2022-11-19
跨境認證——解讀個人信息出境的第三條路
作者:
楊建媛
鄔丹 李天爍
引 言
2022年11月18日,國家互聯網信息辦公室(“網信辦”)公開發布了《關于實施個人信息保護認證的公告》及其附件《個人信息保護認證實施規則》,規定了開展個人信息保護認證(區分兩種情形:不含跨境處理活動、包含跨境處理活動,后者簡稱“跨境認證”)的程序性規則。個人信息保護認證的認證依據為推薦性國家標準GB/T 35273《信息安全技術 個人信息安全規范》;涉及跨境處理活動時,認證依據還包括全國信息安全標準化技術委員會(“信安標委”)發布的標準相關技術文件TC260-PG-20222A《個人信息跨境處理活動安全認證規范》(均執行最新版本)。
2022年11月8日,信安標委發布了《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規范V2.0(征求意見稿)》(“《跨境認證規范V2.0》”或“V2.0”),此時距離其于2022年6月24日發布第一版(“《跨境認證規范V1.0》”或“V1.0”)僅過去了四個多月。
跨境認證是《個人信息保護法》(“《個保法》”)第38條第1款規定的跨境機制之一。個人信息處理者向境外提供(又稱“跨境傳輸”、“出境”)個人信息,應擇一滿足安全評估(如適用,需優先滿足)、跨境認證、標準合同、或其他條件。
其一,安全評估具有優先地位和國家安全站位,如果落入安全評估的適用范圍,則必須向網信辦申報安全評估。其二,跨境認證由專業機構對個人信息處理者及境外接收方的數據保護水平進行審查,不僅可以作為跨境機制,亦可成為企業證明自身合規水平的有效方式。其三,標準合同是一種無需審查、相對輕量級的跨境機制,企業可以充分利用網信辦發布的標準合同模板,通過境內外雙方自主締約的方式,高效便捷地開展個人信息出境活動。其四,我國立法、執法機構尚未正式規定個人信息出境的其他條件,有待后續觀察。
上述跨境機制的配套實施規則正在陸續出臺。網信辦現已發布《數據出境安全評估辦法》《個人信息出境標準合同規定(征求意見稿)》,相應的解讀文章請參閱《海問·觀察︱數據流動的分寸:評析〈數據出境安全評估辦法〉》《海問·觀察︱透視“中國版SCC”——個人信息出境標準合同》。
本文將具體結合《跨境認證規范V2.0》對跨境認證制度進行重點解讀,以期為企業提前研判跨境認證提供參考。
作為個人信息跨境的前提條件,安全評估、標準合同、認證這三項機制具有內在共性:形式上,均要求個人信息處理者事前自行開展評估、并與境外接收方簽署具有法律約束力的協議或文件;實質上,均強調境外接收方的同等保護水平、以及個人信息主體的權益保護。
與此同時,不同的跨境機制也存在制度邏輯的差異。安全評估不限于個人層面的保護,兼具國家安全的宏觀站位;安全評估、標準合同更側重于以數據出境場景為對象進行個案分析,而認證兼具以個人信息處理者、境外接收方為對象進行個體分析,當其數據保護能力達到我國法的要求,則個人信息可在認證范圍內進行傳輸。認證或可在一定程度上超脫一事一議的局限性、彰顯企業本身的數據保護能力,因此,認證不僅能單獨作為跨境傳輸的合規機制,也能成為企業向監管機構、合作方、用戶展示其合規水平的有力證明。
此外,跨境認證作為一套體系化的合規安排,往往需要更多的資源投入,例如《跨境認證規范V2.0》關于個人信息跨境處理規則、組織管理機構的額外規定。因此,跨境認證往往適用于合規建設較為完善、境內外雙方或多方關系較為密切或合作長期穩定的情形,例如跨國集團內部的個人信息跨境傳輸。
《跨境認證規范V1.0》曾將跨境認證的適用范圍限于兩種特殊情形:其一,跨國公司或者同一經濟、事業實體下屬子公司或關聯公司之間的個人信息跨境處理活動(“集團內跨境”);其二,《個保法》第3條第2款適用的個人信息處理活動(“域外管轄”)。
《跨境認證規范V2.0》則將跨境認證的適用范圍擴張至“個人信息處理者開展個人信息跨境處理活動”,恢復了跨境認證的通用性。但V2.0仍在第2條“認證主體”中特別列舉了集團內跨境、域外管轄這兩種情形,這既點出了跨境認證的典型適用場景,也解答了業界的一個困惑——從境外直接收集境內個人信息是否適用《個保法》第三章的跨境規則。目前看來,境外處理者仍需就個人信息跨境處理提前做好合規準備,并在必要時與監管部門溝通確認。
《跨境認證規范V2.0》在全文多處強調認證的雙方性,個人信息處理者(即境內提供方)、境外接收方雙方均需遵守關于基本原則、具有法律約束力的文件、組織管理要求、個人信息跨境處理規則、個人信息主體權益保障等方面的要求。實際上,跨境認證覆蓋了“境內處理—跨境傳輸—境外處理”的個人信息跨境處理活動全流程。根據《個人信息保護認證實施規則》,認證程序中包括“技術驗證”與“現場審核”,該等要求如何適用于境外接收方有待觀察。
在歐盟《通用數據保護條例》(“GDPR”)項下,根據歐盟數據保護委員會(“EDPB”)于2022年6月最新發布的《關于認證作為傳輸工具的指南(公開征求意見稿)》,作為跨境傳輸工具的認證僅針對境外接收方這一方,且一般僅涵蓋境外處理活動這一環節,而境內提供方的境內處理活動和跨境傳輸活動則直接適用GDPR。
相較而言,我國的跨境認證不僅是對個人信息境外處理活動、境外接收方的考察,也包括對境內提供方的個人信息處理活動的全面考察。在《個保法》之外,《個人信息保護認證實施規則》《跨境認證規范V2.0》均要求個人信息處理者同時符合推薦性國家標準GB/T 35273《信息安全技術 個人信息安全規范》的要求。這進一步提升了企業獲得跨境認證的難度和合規成本,但也相應提升了跨境認證作為企業合規證明的含金量。
在《跨境認證規范》V1.0、V2.0兩個版本發布之間,網信辦陸續發布了《個人信息出境標準合同規定(征求意見稿)》《數據出境安全評估辦法》《數據出境安全評估申報指南(第一版)》,對標準合同、安全評估這兩項跨境機制進行了細化規定。《跨境認證規范V2.0》借鑒、融合了上述新規(尤其是標準合同)在法律文件、個人信息保護影響評估等方面的要求。
1.具有法律約束力的文件(“法律文件”):關于法律文件的內容,V2.0對V1.0的新增要求與標準合同有較高重合度(具體對比如下表),因此,企業在起草法律文件時可參考標準合同的相關條款。
2.個人信息保護影響評估/數據出境風險自評估(合稱“自評估”):關于自評估的內容,V2.0對V1.0的新增要求與標準合同有較高重合度(具體對比如下表),企業可在構建自評估框架時整合跨境認證和標準合同的報告模板。
面對安全評估、標準合同、認證這三項跨境機制,建議企業提前就個人信息出境事宜進行整體布局,充分利用一項或多項跨境機制,以實現既高效、又合規的個人信息跨境流動。其一,安全評估具有優先地位,企業一旦落入安全評估的適用范圍,則必須向網信辦申報安全評估;其二,標準合同既可以單獨作為跨境機制,其模板條款也可為安全評估、跨境認證中的法律文件提供參考;其三,跨境認證既可以單獨作為跨境機制,也可成為企業數據保護水平的有力證明,與安全評估、標準合同并行不悖。
根據《個人信息保護認證實施規則》,認證證書有效期為3年。企業首次認證時,需要經過技術驗證機構的“技術驗證”、以及認證機構的“現場審核”。在認證證書的有效期內,通過認證機構的“獲證后監督”保持其有效性;企業可在有效期屆滿前6個月內提出認證委托,由認證機構采用“獲證后監督”的方式對符合認證要求的委托換發新證書。
跨境認證是一套體系化的合規安排,這也意味著較高的資源投入。建議企業充分考慮自身數據合規建設的現狀或計劃、以及企業和境外接收方的關系與合作,從而合理決策是否申請跨境認證。概括而言,《跨境認證規范V2.0》主要包括以下方面的要求,值得企業重點考量:
1.境外接收方:V2.0對境外接收方的同等保護水平提出了全方位的具體要求,并強調境外接收方在中國法下承擔責任,且企業作為境內提供者可能為境外接收方承擔“兜底責任”。
2.組織管理要求:V2.0要求個人信息處理者、境外接收方均指定個人信息保護負責人、設立個人信息保護機構,并規定了具體的工作職責。
3.個人信息跨境處理規則:V2.0要求個人信息處理者、境外接收方均遵守同一個人信息跨境處理規則,這似乎是區別于法律文件的另一套專門規則。
4.法律文件:V2.0要求雙方簽署具有法律約束力和可執行的文件或協議,安全評估、標準合同也有類似要求,且V2.0對法律文件內容的規定與標準合同高度重合。
5.自評估:V2.0要求個人信息處理者事先自行開展個人信息保護影響評估,安全評估、標準合同也有類似要求,且V2.0對評估內容的規定與標準合同高度重合。
6.個人信息主體權益保障:V2.0要求個人信息處理者、境外接收方共同保障個人信息主體的權益,且該等具體規定較多借鑒了標準合同的相關條款。
京ICP備05019364號-1 
京公網安備110105011258
