2022年11月8日,全国信息安全标准化技术委员会(“信安标委”)发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0(征求意见稿)》(“《认证规范V2.0》”)。此外,在2022年11月18日,国家市场监督管理总局及国家互联网信息办公室(“网信办”)也发布了《关于实施个人信息保护认证的公告》及其附件《个人信息保护认证实施规则》。相关规范出台的背景是,2021年11月1日生效的《个人信息保护法》第38条规定了个人信息处理者开展个人信息出境活动的主要机制,即需要满足通过国家网信部门组织的安全评估(“安全评估”)、经专业机构进行个人信息保护认证(“安全认证”)、与境外接收方订立标准合同(下称“标准合同”)以及法律、行政法规或者国家网信部门规定的其他条件中的一项。网信办于2022年6月30日发布了《个人信息出境标准合同规定(征求意见稿)》(“《标准合同规定》(征)”),且于2022年7月7日发布的《数据出境安全评估办法》已自2022年9月1日起生效。而在稍早的2022年6月24日,信安标委已经发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V1.0》(“《认证规范V1.0》”),即《认证规范V2.0》的前一版本。《认证规范V2.0》在结合安全评估及标准合同相关规定的基础上,细化与更新了部分表述。本文将从《认证规范V2.0》的规定出发,结合前述个人信息保护认证的有关规定,讨论我国目前个人信息跨境处理活动安全认证制度的重点关注问题。
个人信息处理者开展个人信息出境活动适用安全评估、安全认证与标准合同的不同场景很多。由于篇幅所限,本文将主要讨论安全认证的相关适用。为配合开展个人信息跨境处理活动安全认证,本次《个人信息保护认证实施规则》中将认证做了区分,包含跨境处理活动的个人信息保护认证将具有单独的认证标志。相较《认证规范V1.0》而言,《认证规范V2.0》将开篇的第一项—适用情形由罗列式表达调整为总括式的表达:“适用于个人信息处理者开展个人信息跨境处理活动”,即没有在适用情形中罗列《认证规范V1.0》指出的(a)跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动;以及(b)《个人信息保护法》(以下称“《个保法》”)第三条第二款适用的个人信息处理活动。(b)场景所述的《个保法》第三条第二款适用的个人信息处理活动为:在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有以下情形之一的:(i)以向境内自然人提供产品或者服务为目的;(ii)分析、评估境内自然人的行为;以及(iii)法律、行政法规规定的其他情形的活动。这一规定体现了《个保法》的“域外管辖”特点。这样一来,似乎将安全认证的适用情形做了扩大。但《认证规范V2.0》的第二章节—认证主体的规定中,对于认证主体的表述仍然仅针对前述(a)、(b)两个场景。那么,对于典型的仅由境内个人信息处理者向境外接收方(非关联方)提供个人信息的场景,是否可以适用安全认证呢?《认证规范V2.0》没有给出明确的结论(如果适用,也没有明确其对应的认证申请主体)。考虑到《认证规范V2.0》对个人信息处理者及境外接收方均提出了各项要求,而在实务中,由不是境内个人信息处理者的关联方的境外接收方配合满足认证的各项要求及提供相关材料存在一定难度。所以认证对于这一场景的各方而言,吸引力和实操性可能也就不是那么高了。此外,《认证规范V2.0》新增了申请认证的个人信息处理者应取得合法的法人资格,正常经营且具有良好的信誉、商誉的表述。对于前述(a)场景下,申请认证的主体即为境内一方,并由其承担相应的法律责任。而对于(b)场景下,申请认证的主体是境外个人信息处理者在境内设置的专门机构或指定代表,并由其承担相应的法律责任。《个保法》第53条关于指定代表的规定中,提及了“代表的姓名”,这是否意味着代表可以是由境内自然人担任呢?而对于境外个人信息处理者而言,其不是直接提交认证申请的主体,那么届时是否也需要以及该如何证明其“法人资格”及正常经营且具有良好的信誉、商誉?这有待未来官方及监管实践中进一步明确。就认证程序而言,本次《个人信息保护认证实施规则》仅做了较为原则性的规定,将认证分为技术验证+现场审核+获证后监督的环节。在认证实施中,要求开展认证委托、技术验证、现场审核、认证结果评价和批准以及获证后监督等环节。认证证书将保持3年的有效期。在《个人信息保护认证实施规则》原则性规定的基础上,未来将由认证机构细化认证实施程序,公布其具体的认证实施细则。《认证规范V2.0》新增了术语定义章节,明确了个人信息主体、个人信息处理者及境外接收者(方)的概念。对应该等定义,在其基本原则章节,除针对《认证规范V1.0》已列明的个人信息处理者外,亦同时要求境外接收方也需要在跨境处理个人信息时满足该章节的全部基本原则,包括:(a) 合法、正当、必要和诚信原则:该项原则也是《个保法》第5条对处理个人信息提出的原则。根据《认证规范V2.0》的行文,在跨境处理个人信息时,除满足法定要求外,还需要按照约定的目的,采取对个人权益影响最小的方式,并遵守合同及协议的约定,实际上,这一要求与《个保法》第6条对处理个人信息的要求也高度一致。[1](b) 公开透明原则:该原则呼应了《个保法》第7条的相同要求,且进一步细化指出应向个人信息主体告知境外接收方的名称、联系方式,个人信息跨境处理的目的、范围和处理方式,以及权利、行使权利的方式等信息。这实际上也是《个保法》第39条要求的跨境处理个人信息时向个人告知的义务。(c) 信息质量原则:该原则呼应了《个保法》第8条的相同要求,要求应避免因个人信息不准确、不完整对个人权益造成不利影响。(d) 同等保护原则:该原则呼应了《个保法》第38条的相同要求,强调个人信息处理者和境外接收方在跨境处理个人信息时应采取必要措施,确保个人信息跨境处理活动达到《个保法》规定的个人信息保护标准[2]。就这一点而言,不论境外接收方所在法域的法定保护要求如何,均需要确保境外接收方的保护措施达到《个保法》规定的标准。(e) 责任明确原则;该原则呼应了《个保法》第9条的要求,并确认应指定境内一方、多方或者境外接收方在境内设置的机构对境外接收方的个人信息违规处理活动承担法律责任。实际上,这一承担法律责任的要求在认证主体的章节中也已予以明确。对于境内个人信息信息处理者而言,这一法律责任是顺理成章的。对于本文第一(一)部分(b)场景下,承担《个保法》第三条第二款所指的境外个人信息处理者在境内与主管部门联络的专门机构或代表来说,其也需要承担相应法律责任。此前在欧盟GDPR的框架下,亦有欧盟以外数据处理者在欧盟设立代表的机制,但该类代表主要承担联络功能,一般不会要求其为对应的数据处理者承担全部法律责任,实践中一般由律师事务所或专业咨询公司等第三方担任。如果其还需要为境外个人信息处理者承担法律责任的话,要想寻找到这样的专门机构或代表可能存在一定的困难。(f) 自愿认证原则:《认证规范V2.0》指出认证仅为国家推荐的自愿性项目。总体而言,上述原则对个人信息处理者和境外接收方开展个人信息跨境处理活动提出了原则性的指引,《认证规范V2.0》后续的章节中在这些原则项下提出了更为细节性的要求。《认证规范V2.0》要求个人信息处理者与境外接收方应当拟定具有法律约束力和可执行的文件,确保个人信息主体权益得到充分的保障,并详细列明了其应明确的协议内容。在这其中,我们注意到,其较《认证规范V1.0》新增及调整了部分文字,基本与《标准合同规定》(征)第6条罗列的内容保持一致,且与《数据出境安全评估办法》第9条的内容也保持了同步。我们知道,安全认证、标准合同与安全评估本身是不同的三项个人信息跨境处理的合规机制,那么《认证规范V2.0》在此要求的协议、安全评估要求的协议与标准合同机制下的标准文本是否需要保持一致呢?我们理解,三者项下的协议是存在不同的。
通过上表的比较不难发现:虽然《认证规范V2.0》对协议的要求与《标准合同规定》(征)存在一致,但用于安全认证机制下的个人信息处理者与境外接收方签署的协议还需要强调前述(f)、(g)、(h)、(j)项的内容。此外,就安全评估而言,个人信息处理者与境外接收方签署的协议还应强调安全评估一栏下第(二)、(三)、(四)项的有关内容,包括数据境外保存到期及协议终止后的处理措施、境外接收方对数据的再转移、接收方实际控制权或者经营范围发生实质性变化、接收方所在法域数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形,以及出境数据发生泄露等风险时的应急处置要求。我们理解,在标准合同机制下签署的协议一般需要与正式实施后的《标准合同规定》(征)规定的标准文本保持一致。而在安全认证与安全评估机制下,个人信息处理者与境外接收方可以参考《标准合同规定》(征)规定的标准文本制定协议,但不必在文本上完全一致;同时,还需要调整增加上述对应机制下需要补充的内容。如前述,《认证规范V2.0》强调了责任明确原则。在此背景下,个人信息处理者和境外接收方除需要指定其个人信息保护负责人外,还需要设立其个人信息保护机构。其中,个人信息保护负责人应具备个人信息保护专业知识和相关管理工作经历,由本组织的决策层成员承担。我们注意到,《个保法》第52条仅规定“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人”。而《认证规范V2.0》似乎做出了不考虑处理个人信息数量,而对所有个人信息处理者和境外接收方需要指定个人信息保护负责人的统一要求。该项要求一旦由正式稿落实,则在选择认证路径时,指定个人信息保护负责人将成为必须完成的项目。而对于设立个人信息保护机构而言,《认证规范V2.0》较《认证规范V1.0》又进一步强调了其应采取有效措施落实保障个人信息安全等义务,并定期对本组织处理个人信息的情况进行合规审计。此外,《认证规范V2.0》还要求个人信息处理者和境外接收方须遵守统一的个人信息跨境处理规则。根据《个保法》第55条的规定,如向境外提供个人信息,均应当事前进行个人信息保护影响评估。无论选择哪种个人信息出境的机制,均需要根据这一要求开展个人信息保护影响评估(有别于国家网信部门组织的安全评估)。由于不同机制的考察内容有所不同,针对不同机制准备的个人信息保护影响评估(在安全评估机制下为数据出境风险自评估)也会存在一定差异。安全评估机制除了强调对个人信息的保护外,还强调了对于重要数据及国家安全、公共利益等角度的审查。而在安全认证路径下,《认证规范V2.0》较此前一版进一步增加了相关要求,使得其个人信息保护影响评估的内容与《标准合同规定》(征)的规定已大致相同。在具体操作中,可以参考此前已发布的《信息安全技术 个人信息影响评估指南》(GB/T 39335-2020)开展。首先,在评估准备工作阶段,需要组建评估团队、制定评估计划、确定评估对象和范围并制定相关方咨询计划。在团队组建上,除负责进行评估的人员外,可以由技术、业务和法务部门组成相应的团队予以支持。在相关方咨询安排上,可以涵盖员工、个人信息主体、分包商、业务合作伙伴、系统开发和运维人员以及对于评估有相应担忧的其他组织人员。随后,可以开展数据影射分析,一般为通过调研形成数据清单和数据影射图表,其方法可以包括访谈、调查、测试等途径。在此基础上开展风险源识别、个人权益影响分析及安全风险综合分析并最终形成评估报告。根据评估结果,应安排相应的风险处置和持续改进,并考虑后续的报告发布策略。当然,该项指南并不是专门针对个人信息跨境处理活动的评估制定的,在开展个人信息保护影响评估时,还需要结合个人信息跨境处理的特点,在程序中予以重点考虑和调整。此外,需要注意的是,《认证规范V2.0》要求评估后应形成个人信息保护影响评估报告,且与标准合同机制的要求一致,其要求评估报告至少应保存3年。
《认证规范V2.0》就个人信息主体权利单独设置了一个章节。《认证规范V2.0》再次强调了《个保法》已经为个人信息主体赋予的知情权、决定权、限制或拒绝他人对其个人信息进行处理的权利、查阅权、复制权、更正与补充的权利、删除权,撤回对其个人信息跨境处理的同意的权利。其就个人信息主体的相关行权方式也做了说明。我们注意到,在部分个人信息处理者的处理规则或用户协议中,可能基于集团通用的全球性模板,其就个人信息处理者反馈个人信息主体要求行权的答复机制和答复期限作出了明确的规定。这需要根据中国境内的相关规范性要求做出适当的调整。《网络数据安全管理条例》(征求意见稿)第23条中指出“收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的,应当在十五个工作日内处理并反馈”;此外,《信息安全技术―个人信息安全规范》(GB/T 35273-2020)(“《个人信息安全规范》”)指出,对于个人信息查询、更正、删除、撤回授权同意、注销账户、获取个人信息副本的请求,应在验证个人信息主体身份后,于三十天内或法律法规规定的期限内作出答复及合理解释,并告知个人信息主体外部纠纷解决途径。不过,上述规定尚不构成强制性的法规要求。我们理解,如涉及个人信息跨境处理的问题,考虑到境内个人信息处理者与境外接收方在沟通上所需的时间与复杂性,企业就个人信息主体要求行权的承诺答复期限需要结合其业务的实际经营情况予以确认。在确认技术上足以满足的条件下,可以参考前述规范对外承诺其答复期限。《认证规范V2.0》在其第6.1章节的(a)项中,强调了个人信息主体有权要求个人信息处理者和境外接收方提供其签订的法律文件中涉及个人信息主体权益部分的副本,并向个人信息处理者和境外接收方主张权利。我们注意到,《个保法》第45条等条款规定的仅为“个人有权向个人信息处理者查阅、复制其个人信息”。不过,个人信息处理者和境外接收方签订的关于个人信息跨境处理的协议在某种形式上即是一种个人信息处理者和境外接收方对个人信息的处理规则。而《个保法》第17条要求,个人信息处理者对于其处理规则应当公开,并便于查阅和保存。我们理解,《认证规范V2.0》的此项要求也是对《个保法》第17条的进一步呼应,如个人信息主体未能获得相关处理规则,其有权要求提供相关协议中涉及个人信息主体权益的部分。在保护个人信息主体权益的设计上,《认证规范V2.0》也体现了充分保护个人信息主体的倾向。比如,在个人信息主体的行权安排上,其既可以向境内个人信息处理者,也可以向境外接收方提出请求;并且,境内个人信息处理者无法实现的,还应通知境外接收方协助实现。而在个人信息权益受到损害时,个人信息主体有权向个人信息处理者、境外接收方的任何一方提出赔偿要求。此外,如个人信息主体提起相关诉讼,其可以在自己的经常居住地向个人信息处理者和境外接收方直接提起诉讼。对于境内个人信息处理者而言,由于沟通的便利程度等因素,其更有可能会成为个人信息主体主张权利的首选目标。而根据前述规定,在某些情况下,境内个人信息处理者可能不得不为境外接收方承担事实上的“连带责任”。所以境内个人信息处理者更需要与境外接收方建立良好的沟通机制,完善其签署的协议的相关约定。《认证规范V2.0》在其6.2章节中,详细罗列了个人信息处理者和境外接收方的责任义务。具体而言,有以下几个方向的要求:首先是“动态平衡”,保持个人信息主体对其个人信息跨境处理的知晓及同意,并在相关处理情况发生变化时,继续保持其符合约定的和法定的个人信息保护标准。一方面,在一开始即要全面履行《个保法》要求的告知义务,事先向个人信息主体告知个人信息处理者和境外接收方的基本情况,以及向境外提供个人信息的目的、类型和保存时间,并取得其单独同意。另一方面,在个人信息跨境处理的过程中,会有相关的动态因素产生,而这些因素也需要予以“动态平衡”,这包括:(i)如境外接收方所在法域法规政策发生变化,导致其无法履行认证的相关要求,境外接收方应在知晓后立即通知个人信息处理者和认证机构;(ii)继续确保个人信息的跨境处理符合已签署的法律文件的约定;(iii)境外接收方应承诺不将个人信息提供给第三方,确需提供的应满足并采取措施确保第三方的活动也符合我国法规的要求及个人信息保护标准;(iv)客观记录开展的个人信息跨境处理活动,保存记录至少3年;按照法律法规要求向主管部门提供相关记录文件;(v)当一方出现难以保证个人信息安全的情况时,应立即停止跨境处理个人信息并通知对方。除上述要求外,在“动态平衡”的要求中,另一项尤为重要的要求是发生或者可能发生个人信息泄露、篡改、丢失的情况下(“个人信息泄露事件”)的通知、报告义务及补救措施。基于《个保法》的有关规定,《认证规范V2.0》要求,当发生个人信息泄露事件时,个人信息处理者和境外接收方应立即采取补救措施、通知对方,并报告我国主管部门和个人信息主体,记录留存所有与个人信息泄露事件有关的事实及其影响,包括补救措施。其通知和报告的内容应涵盖:(i)个人信息泄露、篡改、丢失的原因;(ii)泄露的个人信息种类和可能造成的危害;(iii)己采取的补救措施;(iv)个人可以采取的减轻危害的措施;(v)负责处理个人信息泄露、篡改、丢失的负责人或负责团队的联系方式。需要注意的是,《个保法》第57条规定,在发生个人信息泄露事件时,若个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人。但若主管部门认为可能造成危害的,则个人信息处理者仍应向个人履行通知义务。不过,鉴于《认证规范V2.0》在此明确要求通知个人信息主体,我们可否理解,通知个人信息主体在安全认证机制下是无法豁免的呢?这将有待未来规则落地后的进一步落实。[3]如前述,《认证规范V2.0》也要求在个人信息主体要求查阅、复制、更正、补充、删除个人信息时,应予以及时响应;拒绝请求的,应说明理由。对于“及时”响应的期限,本文第二(一)部分已予以讨论。对于拒绝请求的情况,《个人信息安全规范》建议,以下情形可不响应个人信息主体对于个人信息查询、更正、删除、撤回授权同意、注销账户、获取个人信息副本的请求,包括:(1)与个人信息控制者履行法律法规规定的义务相关的;(2)与国家安全、国防安全直接相关的;(3)与公共安全、公共卫生、重大公共利益直接相关的;(4)与刑事侦查、起诉、审判和执行判决等直接相关的;(5)个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权利的;(6)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;(7)响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的;(8)涉及商业秘密的。如决定不响应个人信息主体的请求,应向个人信息主体告知该决定的理由,并向个人信息主体提供投诉的途径。《认证规范V2.0》也要求通过以下几项承诺体现个人信息跨境处理各方的义务:(i) 境外接收方的境内法律责任承担方承诺为个人信息主体行使权利提供便利条件,当发生个人信息跨境处理活动损害个人信息主体权益时,承担法律赔偿责任。如本文第一(二)的(e)项所述,境外接收方的境内法律责任承担方如果是其在中国境内设置的专门机构或代表,要找到这样的愿意承担责任的机构/代表,可能是存在一定难度的。(ii) 承诺接受认证机构对个人信息跨境处理活动的监督,包括答复询问、配合检查、服从采取的措施或做出的决定等,并提供已采取必要行动的书面证明。实际上,在《个人信息保护认证实施规则》中就已经规定,认证机构在认证有效期内,将对获得认证的个人信息处理者进行持续监督,确保其持续符合认证要求。如果基于监督结果作出的评价认为个人信息处理者未能通过该评价的,则认证机构有权作出暂停直至撤销认证证书的处理。对于个人信息跨境处理的双方而言,其仍需在获得认证后继续保持认证的保护水平。(iii) 承担证明相关责任义务已履行的举证责任。(iv) 承诺遵守中华人民共和国个人信息保护有关法律、行政法规,接受中华人民共和国司法管辖并承诺与个人信息跨境处理有关的纠纷适用中华人民共和国法律。
前述章节中,已就个人信息跨境处理的侵权救济及赔偿有所讨论,为便于读者理解,我们在此再做总结。首先,如前文所述,个人信息主体有权要求行使其知情权、决定权、限制或拒绝他人对其个人信息进行处理的权利、查阅权、复制权、更正与补充的权利、删除权,撤回对其个人信息跨境处理的同意的权利。个人信息主体既可请求个人信息处理者采取适当措施实现,也可以直接向境外接收方提出请求。个人信息处理者无法实现的,还应通知并要求境外接收方协助实现。个人信息主体有权要求个人信息处理者和境外接收方对其个人信息跨境处理规则进行解释说明。在响应时间上及是否可以拒绝相应请求上,可以基于企业实际业务情况,参照《网络数据安全管理条例》(征求意见稿)及《个人信息安全规范》的规定予以明确。而如个人信息主体认为其个人信息权益受到损害时,其也可以选择采取外部救济措施。个人信息主体可以选择向主管部门进行投诉、举报,也有权向个人信息处理者、境外接收方的任何一方提出赔偿要求;如果赔偿请求得不到主张的,可以向权利人经常居住地所在法院请求司法救济。此外,《个保法》等法规也规定了主管部门对违反个人信息处理相关规定的处罚。对于个人信息处理者而言,其可能需要同时面对主管部门监督与个人信息主体提起的司法救济诉求。需要提醒的是,在个人信息侵权诉讼中,实行举证责任倒置原则,由个人信息处理者承担举证责任。《个保法》第69条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。个人一般只需要证明提供了个人信息且有个人信息发生泄露或其他处理给自己带来了损失的情况,接下来就由个人信息处理者和境外接收方证明自己没有过错。一旦法院确认个人信息跨境处理活动构成侵权且造成了个人的损失,那么根据《民法典》第1182条的规定,侵害他人人身权益造成财产损失的,按照被侵权人因此受到的损失或者侵权人因此获得的利益赔偿,则个人信息处理者和境外接收方有可能要据此承担相应的赔偿责任。基于《个人信息保护法》等法规的体系,我国目前已通过相关法规及规则初步建立了以安全评估、安全认证及标准合同为主要渠道的个人信息跨境处理机制。安全认证作为一项重要机制,其相关规则不仅仅只为企业实现个人信息跨境处理而服务。基于《认证规范V2.0》在内的有关规则,企业可以更好地审视自己与合作方在个人信息跨境处理方面的有关操作,完善其各项合规机制。当然,《认证规范V2.0》尚未完全覆盖个人信息跨境处理的各项内容,我们期待未来的正式版本及相关规则将进一步帮助企业完善其个人信息跨境处理活动。
(向上滑动阅览)
注释:
[1] 《个保法》第6条:处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。[2] 《认证规范V1.0》的表述为“达到中华人民共和国个人信息保护相关法律法规规定的个人信息保护标准”。此前有评论认为,这一表述扩张了《个保法》第38条规定的同等保护(仅要求达到《个保法》规定的个人信息保护标准),即除《个保法》的规定外,还包括个人信息保护的其它法律法规。在《认证规范V2.0》中对此作出了调整,呼应了该等评论。[3] 对于这一话题,读者亦可参考本所于此前发表的《个人信息泄露事件下企业的通知义务浅析》一文(http://www.glo.com.cn/Content/2022/06-29/1629274331.html)。作者简介:
刘展业务领域:投资并购、私募股权和风险投资、企业合规/政府监管和争议解决等
吴俊坤
免责声明: 本文及其内容并不代表环球律师事务所对有关问题的法律意见,同时我们并不保证将会在载明日期之后继续对有关内容进行更新,我们不建议读者仅仅依赖于本文中的全部或部分内容而进行任何决策,因此造成的后果将由行为人自行负责。如果您需要法律意见或其他专家意见,我们建议您向具有相关资格的专业人士寻求专业帮助。