2022年11月18日,为贯彻落实《中华人民共和国个人信息保护法》有关规定,根据《中华人民共和国认证认可条例》,国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证,鼓励个人信息处理者通过认证方式提升个人信息保护能力。官方公告:《关于实施个人信息保护认证的公告》
随着互联网在全球的普及和数字经济在全球的发展,数据跨境流动已经成为各个国家和地区重点关注的议题。个人信息的跨境流动同时具备个人权益保护、企业合规发展和各国监管合作与博弈三个维度,各国和地区近年来对个人信息的跨境流动高度重视,相继出台和完善法律规则和监管框架。对此,我国《个人信息保护法》建立了既能化解风险、又可面向全球的个人信息跨境流动制度体系。国家市场监督管理总局、国家互联网信息办公室制定的《个人信息保护认证实施规则》中关于个人信息跨境提供认证制度的规定,明确了《个人信息保护法》第三十八条第二款规定的“按照国家网信部门的规定经专业机构进行的个人信息保护认证”的适用情形、基本原则、基本要求等规定,对保护个人信息主体权益、促进数字经济发展具有重要意义,是我国个人信息跨境流动制度体系进一步完善的重要标志。
认证制度是国际上广泛使用的监管个人信息跨境流动的实践。目前,国际上运行的认证机制有单边、双边和多边三种类型。单边认证机制以欧盟《一般数据保护条例》规定的主要适用于跨国公司等联合经济体的有约束力的公司准则(Binding Corporate Rules)和主要适用于行业领域的行为守则(Codes of Conducts)为典型:企业制定的有约束力的公司准则或行业制定行为守则需要取得监管机构的认可,企业和行业按照认可后的规则开展个人信息跨境处理活动,并承担相应的法律责任。双边认证机制以美国和欧盟之间已失效的“安全港”和“隐私盾”协议为代表:美欧政府签署协议,固化个人数据的保护原则。美国企业向美国商务部申请认证,自证符合协议中的保护原则,并由美国联邦贸易委员会(FTC)来执法。多边认证机制以美国主导的“全球跨境隐私规则”(Global Cross-Border Privacy Rules System,以下简称“CBPRs”)代表。CBPRs最早在APEC框架下提出:如果位处于不同国家的不同公司,统一承诺并遵循“APEC隐私框架”提出的九大个人数据保护原则,则个人数据在这些公司之间流动就应该不受阻碍。无论是单边还是双多边模式的个人信息跨境流动认证机制,其核心始终是两个部分:(1)个人信息出境后应当继续适用的个人信息跨境处理规则;(2)确保个人信息跨境处理规则切实落实的执行机制。个人信息跨境处理规则划定了个人信息出境后保护水平的基准线;而规则的执行机制则确保了个人信息保护水平的实质性落地。我国认证制度同样由个人信息跨境处理规则及其落地执行机制两个部分组成。
就出境后应当继续适用的个人信息跨境处理规则而言,认证制度的基本要求之一是开展个人信息跨境处理活动的处理者和境外接收方须遵守统一的个人信息跨境处理规则。个人信息跨境处理规则具体包括“跨境处理个人信息的基本情况,目的、方式和范围;个人信息境外存储的起止时间及到期后的处理方式;跨境处理个人信息需要中转的国家或者地区;保障个人信息主体权益所需资源和采取的措施;个人信息安全事件的赔偿、处置规则”等事项,划定了个人信息出境后保护水平的基准线。
就确保个人信息跨境处理规则落实的执行机制而言,认证制度对开展个人信息跨境处理活动的个人信息处理者和境外接收方提出了签订具有法律约束力和执行力的文件、指定个人信息保护负责人和设立个人信息保护机构、开展个人信息保护影响评估等要求,并明确了个人信息处理者和境外接收方的责任义务以保障个人信息主体权益。这些规定从法律层面的协议约束和管理层面的角色设置等维度有效确保了个人信息跨境处理规则的落实。个人信息跨境流动往往伴生着法律和监管环境发生的变化,并由此衍生出四个风险方面的变化:一是数据持有方发生变化,不同主体对数据的保护能力必然不尽一致;二是数据流出后适用的法律法规发生不同;三是原境内监管机关无法对接收数据的境外主体实施管辖权;四是个人信息主体维护自身合法权益的渠道变少且变得更加困难。认证制度能够有效化解这四个方面的风险。
其一,认证制度要求境外接收方承诺并遵守统一的个人信息跨境处理规则,确保个人信息保护水平不低于我国个人信息保护相关法律、行政法规规定的标准,对齐了个人信息处理者和境外接收方的数据保护能力。
其二,认证制度要求境外接收方与个人信息处理者签订有法律约束力和执行力的协议,并承诺接受中国个人信息保护相关法律、行政法规管辖,确保了出境后的个人信息处理行为能够持续适用我国法律法规。其三,认证制度要求境外接收方承诺接受中国认证机构对个人信息跨境处理活动的监督、明确在中国境内承担法律责任的组织等,为境内监管机关的域外管辖提供了切实保障。其四,认证制度在《个人信息保护法》的基础上细化了个人信息主体权利的规定,并对个人信息处理者和境外接收方响应个人信息主体权利行使和法律赔偿责任承担等做出规定,从而为个人信息主体行使权利提供了渠道和保障。总体而言,认证制度作为我国个人信息出境制度之一,既能够有效化解个人信息跨境流动的风险,又为企业合规提供了可预期的稳定法律机制,有助于我国企业参与全球数字经济市场,提高我国数字经济竞争力。而且,作为与国际接轨的个人信息跨境流动制度认证制度还为未来的国际合作留下了充足的空间。展望未来,我国可以粤港澳大湾区这一“跨法域”的场景下首先建立三地监管机构认可个人信息跨境流动认证规则,继而以此为基础打通与东盟、“一带一路”沿线国家和地区等的个人信息跨境流动渠道,构建多边个人信息跨境流动认证机制,从而参与和引领国际数据跨境流动治理体系,推动全球数据跨境流动治理体系朝着更加公正合理的方向迈进。
往期文章
1、中心动态
刘东:推动数据产业发展,助力澳门经济多元化
2、数据跨境认证机制研究
EDPB《关于认证作为数据跨境传输工具的第07/2022号指南》中译本
EDPB《关于行为守则作为数据跨境传输工具的04/2021号指南》简评(附征求意见前后对比中译本全文)
EDBP《关于对处理者具有约束力的公司规则的工作文件》中译本全文
EDBP《关于对控制者具有约束力的公司规则的工作文件》中译本全文
首个GDPR认证机制GDPR-CARPA详解
3、全球数据跨境流动治理
数据跨境流动的规则监管与多元治理
欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(下)
欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(上)
印度拟发布新的数据保护法草案,或放宽数据本地化要求
欧盟与日本拟将数据跨境流动规则纳入经济伙伴关系协议
美英就跨境数据充分性保障方面的进展发表联合声明
G20轮值主席国印度尼西亚的数据跨境流动主张简析
美国发布欧美数据跨境传输行政命令简析
美国或最早于10月3日就欧美数据跨境传输发布新的行政命令
数据跨境流动 | 俄罗斯更新充分性保护国家名单,中国被列入其中
CPTPP数据跨境流动要求遭遇挑战
俄罗斯修改个人数据跨境传输程序
欧盟数据保护监督机构就欧盟-日本跨境数据流动发表意见
全文首发|美国《保护美国人免受外国监视法案》(中译本)
英国“数据 新方向”咨询结果|促进贸易和减少数据跨境传输壁垒(第三章)
英美签署全球首个数据跨境取证双边协议(附全文翻译)
4、产业数据治理
如何解锁制造业数据的价值?(下)
如何解锁制造业数据的价值?(上)
车联网中的隐私与信任(下)
车联网中的隐私与信任(上)
物联网数据共享和控制的四个法律挑战
5、我国数据跨境流动治理
香港个人资料私隐专员公署就《数据出境安全评估办法》生效发布提醒
《数据出境安全评估申报指南》(第一版)发布(附英文全文)
6、欧盟数据治理模式
欧洲议会发布数据治理研究报告
全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)
欧洲数据治理方式的转变:《数据治理法》
Data Act:欧盟数据访问和使用的新框架
国际数据空间在欧洲数据战略中的作用
对数据的监管如何培育数字经济创新和竞争 ——GDPR提供的共同监管工具
全文首发| 欧盟《数据法》草案中译本
欧盟的公共数据治理方案(下)
欧盟的公共数据治理方案(上)
欧盟的人工智能数据治理方案
Gaia-X:下一代数据治理基础设施