2022 年 4 月 29 日,信息安全标准化技术委员会发布《网络安全标准 个人信息跨境处理活动认证技术 规范(征求意见稿)》(" 《规范》征求意见稿"),向社会公开征求意见。《规范》征求意见稿是首个对个人 信息保护认证进行探索的官方文件,旨在落实《个人信息保护法》第三十八条第一款第二项提出的个人信息 保护认证制度,便利个人信息跨境处理活动。我们将在下文梳理、总结《规范》征求意见稿中关于个人信息 保护认证的关键要点,并同时作出我们的解读。
一、体系定位:个人信息出境机制之一
《个人信息保护法》第三十八条规定了在不触发个人信息出境政府评估的情况下的四种个人信息出境 机制。《规范》征求意见稿则以"自愿认证"为基本原则,旨在落实《个人信息保护法》第三十八条第一款 第二项提出的个人信息保护认证制度。
需要说明的是,根据《个人信息保护法》第四十条的规定,关键信息基础设施运营者或处理个人信息达 到网信部门规定数量的个人信息处理者向境外提供个人信息依然应当通过国家网信部门组织的安全评估, 认证无法替代政府安全评估要求。除此之外,在其他非强制要求评估的情况下,按照《规范》征求意见稿进 行的个人信息保护认证可以作为数据出境的方式。
二、认证适用的范围:跨国公司数据跨境传输以及境外个人信息处理者
《规范》征求意见稿适用于跨国公司或者同一经济实体、事业实体内部的个人信息跨境处理活动,以及 《个人信息保护法》第三条第二款规定的境外个人信息处理者,在境外处理境内自然人个人信息的活动。
就集团内部的个人信息跨境传输,《规范》征求意见稿的规定和欧盟的GDPR项下的"约束性公司规则" (Binding Corporate Rules,"BCR")类似,集团内部的个人信息跨境处理活动可以由境内一方申请认证, 并承担法律责任。具体而言,《规范》征求意见稿要求相关境外方指定个人信息保护负责人并在中华人民共 和国境内设立专门机构,负责处理个人信息保护相关事务。参照相关实践,该等专门机构通常由集团内的境 内关联方担任。
《规范》征求意见稿适用于《个人信息保护法》第三条第二款规定的境外个人信息处理者还带来了一个 问题,即《个人信息保护法》第三条第二款所规定的境外个人信息处理者直接收集境内个人信息是否属于 《个人信息保护法》第三章所规定的个人信息跨境活动。一些业内人士参考 GDPR 的经验认为二者应是互 斥关系,境外个人信息处理者直接收集境内个人信息并不属于第三章所规定的向境外提供个人信息,亦不适 用相关规则,但《规范》征求意见稿的规定似乎否认了这种看法。
三、完成认证的主体:由境内主体完成认证
根据《规范》征求意见稿,应由下表所示境内主体完成认证,并承担法律责任:
《规范》征求意见稿仅要求处理者在境内的主体进行认证申请的规定似乎与国家网信办在 2021 年 11 月 发布的《网络数据安全管理条例(征求意见稿)》所规定的" 数据处理者和数据接收方均通过国家网信部门 认定的专业机构进行的个人信息保护认证"有所差异。认证是否以及如何涵盖境外接收方仍有待法规或标 准明确。
四、进行认证的机构:暂未明确
《个人信息保护法》仅规定应"按照国家网信部门的规定经过专业机构进行认证"。此次《规范》征求 意见稿也暂未明晰进行认证的专业机构需满足的条件,但确定了认证机构有权对相关方做出的承诺进行监 督。
五、法律约束:需签署具有约束力和执行力的文件
根据《规范》征求意见稿的要求,参与个人信息跨境处理的相关方之间需要签署具有法律约束力和执行 力的文件,以确保个人信息主体权益得到充分保障,但该文件不一定是数据出境标准合同(实际上,《个人 信息保护法》第三十八条将认证作为与数据出境标准合同并行的个人信息出境机制加以规定),也可能以数 据处理协议或承诺函的形式进行签署。文件应当明确的重点内容如下:
- 参与个人信息跨境处理活动的相关方;
- 跨境处理个人信息的 目的以及个人信息的 类别、范围;
- 个人信息主体权益保护措施;
- 各相关方承诺并遵守统一的 个人信息处理规则,并确保个人信息 保护水平不低于中华人民共和国 个人信息保护相关法律、行政法规规定的标准;
- 各相关方承诺接受认证机构监督;
- 各相关方承诺接受中华人民共和国个人信息保护相关法律、行政法规 管辖;
- 明确在中华人民共和国 境内承担法律责任的组织机构;
- 其他应当遵守的法律、行政法规规定的义务。
To view the full article click here
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
We operate a free-to-view policy, asking only that you register in order to read all of our content. Please login or register to view the rest of this article.