观韬视点 | 跨国企业数据跨境必修课——个人信息保护认证解读（上篇）

作者：王渝伟 陈刚 

前言

6月24日，全国信息安全标准化技术委员会发布了《网络安全标准 个人信息跨境处理活动认证技术规范》（“《认证规范》”）。个人信息保护认证是《个人信息保护法》（“《个保法》”）第38条规定的个人信息跨境提供的合规方式之一。《认证规范》系首个在个人信息保护认证方面的标准，具有重要的实践意义。由于此次《认证规范》特别提到认证方式适用跨国公司内部的个人信息跨境场景，我们推测对于需要进行频繁数据跨境传输的跨国企业集团来说，个人信息保护认证无疑将成为相关企业个人信息跨境传输采取的主要合规路径。我们将通过本文分析《认证规范》的相关内容，参考境外类似制度经验，对《个保法》数据跨境场景下的个人信息保护认证制度做初步探析。

笔者团队曾处理不少企业涉及个人信息跨境传输的合规工作，结合过往项目经验，基于此次发布的《认证规范》，我们对个人信息保护认证制度进行解读。由于篇幅较长，本文将分为上下两篇：上篇主要介绍境外相关个人信息保护认证制度，下篇侧重于对《认证规范》进行内容的解读并提出提出合规建议，此为上篇。

一、境外个人信息保护认证制度

（一）欧盟GDPR下数据保护认证

与《个保法》个人信息保护认证类似，欧盟GDPR第46.2.(f)条规定了第42条下的数据保护认证为在没有充分性决定[1]的情况下将个人数据传输到第三国的合规方式之一。根据第42条规定，成员国、监督机构和欧盟数据保护委员会应当推动建立数据保护认证机制，以便企业证明遵守了GDPR合规要求。对于不受GDPR调整的第三国数据控制者或处理者，通过获得认证能够证明其采取了合适的保障措施，包括采用合同或其他有约束力的法律文书表明其实施了规定的保护个人数据和数据主体权利的保障措施。

值得注意的是，2022年6月16日，欧盟数据保护委员会（EDPB）首次通过了个人数据跨境传输认证指南。与EDPB在2018年发布的《关于GDPR第42和43条规定的认证和认证标准的指南》不同的是，2018年的指南适用于除了数据跨境传输情形以外的GDPR合规认证，而此次发布的指南只适用于GDPR第 46(2)(f) 条下的数据跨境传输合规认证情形。该指南由四个部分组成，包括跨境传输的目的、范围和所涉及的不同参与者；对认证机构的许可细则；跨境传输保障措施的认证标准；以及具有执行力的承诺。该指南将在9月底之前征求公众意见。

欧洲认证和隐私中心（ECCP）负责的Europrivacy是由欧委会和瑞士通过H2020欧盟研究计划共同建立的GDPR第42条和第43条下的官方认证机制。Europrivacy旨在为企业提供评定满足GDPR合规义务的认证。认证证书可以由认证机构、监督机构或欧洲数据保护委员会颁发。认证并不会影响数据控制者或处理者遵守GDPR的义务以及监管机构的职权。GDPR认证有效期不超过三年，并可在相同条件下延长。当该认证相关的要求不再被满足时，ECCP指定的认证机构或相关监督机构可撤销认证。GDPR下的认证程序涵盖GDPR第25条规定的隐私设计和默认（Data protection by design and by default）情况下的数据保护要求。

（二）英国GDPR下个人信息保护认证

英国2018数据保护法（DPA）执行并补充了英国GDPR，并基本沿用了GPDR的规定。在英国法下，英国GDPR下个人信息保护认证也是企业证明英国GDPR合规的一种方式。认证标准由英国信息专员办公室（ICO）批准。认证程序可用于证明数据控制者或处理者符合隐私设计要求，证明其有适当的技术和组织措施来确保数据安全，以及用于支持个人数据的跨境传输。

认证计划适用对象可以是各种不同的产品、流程或服务，也可以是特定处理活动，如数字保险库中的个人数据安全存储和保护。认证将与数据控制者或处理者提供的产品、流程或服务中发生的特定个人数据处理活动相关。

与欧盟GDPR一样，英国GDPR第 42 条第 (2) 款允许不受英国 GDPR 约束的数据控制者或处理者使用认证计划，以证明其为个人数据的跨境传输提供了适当的保护措施。

根据英国GDPR，认证标准有以下要求：

1、基于英国GDPR下的原则和规则，并与认证范围相关，包括：

a)处理的合法性；

b)数据处理原则；

c)数据主体的权利；

d)数据泄露的通知义务；

e)隐私设计和默认保护义务；

f)是否在必要时完成了数据保护影响评估（DPIA）；

g)为确保数据安全而采取的技术和组织措施；

2、以明确的方式制定并允许实际应用；

3、可审核（指定目标以及如何实现这些目标以证明合规性）；

4、与目标受众相关；

5、可与其他标准兼容，例如 ISO 标准； 和

6、可扩展以适用于不同规模或类型的组织。

（三）APEC跨境隐私规则下的认证

亚太经济合作组织跨境隐私规则（APEC Cross Border Privacy Rules (CBPR) ）体系是由亚太经合组织（APEC）制定的，以规范APEC成员国之间个人数据传输的区域性安排。APEC CBPR于2011批准通过并在2015年更新，是一个自愿的、基于问责制的体系。目前批准了APEC CBPR体系的国际和地区包括：美国、墨西哥、日本、加拿大、新加坡、韩国、澳大利亚、中国台北和菲律宾。APEC CBPR制度为成员国企业提供自愿的、有执行力的认证，企业通过获得成员国当地认证机构（accountability agents）的认证，以证明其遵守国际公认的数据隐私保护。中国内地于2011 年签署了 APEC 跨境隐私规则 (CBPR) ，但尚未加入。[2]

APEC CBPR认证基于APEC 隐私框架，该框架包含九项隐私原则：问责制、损害预防、通知、选择权、收集限制、个人信息的使用规则、个人信息的完整性、安全保障措施以及访问和更正。该框架得到21个APEC经济体的认可，以促进 APEC 经济体之间可追责的和受约束的个人信息传输。

APEC CBPR认证体系下，数据控制者可以选择CBPR体系的认证，以表明其对控制个人数据的收集、持有、处理或使用的相关要求以及致力于遵守自愿框架以证明其对隐私保护的承诺。对于数据处理者，可选择处理者隐私认可（Privacy Recognition for Processors (PRP) ）体系的认证。APEC PRP认证代表数据处理者必须满足的要求，以证明其有能力协助数据控制者履行相关的隐私合规义务。

以新加坡为例，新加坡作为APEC成员国于2020年批准加入APEC CBPR认证体系。新加坡个人数据保护委员会（PDPC）2021年修改了《个人数据保护条例》（Personal Data Protection Regulations）中作为个人数据跨境传输机制之一的认证机制，规定境外个人数据接收方通过APEC CBPR认证或APEC PRP认证的，属于符合2012《个人数据保护法》（PDPA）规定的“不低于本法保护水平的个人数据保护标准”。

可以在新加坡申请认证APEC CBPR认证的企业包括新加坡注册企业以及在新加坡设有办公室或营业地在新加坡的企业。目前APEC认可的位于新加坡的第三方认证机构有BSI Group Singapore等5家认证机构。[3]通过这些认证机构认证的企业，由新加坡资讯通信发展管理局（IMDA）为其颁发了认证证书。值得注意的是，2021年4月，阿里巴巴云（新加坡）有限公司就由其及马来西亚和印度子公司在线收集的阿里云平台用户账户注册数据的行为获得了IMDA颁发的认证。2021年10月，美的新加坡电子商务公司就MSmartLife和Toshiba HA应用程序收集的用户个人数据活动获得认证。[4] 

二、结语

《个保法》第38条规定了作为个人信息跨境传输合规方式之一的个人信息保护认证制度。此次《认证规范》首次对个人信息保护认证制度做了规定。国内对于个人信息保护认证的实践尚在探索之中。境外不少法域已经有较为成熟的类似制度。对境外个人信息保护认证制度的对比研究有利于我们更好地理解和落地《个保法》下个人信息保护认证制度。另一方面，对于出海企业需要在境外进行个人信息跨境活动的，因受到境外法律的约束，有必要对相关境外个人信息保护认证制度予以关注。

作者简介：王渝伟律师毕业于西南政法大学、华东政法大学，获得法学学士及硕士学位。王律师是国内最早专注于网络安全、数据合规法律研究及服务的律师，对于网络安全保护与数据合规相关法律风险有深刻的理解。长期为大数据、区块链、人工智能、网络安全、移动互联网、金融科技、云计算等领域的国内外企业提供网络安全、数据信息管理保护、隐私保护体系建设、数据公开、网络安全、征信、信息安全等级保护、数据跨境转移等方面的综合解决方案，协助企业了解法律政策、应对合规风险，并帮助上述领域企业完成融资、处理经营中的其他法律问题。

Email: wangyw@guantao.com

作者简介：陈刚，律师助理，澳门大学法学硕士，曾在国内知名律所从事海外投资、涉外争议解决等法律工作，以及担任科技公司法务，负责数据合规、知识产权合规、海外诉讼等法律工作；专注于为国内外大数据、移动互联网、金融科技等领域企业提供数据合规、网络安全等领域法律服务，协助企业处理其他法律问题。

Email: chengang@guantao.com

[1] 根据GDPR第45条，欧委会可以认定第三国、第三国特定领土或一个或多个特定部门或有关国际组织能够提供足够的数据保护水平，从而豁免向这些区域内的数据控制者或处理者跨境传输个人数据的特别授权。

[2] “信息政策领导中心就《个人信息保护法(草案)》提出的意见”，2021年5月18日，https://www.informationpolicycentre.comhttps://www.guantao.com/uploads/5/7/1/0/57104281/mandarin_-_cipl_comments_on_chinas_updated_draft_personal_information_protection_law__18_may_2021_.pdf。

[3] APEC Cross Border Privacy Rules (CBPR) System, https://www.imda.gov.sg/CBPR。

[4] Directory of APEC Cross Border Privacy Rules (CBPR) Certified Organisations, https://www.imda.gov.sg/programme-listing/Cross-Border-Privacy-Rules-Certification/CBPR-Certified-Organisations.