2022-11-19
跨境认证——解读个人信息出境的第三条路
作者:
杨建媛
邬丹 李天烁
引 言
2022年11月18日,国家互联网信息办公室(“网信办”)公开发布了《关于实施个人信息保护认证的公告》及其附件《个人信息保护认证实施规则》,规定了开展个人信息保护认证(区分两种情形:不含跨境处理活动、包含跨境处理活动,后者简称“跨境认证”)的程序性规则。个人信息保护认证的认证依据为推荐性国家标准GB/T 35273《信息安全技术 个人信息安全规范》;涉及跨境处理活动时,认证依据还包括全国信息安全标准化技术委员会(“信安标委”)发布的标准相关技术文件TC260-PG-20222A《个人信息跨境处理活动安全认证规范》(均执行最新版本)。
2022年11月8日,信安标委发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0(征求意见稿)》(“《跨境认证规范V2.0》”或“V2.0”),此时距离其于2022年6月24日发布第一版(“《跨境认证规范V1.0》”或“V1.0”)仅过去了四个多月。
跨境认证是《个人信息保护法》(“《个保法》”)第38条第1款规定的跨境机制之一。个人信息处理者向境外提供(又称“跨境传输”、“出境”)个人信息,应择一满足安全评估(如适用,需优先满足)、跨境认证、标准合同、或其他条件。
其一,安全评估具有优先地位和国家安全站位,如果落入安全评估的适用范围,则必须向网信办申报安全评估。其二,跨境认证由专业机构对个人信息处理者及境外接收方的数据保护水平进行审查,不仅可以作为跨境机制,亦可成为企业证明自身合规水平的有效方式。其三,标准合同是一种无需审查、相对轻量级的跨境机制,企业可以充分利用网信办发布的标准合同模板,通过境内外双方自主缔约的方式,高效便捷地开展个人信息出境活动。其四,我国立法、执法机构尚未正式规定个人信息出境的其他条件,有待后续观察。
上述跨境机制的配套实施规则正在陆续出台。网信办现已发布《数据出境安全评估办法》《个人信息出境标准合同规定(征求意见稿)》,相应的解读文章请参阅《海问·观察︱数据流动的分寸:评析〈数据出境安全评估办法〉》《海问·观察︱透视“中国版SCC”——个人信息出境标准合同》。
本文将具体结合《跨境认证规范V2.0》对跨境认证制度进行重点解读,以期为企业提前研判跨境认证提供参考。
作为个人信息跨境的前提条件,安全评估、标准合同、认证这三项机制具有内在共性:形式上,均要求个人信息处理者事前自行开展评估、并与境外接收方签署具有法律约束力的协议或文件;实质上,均强调境外接收方的同等保护水平、以及个人信息主体的权益保护。
与此同时,不同的跨境机制也存在制度逻辑的差异。安全评估不限于个人层面的保护,兼具国家安全的宏观站位;安全评估、标准合同更侧重于以数据出境场景为对象进行个案分析,而认证兼具以个人信息处理者、境外接收方为对象进行个体分析,当其数据保护能力达到我国法的要求,则个人信息可在认证范围内进行传输。认证或可在一定程度上超脱一事一议的局限性、彰显企业本身的数据保护能力,因此,认证不仅能单独作为跨境传输的合规机制,也能成为企业向监管机构、合作方、用户展示其合规水平的有力证明。
此外,跨境认证作为一套体系化的合规安排,往往需要更多的资源投入,例如《跨境认证规范V2.0》关于个人信息跨境处理规则、组织管理机构的额外规定。因此,跨境认证往往适用于合规建设较为完善、境内外双方或多方关系较为密切或合作长期稳定的情形,例如跨国集团内部的个人信息跨境传输。
《跨境认证规范V1.0》曾将跨境认证的适用范围限于两种特殊情形:其一,跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动(“集团内跨境”);其二,《个保法》第3条第2款适用的个人信息处理活动(“域外管辖”)。
《跨境认证规范V2.0》则将跨境认证的适用范围扩张至“个人信息处理者开展个人信息跨境处理活动”,恢复了跨境认证的通用性。但V2.0仍在第2条“认证主体”中特别列举了集团内跨境、域外管辖这两种情形,这既点出了跨境认证的典型适用场景,也解答了业界的一个困惑——从境外直接收集境内个人信息是否适用《个保法》第三章的跨境规则。目前看来,境外处理者仍需就个人信息跨境处理提前做好合规准备,并在必要时与监管部门沟通确认。
《跨境认证规范V2.0》在全文多处强调认证的双方性,个人信息处理者(即境内提供方)、境外接收方双方均需遵守关于基本原则、具有法律约束力的文件、组织管理要求、个人信息跨境处理规则、个人信息主体权益保障等方面的要求。实际上,跨境认证覆盖了“境内处理—跨境传输—境外处理”的个人信息跨境处理活动全流程。根据《个人信息保护认证实施规则》,认证程序中包括“技术验证”与“现场审核”,该等要求如何适用于境外接收方有待观察。
在欧盟《通用数据保护条例》(“GDPR”)项下,根据欧盟数据保护委员会(“EDPB”)于2022年6月最新发布的《关于认证作为传输工具的指南(公开征求意见稿)》,作为跨境传输工具的认证仅针对境外接收方这一方,且一般仅涵盖境外处理活动这一环节,而境内提供方的境内处理活动和跨境传输活动则直接适用GDPR。
相较而言,我国的跨境认证不仅是对个人信息境外处理活动、境外接收方的考察,也包括对境内提供方的个人信息处理活动的全面考察。在《个保法》之外,《个人信息保护认证实施规则》《跨境认证规范V2.0》均要求个人信息处理者同时符合推荐性国家标准GB/T 35273《信息安全技术 个人信息安全规范》的要求。这进一步提升了企业获得跨境认证的难度和合规成本,但也相应提升了跨境认证作为企业合规证明的含金量。
在《跨境认证规范》V1.0、V2.0两个版本发布之间,网信办陆续发布了《个人信息出境标准合同规定(征求意见稿)》《数据出境安全评估办法》《数据出境安全评估申报指南(第一版)》,对标准合同、安全评估这两项跨境机制进行了细化规定。《跨境认证规范V2.0》借鉴、融合了上述新规(尤其是标准合同)在法律文件、个人信息保护影响评估等方面的要求。
1.具有法律约束力的文件(“法律文件”):关于法律文件的内容,V2.0对V1.0的新增要求与标准合同有较高重合度(具体对比如下表),因此,企业在起草法律文件时可参考标准合同的相关条款。
2.个人信息保护影响评估/数据出境风险自评估(合称“自评估”):关于自评估的内容,V2.0对V1.0的新增要求与标准合同有较高重合度(具体对比如下表),企业可在构建自评估框架时整合跨境认证和标准合同的报告模板。
面对安全评估、标准合同、认证这三项跨境机制,建议企业提前就个人信息出境事宜进行整体布局,充分利用一项或多项跨境机制,以实现既高效、又合规的个人信息跨境流动。其一,安全评估具有优先地位,企业一旦落入安全评估的适用范围,则必须向网信办申报安全评估;其二,标准合同既可以单独作为跨境机制,其模板条款也可为安全评估、跨境认证中的法律文件提供参考;其三,跨境认证既可以单独作为跨境机制,也可成为企业数据保护水平的有力证明,与安全评估、标准合同并行不悖。
根据《个人信息保护认证实施规则》,认证证书有效期为3年。企业首次认证时,需要经过技术验证机构的“技术验证”、以及认证机构的“现场审核”。在认证证书的有效期内,通过认证机构的“获证后监督”保持其有效性;企业可在有效期届满前6个月内提出认证委托,由认证机构采用“获证后监督”的方式对符合认证要求的委托换发新证书。
跨境认证是一套体系化的合规安排,这也意味着较高的资源投入。建议企业充分考虑自身数据合规建设的现状或计划、以及企业和境外接收方的关系与合作,从而合理决策是否申请跨境认证。概括而言,《跨境认证规范V2.0》主要包括以下方面的要求,值得企业重点考量:
1.境外接收方:V2.0对境外接收方的同等保护水平提出了全方位的具体要求,并强调境外接收方在中国法下承担责任,且企业作为境内提供者可能为境外接收方承担“兜底责任”。
2.组织管理要求:V2.0要求个人信息处理者、境外接收方均指定个人信息保护负责人、设立个人信息保护机构,并规定了具体的工作职责。
3.个人信息跨境处理规则:V2.0要求个人信息处理者、境外接收方均遵守同一个人信息跨境处理规则,这似乎是区别于法律文件的另一套专门规则。
4.法律文件:V2.0要求双方签署具有法律约束力和可执行的文件或协议,安全评估、标准合同也有类似要求,且V2.0对法律文件内容的规定与标准合同高度重合。
5.自评估:V2.0要求个人信息处理者事先自行开展个人信息保护影响评估,安全评估、标准合同也有类似要求,且V2.0对评估内容的规定与标准合同高度重合。
6.个人信息主体权益保障:V2.0要求个人信息处理者、境外接收方共同保障个人信息主体的权益,且该等具体规定较多借鉴了标准合同的相关条款。
京ICP备05019364号-1 
京公网安备110105011258
