全国信息安全标准化技术委员发布《个人信息跨境处理活动认证技术规范》

2022.08

温坚坚、黄郁婷

2021年11月1日施行的《中华人民共和国个人信息保护法》(下称“《个保法》”)第38条规定了个人信息合法出境的四种方式,其中一种方式为“按照国家网信部门的规定经专业机构进行个人信息保护认证”。2022年6月24日,全国信息安全标准化技术委员发布了《网络安全标准实践指南-个人信息跨境处理活动认证技术规范》(下称“《规范》”),为《个保法》中建立的个人信息保护认证制度提供认证依据,使个人信息跨境传输的认证制度有章可循。

《规范》明确了信息认证适用的情形。信息认证采用自愿认证原则,其适用的情形包括跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动,以及《个保法》第三条第二款规定的境外个人信息处理者,在境外处理境内自然人个人信息的活动。关联公司之间的个人信息跨境处理活动的认证是本次《规范》正式稿中新增的情形,该情形的增加将大大扩展可适用个人信息跨境处理活动认证的范围。

《规范》规定了信息认证主体。就跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动由境内一方进行认证申请。而针对《个保法》第三条第二款规定的境外个人信息处理者,在境外处理境内自然人个人信息的活动的,则由境外组织机构在境内设置的专门机构或指定代表作为申请主体。

《规范》遵循个保法对个人信息主体权益的保障,明确个人信息主体的知情权、决定权、查阅、复制、补充、删除等权利。并且较此前的《规范》(意见稿)新增了撤回权,即个人信息主体可以撤回对其个人信息跨境处理的同意。根据《个保法》第十五条的规定,个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。另外,个人信息主体有权在其经常居住地所在法院向开展个人信息跨境处理活动的处理者和境外接收方提起司法诉讼。

《规范》扩张了《个保法》下个人信息传输所要遵循的“同等保护原则”。《个保法》第三十八条规定个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。而在本《规范》中就该“同等保护原则”的规定则为“确保个人信息跨境处理活动达到中华人民共和国个人信息保护相关法律法规规定的个人信息保护标准”。从两者的措辞来看,很明显《规范》扩张了同等保护的标准,认证不仅要遵循《个保法》的规定,还应该符合与个人信息保护相关的法律以及行政法规,比如《数据安全法》及未来将出台的《个人信息和重要数据出境安全评估办法》以及《网络数据安全管理条例》等。

此外,《规范》还从法律约束、组织管理、跨境处理规则、个人信息保护影响评估、以及相关方的责任义务多方面对信息认证要求进行了规定。上述的有关认证要求基本与《个保法》中的相关规定保持一致。需特别注意的是,个人信息跨境处理活动的相关方之间应当签订具有法律约束力和执行力的文件,确保个人信息主体权益能得到充分的保障。

《规范》为认证机构实施个人信息跨境处理活动认证提供了认证依据,也为个人信息处理者进行个人信息跨境处理活动提供了参考,尤其对跨国公司跨境传输个人信息有较大的实际意义。尽管较此前的《规范》意见稿有了更明确的规定,然仍未对此前各方所关注的具体认证机构、公司申请认证所需披露的信息程度以及具体的认证流程作出规定,我们也期待后续有更细致的规定出台,促使个人信息跨境处理活动认证制度能真正的落地施行。