观韬视点 | 跨国企业数据跨境必修课——个人信息保护认证解读(下篇)
作者:王渝伟 陈刚
前言
6月24日,全国信息安全标准化技术委员会(“信安标委”)发布了《网络安全标准实践指南 个人信息跨境处理活动安全认证技术规范》(“《认证规范》”)。个人信息保护认证是《个人信息保护法》(“《个保法》”)第三十八条规定的个人信息跨境提供的合规方式之一。《认证规范》系我国首个在个人信息保护认证方面的实践指南,该规范的发布具有重要的实践意义。此次《认证规范》特别提到个人信息认证也适用跨国公司的个人信息跨境处理场景,我们认为对于需要进行频繁数据跨境传输的跨国企业集团来说而言,个人信息保护认证将成为跨国企业个人信息跨境处理的主要合规路径之一。我们将在本文中分析《认证规范》的相关内容,同时参考境外的类似经验,对《个保法》中个人信息跨境场景下的个人信息保护认证制度做初步探析。
笔者团队曾为不少跨国企业处理过涉及个人信息跨境提供的合规工作,我们将根据《认证规范》的相关内容,并结合笔者团队过往的项目经验,对个人信息保护认证制度进行初步解读。由于篇幅较长,本文将分为上下两篇:上篇主要介绍境外相关个人信息保护认证制度,下篇侧重于对《认证规范》的内容展开解读,并提出合规建议,此为下篇。
一、背景
《个保法》第三十八条规定了个人信息跨境提供的合规要求,即个人信息出境安全评估、个人信息保护认证、与境外接收方订立国家网信部门制定的标准合同等。此外,我国缔结或参加的国际条约另有规定的,可以按照条约规定执行。对于《个保法》规定的其中三种合规路径,安全评估适用于关键信息基础设施运营者(CIIO)和处理个人信息达到国家网信部门规定数量的个人信息处理者[1]所实施的个人信息跨境传输的情形,而在《认证规范》出台之前,相关法律法规并没有对个人信息保护认证和签订标准合同的适用情况提出具体要求。根据《认证规范》的内容,个人信息保护认证的适用需满足一定的使用场景和范围,相关企业及相关行业从业人员需重点关注。
对于个人信息保护认证,我国相关部门一直在积极推动落实相关制度。2020年8月14日,商务部发布了《关于印发全面深化服务贸易创新发展试点总体方案的通知》,要求中央网信办、工信部、商务部等部门支持和指导各试点开展数据跨境流动安全评估,建立数据保护能力认证等数据安全管理机制。2021年8月,北京市提出在市特定区域开展跨境数据保护能力第三方认证研究与试点,建立数据保护能力认证机制。[2]本次《认证规范》的发布为落实《个保法》第三十八条规定的建立个人信息保护认证制度提供了依据,有利于推动个人信息保护认证制度的落实。
二、《认证规范》相关内容
(一)适用范围
《认证规范》适用于跨国公司或者同一经济、事业实体下属子公司或关联公司之间个人信息跨境处理活动,以及《个保法》第三条第2款规定[3]的个人信息处理活动。
值得注意的是,《认证规范》规定的跨国公司内部个人信息跨境传输认证的适用情形与欧盟GDPR第46.2.(b)条规定的作为数据跨境传输机制之一的约束性公司规则(Binding Corporate Rules, “BCR”)的适用情形类似。不同的是,欧盟的集团公司的BCR被欧盟成员国监督机构批准后,从欧盟境内集团成员向欧盟境外集团成员的所有个人数据传输均不受限,而《认证规范》仅就具体的个人信息跨境处理活动进行认证。当然,GDPR第46.2.(f)条规定的认证机制才是类似于《个保法》个人信息保护认证的数据跨境传输机制。
(二)认证申请主体
根据《认证规范》,对于跨国公司或者同一经济、事业实体下属子公司或关联公司之间个人信息跨境处理活动,可以由境内一方申请认证,并承担法律责任。
对于《个保法》第三条第2款规定的境外个人信息处理者,可以由境外组织机构在境内设置的专门机构或指定代表申请认证,并承担法律责任。值得注意的是,根据去年11月网信办发布的《网络数据安全管理条例(征求意见稿)》,数据处理者和数据接收方均应通过个人信息保护认证。《认证规定》关于申请主体的规定与该网信办的条例征求意见稿的内容可能有所冲突。境外接收方是否需要作为直接的认证申请主体尚需等待相关法规或标准生效予以明确。
(三)认证内容
根据《认证规范》中规定的“基本要求”,个人信息保护认证应当从协议约束、组织管理、个人信息跨境处理规则、个人信息保护影响评估、个人信息主体权益保障进行审核,详见以下列表:
(1)有法律约束力的协议 | 相关方签订协议明确下列内容: a) 开展个人信息跨境处理活动的个人信息处理者和境外接收方; b) 跨境处理个人信息的目的以及个人信息的类别、范围; c) 个人信息主体权益保护措施; d) 境外接收方承诺并遵守统一的个人信息处理规则,并确保个人信息保护水平不低于中华人民共和国个人信息保护相关法律、行政法规规定的标准; e) 境外接收方承诺接受认证机构监督; f) 境外接收方承诺接受中华人民共和国个人信息保护相关法律、行政法规管辖; g) 明确在中华人民共和国境内承担法律责任的组织机构; h) 其他应当遵守的法律、行政法规规定的义务。 |
(2)组织管理 | 个人信息处理者和境外接收方指定具备个人信息保护专业知识和相关管理工作经历的个人信息保护负责人。个人信息保护负责人承担以下职责:明确个人信息保护工作目标;提供人力、财力、物力保障;指导、支持相关人员个人信息保护工作;向主要负责人汇报工作情况。 |
个人信息处理者和境外接收方设立个人信息保护机构,履行个人信息保护义务,防止未经授权的访问以及个人信息泄露、篡改、丢失,并承担以下职责:制定并实施个人信息跨境处理活动计划;组织开展个人信息保护影响评估;监督出境个人信息的处理;处理个人信息主体的请求和投诉。 |
(3)个人信息跨境处理规则 | 处理者和境外接收方遵守的个人信息处理规则包含以下事项: a) 跨境处理个人信息的基本情况,包括个人信息数量、范围、种类、敏感程度等; b) 跨境处理个人信息的目的、方式和范围; c) 个人信息境外存储的起止时间及到期后的处理方式; d) 跨境处理个人信息需要中转的国家或者地区; e) 保障个人信息主体权益所需资源和采取的措施; f) 个人信息安全事件的赔偿、处置规则。 |
(4)个人信息保护影响评估 | 评估向境外提供个人信息活动是否合法、正当、必要,所采取的保护措施是否与风险程度相适应并有效等,评估事项至少包括: a) 向境外提供个人信息是否符合法律、行政法规; b) 对个人信息主体权益产生的影响,特别是境外国家和地区的法 律环境、网络安全环境等对个人信息主体权益的影响; c) 其他维护个人信息权益所必需的事项。 |
(5)个人信息主体权益保障 | 需保障的个人信息主体权利:获取涉及个人信息主体权益文件副本权、知情权、决定权、有权撤回对其个人信息跨境处理的同意、限制或者拒绝处理权;向境外接收方查阅、复制、更正、补充、删除其个人信息的权利;请求解释说明个人信息处理规则的权利;拒绝自动化决策的权利;投诉举报、起诉的权利等。 个人信息处理者和境外接收方需履行的义务:取得单独同意;出现个人信息安全风险时终止个人信息出境;发生信息安全事件的补救措施和通知义务;境内责任主体承担赔偿责任;接受认证机构的监督;遵守中国法律法规并接受司法管辖等义务。 |
二、个人信息保护认证制度展望和建议
(一)认证机构及适用规则的探讨
目前《认证规范》主要从个人信息跨境处理者的角度,对其处理活动作出规范要求,而并未对认证机构的在该项认证中所适用的认证基本规范、认证规则进行完整规定。我们认为按照《认证认可条例》有关规定以及我国信息安全领域认证的实践,建议具体认证基本规范、认证规则可以由中国网络安全审查技术与认证中心制定并报国务院认证认可监督管理部门备案,或者由国务院认证认可监督管理部门(即国家认监委)会同国务院有关部门(网信办)制定。
关于认证机构,由于特殊历史背景,目前能够从事信息安全领域认证的认证机构仅有中国网络安全审查技术与认证中心,是否会批准设立多家认证机构还有待主管部门明确。认证机构的设立需要通过认可机构(即中国合格评定国家认可委员会)的认可以及国家认监委的批准。
对于具体的认证流程,我们建议可以参考APEC CBPR认证程序的设计,[4]对个人信息保护认证采用以下流程:线上评估(提交自评测表)-现场评估-整改阶段(如有)-完成评估(评估机构需向网信部门提交评估报告)-认证决定(网信部门审查评估报告并决定是否授予认证)。此外,认证周期可控制在2到3个月。
(二)认证事项的探讨
《认证规范》规定的具体认证事项是跨国公司等主体内部的个人信息跨境处理活动或境外主体的个人信息处理活动。然而这种处理活动是否仅限于单次个人信息跨境传输的场景,是否包含重复的个人信息跨境传输的场景,尚不明晰。如果个人信息保护认证仅适用于单次跨境交易场景涉及的个人信息跨境传输,对于因业务所需而频繁地发生个人信息跨境传输场景的企业而言,将大大加重企业的合规成本。
因此,我们建议个人信息保护认证应当适合用于周期长、连续的、重复的个人信息跨境提供的场景。此时,特定的涉及个人信息跨境传输的单个项目、产品(比如一款APP产品)或者服务应当允许成为认证的对象。
(三)其他事宜
我们建议,完整的认证制度还应在《认证规范》的基础上细化认证的有效期、注销和吊销认证的情形、重新认证,以及认证费用等事项。
四、结语
随着《个保法》的落地实施,不少企业越来越重视个人信息跨境传输的合规性问题。而我国大量的跨国外企因从事跨境业务或者因跨国集团公司内部管理活动等情形,具有较大的个人信息跨境传输的需求,此次信安标委发布的《认证规范》作为我国首个有关个人信息保护认证的实践指南,这必将加快个人信息跨境传输合规的监管步伐。我们建议,相关企业应当积极关注个人信息保护认证相关立法动态,探索适合本企业的个人信息跨境传输的合规路径,及时开展并实施个人信息跨境传输的合规工作。
北京观韬中茂(上海)律师事务所 合伙人 王渝伟
北京观韬中茂(上海)律师事务所 律师助理 陈刚
作者简介:王渝伟,律师,合伙人,毕业于西南政法大学、华东政法大学,获得法学学士及硕士学位。王律师是国内最早专注于网络安全、数据合规法律研究及服务的律师,对于网络安全保护与数据合规相关法律风险有深刻的理解。长期为大数据、区块链、人工智能、网络安全、移动互联网、金融科技、云计算等领域的国内外企业提供网络安全、数据信息管理保护、隐私保护体系建设、数据公开、网络安全、征信、信息安全等级保护、数据跨境转移等方面的综合解决方案,协助企业了解法律政策、应对合规风险,并帮助上述领域企业完成融资、处理经营中的其他法律问题。
Email: wangyw@guantao.com
作者简介:陈刚,律师助理,澳门大学法学硕士,曾在国内知名律所从事海外投资、涉外争议解决等法律工作,以及担任科技公司法务,负责数据合规、知识产权合规、海外诉讼等法律工作;专注于为国内外大数据、移动互联网、金融科技等领域企业提供数据合规、网络安全等领域法律服务,协助企业处理其他法律问题。
Email: chengang@guantao.com
[1] 现行生效的法律法规中并未对“国家网信部门规定的数量”进行明确规定。参考《数据出境安全评估办法(征求意见稿)》《网络数据安全管理条例(征求意见稿)》有关规定,符合以下条件之一的,属于达到“国家网信部门规定的数量”的情形:1)处理个人信息达到一百万人;或2)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息。
[2] 跨境数据保护能力第三方认证,北京市经济和信息化局,http://jxj.beijing.gov.cn/ztzl/ywzt/lqjs/gzrwjd/202102/t20210223_2286807.html。
[3] 《个保法》第三条第二款规定,在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
[4] Idbd, p7.