个人信息跨境处理的目的、范围和处理方式,以及权利、行使权利的方式和程序等”,增加了加粗标红字体部分的告知范围。各项原则的具体区别如下:

 

 

以上可见,《认证规范v2.0(征求意见稿)》回归了与《个保法》相一致的要求,删除了《认证规范v1.0》中超出《个保法》原则的部分内容,与上位法的要求更为贴合。但是,《认证规范v2.0(征求意见稿)》比《个保法》多增加了“自愿认证”的原则,即个人信息跨境处理活动认证属于国家推荐的自愿性认证,鼓励符合条件的个人信息跨境活动相关方自愿申请个人信息跨境处理活动认证。因为本标准正是为认证活动而制,将认证的性质与作用提到原则位置也无可厚非。就“自愿认证”而言,涉及个人信息跨境传输活动的个人信息处理者,是否选择认证完全出于自愿:如果选择认证,也需要判断是否符合数据出境安全评估而同时申请安全评估;不选择申请跨境处理活动认证,但必须满足《个保法》第三十八条规定的其他保护措施后,方可进行个人信息跨境传输。

 

六、基本要求

 

对于开展个人信息跨境处理活动,《认证规范v2.0(征求意见稿)》从具有法律约束力的协议、组织管理、个人信息跨境处理规则、个人信息保护影响评估等四个方面对个人信息处理者与境外接收方提出了基本要求。这些要求不仅可以作为认证机构实施个人信息跨境处理活动认证的相关依据,也可以为个人信息处理者规范其个人信息跨境处理活动提供参考。下面,我们将对此具体展开介绍:

 

(一)具有法律约束力的协议

 

《认证规范v2.0(征求意见稿)》在“具有法律约束力的协议”部分较《认证规范v1.0》做出了较大改动,新增了数条与境外接收方签署的具有法律约束力和可执行文件的具体内容,此修订可帮助个人信息处理者和境外接收方在签订相关协议时更加明确协议应涵盖的内容,同时也对协议双方提出了更高的合规要求,确保个人信息主体权益得到充分的保障。在该文件中应当明确的重点内容如下:

 

a) 个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等;

b) 个人信息跨境处理的目的、范围、类型、敏感程度、数量、方式、保存期限、储存地点等;

c) 个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息跨境处理可能带来安全风险所采取的技术和管理措施;

d) 个人信息主体的权利,以及保障个人信息主体权利的途径和方式;

e) 救济、合同解除、违约责任、争议解决等;

f) 境外接收方承诺并遵守同一个人信息跨境处理规则,并确保个人信息保护水平不低于中华人民共和国个人信息保护相关法律、行政法规规定的标准;

g) 境外接收方承诺接受认证机构监督;

h) 境外接收方承诺接受中华人民共和国个人信息保护相关法律、行政法规管辖;

i) 明确在中华人民共和国境内承担法律责任的组织,并承诺履行个人信息保护义务;

j) 个人信息处理者和境外接收方均承诺对侵害个人信息权益行为承担法律责任,法律责任不明确的,由个人信息处理者承担法律责任;

k) 其他应遵守的法律、行政法规规定的义务。

 

较《认证规范v1.0》而言,《认证规范v2.0(征求意见稿)》新增了《标准合同规定征求意见稿》中第六条第(三)(五)(六)项[2]规定的标准合同应包括的主要内容,与个人信息出境相关法规间达成了更好的协调性,更有利于对个人信息跨境处理活动的规范,提升个人信息保护水平。

 

企业在与境外接收方订立的具有法律约束力的文件(如《数据跨境传输协议》)时,一方面可根据《标准合同规定征求意见稿》,参考“个人信息出境标准合同”模板,将跨境处理个人信息的目的以及个人信息的类别、范围以附录形式进行列明;另一方面,还应当考虑重点补充或强调如下内容:(1)境外接收方承诺并遵守同一个人信息跨境处理规则,并确保个人信息保护水平不低于中华人民共和国个人信息保护相关法律、行政法规规定的标准;(2)境外接收方承诺接受认证机构监督;(3)境外接收方承诺接受中华人民共和国个人信息保护相关法律、行政法规管辖;(4)个人信息处理者和境外接收方均承诺对侵害个人信息权益行为承担法律责任,法律责任不明确的,由个人信息处理者承担法律责任;以及(5)其他应遵守的法律、行政法规规定的义务。

 

其中,第(4)点正表达了本文第三节中提及的参与个人信息跨境处理的相关方均应受认证机制的监管。关于接受监督的具体方式,包括答复询问、配合检查、服从采取的措施或做出的决定、提供已采取必要行动的书面证明等均由《认证规范v2.0(征求意见稿)》第6.2点进一步明确。关于“个人信息主体权益保护措施”的具体内容,可以参照《认证规范v2.0(征求意见稿)》第6点对个人信息主体权益保障的要求(具体详见下文第七节)。关于“同一个人信息跨境处理规则”具备所指的内容,《认证规范v2.0(征求意见稿)》第5.3点也作了相应规定(具体详见下文第六节第3点“处理规则”部分)。

 

但是,当出现《个保法》第三条第二款的场景时,境外个人信息处理者于境外处理境内自然人个人信息并委托在境内设置的专门机构或指定代表申请认证的情况下,《认证规范v2.0(征求意见稿)》第5.1点提及的“开展个人信息跨境处理活动的个人信息处理者和境外接收方”具体分别是指哪些主体,是否由境内专门机构/指定代表和境外个人信息处理者签署具有法律约束力的文件,存在一定的不确定性;抑或《认证规范v2.0(征求意见稿)》第5.1点不适用《个保法》第三条第二款的场景,还需要《认证规范v2.0》定稿版进一步解明。

 

(二)组织管理:指定个人信息保护负责人、设立个人信息保护机构

 

《认证规范v2.0(征求意见稿)》明确要求,开展个人信息跨境处理活动的个人信息处理者和境外接收方均需要既指定个人信息保护负责人,又要设立个人信息保护机构。《认证规范v2.0(征求意见稿)》对于个人信息保护负责人和个人信息保护机构的产生方式、基本要求以及具体职责进行了较为详细的规定,具体内容如下:

 

 

1. 个人信息保护负责人

 

从上述工作职责来看,个人信息保护负责人主要承担领导决策职责并提供总体性保障支持,以便具体工作人员的个人信息保护工作达到预期目标,同时也具备管理权限和资源配置能力,能够为个人信息保护工作的开展提供人财物保障。关于主要负责人具体是由CEO、CTO还是其他决策层VP成员担任,取决于每个企业内部的不同治理结构,哪个具体决策层人员具备相关专业背景、知识储备和管理技能,《认证规范v2.0(征求意见稿)》没有规定。

 

与《认证规范v2.0(征求意见稿)》只要涉及个人信息跨境活动均需要指定个人信息保护负责人要求不同的是,《个保法》第五十二条第一款仅规定“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人”。关于“国家网信部门规定数量”还有待《个保法》的相关配套规定加以明确。《信息安全技术 个人信息安全规范》(GB/T 35273-2020)(以下简称“《个人信息安全规范》”)对个人信息保护负责人的设立标准(满足以下条件之一)为:1.主要业务涉及个人信息处理,且从业人员规模大于200人;2.处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;3.处理超过10万人的个人敏感信息的。

 

如果《认证规范v2.0》最终稿与目前的征求意见稿保持一致,那么根据5.2.1条,意味着只要开展个人信息处理活动,符合条件申请出境认证的,认证主体应当指定个人信息保护负责人,不论涉及处理个人信息的主体数量多少。

 

同时,值得关注的是,对于《个保法》第三条第二款的情况,即发生个人信息处理者在境外处理境内自然人个人信息的情形,如何指定个人信息保护负责人才能满足要求,《认证规范v2.0(征求意见稿)》并没有明确说明,这是否意味着境外个人信息处理者需要在境内指定个人信息保护负责人?还是在境外指定也可以,只要符合《个保法》第五十三条在中国境内设置专门机构或指定代表申请认证;抑或由该境内设置的专门机构派员担任或者由指定代表一并担任?以上问题仍然需要《认证规范v2.0》最终稿或操作指引进行厘清。

 

当然,还应当提醒的是,如果相关企业已经设置了个人信息保护负责人,并且涉及个人信息跨境传输,以及符合条件申请出境认证的,则应当在本企业的岗位职责说明或其他类似制度中进一步补充个人信息保护负责人需要监督、指导合规的个人信息跨境活动,并且对选择跨境传输认证发挥决策作用,并了解相关的内容以支持认证工作的开展。

 

2. 关于个人信息保护机构

 

《认证规范v2.0(征求意见稿)》要求开展个人信息跨境处理活动的个人信息处理者和境外接收方均应设立个人信息保护机构,针对具体合规要求(如个人信息保护影响评估)进行落实和执行。《个保法》虽然没有直接规定企业应当设立个人信息保护机构,但我们认为企业履行《个保法》规定的各方面义务显然需要通过专门工作机构来完成。与此同时,《个人信息安全规范》也明确指出,企业应当设立个人信息保护机构,与个人信息保护负责人一起承担数据保护和合规管理工作,特别是确保能够及时应对和处理个人信息泄露、篡改和丢失事件,这与《认证规范v2.0(征求意见稿)》中对个人信息保护机构的基本要求一致。

 

与《认证规范v1.0》相比,《认证规范v2.0(征求意见稿)》在“个人信息保护机构”部分增添了一些机构的具体职责,具体来说:

 

第(4)项“采取有效措施保证按照约定的处理目的、范围、方式处理跨境个人信息,履行个人信息保护义务,保障个人信息安全”要求处理者和境外接收方的个人信息保护机构应当履行安全保障义务,回应了《认证规范v2.0(征求意见稿)》第4点基本原则中的要求。

 

第(5)项“定期对本组织处理个人信息遵守中华人民共和国法律、行政法规的情况进行合规审计”。审计工作作为个人信息保护机构的重要职责之一,也是《个保法》第五十四条的明确要求,需要企业切实落实,以应对相关部门的监管要求。

 

在一般情况下,企业内的法律合规部门、大数据部门、各产品线、运维和IT部门与个人信息保护工作最密切相关,如果可以由其中一个部门的负责人牵头(如果符合条件,既可以被认定为个人信息保护负责人,亦可被委任为数据保护岗位负责人、网络安全负责人),从各相关部门抽取核心人员(经签署专项保密协议后)共同组建企业个人信息保护机构,各司其职,履行各项《个保法》下的义务,包括符合个人信息跨境传输的合规措施,以及《认证规范v2.0(征求意见稿)》要求的各项具体内容。

 

根据《认证规范v2.0(征求意见稿)》,需要再次强调,境内个人信息处理者和境外接收方均需分别委任个人信息保护负责人和设立开展个人信息保护工作的专门机构,方可满足要求。如一旦开始认证工作,认证机构可能会要求企业提供此类任命和签发的内部文件。

 

(三)处理规则:遵守同一个人信息跨境处理规则

 

在处理规则方面,《认证规范v2.0(征求意见稿)》较《认证规范v1.0》,仅调整了一些措辞,规定参与个人信息处理的相关方遵守同一个人信息跨境处理规则的,应至少包括下列事项:

 

a) 明确跨境处理个人信息的基本情况,包括个人信息数量、范围、种类、敏感程度等;

b) 明确跨境处理个人信息的目的、方式和范围;

c) 明确个人信息境外存储的起止时间及到期后的处理方式;

d) 明确跨境处理个人信息需要中转的国家或者地区;

e) 明确保障个人信息主体权益所需资源和采取的措施;

f) 明确个人信息安全事件的赔偿、处置规则。

 

此处的“个人信息跨境处理规则”为上述第六节第1点(f)项提到的“同一个人信息处理规则”,即个人信息跨境处理各方制定的具有法律约束力的文件中,应包含上述个人信息跨境处理规则,并由个人信息处理者和接收方在签署后遵守并适用。如未覆盖上述规则或缺失部分内容的,例如未约定到期后的处理方式,则可能导致认证无法通过,影响整体数据出境的计划。

 

(四)影响评估:进行个人信息保护影响评估

 

《认证规范v2.0(征求意见稿)》要求个人信息处理者应对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估。相较于《认证规范v1.0》,《认证规范v2.0(征求意见稿)》新增了多项评估报告应包括的事项,并强调评估后需形成评估报告,且评估报告至少保存3年,与《个保法》的要求进行了衔接。

 

目前,企业一方面可参考《认证规范v2.0(征求意见稿)》对于个人信息保护影响评估的要求,另一方面还可以参考《数据出境安全评估办法》和《标准合同规定征求意见稿》对于个人信息保护影响评估的要求,此外,还可以部分参考《信息安全技术 个人信息影响评估指南》(GB/T 39335-2020)的指引,对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估。但整体而言,评估内容不应少于《认证规范v2.0(征求意见稿)》的要求,即个人信息保护影响评估至少包括下列评估事项:

 

a) 个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;

b) 跨境处理个人信息的规模、范围、类型、敏感程度、频率,个人信息跨境处理可能对个人信息权益带来的风险;

c) 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障跨境处理个人信息的安全;

d) 个人信息跨境处理后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;

e) 境外接收方所在国家或者地区的个人信息保护政策法规对履行个人信息保护义务和保障个人信息权益的影响,包括但不限于:

  • 境外接收方此前类似的个人信息跨境传输和处理相关经验、境外接收方是否曾发生数据安全相关事件及是否进行了及时有效地处置、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息请求及境外接收方应对的情况;
  • 该国家或地区现行的个人信息保护法律法规、普遍适用的标准情况,及与我国个人信息保护相关法律法规、标准情况的差异;
  • 该国家或地区加入的区域或全球性的个人信息保护方面的组织,以及所做出的具有约束力的国际承诺;
  • 该国家或地区落实个人信息保护的机制,如是否具备个人信息保护的监督执法机构和相关司法机构等。

f) 其他可能影响个人信息跨境处理安全的事项。

 

《认证规范v2.0(征求意见稿)》还提到个人信息处理者应当评估境外接收方所在国家和地区的个人信息保护政策法规对履行个人信息保护义务和保障个人信息权益的影响,具体如何才算是对个人信息主体权益带来影响,实践中目前还未形成统一标准,甚至对于境外法律环境评估到何等颗粒度企业也还存在困惑。

 

结合上述,除了通用的评估项外,我们认为数据出境场景下个人信息保护影响评估还应重点衡量以下方面问题:(1)相关数据是否为国家禁止向境外提供的字段;(2)个人信息处理者和境外接收方的安全保护能力、安全措施和环境(境外国家和地区的网络安全环境等对个人信息主体权益的影响)等;和(3)其他可能严重影响个人信息和重要数据安全的风险或维护个人信息权益所必需的事项。

 

在评估步骤上,可以根据《个人信息影响评估指南》第五部分“评估实施流程”,将个人信息影响评估分为三个部分,即评估前准备工作、实施评估、评估后工作,具体内容如下:

 

 

结合《认证规范v.2.0》《个保法》以及《个人信息影响评估指南》,我们建议企业在开展个人信息保护影响评估时,针对自身的个人信息处理活动及合规实践,建立并落实适合实际情况的个人信息保护影响评估机制,包括由谁执行、如何执行、如何决策等内容。考虑到开展个人信息保护影响评估的专业性和复杂性,企业也可以引入外部第三方机构予以协助。

 

七、个人信息主体权益的保障

 

在《个保法》的基础上,《认证规范v2.0(征求意见稿)》对个人信息主体权利进行了完善与补充,同时也明确了个人信息处理活动相关方需承担的责任与义务,具体内容如下:

 

 

(一)个人信息主体权利

 

相较于《个保法》,《认证规范v2.0(征求意见稿)》第6.1点提出了更具可操作性的保护要求。例如:个人有权要求个人信息处理者和境外接收方提供法律文本中涉及个人信息主体权益部分的副本;有权向国内监管部门进行投诉、举报;有权在经常居所地所在法院向个人信息处理者和境外接收方提起司法诉讼。《认证规范v2.0(征求意见稿)》还提出,个人信息主体是个人信息处理者和境外接收方签订法律文件中的第三方受益人。虽然《标准合同规定征求意见稿》的标准合同模板中也提及了“受益人”的表述,但《个保法》并未明确提及“受益人”的概念,出境相关方对个人信息主体的个人信息进行保护,个人信息主体究竟是否为受益人?当出现个人信息泄露时,个人信息主体往往成为被侵权人而非受益人。综上,此处“受益人”的概念可能值得进一步探讨。

 

《认证规范v2.0(征求意见稿)》规定,个人信息主体有权撤回对其个人信息跨境处理的同意;发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者及境外接收方应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。这也呼应了《个保法》第三十九条要求个人信息出境时应当获得单独同意的要求,即个人信息出境场景下适用单独同意,无法适用《个保法》第十三条第一款第(二)项至第(七)项。

 

此外,相较于《认证规范v1.0》,《认证规范v2.0(征求意见稿)》还补充规定,个人信息主体可以向个人信息处理者或者直接向境外接收方提出行权请求;当个人信息权益受到损害时,个人信息主体有权向个人信息处理者、境外接收方的任何一方提出赔偿要求。如果赔偿请求得不到主张的,还可以向权利人经常居住地所在法院请求司法救济。前述规定构建起了完整的个人信息主体权利行使链条,从具体的权利内容到行权方式、途径,再到权利受损时的赔偿请求权和司法救济权,《认证规范v2.0(征求意见稿)》做出了更为细化的规定。

 

(二)个人信息处理者和境外接收方责任与义务

 

《认证规范v2.0(征求意见稿)》要求,个人信息处理者和境外接收方以电子邮件、即时通信、信函、传真等方式告知个人信息主体开展个人信息跨境处理活动的个人信息处理者和境外接收方的基本情况,以及向境外提供个人信息的目的、类型和保存时间,并取得个人信息主体的单独同意。此处对于单独同意的形式进行了明确,包括电子邮件、即使通信、信函、传真,但这些方式在很多场景下相对较难实现,例如在电商、云服务等场景下,如果还需要通过电子邮件、信函、传真这类方式,那么往往可能最终无法获得个人信息主体的单独同意。

 

《认证规范v2.0(征求意见稿)》要求个人信息处理者和境外接收方在发现难以保证跨境个人信息安全的情况时,及时停止跨境处理活动,并通知对方。这要求个人信息处理者和境外接收方对个人信息跨境处理活动进行实时监督和监控,具体如何发现问题,如何恢复跨境传输,是否需要重新认证一次,目前《认证规范v2.0(征求意见稿)》均未予以明确。

 

《认证规范v2.0(征求意见稿)》第6.2点(i)项规定,应个人信息主体的请求,个人信息处理者和境外接收方应当提供法律文本中涉及个人信息主体权益部分的副本。就这一点,在企业实际落实过程中,可以参考《标准合同规定征求意见稿》标准合同模板中的规定,即在为保护商业秘密或其他机密信息(例如受保护的知识产权内容等)所必需的范围内,可以在提供副本之前对法律文本的相关内容进行适当遮蔽,但承诺向个人信息主体提供有效摘要以助其理解相关内容。

相较于《认证规范v1.0》,《认证规范v2.0(征求意见稿)》也对个人信息处理者和境外接收方提出了更多新的、细化的要求,具体包括:

 

【境外接收方通知义务】如果境外接收方所在国家或地区法律或政策发生变化,导致境外接收方无法履行本认证所提出的要求,境外接收方应在知道前述变化后立即通知个人信息处理者及认证机构;

 

【不得将个人信息提供给第三方】境外接收方承诺不将所接收的个人信息提供给第三方。如确需提供的,应满足中华人民共和国有关法律、行政法规要求,并采取必要措施确保第三方个人信息跨境处理活动达到《个保法》规定的个人信息保护标准;

 

【记录及保存要求】客观记录开展的个人信息跨境处理活动,保存记录至少3年;按照相关法律法规要求向中华人民共和国履行个人信息保护职责的部门提供相关记录文件;

 

【安全事件的通知报告义务(细化)】发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者及境外接收方应当及时通知对方和个人信息主体,并报告中国履行个人信息保护职责的部门。通知、报告包含以下内容:(1)个人信息泄露、篡改、丢失的原因;(2)泄露的个人信息种类和可能造成的危害;(3)己采取的补救措施;(4)个人可以采取的减轻危害的措施;(5)负责处理个人信息泄露、篡改、丢失的负责人或负责团队的联系方式。

 

此外还要求个人信息处理者和境外接收方需要承担已履行责任义务的举证责任,并承诺与个人信息跨境处理有关的纠纷适用中华人民共和国相关法律法规。

 

结语

 

《认证规范v2.0(征求意见稿)》的出台,为落实《个保法》第三十八条第一项第二款的个人信息保护认证制度提供了法律依据,规定了什么情形需要申请个人信息保护认证,适格的申请认证的主体有哪些,认证申请的具体要求有哪些,个人信息主体的权利以及相关方的责任义务是什么等内容。同时,《认证规范v2.0(征求意见稿)》也解答了境外接收方是否需要履行个人信息跨境传输的义务以及应当如何履行的问题。

 

尽管《认证规范v2.0(征求意见稿)》对个人信息保护认证相关内容做了较为详细的规定,但并未规定实施认证的具体机制与流程(包括:认证机构有哪些以及需要何种资质、申请认证需要提交何种资料、结果有哪些、认证有效期、重新申请认证的情形、个人信息主体行使查询更正等权利的方式和个人信息处理者和境外接收方的响应时限、对于认证结果不服时的救济手段等),也未明确个人信息主体权益受损时的赔偿标准指导。同时,我们也期待后续出台的法律法规以及《认证规范v2.0》正式稿可以进一步明确认证机制相关事项,为个人信息保护认证制度的落地提供更明确的指引。

 

注释:

[1] 对于如何判断“以向境内自然人提供产品或服务为目的”,鉴于现行生效法规未作明确解释,目前可以参考《信息安全技术 数据出境安全评估指南(征求意见稿)》中对于“境内运营”的解释,即判断是否向中华人民共和境内提供产品或服务的参考因素包括但不限于:使用中文、以人民币作为结算货币、向中国境内配送物流等。

[2] 第六条 标准合同包括以下主要内容:

(一)个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等;

(二)个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等;

(三)个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等;

(四)境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响;

(五)个人信息主体的权利,以及保障个人信息主体权利的途径和方式;

(六)救济、合同解除、违约责任、争议解决等。