近年来,以《个人信息保护法》(“《个保法》”)为标志的中国个人信息保护法规与规范发布,确立了包括中国个人信息跨境传输保护认证(“安全认证”)在内的一系列机制。2023年3月16日,全国信息安全标准化技术委员会(“信安标委”)秘书处进一步发布了《信息安全技术 个人信息跨境传输认证要求》(征求意见稿)(“《认证要求(征)》”),在个人信息的跨境传输认证方面增加了一个更具有实操意义的板块。在此,我们就个人信息跨境传输认证制度予以梳理,供读者参考。
一、相关规范出台的背景
全国人大常委会于2021年8月20日发布了《个保法》,该法已于同年11月1日生效。以《个保法》为标志,我国初步建立了系统的个人信息保护的制度体系。其中,《个保法》第38条规定了个人信息处理者开展个人信息跨境传输活动的监管机制,即确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:1. 通过国家网信部门组织的安全评估(“安全评估”);2. 按照国家网信部门的规定经专业机构进行个人信息保护认证(即安全认证);3. 按照国家网信部门制定的标准合同与境外接收方订立标准合同(“标准合同”);或4. 满足法律、行政法规或者国家网信部门规定的其他条件。
就安全评估机制,国家互联网信息办公室(“网信办”)于2022年7月7日发布了《数据出境安全评估办法》(2022年9月1日生效),并于同年9月1日发布了《数据出境安全评估申报指南》(第一版)。目前,各地互联网信息主管部门已据此实施了该项机制。
就标准合同机制,网信办已于2023年2月24日发布《个人信息出境标准合同办法》(“《标准合同办法》”)以及个人信息出境标准合同文本,其将于今年6月1日起施行。
就安全认证机制而言,相关规定与规范则经历了一定的发展和演化。2022年6月24日,信安标委秘书处发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V1.0》(“《认证规范V1.0》”)。2022年11月8日,信安标委秘书处发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0(征求意见稿)》公开征求意见。根据相关意见,2022年12月16日,信安标委秘书处发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》(“《认证规范V2.0》”),正式修订了《认证规范V1.0》的部分规定。此外,在2022年11月18日,国家市场监督管理总局及网信办共同发布了《关于实施个人信息保护认证的公告》及其附件《个人信息保护认证实施规则》(“《认证实施规则》”),其中也明确包含了对跨境处理活动的个人信息保护认证的表述。
随着本次信安标委发布《认证要求(征)》,相关个人信息跨境传输规则进一步从推荐性国家标准的维度进行了明确。除个别定义及行文外,《认证要求(征)》基本与《认证规范V2.0》的内容一致。需要注意的是,《认证规范V2.0》在适用情形章节指出,其“为认证机构对个人信息处理者的个人信息跨境处理活动开展认证提供依据,也为个人信息处理者规范个人信息跨境处理活动提供参考”。[1]而《认证要求(征)》在范围章节则进一步明确,其除适用于前述认证机构开展个人信息跨境处理认证外,也适用于“主管部门、第三方评估机构等组织对个人信息处理者跨境提供个人信息进行监督、管理和评估”,透露出了将相关要求运用于更为广泛场景的意向[2]。如果未来主管部门在修订《认证实施规则》或制定其他规则时直接明确个人信息跨境处理的安全认证应当适用施行后的《认证要求(征)》,则《认证要求(征)》的有关要求可能在实践中具有较高的适用效力。
《认证要求(征)》标准编制小组发布的《编制说明》指出,该标准编制过程中充分调研分析国际个人信息跨境提供遵循的通行理念和做法,包括参考《欧盟通用数据保护条例》(GDPR)相关有约束力公司规则(Binding Corporate Rules)、标准合同(Standard Contract Clauses),欧盟数据保护委员会发布的认证相关指南和报告,以及美国主导的亚太经济合作组织(APEC)构架下的跨境隐私规则体系(APEC Cross-Border Privacy Rules)中的认证规则等内容,在《认证要求(征)》中明确了6项基本原则,目的是保障境外接收方处理个人信息的活动达到我国个保法规定的个人信息保护标准,并便于后续推动国际互认。可以说,《认证要求(征)》的内容具有国际视野,也兼顾了中国特点,具有较明显的前瞻性。
二、何种情形选择安全认证
如前所述,个人信息出境活动合规条件下存在三项机制:安全评估、安全认证及标准合同。根据《数据出境安全评估办法》,当具有以下情形之一时,必须适用安全评估机制:
-
数据处理者向境外提供重要数据;
-
关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
-
自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;或者
- 国家网信部门规定的其他需要申报数据出境安全评估的情形。
如果具有上述任一情形,则不能选择使用安全认证或标准合同路径。结合《标准合同办法》《认证规范V2.0》及《认证要求(征)》等规定,一般认为,对于不属于适用上述安全评估的情况的个人信息处理活动,个人信息处理者可自行选择采取标准合同或者安全认证。如采取标准合同路径,则根据《标准合同办法》的规定,个人信息处理者与境外接收方应订立个人信息出境标准合同,并在标准合同生效之日起10个工作日内向所在地省级网信部门备案。
对于安全认证途径,《认证规范V2.0》仅表述“本文件作为认证机构对个人信息跨境处理活动进行个人信息保护认证的认证依据”,不再按《认证规范V1.0》的采用罗列的表述,即没有罗列《认证规范V1.0》指出的(a)跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动;以及(b)《个保法》第三条第二款适用的个人信息处理活动。《个保法》第三条第二款适用的个人信息处理活动为:在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有以下情形之一的:1. 以向境内自然人提供产品或者服务为目的;2. 分析、评估境内自然人的行为;以及(iii)法律、行政法规规定的其他情形的活动。不过《认证规范V2.0》在对认证主体的规定中,对于认证主体的表述仍然罗列了前述(a)、(b)两个场景。
一般而言,在单项的、短期的业务活动所涉及的个人信息跨境提供的情况下,采取“一事一议”的标准合同是较为经济且高效的操作模式。而针对前述跨国公司集团内频繁的、日常的事务管理和业务往来,采取安全认证将可能是更为便捷和简便的选项。
三、《认证要求(征)》的基础性章节
如前所述,《认证要求(征)》的第一章节为适用范围,除概括该文件的主要内容外,还就适用情形进行了概括,其概括的范围较《认证规范V2.0》略有不同(即除与《认证规范V2.0》的表述一样,适用于认证机构对个人信息处理者跨境提供个人信息活动开展个人信息保护认证外,也适用于主管部门、第三方评估机构等组织对个人信息处理者跨境提供个人信息进行监督、管理和评估。)。
《认证要求(征)》的第二章节为规范性引用文件,其引述了《GB/T 25069-2022 信息安全技术 术语》及《GB/T 35273-2020 信息安全技术 个人信息安全规范》的相关规范,较《认证要求(征)》扩充了其同步适用的规范体系,为安全认证提供了更为全面的指引。
《认证要求(征)》的第三章节为术语和定义。其中,对于个人信息主体、个人信息处理者及境外接收方的定义与《认证规范V2.0》保持一致。就个人信息及敏感个人信息的定义参照了《GB/T 35273-2020》的表述,但总体而言与《个保法》的定义并无显著不同。特别的是,此次《认证要求(征)》对于单独同意提出了明确定义,即“对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意。”该项定义是针对《个保法》第39条所要求的个人信息处理者向中国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意的规定。这一定义基本肯定了此前普遍观点认为的对单独同意的理解,即单独同意不应采取以一次性罗列的方式取得个人同意的操作。
四、《认证要求(征)》规定的基本原则
《认证要求(征)》的第四章节为基本原则。该章节有如下六项原则,其内容与《认证规范V2.0》的对应章节基本一致。[3]
五、《认证要求(征)》规定的基本要求
(一)具有法律约束力的协议
虽然《标准合同办法》所罗列的合同项目与《认证要求(征)》对协议的要求与《标准合同规定》存在部分一致,但安全认证机制下的个人信息处理者与境外接收方签署的协议还需要强调下述内容:1. 境外接收方承诺并遵守同一个人信息跨境处理规则,并确保个人信息保护水平不低于中华人民共和国个人信息保护相关法律、行政法规规定的标准;2. 境外接收方承诺接受认证机构监督;3. 境外接收方承诺接受中华人民共和国个人信息保护相关法律、行政法规管辖;以及4. 个人信息处理者和境外接收方均承诺对侵害个人信息权益行为承担法律责任;法律责任不明确的,由个人信息处理者承担法律责任。
根据网信办对外公布的答记者问,在标准合同机制下签署的协议需要与《标准合同规定》的标准文本保持一致[5]。而在安全认证与安全评估机制下,个人信息处理者与境外接收方可以参考《标准合同规定》所附标准文本制定协议,但不必在文本上完全一致;同时,我们认为还需要增加上述需要补充的内容。
(二)组织管理及处理规则
在强调前述章节责任明确原则的背景下,个人信息处理者和境外接收方除需要指定其个人信息保护负责人外,还需要设立其个人信息保护机构。其中,个人信息保护负责人应具备个人信息保护专业知识和相关管理工作经历,由本组织的决策层成员承担。《个保法》第52条仅规定“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人”。而《认证要求(征)》在此未明确考量处理个人信息数量,即在选择安全认证路径时,指定个人信息保护负责人为必须完成的要求。设立其个人信息保护机构并非《个保法》的直接规定,而是《认证要求(征)》另行明确要求安全认证路径下的必备事项。
在基本要求章节,《认证要求(征)》也强调了个人信息处理者和境外接收方应约定并共同遵守同一个人信息跨境处理规则,并就该等处理规则进行了罗列。
(三)个人信息影响评估
《认证要求(征)》在该章节也强调了《个保法》第55条所要求的在向境外提供个人信息前,应当事前进行个人信息影响评估。其实,不论选择哪种《个保法》规定的个人信息出境路径,都需要开展个人信息影响评估;但在安全认证机制下,个人信息影响评估考察的重点内容会有所不同,其也绝对不同于国家网信部门组织的安全评估。
《认证要求(征)》明确要求在本项下形成的个人信息影响评估应至少包括的事项。并强调评估后需形成评估报告,且评估报告至少保存3年。在实践操作中,除应符合《认证要求(征)》罗列的事项外,还建议参考此前已发布的《信息安全技术 个人信息影响评估指南》(GB/T 39335-2020)等规范予以开展。
六、个人信息主体权益保障要求
(一)个人信息主体权益
呼应《个保法》的有关规定,《认证要求(征)》指出个人信息主体对其个人信息的处理拥有知情权、决定权、限制或拒绝他人对其个人信息进行处理的权利、查阅权、复制权、更正与补充的权利、删除权,有权撤回对其个人信息跨境处理的同意,并就个人信息主体行使权利的方式进行了进一步的说明。
在实务中,一些企业直接适用了其境外或全球通用的个人信息处理规则和用户协议,其中明确提出了个人信息处理者反馈个人信息主体要求行权的答复机制和答复期限。《网络数据安全管理条例》(征求意见稿)第23条中曾指出“收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的,应当在十五个工作日内处理并反馈”。此外,《信息安全技术―个人信息安全规范》(GB/T 35273-2020)指出,对于个人信息查询、更正、删除、撤回授权同意、注销账户、获取个人信息副本的请求,应在验证个人信息主体身份后,于三十天内或法律法规规定的期限内作出答复及合理解释,并告知个人信息主体外部纠纷解决途径。虽然上述规定尚不构成强制性的法规要求,但一般而言,企业就个人信息主体要求行使其法定权利的承诺答复期限需要结合其在中国业务的实际情况予以确认,并可以参考前述规范对外承诺其答复期限。
实际上,《认证要求(征)》进一步提出了一些保护个人信息主体行使其权利的要求。比如:1. 个人信息主体如要求行使前述权利的,既可以向境内个人信息处理者,也可以向境外接收方提出请求;并且,境内个人信息处理者无法实现的,还应通知境外接收方协助实现;2. 在个人信息权益受到损害时,个人信息主体有权向个人信息处理者、境外接收方的任何一方提出赔偿要求。由于个人信息主体享有上述选择权利,在个人信息主体与境外接收方沟通不便时,境内个人信息处理者可能不得不为境外接收方承担事实上的“连带责任”。
(二)个人信息处理者和境外接收方的责任义务
在本章节中,《认证要求(征)》还具体列举并规定了个人信息处理者和境外接收方的责任义务,这其中就包括了如下一些需要关注的事项:
1. 保障个人信息主体的知情权:应以电子邮件、即时通信、信函、传真等方式告知个人信息处理者和境外接收方的基本情况,以及向境外提供个人信息的目的、类型和保存时间,并取得个人信息主体的单独同意。
此外,如果境外接收方所在国家/地区法律或政策发生变化,导致境外接收方无法履行本认证所提出的要求,境外接收方在知道前述变化后立即通知个人信息处理者及认证机构。
2. 境外接收方承诺不将所接收的个人信息提供给第三方。如确需提供的,应采取必要措施确保第三方个人信息跨境处理活动达到我国法律法规要求及《个保法》规定的个人信息保护标准。
3. 发生或者可能发生个人信息泄露、篡改、丢失情况下的通知、报告义务及补救措施:当发生上述个人信息的泄露事件时,个人信息处理者和境外接收方应立即采取补救措施、通知对方,并报告我国主管部门和个人信息主体,记录留存所有与个人信息泄露事件有关的事实及其影响,包括采取的所有补救措施。其通知和报告的内容应涵盖:(1)个人信息泄露、篡改、丢失的原因;(2)泄露的个人信息种类和可能造成的危害;(3)己采取的补救措施;(4)个人可以采取的减轻危害的措施;(5)负责处理个人信息泄露、篡改、丢失的负责人或负责团队的联系方式。
就这一内容,《个保法》第57条的规定是,在发生个人信息泄露事件时,采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。我们注意到,《认证要求(征)》未明确前述豁免机制,那么是否意味着安全认证机制下,通知义务是无法免除的呢?这有待未来监管实践予以进一步澄清。
4. 应个人信息主体的请求,提供双方有法律约束力文件中涉及个人信息主体权益部分的副本。《认证要求(征)》在前述个人信息主体权益章节中即提出,个人信息主体有权要求个人信息处理者和境外接收方提供其签订的法律文件中涉及个人信息主体权益部分的副本,并向个人信息处理者和境外接收方主张权利。《个保法》第45仅笼统规定“个人有权向个人信息处理者查阅、复制其个人信息”。此外,《个保法》第17条要求,个人信息处理者对于其处理规则应当公开,并便于查阅和保存。我们理解,《认证要求(征)》的此项要求是对《个保法》相关规定的进一步细化,对于个人信息跨境传输的场景提出了更明确的要求。在收到个人信息主体的请求时,企业可以在就相关商业条款进行脱敏/遮蔽处理后,将对应个人信息主体权益部分的副本予以提供。
5. 客观记录开展的个人信息跨境处理活动:保存记录至少3年;按照相关法律法规要求向主管部门提供相关记录文件。
七、结语
在《个保法》为标志的个人信息保护法律体系下,我国目前已初步建立了以安全评估、安全认证及标准合同为主要途径的个人信息跨境处理机制。以《认证要求(征)》为代表的相关规则初步为安全认证机制的实施提供了指引。企业应该据此审视与完善自己的个人信息跨境处理合规机制,以期符合我国个人信息跨境处理相关规范。
注释:
[1] 来源:全国信息安全标准化技术委员会秘书处,《认证规范V2.0》
[2] 来源:全国信息安全标准化技术委员会秘书处,《认证要求(征)》
[3] 本所此前发表的《浅析个人信息跨境处理活动安全认证制度的主要关注点》一文曾对《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0(征求意见稿)》的相同条款予以分析。
[4] 《个保法》第三条第二款适用的个人信息处理活动为:在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有以下情形之一的:(i)以向境内自然人提供产品或者服务为目的;(ii)分析、评估境内自然人的行为;以及(iii)法律、行政法规规定的其他情形的活动。
[5] 根据网信办于2023年2月23日发布的《个人信息出境标准合同办法》答记者问,标准合同应当严格按照《标准合同规定》附件的标准合同范本订立。