数据出境100问系列 | Part5:个人信息保护认证高频问题与适用解读
团队介绍:
W&W国际法律团队,国内外一站式法律合规顾问
W&W 国际法律团队已为超过60+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供专业的法律合规服务和落地解决方案。为多个产品及业务线落地互联网综合合规、国内外数据合规及出海合规法律项目。特殊行业覆盖前沿科技领域,如AIGC、区块链、GPT、云计算等新兴领域、智能网联汽车与车机系统、智能制造业与物联网。涉及业务地区为国内、欧洲、北美、亚太、中东等地区。
(如有项目需求或了解代表案例,欢迎联系。)
联系方式:
邮箱:jie.wang@kindinglaw.com
TEL:+86 13650790754
文/ 王捷律师团队
导言
随着《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》的公布,由《个人信息保护法》第三十八条确定的数据出境路径的实践脉络已经越发清晰,可以判断,数据出境合规是企业开展国际业务必须面对的课题。
我们一直专注于网络法实务,特别是数据合规实务工作,在日常为各大企业提供合规服务的过程中,亦遇到各类新型的值得探讨的问题。为了方便实务,让数据出境需求者能够尽快的熟悉、理解我国关于数据出境的各项法律要求与规定,我们计划以前述规定为基础,对我国数据出境有关的法律问题进行一个全方位的解读,一方面对数据出境相关的法律法规进行分析,另一方面也就日常工作中遇到的高频出境问题进行总结。
报告全文获取方式:跨境无忧,合规先行|《数据出境100问》PRO版重磅发布:您的全球合规导航手册
我们热切地期待与各位同行朋友深入探讨各种新型问题,有任何数据合规实务需求与问题探讨,请随时联系王捷律师团队,联系方式见文末。
更新说明
本文章的V1.0版本更新于2022年7月,彼时《个人信息出境标准合同办法》仍在征求意见稿阶段,《数据出境安全评估办法》亦刚刚发布。
在本次2024年4月的更新中,本专题补充了个人信息保护认证、粤港澳大湾区标准合同、境外个人信息跨境传输部分,根据《促进和规范数据跨境流动规定》、《数据出境安全评估申报指南(第二版)、《个人信息出境标准合同备案指南(第二版)》的最新规定进行了更新,对原有部分,包括数据出境关键概念剖析、数据出境安全评估、个人信息出境标准合同等部分,均进行了更新或更正。
系列预告
”
本系列文章将分为以下七部分,将在本公众号持续更新。
第一部分:数据出境关键概念剖析
第二部分:数据出境安全评估高频问题与适用解读
第三部分:标准合同高频问题与适用解读
第四部分:粤港澳大湾区(内地、香港)个人信息跨境流动标准合同
第五部分:个人信息保护认证高频问题与适用解读
第六部分:数据出海实践关键问题与海外SCCS要点对比
第七部分:境外个人信息跨境传输
本篇是第五部分内容,主要介绍个人信息保护认证高频问题与适用解读。
第五部分:个人信息保护认证高频问题与适用解读
Q79
认证机制的适用主体是什么?
从适用主体的角度来看,申请认证的个人信息处理者应当取得合法的法人资格,正常经营且具有良好的信誉、商誉。即企业的分公司或分支机构等不具备法人资格的主体不能申请认证。
跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动可由境内一方申请认证,并承担法律责任。
《个人信息保护法》第三条第二款规定的境外个人信息处理者,可由其在境内设置的专门机构或指定代表申请认证,并承担法律责任。
Q80
个人信息保护认证有哪些类型?不同个人信息保护认证的认证标准分别是什么?
《个人信息保护认证实施规则》第5.2条规定了两种类型的个人信息保护认证:
不含跨境处理活动的个人信息保护认证为PIP认证;
包含跨境处理活动的个人信息保护认证为PIPCB认证。
PIP认证不适用于跨境处理活动,但可用于证明个人信息处理者的个人信息保护能力,作为企业个人信息保护能力的有效增信手段。取得该认证证书的认证标准为《个人信息安全规范》)。
PIPCB认证则可在证明企业个人信息保护能力的同时作为一种个人信息跨境传输路径,以满足跨境传输个人信息的合规要求。取得该认证证书的认证标准,除了《个人信息安全规范》外,还有TC260-PG-20222A《个人信息跨境处理活动安全认证规范》(以下简称为《跨境处理活动认证规范》)。
另外,全国信息安全标准化技术委员会秘书处于2023年3月16日发布了《关于国家国家标准<信息安全技术个人信息跨境传输认证要求>征求意见稿征求意见的通知》。《信息安全技术个人信息跨境传输认证要求》若正式发布并生效,我们认为有可能替代《跨境处理活动认证规范》作为PIPCB认证的认证标准之一。
Q81
个人信息处理者进行个人信息保护认证时,是否需要对个人信息处理者涉及的全部个人信息处理活动进行认证?
不一定。相关法律法规虽未明确规定个人信息处理者需要对哪些个人信息处理活动进行认证,不过根据中国网络安全审查技术与认证中心(CRCC)发布的首批个人信息保护认证证书显示,个人信息保护认证证书中包含“认证范围”,这意味着企业可以根据自身需求,对需要进行认证的业务/产品/服务所涉及的个人信息处理活动进行认证,而不必对企业涉及的全部个人信息处理活动都进行认证。
例如,企业A提供的产品和服务涉及互联网支付、金融服务、电子商务等,其可根据自身需要仅对互联网支付涉及的个人信息处理活动进行认证,而不必对上述全部产品和服务涉及的全部个人信息处理活动进行认证。
Q82
出个人信息保护认证的机构是?
《个人信息保护认证实施规则》没有明确列出认证机构的名单,经查询中国网络安全审查技术与认证中心(CCRC)已被国家网信办指定为个人信息保护认证的认证机构。CRCC是国家市场监督管理总局直属事业单位,是第三方公正机构和法人实体,承担网络安全审查技术与方法研究等。
申请人可以通过CCRC的官方网站(网址:https://data.isccc.gov.cn/)的个人信息保护认证申办系统申请认证。
Q83
个人信息处理者如何选择是通过签订标准合同还是个人信息保护认证进行个人信息出境活动?
我们认为个人信息处理者选择签订标准合同还是个人信息保护认证需要至少考虑以下因素:
1
出境活动的复杂程度
2
合规成本
3
是否存在较多的出境数据再转移
根据《标准合同办法》第六条第一款的规定,标准合同应当按照《标准合同办法》的附件《标准合同》订立。尽管根据该办法第六条第二款,可以约定其他条款(但不得与标准合同相冲突),但实际上标准合同内容的可操作/可调整空间不大。
而相较于采用签订标准合同实现个人信息出境活动,个人信息保护认证相对较为灵活,且具有“定制化”的特点,个人信息处理者可以定制与境外接收方之间的合同,如果个人信息处理者的个人信息出境活动较为复杂或者在商业谈判中具备较大的谈判权利,可以考虑采取个人信息保护认证。
从合规成本的角度来讲,进行安全认证需支付一笔认证费用,相较于单次签订《标准合同》而言,认证机制的成本更高一些。不过完成认证后,认证证书有3年的有效期,在有效期内进行个人信息出境活动不需要对连续性的已认证业务进行重复认证。因此,如果个人信息处理者的个人信息出境行为偶尔发生、频次较低,通过签订《标准合同》成本更低、效率更高。如果个人信息处理者需要经常向境外传输个人信息(比如跨国集团日常、持续性的内部事务),则可在提交认证时,同时认证个人信息处理者将个人信息跨境传输给多个境外接收方的处理活动,个人信息处理者就可以降低合规工作量和成本。
从出境数据再转移的角度来讲,认证机制在一定条件下更加便利。在《标准合同》下,境外接收方将出境数据向境外第三方再传输时,需要满足较为严格的条件,个人信息处理者的合规成本也较高。而通过认证机制向境外传输个人信息时,境外数据接收方可以向其他受到已通过的认证规定的处理规则约束的企业进行数据再传输,流程更为高效。这类似于欧盟GDPR规定的“约束性企业规则”,即要求跨国公司的各个关联公司遵守同一标准的个人信息跨境处理规则。
Q84
申请个人信息保护认证的流程是怎么样的?
《个人信息保护认证实施规则》规定的认证实施程序为:
认证委托
技术验证
现场审核
认证结果评价和批准
获证后监督
认证委托人按照认证机构的要求提交认证委托资料,认证机构在审查后及时反馈是否受理。认证机构应当根据认证委托资料确定认证方案,包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等,并通知认证委托人。
随后认证机构按顺序开展技术验证、现场审核、事后监督等步骤。具体流程如下:
Q85
目前认证机制的实施现状是怎样的?申请认证是如何收费的?
2023年12月15日,CRCC向珠海澳科大科技研究院、支付宝(中国)网络技术有限公司、北京华品博睿网络技术有限公司、京东科技信息技术有限公司等5家单位颁发了我国首批个人信息保护认证证书。首批认证证书的颁发,标志着我国个人信息保护认证实施工作迈出了重要一步。但根据公开的证书,截止到2024年1月为止,尚未有取得包含跨境处理活动的个人信息保护认证证书的企业。
截止至2024年2月,根据CRCC发布的数据安全相关认证收费标准,申请费为1.8万,评定注册费为2.4万,审核验证费为6000元/人/日,年金为5万/年;此外,技术验证机构还会收取一笔技术验证费用。初步预估,完成一次认证花费在15万元以上,每年的年审费用在10万元以上。根据CCRC内部的制度,认证通常在受理申请后110个工作日内完成(不含企业整改所花费的时间)。
Q86
如何理解认证证书的时限制度?
认证证书有3年的有效期。在有效期内,通过认证机构的获证后监督,认证证书持续有效。认证证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。
但如果获得认证的个人信息处理者不再符合认证要求时,在认证有效期间,认证机构会对认证证书予以暂停直至撤销。因此并非取得认证之后便可一劳永逸。
Q87
获取认证证书需要提交哪些材料、提交的材料需要满足哪些要求?
根据CRCC官网提供的《个人信息保护认证申请书》,申请认证的数据处理者需要准备的文件是比较多而详尽的,特别是在业务流程描述、数据流转情况的表述、数据跨境场景与数据流情况等方面,需要有熟悉数据合规的专家的指导下进行更为妥当。另外,申请人还必须发表一个关于说明其在过去12个月内未发生任何重大个人信息安全事件的声明。
若要获得含跨境处理活动的个人信息保护认证证书,除了需要符合《个人信息安全规范》的要求,还应符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》(以下简称为《跨境处理活动认证规范》)的要求。其中,《跨境处理活动认证规范》包括4项基本要求,包括具有法律约束力的文件、组织管理、个人信息跨境处理规则和个人信息影响评估。
Q88
具有法律约束力的文件,与标准合同条款之间有什么关系?
《跨境处理活动认证规范》第5.1条,对于开展个人信息跨境处理活动的个人信息处理者和境外接收方之间应当签订的具有法律约束力和可执行的文件的内容作出了规定。我们将该文件内容要求与《个人信息出境标准合同》的内容进行了对比(如下表),发现存在一定的重合度,但《个人信息出境标准合同》存在“境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响”这一特殊点。实践中,申请个人信息保护认证的个人信息处理者,可以考虑参考《个人信息出境标准合同》的内容起草具有法律约束力的文件,但不能直接以《个人信息出境标准合同》作为申请个人信息保护认证需要提交的“具有法律约束力的文件”。
Q89
认证完成后,个人信息处理者还需要注意什么?
根据《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》,个人信息处理者在完成认证后,还需要履行下列义务:
1
为个人信息主体提供查阅其个人信息的途径,个人信息主体要求查阅、复制、更正、补充或者删除其个人信息时,应及时予以响应,拒绝其请求的,应说明理由
2
客观记录开展的个人信息跨境处理活动,保存记录至少3年;按照相关法律法规要求向中华人民共和国履行个人信息保护职责的部门提供相关记录文件
3
当出现难以保证个人信息安全的情况时,及时停止跨境处理个人信息,并通知境外接收方
4
发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者及境外接收方应立即采取补救措施,并通知对方,报告中华人民共和国履行个人信息保护职责的部门,按照相关法律法规要求通知个人信息主体,记录并留存所有与个人信息泄露、篡改、丢失有关的事实及其影响,包括采取的所有补救措施
5
应个人信息主体的请求,提供双方有法律约束力文件中涉及个人信息主体权益部分的副本
6
接受认证机构对个人信息跨境处理活动的持续监督,包括答复询问、配合检查、服从采取的措施或做出的决定等,并提供已采取必要行动的书面证明。
因此,并不是说完成认证就万事大吉,个人信息处理者还要持续接受认证机构对个人信息跨境活动的监督。处理活动不符合认证要求或者违反相关法律法规时,将会面临处罚或承担一系列法律责任。
Q90
粤港澳大湾区跨境处理个人信息认证和内地的个人信息保护认证有什么区别?
内地的个人信息保护认证制度适用于内地个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证。
《网络安全标准实践指南——粤港澳大湾区跨境个人信息保护要求(征求意见稿)》(以下简称《指南草案》),规定了粤港澳大湾区跨境处理个人信息应遵守的基本原则和要求,适用于大湾区内个人信息处理者以认证方式开展个人信息跨境处理活动。大湾区认证可能有利于仅在大湾区内的企业,有助于降低其合规成本。目前,大湾区认证制度还存在一些尚未解决的实际困难,例如《指南草案》尚没有提及相关的大湾区认证机构,具体的大湾区认证程序、大湾区认证的有效期等。我们建议位于大湾区的个人信息处理者应当密切关注《指南草案》的进一步澄清。
声明
报告内容系作者对法律及项目实务的理解及高度总结,同时包含部分实践中向监管咨询后得到的答复内容。报告内容仅代表作者个人观点,不构成法律意见。鉴于数据合规法律法规的多变,以及各个国家或地区的立法可能会有变化或存在法院自由裁量权的情况,具体内容需要依赖于对现有规则的理解和把握,且相关预判与建议应当根据具体业务模式以及当地法律法规的变化而不断调整修正。
报告内容系作者原创,引用、转载均请联系作者并注明出处,禁止抄袭,谢谢!欢迎联系主编投稿。
主编介绍
王 捷 律师
垦丁律师事务所合伙人、广州创始合伙人、主任律师
W&W国际法律团队创始人
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了13年+科技型公司实务经验,具备中外律所从业背景;为各类涉互联网企业提供各类综合合规支持,包括数据合规、个人信息保护、产品模式合规等,尤其擅长为企业出海产品提供各类有效的合规解决方案与落地支持。目前已为超过60+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供服务和产品落地解决方案;并发表了超过300多篇的实务文章与专题报告。
专攻领域:
个人信息保护与全球数据合规、企业出海合规、互联网产品及业务模式综合合规、网络安全、广告合规、知识产权攻防布局、前沿科技领域实务合规等。专精于移动互联网、智能制造业与物联网、智能网联汽车与车机系统、电子商务及平台、直播与短视频、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等新兴前沿行业。
涉足国家及地区:
中国(含港澳台地区)、印度、印尼、东南亚等多国、日、韩、欧盟、美国、中东多国、南美洲、非洲。
职业资格:
持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官等资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学常务理事,荷兰RuG国际经济法与商法硕士。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
推荐阅读:
垦丁荣誉|王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单
访谈实录(中):没有什么事是做分享解决不了的,如果有,那就继续坚持
新年贺礼| 《全球数据合规2023图鉴》重磅发布 ,要做年终总结吗,我们帮你梳理好了
开辟万象,OPEN你的AI|垦丁W&W国际法律团队发布《AIGC产业发展与法律合规实务手册》(附下载)
冬至礼物 | 法律法规汇编大礼包V5.0 《个人信息保护数据合规法律汇编》
W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列
W&W国际法律团队 | 印度2023数字个人数据保护法案最新要点解读