谢登科:滴滴全面整改后如何做合规 | 个人信息跨境提供中的企业合规
The following article is from 法学论坛 Author 谢登科
个人信息跨境提供中的企业合规
作者:谢登科,吉林大学法学院教授,博士生导师,吉林大学理论法学研究中心、吉林大学司法数据应用研究中心研究员。
来源:《法学论坛》2023年第1期。全文转载自公众号“法学论坛”。
摘要:企业在实施个人信息境外提供行为时,须建立完善的专项合规计划,否则既可能无法完成相关跨境业务,也可能因个人信息跨境流动违规而遭受行政处罚或刑事追诉风险。企业应以前提条件、目的条件、内部条件、外部条件为主体内容,构建个人信息跨境提供的专项合规计划。从前提条件来看,企业需要从“可识别性”“相关性”等要素有效甄别个人信息;从目的条件来看,企业须围绕“因业务等需要”的目的限定原则确立个人信息跨境流动的必要范围;从内部条件来看,企业需从自然人处取得对其个人信息向境外提供的有效授权,遵循“知情-同意”规则设置的各项严格标准;从外部条件来看,企业需结合自身类型等因素选择适用“安全评估”“个人信息保护认证”“订立标准合同”等法定条件。个人信息跨境提供的法律关系复杂、环节众多,企业在个人信息跨境提供专项合规计划中应任命专门的个人信息保护负责人,将其纳入合规管理部门,制定个人信息跨境流动的企业政策和内部规则,监督内部员工和境外接收方在个人信息跨境提供活动的合规性。
关键词:个人信息;跨境提供;企业合规;知情-同意;个人信息保护负责人
随着信息技术和数字经济的不断发展,在国际数字贸易、金融投资等业务中不可避免地涉及个人信息境外流动。个人信息境外流动不仅涉及自然人个人信息权益保护,也涉及国家主权、公共安全等重大问题。企业在实施个人信息境外提供行为时,须建立完善的专项合规计划,否则不仅无法完成正常跨境业务,还可能因违法违规而遭受行政监管处罚甚至刑事追诉。2021年7月,刚刚在美国挂牌上市的“滴滴出行”公司被国家网信办予以安全审查,并通知应用商店要求下架该公司APP,主要原因就是个人信息跨境流动涉嫌违规。对于处理个人信息的企业而言,个人信息保护专项合规不仅是其履行法定义务、避免处罚的重要手段,也是免受商誉损失、保障持续经营的重要途径,因为违规经营将面临罚款或罚金等处罚,更将面临声誉损失、特定经营的限制或剥夺。我国《个人信息保护法》已初步建立了个人信息跨境提供规则,这为规范企业个人跨境提供行为提供了依据。为了兼顾企业持续经营和个人信息保护,企业在个人信息境外提供中应遵循《个人信息保护》的各项规则,否则就可能出现与“滴滴出行”公司类似的个人信息跨境流动合规风险。因此,本文拟以《个人信息保护》的现有规定为视角探讨个人信息跨境提供企业合规的四个要件。
一、境外提供的前提条件:个人信息的有效甄别
在个人信息境外提供中,企业首先需甄别跨境流动的数据是否属于个人信息,这是其开展个人信息跨境提供专项合规计划的前提条件。若企业将并非个人信息的数据作为个人信息而纳入专项合规计划,则会不当提高企业实施跨境数据流动和相关业务的成本;若将个人信息数据没有纳入个人信息而排除在专项合规计划之外,则可能让企业在个人信息跨境提供中面临行政监管处罚风险。因此,个人信息有效甄别是企业开展专项合规计划建设的重要前提。
我国《个人信息保护法》第4条对个人信息予以界定和明确,但其并没有采取“可识别性”的判断标准,而是采取了“相关性+可识别性”的判断标准,即只要是与已识别或可识别自然人相关的信息都属于个人信息。从“可识别性”到“相关性”的转变,不仅改变了个人信息的认定标准,也改变了个人信息的认定路径和范围。从个人信息的认定路径来看,“可识别性”标准主要遵循“从信息到个人”的路径,即根据现有信息能单独识别或结合其他信息识别出特定自然人,该信息就属于个人信息;若现有信息不能直接或间接识别出特定自然人,则不属于个人信息。“相关性”主要遵循“从个人到信息”的路径,只要与已识别或可识别自然人相关的信息,就都属于个人信息;若与已识别或可识别自然人无关的信息,则不属于个人信息。从“个人到信息”的认定路径更符合个人信息生产的事实逻辑,在权利正当性方面也更具说服力。从个人信息的认定范围来看,从“可识别性”标准到“相关性+可识别性”标准的转变会导致个人信息范围更加宽泛,因为某些信息既无法直接或间接识别出特定个人,但会因该信息与特定个人具有某种相关性而被认定为个人信息。在司法实践中,按照“可识别性”标准可能无法被认定个人信息的某些新型数据,也会因与特定自然人有关而被认定个人信息。比如在朱某诉百度公司cookie隐私权纠纷案中,二审法院就主要依据“可识别性”标准,认为百度网站基于cookie所记录的网页浏览信息不属于个人信息,因为依据此信息无法识别该网页浏览器使用者的网络用户身份。不过,按照“相关性”的认定标准,网页浏览记录显然属于个人信息,因为它是特定自然人浏览网页中产生的行为信息,它与特定自然人具有关联性,此种信息与其他信息结合也可以识别特定自然人。但是,“关联性”标准较为注重自然人与信息之间的关系,但可能会忽略个人信息的功能和作用,由此导致对个人信息认定范围的不当扩大。
对个人信息的甄别与判断,需要从其四个构成要素予以分析:①自然人。个人信息的主体仅限于自然人,法人等组织的相关信息则不属于个人信息主体,比如企业的生产数据、排污数据、企业微信公众号阅读次数等。个人信息保护立法主要是为了保护自然人的个人信息自决权和人格尊严,法人等组织并不存在人格尊严和人格自由。因此,法人等组织的相关信息并不属于个人信息,对于此类信息的跨境提供并不属于《个人信息保护法》调整范围,其可能会受到《反不正当竞争法》《保密法》等法律法规的调整。②可识别性。“已识别”与“可识别”是从特定自然人是否已经被识别而作的分类,前者是指特定自然人已经被识别出来,后者是具有识别特定自然人的可能性。相关信息若无法识别出特定自然人,则对此类信息的处理通常也不会侵害或危及特定自然人权益。因此,个人信息应当具有可识别性。对于特定个人的识别,既可以是直接识别,也可以是间接识别。前者是单独通过该信息就可以识别特定自然人,比如身份证号码、指纹等信息。后者是单独通过该信息无法识别特定自然人,须将该信息与其他信息结合才能识别特定自然人,比如性别、出生日期等信息,仅有上述信息无法单独实现对特定自然人的识别,因为同性别、同出生日期的自然人很多,但这些信息与其他信息结合起来仍然可以识别特定自然人。可以直接识别或间接识别出特定自然人的信息,都具有可识别性。③相关性。“有关”意为关系到、涉及到,它通常是事实描述或判断,而并不涉及对背后价值功能的判断,当信息是关于某自然人的,则认为此信息与该自然人具有相关性,该信息可以可以从内容、目的、结果等方面呈现出相关性。自然人有意识或无意识实施各种活动中产生的信息都与该自然人有关,但它们并非都属于个人信息,只有该关联信息能够直接或间接识别特定自然人时才属于个人信息。④形式要件。个人信息的载体可以是电子或其他形式。个人信息的载体形式相对灵活,既可以是电子数据记载的个人信息,也可以传统纸质文本记载的个人信息,还可以是图片、音频、视频等方式记载的个人信息。
对于匿名化处理的个人信息,由于无法通过其来识别特定自然人,《个人信息保护法》对匿名化处理后信息不予调整和保护,其中就包括对匿名化处理后个人信息的境外提供。作为规避《个人信息保护法》中现有个人信息跨境提供规则的方式之一,企业可以对个人信息作匿名处理后再向境外提供。但是,在匿名化处理中需注意其两个关键要素,即“无法识别”和“不能还原”,前者是指采取相关技术方法来“切割”信息与自然人的关联性,使无法通过其来直接识别或间接识别特定自然人;后者是指匿名化处理需要维持其处于不可识别性的状态,且无法逆转地改变此种状态。在实践运行中,较为常见的匿名化处理方法就是删除姓名、身份证号等显著性识别信息,通过数字或字母等符号予以替换,从而消除个人信息被暴露的风险。但是,匿名处理也比较脆弱,对于匿名化处理个人信息可能通过更多数据或更强大信息处理技术实现“去匿名化”,主要是通过将匿名处理后个人信息中含有的相关细节信息映射到其他数据源上从而实现对特定个人的识别。比如Google公司就曾利用其用户检索数据库对某网络购物的公共数据库实现“去匿名化”处理,利用医学术语检索实现对公共健康数据的“去匿名化”处理。匿名化处理后的个人信息被逆向采取“去匿名化”处理后,仍然有可能实现对特定自然人的识别。对于此种“去匿名化”的合规风险,企业需要在技术层面对个人信息的有效匿名化处理时,尽可能删除与企业跨境业务无关的个人信息数据,防止残留信息数据带来的去匿名化处理风险;在法律层面,企业需要通过完善相关合同内容或条款来防范匿名化个人信息跨境提供中的“去匿名化”合规风险,在合同中设置专门的合同条款禁止个人信息的境外接收方将匿名化个人信息映射到其他数据来识别特定自然人。
个人信息甄别具有较强的专业性,相关信息是否可以识别特定自然人和地域、技术水平、投入时间、信息数量等因素有关。在实践运行中,很多新型、边缘性信息是否属于个人信息往往存在较大争议。为保障个人信息数据境外提供的合规性,企业需设立个人信息保护负责人(Personal Information Protection Officer, PIPO)。虽然《个人信息保护法》第52条对个人信息保护负责人制度的适用条件和范围予以限定,其仅要求处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。但是,个人信息跨境提供涉及法律关系复杂、环节众多,企业在个人信息跨境提供合规计划中应当任命专门的个人信息保护负责人,将其纳入企业合规管理部门。完善涉及个人信息处理的企业内部合规治理结构,个人信息保护负责人可以组织企业内部负责涉外业务的员工、高管开展个人信息保护培训,制定个人信息跨境流动的企业政策和规则,监督企业内部员工和境外接受方在个人信息跨境提供活动,这也将有利于对个人信息的有效甄别,保障个人信息跨境提供的合规性。
二、境外提供的目的条件:因合法业务所必需
个人信息处理者对个人信息处理行为应具有正当目的,对个人信息的境外提供亦不例外。《个人信息保护法》第2条确立了目的限定原则,企业在开展个人信息跨境提供合规建设也应遵循目的限定原则,这是企业实施个人信息跨境提供的目的条件;因缺乏特定目的而实施个人信息境外提供,则很容易导致跨境流动中的个人信息滥用而产生合规风险。《个人信息保护法》第38条将个人信息跨境提供的目的限定为“因业务等需要”。这就意味着企业仅能为了业务等需要而实施个人信息跨境提供。目的限制原则是个人信息保护法中的“帝王条款”,也是个人信息保护的重要基石和其他规则的首要条件。因为处理目的可以反映出信息主体对其个人信息处理状况的合理期待,个人信息处理应当为信息主体所能够合理预见,而不得超出其合理预期。企业在实施个人信息跨境提供时是也应适用目的限制原则,其正当目的就是“因业务等需要”。在个人信息跨境提供专项合规计划建设中,企业也应围绕“因业务等需要”的目的限定原则来合理限定个人信息跨境流动范围。
首先,企业实施个人信息跨境提供是为其业务所需要。开展与其设立宗旨相关的各种业务活动是企业得以存续的正当基础,个人信息跨境提供自然也应与企业的业务相关,即为了更好保障企业各项业务的顺利开展,或者个人信息境外提供本身就是跨境业务的主要内容。企业在运行过程中可能会面临各种业务,比如产品开发业务、市场推广业务、行政管理业务等等。企业的业务通常可分为内部业务和外部业务,前者比如跨国集团公司因人事、财务等内部管理而开展的各项业务,较为常见的是跨国集团公司因其内部人力资源管理,而对其员工个人信息实施跨境传输或提供;后者是企业与其他企业、组织或个人之间开展的各种交易或服务,比如企业为开展跨境旅游、金融、贸易等业务而向其他组织或个人实施的跨境个人信息提供。在实践中,企业通常较为重视外部业务中的个人信息跨境提供专项合规建设,但企业内部业务所开展的个人信息跨境提供也可能会侵犯个人信息权益,此时也可能产生企业合规风险。比如在德国,H&M公司就曾因大范围收集员工病假、就医、诊断等个人信息,将家庭状况、宗教信仰等个人信息作为员工考评任用的参考依据,而被德国数据保护部门开出3530万欧元的罚单。因为企业内部业务中的个人信息跨境提供,不仅涉及企业内部组织管理,也涉及其员工个人信息权益保护。我国《个人信息保护法》第38条并没有区分内部业务和外部业务,现有规则对企业内部和外部业务中实施的个人信息跨境提供行为都应当适用。考虑到企业内部业务具有日常性、持续性等特点,对于此类业务中的个人信息跨境传输若采取标准合同,可能会大幅增加企业运营和管理成本,故可以考虑采取个人信息保护认证方式(后文将详细阐述)。
其次,企业的业务需要本身应具有合法性。一般来说,境内企业在设立时会进行工商登记,工商部门对其业务范围予以登记审查,从而保障其相关业务范围的事前合法性。但是,在开展个人信息境外提供时,企业不仅需要关注个人信息跨境提供是否属于自身业务范围,也应考察境外接收方是否将个人信息用于合法业务范围,否则也很容易产生个人信息跨境提供中的合规风险。这里“合法业务”不仅要关注境外接受方利用个人信息开展的业务在其所在地区或国家是否具有合法性,也需要关注国内法律法规对该业务的合法性评价。比如英国咨询机构剑桥分析公司(Cambridge Analytica)在获取Facebook用户个人信息数据后,并将相关数据分析结果用于对他国总统选举,存在损害他国国家安全和国家主权之嫌。该公司对个人信息数据处理和分析在英国当地可能具有合法性,但却损害了他国国家安全和公共利益而不具有合法性。又比如私人侦探、赏金猎人等业务在美国等国家属于合法业务范围,但我国现有法律法规则禁止私人侦探,若境内企业出于配合境外公司私人侦探业务而实施了个人信息境外提供行为,则仍然不属于合法业务,此种个人信息境外提供行为也不具有合法性。为了保障目的正当性与合法性,企业在开展个人信息境外提供时也应关注接收方是否将个人信息用于合法业务;在与境外接收方签订合同时,应设置专门条款来限制接收方对跨境接收个人信息的用途和目的。
再次,个人信息跨境提供涉及的企业相关业务范围应当明确、具体。目的限定原则要求在处理个人信息之前应具有明确具体的目的,而不能是笼统性、概括性目的,否则也将不利于保护信息主体的合理预期。企业在设立和营运中通常都会有具体明确的经营范围,其实施的个人信息跨境提供行为通常也会在其经营范围之内。企业在向自然人告知个人信息跨境提供的相关情况时,应当详细告知个人信息跨境提供是为了实现本企业哪些具体业务。若对处理目的或相关业务的告知过于模糊或弹性,则会导致自然人对个人信息跨境流动中相关情况认识和预期的不确定性。从行政监管层面来看,若企业在实施个人信息跨境提供中,仅是笼统性、概括性向自然人告知其所涉业务情况,行政监管机构会认为企业对个人信息处理目的情况的告知缺乏透明性,则可能会对企业给予警告、罚款,甚至可能会给予责令暂停相关业务或停业整顿等处罚。2019年7月,Facebook公司与美国司法部、联邦贸易委员会达成行政处罚和解协议,按照该协议Facebook公司需缴纳50亿美元罚款,主要原因就是其未向其用户充分披露个人信息数据用途和风险。为了防止因缺乏透明度而产生的合规风险,企业在开展个人信息境外提供时,需要明确、具体告知相关个人信息将用于何种业务。
最后,个人信息跨境提供应限于企业实现相关业务所需要的最小范围。企业在实施个人信息境外提供时,仅能提供实现其业务所需提供个人信息的最小范围,而不得跨境提供与其业务无关的个人信息,否则就存在过度提供个人信息。过度或超范围的个人信息境外提供,不仅无助于提升企业跨境业务,也会让其个人信息跨境提供行为丧失正当性与必要性,损害自然人对其个人信息的自主权和控制权。因此,个人信息跨境提供也应遵循目的限定原则中的最小范围限制,企业跨境提供个人信息应限于其开展业务所需的必要范围之内。对于目的限定原则中的最小范围限制,企业在个人信息跨境提供中通常需遵循以下要求:①个人信息跨境提供应当与企业的相关业务具有直接关联性,若缺乏个人信息的跨境提供,则企业相关业务则无法开展;②个人信息跨境提供的频率应当限于实现企业正常业务的最小频率,尽量减少对信息主体的侵扰次数;③个人信息跨境提供的数据应当限于实现企业特定业务所必需的最小范围。企业在实施个人信息跨境提供中遵循目的限定原则所要求最小范围限定,需要全面权衡业务有效运营和个人信息权益保护,选择对个人信息权益影响最小的方式来进行个人信息跨境流动,将数据跨境流动对个人信息权益的影响降至最低。
三、境外提供的内部条件:自然人“知情-同意”
个人信息涉及自然人人格尊严和自由,它是自然人人格利益的重要体现和载体。任何组织和个人在未经自然人授权情况下原则上无权处理个人信息,这就要求企业对个人信息的处理应遵循“知情-同意”规则。个人信息保护中的“知情-同意”规则,既是尊重和保障自然人个人信息自决权的核心内容,也是企业在个人信息处理中最容易出现合规风险的主要领域,比如未经有效同意而处理个人信息、超范围处理个人信息、告知不符合法定标准等。2019年1月,法国国家信息与自由委员会就依据《通用数据保护条例》(General Data Protection Regulation,GDPR)对Google公司处以5000万欧元罚款,主要理由就是Google公司处理其用户个人数据缺乏透明度、对用户告知信息不充分、用户缺乏有效同意等。2021年11月,我国工信部通报了在个人信息保护方面存在各种违规问题的38款APP名单,其中半数以上涉及超范围收集个人信息、强制收集个人信息、信息告知不到位等问题。这些不合规问题主要都是违反个人信息保护中的“知情-同意”规则。个人信息跨境提供属于个人信息处理行为之一,其自然也应遵循“知情-同意”规则。《个人信息保护法》第39条确立了个人信息跨境提供中的“知情-同意”规则。企业在实施个人信息跨境提供中应遵循该规则,这是个人信息境外提供企业合规的内部条件,因为该条件要求企业从自然人处取得对其个人信息向境外提供的有效授权,是企业实施个人信息境外提供行为的内在合法性基础。有学者将其称为个人信息跨境的“必要性条件”。其实,个人信息境外提供的内部条件和外部条件都属于必要性条件,因为无论缺少内部条件还是缺少外部条件,都将导致企业个人信息境外提供行为的不合规。相比于个人信息的一般处理行为,个人信息跨境流动对自然人权益影响更大,它会导致对个人信息的监管场域、法律适用、维权成本等方面的巨大变化,会导致自然人对个人信息控制弱化、维权难度和成本上升等不利后果。因此,《个人信息保护法》对个人信息跨境提供中的“知情-同意”规则设置了更加严格的标准,这就对企业个人信息跨境提供提出了更高的合规要求:
其一,告知事项的合规要求。在个人信息处理中,对相关事项的全面告知是自然人有效同意的重要基础,若缺乏对个人信息处理事项的充分告知,则很难保障自然人作出的同意是其理性选择。我国《个人信息保护法》对个人信息处理的重要环节和关键节点采取了“原则+一般规则+特殊规则”的三重告知规则,其在公开透明原则中要求明示个人信息处理的目的、方式和范围;在一般规则中对告知的方式、内容、标准等予以规定。而个人信息跨境提供就属于个人信息处理的重要环节和关键节点,其除了需要遵循公开透明原则中对告知的原则性要求和一般告知规则的具体性要求之外,还需要遵守《个人信息保护法》第39条确定的特殊规则。在就个人信息境外提供的相关事项征得自然人同意之前,也需要就个人信息跨境流动事项向自然人履行告知义务。告知的具体内容包括境外接收方名称或姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项。特殊规则对告知内容的扩大化,将更有利于保障个人知情权,也将有助于自然人行使其各项个人信息权利及发生信息安全事件后的有效维权,但这也给个人信息跨境提供中的企业合规提出了更高标准和要求。
为了防止个人信息跨境提供中的合规风险,企业履行告知义务应符合以下要求:①从告知时间上看,企业应在实施个人信息跨境提供之前告知相关自然人,而不得在跨境提供行为完毕之后才告知。②从告知方式上看,企业应当采取显著方式,清晰易懂的语言,真实、准确、完整地向相关自然人告知个人信息跨境提供的情况。在实践中,企业通常采取个人信息处理规则或政策的方式来履行其告知义务,即通过企业内部制定的个人信息保护或隐私保护政策来告知。此种告知方式虽然比较快捷高效,但《个人信息保护法》在个人信息跨境提供中设置了“单独同意”规则,即个人信息跨境提供应取得个人的单独同意,而“单独同意”重在突出告知义务,强调企业应在告知方式上引起个人重视;“单独同意”意味着不能通过个人信息保护或隐私保护政策等中蕴含的个人信息境外流动规则方式来履行告知义务,因为基于个人信息保护或隐私保护政策的告知属于概括性或综合性告知,个人基于此种告知方式而作出的同意表示,将会让其对个人信息境外提供的同意丧失独立性、单独性,此种同意是依附于对个人信息其他处理事项内容的同意。因此,个人信息跨境提供中的告知不应采取隐私政策或个人信息处理政策方式告知。③从告知内容上看,个人信息跨境提供的境内企业,既需要告知企业名称、负责人姓名、联系方式等信息,也需要告知境外接收方名称或姓名、联系方式,还需要告知个人信息跨境提供的目的、处理方式、个人信息种类、保存期限、个人向境外接收方行使法定权利的方式和程序等内容。
其二,同意方式的合规要求。个人信息跨境提供中的同意规则,是为了保护信息主体对其个人信息处理的选择权或决定权。企业实施的个人信息跨境提供行为,在客观上会干预或侵入自然人个人信息,其具有推定的非法性,而个人同意可以排除此种非法性,让个人信息跨境提供行为获得内在的正当性与合法性。我国《个人信息保护法》对个人信息处理中的同意采取“一般规则+特殊规则”的立法模式。在个人信息跨境提供中,企业除了要遵守《个人信息保护法》第14条规定的一般同意规则外,还应遵守《个人信息保护法》第39条确定的特殊规则。具体来说,个人信息跨境提供中个人同意主要应符合以下要件:①同意的自愿性。自由选择是同意规则的核心内容,这要求自然人具有自由选择是否同意的可能性。企业不得以拒绝服务或其他不合理条件来限制自然人的选择权,只有自然人在拒绝对其个人信息处理而仍可获得相关服务的情况下,其作出同意的选择决定才具有自愿性。同意的自愿性,要求企业在个人信息跨境提供中不能通过欺诈、胁迫或误导等方式取得自然人同意。②同意的明确性。从理论上看,同意可以分为“明示同意”和“默示同意”。《个人信息保护法》中“知情-同意”规则要求处理个人信息须取得个人明确同意,不得以默示方式推定个人同意。明确同意要求信息主体通过肯定性动作对其个人信息处理作出明确的授权行为。在个人信息跨境提供上,企业也应取得自然人明确同意,此种明确同意可以通过书面同意、主动勾选、主动点击等方式作出。③同意的单独性。个人信息处理者向境外提供个人信息时,须征得个人“单独同意”,即个人信息处理者应采取“一对一”方式取得个人同意。单独同意更容易引起自然人对其个人信息处理行为的警惕和重视,可以强化其个人信息保护意识,让其在作出是否“同意”的选择时更加谨慎、理性。对于“单独同意”的表示形式则相对灵活,既可以采取书面同意,也可以口头同意或电子数文式同意。实践中一般采取“单独弹窗”“单独协议”方式告知,个人可以通过在线勾选、点击确认等方式表示单独同意。
企业在个人信息跨境提供中应遵循“知情-同意”规则,这是该行为内在合法性的重要基础。需要注意的是,在个人信息跨境提供中,企业仅能依据自然人“知情-同意”获得内在合法性基础,这与企业在境内对个人信息处理行为的合法性基础存在较大差别。对于个人信息的境内处理行为,《个人信息保护法》第13条规定了多元化合法性基础,并非只能依据个人“知情-同意”获得合法性。比如企业为订立履行合同、新冠疫情防控等原因而收集处理必要的个人信息,就无需取得个人同意。但是,个人信息跨境提供行为的合法性基础具有唯一性,其仅能基于自然人“知情-同意”而获得合法性。此种单一合法性基础体现了我国立法者对个人信息跨境流动的审慎态度。这就决定了企业无论基于何种目的或业务而实施个人信息跨境提供行为都必须征得个人单独、明确同意,否则就可能会产生合规风险。
四、境外提供的外部条件:个人信息保护的多元价值
企业开展个人信息数据境外提供时,除了需征得自然人同意授权外,还应遵守《个人信息保护法》设立的外部条件。这些外部条件通常与自然人个人信息自决权和选择权无关,是自然人“知情-同意”以外的其他法定条件。这些外部条件有些也关涉自然人个人信息权益保护,比如个人信息保护认证,有些是要为了实现个人信息权益保护以外的其他法律价值,比如安全评估中所承载的国家安全、公共利益等法律价值。《个人信息保护法》第38条第1款设置了个人信息跨境提供的外部条件。这些外部条件本身体现了对个人信息保护、国家主权和安全等因素的考虑,企业开展个人信息数据境外提供时,也必须符合这些法定外部条件,否则就可能损害个人信息权益、国家安全、公共利益等而产生合规风险。具体来说,企业开展个人信息数据境外提供时,应符合下列条件之一:
第一,安全评估。所谓“安全评估”是对个人信息跨境提供是否存在损害个人信息权益、危害国家安全和公共利益所作分析和评判。在个人信息跨境流动中,一国可能利用大数据分析技术和海量个人信息对他国社会状况予以精准画像,从而实施危害他国国家安全和国家主权的活动。因此,安全评估成为个人信息跨境提供中的法定外部要件之一。这意味着若无法通过安全评估,则不能实施个人信息跨境提供。安全评估虽然有利于维护国家安全和公共利益,但可能会阻碍个人信息跨境自由流动。为平衡国家安全利益和个人信息合理流动,就需要对安全评估的适用范围予以适当限定。我国《个人信息保护法》对安全评估适用的限定主要有以下方面:①适用对象特定化。安全评估仅适用于两类特定主体实施的个人信息跨境提供行为,即关键信息基础设施运营企业和处理个人信息达到法定数量的企业。前者是公共通信、信息服务、能源、交通、水利、金融等重要行业和领域关键信息基础设施的运营企业,后者是处理个人信息达到一百万人的企业,累计向境外提供超过十万人以上个人信息或一万人以上敏感个人信息的企业。比如前文所提“滴滴公司”就属于后者,其向境外提供个人信息时就应当予以安全评估。②适用方式强制性。前述两类特定主体实施的个人信息跨境提供行为,只能通过安全评估方式来满足外部条件的要求,它们无法通过个人信息保护认证、订立标准合同等方式来替代安全评估。因此,安全评估的适用对此两类特定主体而言具有法定性。因为此两类特定主体的个人信息境外提供行为会对国家安全、公共利益等产生较大的影响,它们实施个人信息跨境提供行为必须经过安全评估,除非相关法律、行政法规或国家网信部门另有规定其可以不用安全评估。安全评估适用方式的法定性和强制性,有利于防范个人信息跨境提供中出现危害国家安全、公共利益等风险。
第二,个人信息保护认证。个人信息保护认证是由专门的认证机构以相关技术标准为依据,对信息处理者的管理体系、运行状况、产品服务等是否达到个人信息保护标准要求而出具的意见。与安全评估相比,它们两者虽然都是由相关部门或机构经审查后出具的意见材料,但二者也存在本质差别:①从功能上看,安全评估虽然客观上也具有保护个人信息权益的功能,但其主要目的是防止个人信息跨境提供中出现危害国家安全、公共利益的风险;在个人信息保护认证中,虽然也会考察个人信息处理行为中危害国家安全的风险,但其主要是通过第三方机构的专业审查认定来消除信息主体和信息处理者之间的信息鸿沟,从而更好地实现对个人信息的有效保护。②从内容上看,安全评估具有专项性特征,即其主要考察、评估个人信息跨境提供中危害国家安全、公共利益的风险;个人信息保护认证则具有综合性特征,其需要对个人信息处理者是否达到个人信息保护技术标准和法律法规的要求予以全面、综合审查认定。③从主体上看,安全评估的受理审查主体比较单一,它是由国家网信部门受理,组织行业主管部门、国务院有关部门、省级网信部门、专门机构等进行安全评估。评估之后,由国家网信部门出具通过或不通过的评估结果。个人信息保护认证的主体则相对多元,其可以是任何具有个人信息保护认证资质的第三方专业机构。比如2018年国家市场监督总局下属“中国网络安全审查技术与认证中心”曾开展个人信息安全认证,给支付宝、腾讯、百度等公司颁发认证书。④从适用方式来看,安全评估的适用具有法定性和强制性,上述两类特定企业实施个人信息跨境提供时,都必须事前申请安全评估,否则将面临行政监管责任或刑事追诉风险;个人信息保护认证的适用则具有自愿性和选择性,上述两类特定主体以外的企业在实施个人信息跨境提供时,可以选择申请个人信息保护认证,也可以选择订立标准合同或符合法律、行政法规规定的其他条件。因此,个人信息保护认证的适用具有选择性和自愿性。当然,个人信息保护认证并不能免除或降低个人信息处理者的义务和责任,企业在开展个人信息跨境提供中仍然需要恪守履行法定义务;若在个人信息跨境提供过程中,违反了个人信息保护法规,国家网信部门仍然可以给予行政制裁。
第三,订立标准合同。标准合同是从提供者与接收者之间契约关系来实现跨境流动中的个人信息权益保护。在个人信息跨境提供中,个人信息主体并不参与个人信息跨境流动合同的协商、订立,通常是由个人信息跨境提供者与接收者来协商订立,但合同处理对象并非合同订立者自己的个人信息,而是其他主体的个人信息,这就很容易出现规避法律条款、侵犯个人信息权益等违法情形。标准合同是将《个人信息保护法》对个人信息保护的法定义务转化为相关合同条款,通过对合同中权利义务内容的标准化、固定化来实现跨境流动中的个人信息保护。从法律性质上看,标准合同本质上也是一种格式合同,但其与普通格式合同存在重大差别。普通格式合同通常是由合同一方或单方主体所预先制定,该方主体可能会利用其经济优势、垄断地位来免除己方义务或加重对方责任。标准合同则是由国家网信部门制定,其所具有的超然地位和监管职责决定了标准合同更具公正性和权威性,也有利于在合同条款中贯彻个人信息保护、国家安全、公共利益等法律价值。个人信息跨境流动的标准合同,主要包括个人信息出境目的、存储目的地区或国家、提供方和接收方权利义务、准据法等内容。通过对标准化条款设置可以让个人信息跨境提供规则得到有效落实和执行,也可以倒逼个人信息跨境流动双方保障个人信息权益。标准合同比较适合企业外部经营业务的个人信息跨境提供,比如在国际货物或服务贸易中订立个人信息保护的标准合同。对于跨国集团公司的日常性、持续性内部业务,由于会涉及频繁、大量个人信息境外提供,若每次个人信息的境外提供都订立标准合同,则会导致公司营运成本上升,增加跨国集团公司负担。另外,标准合同义务的履行状况,不仅受到合同订立方的日常监管,也会受到国家网信部门的持续监管,相关信息主体都可以申请国家网信部门对标准合同义务履行情况予以审查和监督,这将导致企业在个人信息跨境提供中面临很多不确定性风险。因此,跨国集团公司日常性、持续性内部业务并不适合选择订立标准合同来实现个人信息跨境提供的外部要件。此时,跨国集团公司可以通过制定符合个人信息保护的专项合规计划,在符合法定标准和要求的情况下申请个人信息保护认证。在取得第三方机构认证后,跨国集团公司向其境外公司直接传输个人信息就可以无需订立标准合同,这降低了跨国集团公司的营运成本。对于单独性、临时性跨境业务而言,企业通过订立标准合同来实施个人信息跨境提供的成本更低、时间更短。但是,企业在订立标准合同之后,须严格遵守标准合同的各项条款,尤其是定期或不定期检查督促境外接收方恪守标准合同义务,审查监督接收方是否按标准合同充分履行其个人信息保护义务,否则也很容易出现个人信息跨境提供中的合规风险。
从《个人信息保护法》第38条第1款对个人信息数据境外提供外部条件的现有设置和立法表述来看,其采取了可供信息处理者选择的多元化机制,即信息处理者只要符合上述外部条件之一,且在符合其他法定条件基础上,就可以向境外提供个人信息。有学者将这些外部条件称为“选择性条件”,但这不意味着所有类型的企业在实施个人信息境外提供中都有选择的权力和空间,因为该款之规定针对信息处理者的不同类型设置了不同外部条件,由此就限制了特定企业的选择空间。在个人信息跨境提供中,作为个人信息处理者的企业都应遵循“目的限定”“知情-同意”等其他条件,但在外部条件的选择和适用上则可能存在差异:①基于企业类型的外部条件合规选择。企业需要结合自身类型或状况来选择适用何种外部条件。对于关键信息基础设施运营的企业和处理个人信息超过法定数量的企业,只能选择通过安全评估方式符合外部条件,若此两类选择订立标准合同或个人信息保护认证,则会产生合规风险。对于上述两类特定主体之外的其他企业,则可以根据业务类型或个人信息类型选择订立标准合同或第三方认证来满足个人信息境外提供的外部条件。②基于业务类型的外部条件合规选择。对于上述两类特定主体以外的其他企业,虽然可以选择订立标准合同或第三方认证,但实现不同外部条件的成本并不相同,其可以根据自身业务类型来选择适用何种外部条件。对于日常性、持续性涉外业务,企业可以选择保护认证方式来满足外部条件要求;而对于单一性涉外义务,企业可以通过订立标准合同方式来实施个人信息跨境提供。③基于个人信息类型的外部条件合规选择。有些企业虽然本身不属于上述两类特定企业,但其对境外提供的个人信息比较敏感或重要,这些个人信息可能会间接涉及国家安全,则仍然需要通过安全评估来满足外部条件的要求。比如美军使用某健身APP被发现可保留使用者日常锻炼记录,包括其锻炼路线、位置、日期、时间等信息,而这些信息可以准确找到美国特工处、国家安全局等组织成员活动地点而存在危害国防安全的较大风险。对于此类个人信息的境外提供,企业仍然需要取得安全评估。因此,对于个人信息境外的外部条件,需要结合企业状况、业务类型、个人信息类型等因素予以选择。
五、结语
我国《个人信息保护法》已初步建立了个人信息跨境提供规则,这为规范企业涉外业务中的个人跨境提供行为提供了依据,也要求企业建立个人信息跨境提供的专项合规计划。企业合规不仅仅是企业在经营过程中遵循相关法律法规,其更是需要通过建立识别、防范和应对违法违规行为的企业内部治理结构,在企业内部形成依法经营的自我监管机制和文化。对于相关业务涉及个人信息跨境流动的企业而言,需要在其公司治理结构中建立合规组织体系,将现有个人信息跨境提供规则转化为其内部商业行为准则。企业需要以前提条件、目的条件、内部条件和外部条件四个方面为主体内容,来构建企业个人信息跨境提供的企业专项合规计划,将其纳入企业数据保护合规计划之中。设置个人信息保护负责人(PIPO),将其纳入企业合规管理部门。个人信息保护负责人可以组织企业内部负责涉外业务的员工、高管开展个人信息保护培训,制定个人信息跨境流动的企业政策和规则,监督企业员工和境外接受方在个人信息跨境提供活动的合规性。