高端视野|吴沈括:个人信息保护认证的制度意义与实践价值
吴沈括
北京师范大学法学院博士生导师
中国互联网协会研究中心副主任
需要指出的是,2022年6月24日,全国信息安全标准化技术委员会公布《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》(以下简称:“《安全认证规范》”)。《网络安全标准实践指南》是全国信息安全标准化技术委员会秘书处组织制定和发布的标准相关技术文件,旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题,宣传网络安全相关标准及知识,提供标准化实践指引。而《安全认证规范》是截至目前我国第一项有关个人信息保护认证的标准相关技术文件,其记载了认证机构对个人信息跨境处理活动进行个人信息保护认证的基本要求,进一步明确了该情景下认证机制的适用情形、认证主体、基本原则、基本要求以及权益保障等诸多要素,事实上从一个断面反映了个人信息保护认证所具有的重大制度意义——
第一,个人信息保护认证是贯彻施行个人信息保护法的基础性抓手。众所周知,在我国法律体系下,个人信息保护认证的核心依据之一在于2021年11月1日正式施行的《中华人民共和国个人信息保护法》,特别是第三十八条明文规定:“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:......(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;......”。《安全认证规范》的推出正是落实个人信息保护法第三十八条制度要求的重要举措,及时填补了我国个人信息跨境提供制度的实施细则空白。
第二,个人信息保护认证能与个人信息出境其他机制形成系统配套。2022年6月30日,国家互联网信息办公室就《个人信息出境标准合同规定(征求意见稿)》公开征求意见;7月7日,国家互联网信息办公室公布《数据出境安全评估办法》并自2022年9月1日起施行,由此揭开了我国数据出境制度整体建构的序幕。经过安全评估后出境和利用标准合同出境有着各自特殊的适用条件和应用场景,而个人信息保护认证作为并列的法定出境机制之一,能够和前两者产生有效的机制协调和衔接,共同助力数据跨境安全、自由流动。
第三,个人信息保护认证有助于加速建构接轨国际的数据出境机制。放眼全球,各大主要国家和地区纷纷针对数据跨境流动建立符合自身政策法规的相关认证机制:欧盟以《一般数据保护条例》(GDPR)为基础确立个人数据跨境传输认证,卢森堡数据保护机关新近采用个人数据跨境GDPR-CARPA认证机制,亚太经合组织(APEC)则在跨境数据流动领域引入CBPR认证制度,不一而足。以我国现行法律法规为依据、并比较借鉴域外权威认证机制而建立个人信息保护认证,一方面有利于全面、及时回应跨境数据治理的全球态势,另一方面也有利于务实推动中国规则的国际化实现。
应当看到的是,在具体操作规则的设计层面,《安全认证规范》特别地从基本原则、个人信息处理者和境外接收方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面提出了要求,为认证机构实施个人信息保护认证提供跨境处理活动认证依据,也为个人信息处理者规范个人信息跨境处理活动提供参考,其本身还反映了个人信息保护认证所具有的突出实践价值——
其一,个人信息保护认证是有关机构开展合规能力建设的有用指引。毋庸置疑,个人信息保护认证绝非一纸证明,其本质是一整套有关个人信息保护和利用的合规工具箱,它从制度规则、标准要求、技术运用和平台工具等不同维度建构了各类机构应当全面遵循的业务准则和应当持续保持的能力水平。以《安全认证规范》为例,它突出了各方在个人信息跨境处理活动中应当坚持的合法、正当、必要和诚信等六大原则,强调了在法律协议、组织管理、跨境处理规则和保护影响评估等层面应当达到的合规要求,可谓是是有关机构设计和完善自身运营流程的操作指南。
其二,个人信息保护认证是有关机构提升自身品牌形象的有力表征。历史地看,认证制度的诞生是促进商品服务流通、加强公共利益保障和便利国际贸易开展的实际需要,而建立和传递特定的品牌信任更是其核心价值,进而更好地发挥认证在支撑监管落地和助推市场发展等不同层面的实践作用。作为示例,《安全认证规范》特别针对个人信息主体的权益保障,明文规定了个人信息跨境处理活动中个人信息主体的具体权利内容,并明确了个人信息处理者和境外接收方对应的责任义务要求,实质上旨在为各利益相关方搭建高水平的信任基础,切实以此为行为准绳,自然能够让各类机构在面对用户社群、合作伙伴乃至监管机关时树立稳健可信的品牌形象。
其三,个人信息保护认证是有关机构强化国际合作交流的有效途径。围绕个人信息的全面保护,从国家认证制度到区域认证制度再到未来全球认证制度的建立已是无可逆转的大势所趋。《安全认证规范》的出台,意味着开启了个人信息保护认证的建立与应用新征程,这无疑是为各类机构在日益复杂的国际地缘政治背景下扩大和深化国际合作往来打开了有效的对话交流通道,特别是通过以此为基础持续探索和构建相关认证的国际互认生态,必将使得各类机构能够更好、更便捷地利用国内国际两大数据市场、两种数据资源。
聚焦网络法治 护航数字经济:2022年世界互联网大会乌镇峰会网络法治论坛在浙江乌镇举行
动向|欧洲2023年立法议程:数字立法位于第二位
美国要求互联网公司研发针对中国电信设备的攻击武器 外交部回应“中国+中亚五国”数据安全合作倡议
前沿瞭望|美国首次公布联邦《数据隐私与保护法案》(全文)
动向|美国推动的"印太经济框架" 想做什么?动向|拜登宣布启动"印太经济框架" 日韩澳印等13国加入洞察|欧盟-美国有关未来数字治理的立场异同欧洲EDPS与EDPB关于欧盟数据法案的联合意见(5月5日)
高端视野|吴沈括 李涛:流量劫持的的刑法应对
吴沈括|数据要素市场建设中的公共数据与政企合作吴沈括|欧盟2022年《数字服务法案》:平台新治理的欧洲样板
吴沈括|欧盟2022年《数据治理法案》:数据要素流转利用的欧洲方案
美欧就跨大西洋数据隐私框架达成原则性协议(含监管历史演进梳理)光明网 | 吴沈括:强化数字安全助力数字经济高质量发展重磅|欧盟《数据法案》(Data Act)草案(中译本)重磅|欧盟《数据法案》(Data Act)草案全文
高端视野|吴沈括 Deuse Clément:欧盟数字主权与《数据法案》立法进程高端视野 | 吴沈括 S. Boutillier:网络空间国际规则与《巴黎倡议》高端视野|吴沈括 L. Valenti:数据跨境调取与布达佩斯公约第二补充议定书高端视野|吴沈括 H. MANZOOR:数字安全与联合国打击网络犯罪公约高端视野|吴沈括 Elena Scarpelli:欧盟数据主权与《电子证据条例》立法高端视野|吴沈括 Andrea Fusi:欧盟数字转型与《数字权利和原则宣言》高端视野 | 欧盟委员会《欧洲数据治理条例》提案研究数字治理全球洞察 | 跨境数据治理前沿系列:【研究报告】数据跨境治理国别规则(2):爱尔兰
【研究报告】数据跨境治理国别规则(1):欧盟
数据跨境|英国就韩国达成数据跨境充分性认定 助力实现双边经济增长
数据跨境取证|吴沈括 蔡佩原:英国-美国《数据访问协议》中译本(2022-10-03施行)
数据跨境|拜登《关于加强美国信号情报活动保障的行政命令》(中译本)高端视野|吴沈括 孙鹏程:《数据出境安全评估办法》下的出境合规准备工作重磅 | 国家互联网信息办公室《数据出境安全评估办法》(全文)
重磅 | 国家互联网信息办公室公布《数据出境安全评估办法》(附答记者问)
速递|欧洲数据保护委员会关于欧美跨大西洋数据隐私框架协议的声明动向|欧盟与美国有望在2022年春季达成新的数据跨境传输协议高端视野|吴沈括 蔡佩原:欧盟《数据法案》(草案)的非个人数据跨境制度高端视野 | 吴沈括 邓立山:WTO框架下的数据跨境规则研究高端视野 | 吴沈括 邓立山:OECD框架下的数据跨境规则研究高端视野 | 吴沈括 邓立山:DEPA框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:G20框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:CPTPP框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:RCEP框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:APEC框架下的数据跨境规则研究高端视野|吴沈括 邓立山:APEC框架下关于数据跨境的CBPR规则研究数字治理全球洞察 | 数据治理前沿系列:《“十四五”全民健康信息化规划》:医院核心信息全国互通 强化网络与数据安全
汽车数据处理、个人信息安全工程指南等14项国家标准发布
EDPB:执法资源不足导致个人数据保护的监管面临风险
速递|印尼国会审议通过《个人数据保护法》高端视野|吴沈括:《企业涉个人信息刑事风险合规风控》研究报告重磅|中央深改委通过《关于构建数据基础制度更好发挥数据要素作用的意见》
瞭望|英国公布2022年《数据改革法案》具体计划 称为“脱欧后的胜利”数据执法|法国数据监管机关:对谷歌分析工具的整改不会让它变得合法高端视野 | 跨国企业数据保护官(DPO)设置研究(上篇)国家市场监督管理总局 国家互联网信息办公室关于开展数据安全管理认证工作的公告观点|阻碍医疗数据研究革命的是法律问题,而不是基础设施
检察日报|吴沈括 李涛:数字经济语境下流量劫持的刑事治理数据监管|匈牙利就AI数据处理侵权对布达佩斯银行科处高额罚款数据监管|法国数据保护机关就健康数据泄露处罚生物公司150万欧元
欧洲数据保护委员会(EDPB)关于执法合作的声明(4月28日)
速递|欧洲数据保护委员会关于比利时数据保护机关独立地位的质疑关切数据监管|芬兰数据保护机关因诊所实现数据主体权利不力科处行政罚款数据监管|欧洲数据保护专员(EDPS):是时候瞄准在线广告了!数据监管|爱尔兰数据保护委员会宣布对Meta(脸书)处罚1700万欧元数据监管|意大利数据保护机关就面部识别处罚美国Clearview公司2000万欧元数据监管|波兰数据保护机关就员工造成数据泄露对公司处以创纪录罚款数字治理全球洞察 | 网络安全治理前沿系列:速递|美国禁止华为中兴等5家中企在美销售设备
英国延后华为临时禁令 但2027年底前全面移除5G设备不变
美国网络安全禁令生效,限制向中国等国家共享网络漏洞重磅|欧盟委员会2022年《网络安全条例》提案(全文)重磅|欧盟委员会2022年《信息安全条例》提案(全文)数字治理全球洞察 | 网络平台治理前沿系列:重磅|反不正当竞争法(修订草案征求意见稿)禁止利用数据算法不正当竞争
国家互联网信息办公室修订《互联网跟帖评论服务管理规定》发布施行
EDPB通过有关TikTok的法律文书 TikTok停更个性化广告的法律基础重磅|国家广电总局、文旅部《网络主播行为规范》(全文)
重磅|中央深改委:将平台企业支付和其他金融活动纳入监管 服务实体经济
国家网信办《互联网跟帖评论服务管理规定(修订草案征求意见稿)》(全文)全国人大常委会法工委披露反垄断法、反电信网络诈骗法二审稿修改内容
重磅|国家网信办修订发布《移动互联网应用程序信息服务管理规定》(全文)
数字治理全球洞察 | 数字政府治理前沿系列:重磅|国务院《关于加强数字政府建设的指导意见》(全文)数字治理全球洞察 | 未成年人保护前沿系列:光明网|吴沈括:未成年人网络保护面临技术、组织、内容三重风险
数字治理全球洞察 | 电信网络诈骗治理前沿系列:2022年电信网络诈骗治理报告:以短视频平台为样本的研究
发布反电信网络诈骗倡议!北师大主办2022年世界互联网大会乌镇峰会网络法治论坛
吴沈括 黄诗亮|《反电信网络诈骗法》的治理要旨与合规启示英译本|《中华人民共和国反电信网络诈骗法》(全文)重磅|《中华人民共和国反电信网络诈骗法》(全文)重磅 | 《反电信网络诈骗法(草案二次审议稿)》(全文)数字治理全球洞察 | 数据跨境取证前沿系列:重磅|司法部明确涉诉数据信息的跨境调取规则数据跨境取证|吴沈括 蔡佩原:英国-美国《数据访问协议》中译本(2022-10-03施行)数字治理全球洞察 | 数据认证前沿系列:吴沈括 邱芷蕙|美国TrustArc隐私与数据治理框架(P&DG)要览吴沈括 周奕达|美国TRUSTe企业隐私认证的机制概要与价值启示前沿|EDPB批准德国州数据保护机关有关数据保护认证计划的意见数字治理全球洞察 | 数据要素市场前沿系列:数据要素立法|《陕西省大数据条例》(全文)数字治理全球洞察 | 人工智能治理前沿系列:重磅 | 中国关于加强人工智能伦理治理的立场文件
速递|美国总统拜登签署《人工智能培训法案》
EDPS:欧洲委员会《人工智能公约》谈判应当加强基本权利保护数字治理全球洞察 | 数字经济治理前沿系列:吴沈括 崔鑫铭|《北京市数字经济促进条例》助力建设全球数字经济标杆
重磅|《北京市数字经济促进条例》通过 重点培育数字经济核心产业