关于《个人信息跨境处理活动安全认证规范》十三个焦点问题的理解
作者:陈际红 陈瑊 陈煜烺
全国信息安全标准化技术委员会秘书处于2022年6月24日正式发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》,使得数据跨境认证机制进入有章可循的局面。本文分享我们对该规范十三个焦点问题的理解,供读者参考。
///
自2021年11月1日《个人信息保护法》(“个保法”)生效后,关于第三章所确立的各项个人信息跨境提供的规则的落地,已成为企业普遍关注的焦点。可以观察到,监管部门也在积极地制定配套法规,广泛征求意见,以促进安全评估、标准合同条款、认证机制的尽快落地实施。跨境传输机制涉及到数据主权和国家安全、不同法域的不同保护水平、域外效力与长臂管辖适用、安全监管与跨境效率等比较纠结的问题,当然还要考虑国际关系与局势,是个挑战比较大的课题。我们也理解,各项跨境传输机制的配套规则会在近期逐次落地,以解决跨国企业面临的“数据跨境监管有法律规定但无执行机制”的尴尬局面。
全国信息安全标准化技术委员会秘书处于2022年6月24日正式发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(“本认证规范”),使得数据跨境认证机制进入有章可循的局面。
一、从征求意见稿到正式稿,有什么重要变化?
信息安全标准化技术委员会于2022年4月29日发布《网络安全标准 个人信息跨境处理活动认证技术规范(征求意见稿)》(“征求意见稿”),距正式稿发布,有近两个月的时间,立法效率还是比较高的。从征求意见稿到正式稿的变化,往往反映出社会的关切和争议焦点。我们不妨先看一下,本认证规范正式稿的主要变化点:
从“参加个人信息跨境处理活动的相关方”到“个人信息处理者和境外接收方”。
征求意见稿规范的对象是“参加个人信息跨境处理活动的相关方”,而这一用语,让人看了不明就里,也引起很多的困惑,比如数据跨境场景中,受处理者或境外接收方委托处理数据的一方,是否构成相关方,从而要成为认证活动的参与方?正式稿明确了,本规范就是设定个人信息处理者和境外接收方的要求。
GB/T 35273成为认证的基线要求。
正式稿在《摘要》中明确,个人信息处理者处理个人信息应当遵循GB/T 35273-2020《信息安全技术 个人信息安全规范》的要求,此乃合规基线;如果开展跨境处理活动的,还必须符合本实践指南的要求,此乃增强要求。
适用情形增加了“关联公司之间的个人信息跨境处理活动”。
此部分见后文详述。
增加“撤回权”。
就第5.1条关于个人信息主体权利,在知情权、决定权、限制权和拒绝权基础上,增加了“有权撤回对其个人信息跨境处理的同意”。当然,这也是个保法赋予数据主体的法定权利,只是涉及跨境场景,撤回权的请求和实施变得更具挑战性。我们也认为,即使对于跨境场景,“个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力”亦应适用。
增加发生信息安全时的“补救措施”和“报告监管”义务 [第5.2条 e)之规定]。
其它的一些修改还包括文字修改和立法逻辑的理顺,此处不做详述。
二、如何理解该认证?
首先,个人信息跨境处理活动认证属于国家推荐的自愿性认证,一旦认证成功,可以作为在认证范围内的跨境处理活动的合法路径。
其次,我们理解,本认证属于一种长效的机制,即,获得认证后的一定期限内,如果个人信息跨境处理活动的认证事项没有发生实质性变化的,即可作为连续性的跨境处理活动的依赖。虽然本认证规范没有明确认证的有效期限,我们可以参考《数据出境安全评估办法(征求意见稿)》的相关规定,即本认证会设定有效期限,期限届满,需要重新申请认证,期间如出现需要重新认证的情形的,应提前重新申请认证。
最后,关于认证机构,网信部门尚未指定。考虑到,中国网络安全审查技术与认证中心和中国电子技术标准化研究院等单位为本认证规范的制定提供了技术支持,如其最后成为指定的认证机构,也是顺理成章。
三、关于适用情形,如何理解个保法第三条第二款的适用?
本认证规范第1条 a)规定的适用场景包括三个:
跨国公司的个人信息跨境处理活动(“场景一”);
同一经济、事业实体下属子公司的个人信息跨境处理活动(“场景二”);以及
关联公司之间的个人信息跨境处理活动(“场景三”)。
跨国公司及同一实体下的子公司间的处理活动,具有内部性,且各方的关系稳定、公司管理架构一致,容易达成认证所需要的协议、组织设置、统一数据处理规则等要求,比较适合于认证机制。关联公司之间的个人信息跨境处理活动的认证,是正式稿新增的场景,我们理解,这里的“关联”既可包括股权关联,也可以包括业务关联,只要处理者和境外接收方能够达到本认证规范所规定的认证条件即可。
而对于第1条 b)所规定的适用情形,即个保法第三条第二款规定的境外处理境内自然人个人信息的活动(“场景四”),引发了比较大的争议。业内普遍观点认为,个保法第三条第二款规定的处理活动,会导致个保法对境外的个人信息处理者直接适用,但第三章规定的个人信息跨境提供的规则不适用。该观点的逻辑是,该处理活动中,缺失境内个人信息处理者主体,也就没有发生(境内处理者)向境外提供个人信息的行为。GDPR在此问题上亦是这样的逻辑。
但是,本认证规范第1条 b)把个保法第三条第二款规定的处理活动纳入认证的范围,而认证机制又在个保法第三章针对个人信息跨境提供的规则中所规定,是否可以理解,个保法第三条第二款规定的处理活动同样适用个保法第三章的跨境规则?至少,可以理解为这是本认证规范的一种观点。
进一步讨论,如果场景四的适用缩限到境外的个人信息处理者再向第三方传输个人信息的场景,即使该第三方与境外的个人信息处理者位于同一法域,由于该传输处理构成跨境传输,进而可适用认证机制,逻辑上是行得通的。
四、关于认证主体,个保法第三条第二款的专门机构或代表是否要承担法律责任?
根据本认证规范第2条,对于跨境的场景一到场景三,由境内一方申请认证,并承担法律责任。也就是说,把境内的个人信息处理者作为认证的监管抓手及后续承担法律责任的主体,这种安排也是顺理成章。
但是,对于场景四,则规定由境外个人信息处理者在境内设置的专门机构或指定代表申请认证,并承担法律责任,就有些让人担心。在GDPR生效后,很多欧洲律所和第三方咨询公司提供了担任域外公司GDPR欧盟代表的服务。GDPR欧盟代表主要的职责是联络沟通,依照GDPR规定,即使指定了欧盟代表,数据处理活动的违法责任仍应当由数据控制者或处理者承担。在场景四的逻辑下,我们估计很少有律所或第三方机构敢于承担这项工作了。
五、关于基本原则,是否对同等保护原则的标准进行了扩张?
个保法第三十八条规定,个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准,此即同等保护原则的来源。但是,本认证规范的第3条d)规定,要“确保个人信息跨境处理活动达到中华人民共和国个人信息保护相关法律法规规定的个人信息保护标准”。认证规范显然是扩张了个保法第三十八条的同等保护的基准,即不但包括个保法,还包括与个人信息处理活动有关的其它法律和行政法规,比如《数据安全法》及未来可能出台的《网络数据安全管理条例》等。
六、关于跨境协议,与标准合同条款有什么关系?
本认证规范所规定的认证,是对个保法第三十八条第(二)项规定的认证机制的配合实施,属于个人信息跨境传输的合法路径之一。同样,个保法第三十八条第(三)项规定的标准合同条款,是与认证机制平行的机制,两者相互独立。本认证规范第4.1条也要求开展跨境处理活动的双方签署具有法律约束力的协议,至少包括:处理活动双方、跨境处理个人信息的目的及个人信息的类别和范围;统一的跨境处理规则,达到同等保护的标准;接受监督;接受中国法的管辖;明确责任等。
个保法第三十八条第(三)项规定的标准合同条款尚未公布,与认证机制相比,标准合同条款仍属于合同性质,缺少第三方机构的介入,因此,在合同架构和责任义务设定上,比认证规范所要求的协议可能会更加复杂。 目前,对于标准合同条款机制,监管部门的监管抓手和监管程序尚待完善。
七、关于跨境协议,个保法第三条第二款的场景下,如何签署协议?
本认证规范第4.1条要求个人信息处理者和境外接收方之间应当签订具有法律约束力和执行力的文件。针对场景四,因为不存在境内的个人信息处理者,境外的个人信息处理者与谁来签署这份协议呢?
一种可能的方案是,由境外个人信息处理者与其在境内设置的专门机构或指定代表签署协议。 此种方案下,是把境内的机构或代表拟制成为境内的个人信息处理者,成为监管抓手和协议义务主体,并承担相应的法律责任。
八、关于组织管理,合格的DPO及其定位是什么?
本认证规范第4.2.1条规定了个人信息保护负责人(DPO),且个人信息处理者和境外接收方均应指定。从本认证规范的条款看,DPO除了要具备专业知识和管理经历外,还应当是该组织的决策层成员,也就是具有决策权利的高管。此项规定无疑也提升了DPO的层级和重要性。我们理解,这些要求的背后逻辑是DPO要具有管理权限和资源调配能力,只有如此,数据保护工作才能顺利开展。
九、关于组织管理,个人信息保护机构的主要职责有哪些?
在DPO之下,本认证规范第4.2.2条还要求个人信息处理者和境外接收方均应设立个人信息保护机构,主要职责是制定跨境处理活动计划、开展个人信息保护影响评估(“PIA”)、监督跨境处理活动、接受个人信息主体权利请求和投诉。
我们可以理解,个人信息保护机构是DPO领导下的个人信息保护执行机构。
十、关于组织管理,跨境处理规则的效力和适用?
本认证规范第4.3条要求个人信息处理者和境外接收方遵守统一的个人信息跨境处理规则。此要求含义有二: 一是双方在议定跨境个人信息传输过程中,要制定个人信息跨境处理规则;二是,该个人信息跨境处理规则对双方都适用,都要遵守。 统一的个人信息跨境处理规则是保障跨境数据处理活动达到同等保护水平的基础机制。在规则的内容上,至少要包括:跨境处理活动的基本情况,处理的目的、方式和范围,存储期限及到期后的处理方式,需要中转的国家/地区,资源和措施,安全事件的赔偿和处理规则。
十一、关于组织管理,如何开展PIA?
本认证规范第4.4条要求进行个人信息跨境活动前,个人信息处理者要开展PIA评估。GB/T39335—2020《信息安全技术 个人信息安全影响评估指南》所确立的评估方法可以作为借鉴,但考虑到该指南并未重点考虑数据跨境传输场景,在参考该指南的同时,要重点补足跨境风险因素的考量。
十二、关于主体权益保障,个人信息主体有哪些权利保障?
个保法对个人信息跨境传输监管的主要考虑之一就是个人信息主体权益能否得到保障。因此,本认证规范第5.1条赋予了个人信息主体在跨境处理活动中充分的权利保障,尤其值得关注的是关于个人信息主体的救济渠道。即个人信息主体有权对违法个人信息处理活动向国内监管部门进行投诉、举报,也可以在其经常居住地法院对处理者和境外接收方提起司法诉讼。
十三、关于主体权益保障,处理者和接收方的责任义务有哪些?
本认证规范第5.2条规定了针对个人信息处理者和境外接收方的系统性责任义务,主要包括:
充分告知个人信息主体的义务,并获得单独同意;
查阅途径,及响应查阅、复制、更正、补充或者删除的请求;
如难以保证安全,应中止传输;
发生信息安全事件,采取补救措施,并通知监管部门和个人;
应请求提供与个人信息主体权益有关的法律文件副本;
承担赔偿责任;
接受认证机构的监督;
承诺接受中国法的管辖。
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权权利保护, 网络安全和数据保护, 反垄断和竞争法
特色行业类别:金融行业, 通讯与技术
陈瑊 律师
北京办公室 知识产权部
陈煜烺
北京办公室 知识产权部
* 林婉琪对本文亦有贡献
作者往期文章推荐
《权知轻重,度知长短:如何开展<个人信息保护法>项下的合规审计?》
《数据安全,国之重器——<数据安全法>第三十六条的适用与合规应对》
《算法推荐新规生效:五大视角厘清算法治理新格局》
《<网络安全审查办法>尘埃落定,境外上市影响几何(下)》
《<网络安全审查办法>尘埃落定,境外上市影响几何(上)》
《网络安全与数据保护2021年度法律观察》
《关于《网络数据安全管理条例(征求意见稿)》的三十四个核心问题(下)》
《关于<网络数据安全管理条例(征求意见稿)>的三十四个核心问题(上)》
《IDC产业链全解析(四):互联网数据中心的数据安全保护义务》
《<个人信息保护法>正式生效,我们聊聊合规落地中的“五六七”》
《网络空间治理升级——从数据治理迈向算法治理》
《<个人信息保护法>正式稿与二审稿对比》
《全景解构<个人信息保护法>,助力企业进入中国个人信息保护新纪元》
《明晰人脸识别案件司法裁判规则,推动AI行业规范发展——最高院人脸识别司法解释解读》
《激活网络安全审查制度 筑牢数据安全防火墙—— <网络安全审查办法(修订草案征求意见稿)>评析》
《欧盟个人数据传输的两项新工具(SCCs):历史演变、法律影响和应对策略》
《九万里风鹏正举:<数据安全法>已来,企业当如何乘风?》
《汽车数据强监管时代开启:<汽车数据安全管理若干规定>(征求意见稿)评析》
《天之未雨 绸缪牖户:企业如何实施个人信息安全影响评估?》
《简评<网络直播营销管理办法(试行)>》
《健康医疗企业IPO数据合规重点问题与应对(下)》
《健康医疗企业IPO数据合规重点问题与应对(上)》
《解读<网络交易监督管理办法>》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。