2022.08
溫堅堅、黃郁婷
2021年11月1日施行的《中華人民共和國個人信息保護法》(下稱“《個保法》”)第38條規定了個人信息合法出境的四種方式,其中一種方式為“按照國家網信部門的規定經專業機構進行個人信息保護認證”。2022年6月24日,全國信息安全標準化技術委員發佈了《網絡安全標準實踐指南-個人信息跨境處理活動認證技術規範》(下稱“《規範》”),為《個保法》中建立的個人信息保護認證制度提供認證依據,使個人信息跨境傳輸的認證制度有章可循。
《規範》明確了信息認證適用的情形。信息認證採用自願認證原則,其適用的情形包括跨國公司或者同一經濟、事業實體下屬子公司或關聯公司之間的個人信息跨境處理活動,以及《個保法》第三條第二款規定的境外個人信息處理者,在境外處理境內自然人個人信息的活動。關聯公司之間的個人信息跨境處理活動的認證是本次《規範》正式稿中新增的情形,該情形的增加將大大擴展可適用個人信息跨境處理活動認證的範圍。
《規範》規定了信息認證主體。就跨國公司或者同一經濟、事業實體下屬子公司或關聯公司之間的個人信息跨境處理活動由境內一方進行認證申請。而針對《個保法》第三條第二款規定的境外個人信息處理者,在境外處理境內自然人個人信息的活動的,則由境外組織機構在境內設置的專門機構或指定代表作為申請主體。
《規範》遵循個保法對個人信息主體權益的保障,明確個人信息主體的知情權、決定權、查閱、複製、補充、刪除等權利。並且較此前的《規範》(意見稿)新增了撤回權,即個人信息主體可以撤回對其個人信息跨境處理的同意。根據《個保法》第十五條的規定,個人撤回同意,不影響撤回前基於個人同意已進行的個人信息處理活動的效力。另外,個人信息主體有權在其經常居住地所在法院向開展個人信息跨境處理活動的處理者和境外接收方提起司法訴訟。
《規範》擴張了《個保法》下個人信息傳輸所要遵循的“同等保護原則”。《個保法》第三十八條規定個人信息處理者應當採取必要措施,保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準。而在本《規範》中就該“同等保護原則”的規定則為“確保個人信息跨境處理活動達到中華人民共和國個人信息保護相關法律法規規定的個人信息保護標準”。從兩者的措辭來看,很明顯《規範》擴張了同等保護的標準,認證不僅要遵循《個保法》的規定,還應該符合與個人信息保護相關的法律以及行政法規,比如《數據安全法》及未來將出臺的《個人信息和重要數據出境安全評估辦法》以及《網絡數據安全管理條例》等。
此外,《規範》還從法律約束、組織管理、跨境處理規則、個人信息保護影響評估、以及相關方的責任義務多方面對信息認證要求進行了規定。上述的有關認證要求基本與《個保法》中的相關規定保持一致。需特別注意的是,個人信息跨境處理活動的相關方之間應當簽訂具有法律約束力和執行力的檔,確保個人信息主體權益能得到充分的保障。
《規範》為認證機構實施個人信息跨境處理活動認證提供了認證依據,也為個人信息處理者進行個人信息跨境處理活動提供了參考,尤其對跨國公司跨境傳輸個人信息有較大的實際意義。儘管較此前的《規範》意見稿有了更明確的規定,然仍未對此前各方所關注的具體認證機構、公司申請認證所需披露的信息程度以及具體的認證流程作出規定,我們也期待後續有更細緻的規定出臺,促使個人信息跨境處理活動認證制度能真正的落地施行。