個(gè)人信息出境三條路徑的選擇和執(zhí)行

條路徑的選擇和執(zhí)行近日,有關(guān)個(gè)人信息出境的規(guī)定頻繁出臺(tái),個(gè)人信息出境的三條路徑也日漸清晰地展現(xiàn)出來(lái)。有信息出境需求的企業(yè),尤其是跨國(guó)公司,面對(duì)嚴(yán)格的個(gè)人信息出境合規(guī)要求,應(yīng)當(dāng)如何應(yīng)對(duì)呢?(“CIIO”)。根據(jù)《網(wǎng)絡(luò)安全法》第三十七條,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ),因業(yè)務(wù)需要確需向境外提供的,應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)此后,國(guó)家互聯(lián)網(wǎng)信息辦公室于2021年依次發(fā)布的《數(shù)據(jù)出境安全評(píng)估辦數(shù)據(jù)出境需要進(jìn)行安全評(píng)估的范圍,例如將出境數(shù)據(jù)中包含重要數(shù)據(jù)或者處理個(gè)人信息達(dá)到一百萬(wàn)人的個(gè)人信息處理者納入了安全評(píng)估的范圍,但上述征求意見稿缺乏上位法的支撐,且頗具爭(zhēng)議,因此一直未落地實(shí)施。產(chǎn)生的重要數(shù)據(jù)必須進(jìn)行安全評(píng)估,并且,其他數(shù)據(jù)處理者出境重要數(shù)據(jù)時(shí),應(yīng)者因業(yè)務(wù)需要,向境外提供個(gè)人信息的需要具備以下條件之一:(1)通過(guò)出境安全個(gè)人信息保護(hù)認(rèn)證;(3)與境外接收方訂立標(biāo)準(zhǔn)合同。其中第五十五條,進(jìn)一步將個(gè)人信息出境規(guī)定為必須事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估的情形《個(gè)保法》雖然提出了信息出境的三條路徑:安全評(píng)估、保護(hù)認(rèn)證和標(biāo)準(zhǔn)合同。但在《個(gè)保法》出臺(tái)的時(shí)候,國(guó)家網(wǎng)信部門尚未制定安全評(píng)估的辦法,如何開展個(gè)人信息保護(hù)認(rèn)證亦未明確,標(biāo)準(zhǔn)合同也沒有頒布,所以業(yè)界對(duì)于個(gè)人信息息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南(征求意見稿)》以及《信息安全技術(shù)個(gè)人信的標(biāo)準(zhǔn)合同的方式與境外的接收方簽訂相關(guān)法律文件,并自行開展個(gè)人信息保護(hù)影響評(píng)估,以滿足個(gè)人信息出境的法律合規(guī)要求。。2022年6月24日,全國(guó)信人信息出境需求的相關(guān)企業(yè)和機(jī)構(gòu)而言,應(yīng)當(dāng)結(jié)合自身的業(yè)務(wù)情況以及法律合規(guī)要求,選擇合適的個(gè)人信息出境方式。對(duì)于企業(yè)或相關(guān)機(jī)構(gòu)而言,在數(shù)據(jù)出境前需要根據(jù)企業(yè)自身的屬性,以及擬出境的數(shù)據(jù)種類、數(shù)量,來(lái)綜合判斷需要承擔(dān)何種合規(guī)的義務(wù),以及如何選擇合對(duì)于出境重要數(shù)據(jù)的,根據(jù)《評(píng)估辦法》的規(guī)定,數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)必須進(jìn)行數(shù)據(jù)出境安全評(píng)估;對(duì)于個(gè)人信息的出境,相關(guān)企業(yè)或機(jī)構(gòu)可以按照《評(píng)估辦法》和《認(rèn)證規(guī)范》來(lái)決定個(gè)人信息出境的路徑,即:同規(guī)定(征求意見稿)》)。具體而言,向境外提供個(gè)人信息落入以下范圍的,需要安全評(píng)估儲(chǔ)存了100萬(wàn)條以上的個(gè)人信息,那么企業(yè)之后出境任何數(shù)量的個(gè)人信息,均需進(jìn)行管理,及時(shí)將不必要的或超出了儲(chǔ)存時(shí)限的個(gè)人信息進(jìn)行刪除或匿名化處理,一方面可以降低行政管理負(fù)擔(dān),另一方面可以減輕企業(yè)數(shù)據(jù)出境的合規(guī)成(2)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者向境外提供個(gè)人信息。現(xiàn)階段識(shí)別CIIO的參個(gè)人信息,就需要進(jìn)行數(shù)據(jù)出境安全評(píng)估。人信息指的是“人數(shù)”而非“人次”,無(wú)論個(gè)人出境的個(gè)人信息數(shù)量多少,均按照1人來(lái)計(jì)算。由此可見,數(shù)據(jù)出境安全評(píng)估關(guān)注的更多的是影響面,即對(duì)社會(huì)公共利益以及涉及的人數(shù)的考量,而非對(duì)具體的個(gè)人權(quán)益的影響(如涉及的具體對(duì)于下列個(gè)人信息出境的行為,可以適用個(gè)人信息保護(hù)認(rèn)證:(1)跨國(guó)公司或者同一經(jīng)濟(jì)、事業(yè)實(shí)體下屬子公司或關(guān)聯(lián)公司之間的個(gè)人信息跨境處理活動(dòng)。本項(xiàng)通常適用于跨國(guó)公司內(nèi)部的信息流動(dòng),在這種流動(dòng)中,跨活動(dòng)。即,在境外為分析境內(nèi)自然人行為或者為向境內(nèi)自然人提供商品或貨物而處理境內(nèi)自然人信息的。類似地,在此種情況下,個(gè)人信息認(rèn)證亦將考察境外信條件結(jié)合《認(rèn)證規(guī)范》、《標(biāo)準(zhǔn)合同規(guī)定》以及《評(píng)估辦法》的相關(guān)規(guī)定,對(duì)于個(gè)人信息處理者而言,無(wú)論其選擇哪一種出境路徑,除了取得個(gè)人的單獨(dú)同意外,足以下兩項(xiàng)必備條件:律文件,既是《個(gè)人信息安全規(guī)范》下的要求,也是《個(gè)保法》下涉及委托境外第三方處理個(gè)人信息時(shí)的法定義務(wù),個(gè)人信息處理者必須與受托人約定處理的關(guān)法律文件時(shí),個(gè)人信息處理者不僅應(yīng)當(dāng)滿足上述法律或國(guó)標(biāo)的要求,還應(yīng)當(dāng)參選擇了簽訂標(biāo)準(zhǔn)合同作為個(gè)人信息的出境路徑,則必然需要滿足《標(biāo)準(zhǔn)合同規(guī)定》的相關(guān)規(guī)定;若企業(yè)選擇了進(jìn)行出境安全評(píng)估,或個(gè)人信息保護(hù)安全認(rèn)證作為出境的路徑,與境外接收方簽訂法律文件仍是一個(gè)重要的考量因素。雖然《評(píng)估辦法》和《認(rèn)證規(guī)范》均未要求企業(yè)必須簽訂標(biāo)準(zhǔn)合同,但標(biāo)準(zhǔn)合同反映了政府對(duì)數(shù)據(jù)跨境處理的相關(guān)法律文件應(yīng)當(dāng)達(dá)到的安全保護(hù)水平的期望。因此,若無(wú)特殊情況,企業(yè)應(yīng)當(dāng)保證簽署的相關(guān)個(gè)人信息出境法律文件,能夠滿足標(biāo)準(zhǔn)合同據(jù)處理者在申報(bào)數(shù)據(jù)出境安全評(píng)估前,應(yīng)當(dāng)開展數(shù)據(jù)自評(píng)估;根據(jù)《認(rèn)證規(guī)范》第4.4條的規(guī)定,開展個(gè)人信息跨境活動(dòng)的個(gè)人信息處理者應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估;根據(jù)《標(biāo)準(zhǔn)合同規(guī)定》第五條的規(guī)定,個(gè)人信息處理者向境外提供個(gè)人信息前,應(yīng)當(dāng)事前開展個(gè)人信息保護(hù)影響評(píng)估。因此,無(wú)論選擇哪一種人信息出境路徑,企業(yè)均需要開展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估。對(duì)于企業(yè)開展的個(gè)人信息出境風(fēng)險(xiǎn)自評(píng)估,具體需要達(dá)到何種安全保護(hù)標(biāo)準(zhǔn),企業(yè)的出境行為才能被允許,相關(guān)法律法規(guī)并未明確規(guī)定。企業(yè)需要結(jié)合自身的業(yè)務(wù)情況,按照一定的流程和預(yù)先設(shè)定的評(píng)估框架,對(duì)某個(gè)特定的個(gè)人信息判定,并決定是否應(yīng)當(dāng)進(jìn)一步采取安全保護(hù)措施以降低風(fēng)險(xiǎn)。若企業(yè)選擇了簽訂標(biāo)準(zhǔn)合同作為個(gè)人信息出境的方式,則此時(shí)將由企業(yè)自行開展出境風(fēng)險(xiǎn)評(píng)估,與之相關(guān)法律責(zé)任將由企業(yè)自身承擔(dān);若企業(yè)選擇了安全評(píng)估或個(gè)人信息保護(hù)認(rèn)證作為出境的路徑,則風(fēng)險(xiǎn)自評(píng)估將作為一個(gè)基礎(chǔ),后續(xù)將由或由專業(yè)機(jī)構(gòu)進(jìn)行認(rèn)證。隨著個(gè)人信息出境制度日見雛形,擺在個(gè)人信息出境企業(yè)面前的,可能是更。這就需要企業(yè)投入更多的合規(guī)成本。1.成本增加文所述,個(gè)人信息出境雖然存在三條路徑,但都有相類似的前置條件。無(wú)論是6同規(guī)定》,都規(guī)定了個(gè)人信息出境方應(yīng)當(dāng)進(jìn)行個(gè)人信息出境安全評(píng)估,亦應(yīng)當(dāng)與簽定標(biāo)準(zhǔn)合同)以規(guī)范個(gè)人信息出境各方的責(zé)任與首先,個(gè)人信息出境安全評(píng)估的要求意味著個(gè)人信息出境方應(yīng)當(dāng)建立動(dòng)態(tài)的評(píng)估制度。鑒于不同的個(gè)人信息出境活動(dòng)涉及不同的出境“目的”、“范圍”和“種類”,其合法性、正當(dāng)性以及必要性與數(shù)據(jù)的敏感程度也因此有待個(gè)案評(píng)估。也就是說(shuō),個(gè)人信息出境方難以通過(guò)“流水線”式的機(jī)械化流程,對(duì)個(gè)人信此外,在進(jìn)行評(píng)估時(shí),個(gè)人信息出境安全評(píng)估需要引入不同領(lǐng)域的專業(yè)人員。評(píng)估不但包含合法性、正當(dāng)性以及必要性這些法律元素,還需要考慮個(gè)人信法律意見,還需要IT、合規(guī)、業(yè)務(wù)等多個(gè)部門合作,提供專業(yè)建議與改善措施。關(guān)專業(yè)機(jī)構(gòu)的認(rèn)證進(jìn)行數(shù)據(jù)跨境傳輸時(shí),應(yīng)當(dāng)任命專業(yè)的個(gè)人信息保護(hù)負(fù)責(zé)人以及劃與上述個(gè)人信息出境安全評(píng)估相關(guān)的工進(jìn)一步地,個(gè)人信息出境安全評(píng)估需要視情況不斷更新。針對(duì)達(dá)到一定數(shù)量而需要通過(guò)省級(jí)網(wǎng)信部門提交國(guó)家網(wǎng)信部門進(jìn)行審批的出境安全評(píng)估,即使相是有效期內(nèi)個(gè)人信息出境情況發(fā)生變化可能影響數(shù)據(jù)出境安全的,個(gè)人信息出情況重新評(píng)估并重新申報(bào)。最后,即使個(gè)人信息出境方不選擇通過(guò)簽訂標(biāo)準(zhǔn)合同的方式跨境處理個(gè)人信息,個(gè)人信息出境方仍需要根據(jù)相關(guān)法律法規(guī)的要求簽署規(guī)范跨境傳輸活動(dòng)有個(gè)人信息出境需求的企業(yè)應(yīng)當(dāng)注意,在個(gè)人信息出境相關(guān)法律法規(guī)正式實(shí)施且其給予的過(guò)渡期屆滿后,簽訂符合法律法規(guī)要求的法律文件(或直接簽署標(biāo)準(zhǔn)合同),并對(duì)相關(guān)的跨境數(shù)據(jù)傳輸行為進(jìn)行評(píng)估,將會(huì)成為所有公司數(shù)據(jù)治遠(yuǎn)規(guī)劃,這將不可避免產(chǎn)生相應(yīng)的內(nèi)控成本。2.管理境外數(shù)據(jù)接收方1)接收方的基本信息;2)接收方所在國(guó)家或地區(qū)的數(shù)據(jù)安全保護(hù)政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境對(duì)出境的影響;3)接收方的數(shù)據(jù)保護(hù)水平、管理和技術(shù)措施與能力;4)數(shù)據(jù)安全和個(gè)人信息權(quán)益是否能夠得到充分有效保障,以及保障方式。據(jù)出境安全評(píng)估的相關(guān)意見,對(duì)接收方數(shù)據(jù)保護(hù)水平的評(píng)估不但包含其管理制度保障能力以及技術(shù)措施保障能力,還需要考慮其數(shù)據(jù)處理歷史,是否出現(xiàn)過(guò)任何數(shù)據(jù)安全事件且該事件是否得到有效處置等。這也說(shuō)明,個(gè)人信息出境方不得依賴于境外接收方在相關(guān)的合同中做出的承諾,還需要提前對(duì)境外接收方進(jìn)行3.法律適用問(wèn)題求意見的階段,但其附件的標(biāo)準(zhǔn)合同對(duì)意圖通過(guò)簽署標(biāo)準(zhǔn)合同出境數(shù)據(jù)的個(gè)人信息出境方而言也具有極高的參考價(jià)值。其中,就法律文件(或標(biāo)準(zhǔn)合同)的法律適用問(wèn)題,從商務(wù)角度考慮,對(duì)個(gè)人信息出境方仍有較高難度。《標(biāo)準(zhǔn)合同規(guī)定》要求標(biāo)準(zhǔn)合同準(zhǔn)據(jù)法為中國(guó)大陸法律,同時(shí)要求境外接收應(yīng)個(gè)人信息主體等義務(wù),標(biāo)準(zhǔn)合同下“中國(guó)法律法規(guī)”的定義較廣,極有可能涉予了個(gè)人信息主體“第三方受益人”的法律地位,個(gè)人信息主體有權(quán)基于合同基《評(píng)估辦法》雖也要求出境雙方簽署相應(yīng)的法律文件,但并沒有對(duì)具體的條接交由國(guó)家網(wǎng)信部門進(jìn)行審批,對(duì)該類法律文件的審閱標(biāo)準(zhǔn)想必也趨于嚴(yán)格。從商業(yè)安排角度考慮,讓出境接收方承諾,相應(yīng)的合同受到中國(guó)法律的管轄,明確的中國(guó)法律法規(guī)(甚至可能超出個(gè)人信息保護(hù)相關(guān)的合短期內(nèi),個(gè)人信息出境方應(yīng)當(dāng)意識(shí)到,簽署規(guī)范出境雙方權(quán)利與義務(wù)的合同條款,在內(nèi)部進(jìn)行個(gè)人信息出境安全評(píng)估,都將成為個(gè)人信息出境方進(jìn)行數(shù)據(jù)治將個(gè)人信息出境安全評(píng)估納入到企業(yè)的管理流程中去,不但需要明確如何發(fā)起、進(jìn)行、完成個(gè)人信息出境安全評(píng)估,還需要明確如何統(tǒng)籌多部門分工合作,如何及如何設(shè)立負(fù)責(zé)機(jī)構(gòu)等若干事宜。我們建議,如想要盡快建立健全內(nèi)部個(gè)人信息出境評(píng)估流程,個(gè)人信息出境方應(yīng)立即開展個(gè)人信息出境安全評(píng)估內(nèi)部流程的構(gòu)建,對(duì)已經(jīng)開展的個(gè)人信息同的個(gè)人信息出境路徑下建立紅白名單制度,即個(gè)人信息出境活動(dòng)的具體目的單”。在評(píng)估新的個(gè)人信息出境活動(dòng)時(shí),企業(yè)可參考?xì)v史上的“紅白名單”借鑒長(zhǎng)遠(yuǎn)來(lái)看,實(shí)現(xiàn)數(shù)據(jù)本地化部署也是值得個(gè)人信息出境方考慮的一種解決方案。