一、出台背景
《个人信息保护法》规定个人信息处理者因业务等需要,确需向境外提供个人信息,需通过安全评估、订立标准合同或进行个人信息保护认证。
此前,通过《网络数据安全管理条例》《数据出境安全评估办法》《个人信息出境标准合同办法》以及《促进和规范数据跨境流动规定》,个人信息出境制度已经具有较为完整的规定。《个人信息出境认证办法》(以下简称《办法》)则在法律法规规定基础上,衔接《关于实施个人信息保护认证的公告》的规定,细化了个人信息出境认证的具体实施规则,标志着我国三种个人信息出境制度的全面落地。
从国际视角看,认证机制在个人信息出境中发挥重要作用。早在2011年,亚太经济合作组织(APEC)推出了跨境隐私规则(CBPR)认证机制。目前,日本、新加坡等国采用了全球CBPR认证作为跨境数据传输的手段,获得CBPR认证的全球公司可以直接在这些国家之间跨境传输个人信息。获得认证的企业可在CBPR成员之间直接进行个人信息跨境传输。2016年欧盟《通用数据保护条例》则是首次将认证机制规定为数据出境的机制之一,并发布了对应指南。韩国等其他国家也引入认证机制作为个人信息出境的一种途径。
但总体上,现有的个人信息出境认证主要停留在规定层面,实践中由于具备认证资质的认证机构比较缺乏、认证细则不明确等原因,企业较少采用此种机制进行个人信息跨境传输。《办法》立足中国个人信息保护规定和监管经验给出了中国方案,切实推动个人信息出境认证制度落地。
二、内容解读
《办法》的出台是我国个人信息出境领域立法和监管体系的重要完善,标志着我国个人信息出境制度体系已构建完成。《办法》结合我国认证制度与个人信息保护的相关法律规定,形成了一套契合中国国情、具有较强针对性和可操作性的个人信息出境认证制度
《办法》明确了个人信息出境认证的适用情形。个人信息处理者通过个人信息出境认证的方式向境外提供个人信息的,应当同时符合下列情形:一是非关键信息基础设施运营者;二是自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息,且向境外提供的个人信息中不包括重要数据。规定个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过个人信息出境认证的方式向境外提供。
《办法》明确了个人信息出境认证的申请方式、认证要求及证书有效期。规定个人信息处理者应当向专业认证机构申请个人信息出境认证,专业认证机构应当按照认证基本规范、个人信息保护认证规则开展认证活动。明确认证证书的有效期为3年。
《办法》明确了专业认证机构应当履行的义务。规定专业认证机构应当向全国认证认可信息公共服务平台报送个人信息出境认证证书相关信息。发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等情形,不再符合认证要求的,应当暂停其使用直至撤销相关认证证书。发现个人信息出境活动违反法律、行政法规和国家有关规定的,应当及时向国家网信部门和有关部门报告。
《办法》明确了监督管理要求。规定专业认证机构自取得认证资质之日起10个工作日内,应当向国家网信部门备案,国家市场监督管理部门和国家网信部门对个人信息出境认证活动进行监督。省级以上网信部门和有关部门发现获证个人信息处理者个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对获证个人信息处理者进行约谈。
《办法》对违反《办法》规定的法律责任、适用效力等作出了规定。
未来,随着《办法》的实施,我国个人信息跨境治理将迈向更高水平,在保障安全的基础上促进个人信息高效跨境流动,进一步激发我国数据要素活力,为我国数字经济发展提供坚实基础。
三、合规路径对比分析
就个人信息出境而言,安全评估、标准合同以及出境认证有诸多区别与共同点。三者的最大的共同点即是,三者制度设计目的均在于保护并促进个人信息合法安全跨境流通。在数据分级分类保护制度的前提下,个人信息根据其重要程度、影响大小,其跨境传输应受到的监管力度也有所不同,三种路径也应运而生。
《促进和规范数据跨境流动规定》具体划定了三种途径的适用范围,纳入“安全评估”范围内则不能适用“标准合同”和“认证”。与一次性签约的“标准合同”不同,认证是针对特定处理活动的体系化“打包合规”。认证由经认可的认证机构持续监督,且认证结果可撤销,形成外部“合规张力”,帮助对外提供方在尽职调查与持续监控上节省人力、事务成本,而不必反复做同质化检查。此外,通过“标准合同”途径对外提供个人信息的,需要个人信息处理者在标准合同生效之日起10个工作日内通过数据出境申报系统备案,这将促使频繁向不同接收方提供个人信息的境内主体选择“认证”方式以减轻事务压力。
安全评估、标准合同及出境认证在方方面面都存在区别,下表按照《数据出境安全评估申报指南(第三版)》、《个人信息出境标准合同备案(第二版)》以及《个人信息出境认证办法》来整理一下三条主要路径分别的适用标准:
一、出台背景
《个人信息保护法》规定个人信息处理者因业务等需要,确需向境外提供个人信息,需通过安全评估、订立标准合同或进行个人信息保护认证。
此前,通过《网络数据安全管理条例》《数据出境安全评估办法》《个人信息出境标准合同办法》以及《促进和规范数据跨境流动规定》,个人信息出境制度已经具有较为完整的规定。《个人信息出境认证办法》(以下简称《办法》)则在法律法规规定基础上,衔接《关于实施个人信息保护认证的公告》的规定,细化了个人信息出境认证的具体实施规则,标志着我国三种个人信息出境制度的全面落地。
从国际视角看,认证机制在个人信息出境中发挥重要作用。早在2011年,亚太经济合作组织(APEC)推出了跨境隐私规则(CBPR)认证机制。目前,日本、新加坡等国采用了全球CBPR认证作为跨境数据传输的手段,获得CBPR认证的全球公司可以直接在这些国家之间跨境传输个人信息。获得认证的企业可在CBPR成员之间直接进行个人信息跨境传输。2016年欧盟《通用数据保护条例》则是首次将认证机制规定为数据出境的机制之一,并发布了对应指南。韩国等其他国家也引入认证机制作为个人信息出境的一种途径。
但总体上,现有的个人信息出境认证主要停留在规定层面,实践中由于具备认证资质的认证机构比较缺乏、认证细则不明确等原因,企业较少采用此种机制进行个人信息跨境传输。《办法》立足中国个人信息保护规定和监管经验给出了中国方案,切实推动个人信息出境认证制度落地。
二、内容解读
《办法》的出台是我国个人信息出境领域立法和监管体系的重要完善,标志着我国个人信息出境制度体系已构建完成。《办法》结合我国认证制度与个人信息保护的相关法律规定,形成了一套契合中国国情、具有较强针对性和可操作性的个人信息出境认证制度
《办法》明确了个人信息出境认证的适用情形。个人信息处理者通过个人信息出境认证的方式向境外提供个人信息的,应当同时符合下列情形:一是非关键信息基础设施运营者;二是自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息,且向境外提供的个人信息中不包括重要数据。规定个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过个人信息出境认证的方式向境外提供。
《办法》明确了个人信息出境认证的申请方式、认证要求及证书有效期。规定个人信息处理者应当向专业认证机构申请个人信息出境认证,专业认证机构应当按照认证基本规范、个人信息保护认证规则开展认证活动。明确认证证书的有效期为3年。
《办法》明确了专业认证机构应当履行的义务。规定专业认证机构应当向全国认证认可信息公共服务平台报送个人信息出境认证证书相关信息。发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等情形,不再符合认证要求的,应当暂停其使用直至撤销相关认证证书。发现个人信息出境活动违反法律、行政法规和国家有关规定的,应当及时向国家网信部门和有关部门报告。
《办法》明确了监督管理要求。规定专业认证机构自取得认证资质之日起10个工作日内,应当向国家网信部门备案,国家市场监督管理部门和国家网信部门对个人信息出境认证活动进行监督。省级以上网信部门和有关部门发现获证个人信息处理者个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对获证个人信息处理者进行约谈。
《办法》对违反《办法》规定的法律责任、适用效力等作出了规定。
未来,随着《办法》的实施,我国个人信息跨境治理将迈向更高水平,在保障安全的基础上促进个人信息高效跨境流动,进一步激发我国数据要素活力,为我国数字经济发展提供坚实基础。
三、合规路径对比分析
就个人信息出境而言,安全评估、标准合同以及出境认证有诸多区别与共同点。三者的最大的共同点即是,三者制度设计目的均在于保护并促进个人信息合法安全跨境流通。在数据分级分类保护制度的前提下,个人信息根据其重要程度、影响大小,其跨境传输应受到的监管力度也有所不同,三种路径也应运而生。
《促进和规范数据跨境流动规定》具体划定了三种途径的适用范围,纳入“安全评估”范围内则不能适用“标准合同”和“认证”。与一次性签约的“标准合同”不同,认证是针对特定处理活动的体系化“打包合规”。认证由经认可的认证机构持续监督,且认证结果可撤销,形成外部“合规张力”,帮助对外提供方在尽职调查与持续监控上节省人力、事务成本,而不必反复做同质化检查。此外,通过“标准合同”途径对外提供个人信息的,需要个人信息处理者在标准合同生效之日起10个工作日内通过数据出境申报系统备案,这将促使频繁向不同接收方提供个人信息的境内主体选择“认证”方式以减轻事务压力。
安全评估、标准合同及出境认证在方方面面都存在区别,下表按照《数据出境安全评估申报指南(第三版)》、《个人信息出境标准合同备案(第二版)》以及《个人信息出境认证办法》来整理一下三条主要路径分别的适用标准:
- 上一篇:无
- 下一篇:为何NSA狙击“北京时间”
