November 2021
大陸個人信息保護法專題文章(三) - 《個人信息保護法》對信息跨境傳輸之特殊規定要求(中國大陸)
溫堅堅 律師、莊薇馨 實習律師、黃郁婷 顧問[1]
在現今全球化世界潮流中,跨境信息傳輸的問題不僅十分常見,對於希望在其國家境外運用客戶資源或服務供應商資源的跨國或國內企業而言更為重要。而擬將中國大陸境內居民的個人信息進行跨境傳輸的企業,必須確保其完全符合新制定的《中華人民共和國個人信息保護法》(以下簡稱“個保法”)的要求和限制。本文旨在對個保法中針對跨境信息傳輸的有關規定進行說明,以協助企業把控信息跨境傳輸的法律風險。
一、信息跨境傳輸的四類法定條件
若個保法規定之個人信息處理者在業務執行過程中預計向境外傳輸個人信息時,按照個保法第38條,應當具備下列法定條件之一始能進行:(一)通過國家網信部門組織的安全評估;(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;(三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;(四)法律、行政法規或者國家網信部門規定的其他條件。
此處須特別注意的是,在某種特定條件下,對於某些信息的跨境傳輸只能先通過國家網信部門組織的安全評估。如個保法第40條規定,關鍵信息基礎設施[2]運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,原則上應當將在中華人民共和國境內收集和產生的個人信息存儲在境內,確需向境外提供信息的,應當通過國家網信部門組織的安全評估,除非法律、行政法規和國家網信部門規定可不進行安全評估的除外。目前,針對需提報安全評估的信息數量,主管機關尚未提供明確意見,可暫參考《個人信息和重要數據出境安全評估辦法(徵求意見稿)》第9條[3],其規定對於出境數據含量超過1000GB、含有或累計含有50萬人以上的個人信息等數據均應報請評估。但因為上述辦法仍是徵求意見稿,尚需要關注主管機關之後出臺的通知及相關辦法。
二、跨境信息傳輸的“告知-同意”規則
除了符合上述法定條件要求外,個保法第39條針對個人信息的出境程序也有明確的規定。個人信息處理者向中華人民共和國境外提供個人信息的,應當向個人告知境外接收方的名稱、聯繫方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使個保法規定權利的方式和程序等事項,並應取得個人的單獨同意。
三、對跨境信息接收方的監管
個人信息的跨境傳輸涉及到境內信息提供方和境外信息接收方,由於針對境外的接收方較難規制其信息保護的義務,個保法遂通過對境內的信息處理者進行約束以間接達到規制境外接收方的目的。個保法第38條第3款提出了“同等保護標準”要求,要求個人信息處理者應當採取必要措施,保障境外接收方處理個人信息的活動達到個保法規定的個人信息保護標準。
對境外信息接收方的監管還體現在個保法第42條,該條規定境外主體從事侵害中華人民共和國公民的個人信息權益,或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的,國家網信部門可以將其列入限制或者禁止個人信息提供清單,予以公告,並採取限制或者禁止向其提供個人信息等措施。如此在一定程度上可以彌補對境外信息接收方的監管,也提示了境外信息接收方的注意義務。
四、對於從事跨境傳輸個人信息企業之建議
1. 儘早制定企業關於個人信息出境內控機制,管理制度和操作規程應至少覆蓋個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等內容。
2. 加強對從業人員關於信息安全之教育和培訓。強化員工對於個人信息安全意識,並開展個人信息保護的相關法律法規規定、操作流程的教育和培訓。
3. 加強個人信息分類管理,建議企業根據個人信息的敏感程度,對信息進行分級,並視敏感程度採取不同的安全技術措施。
4. 在信息跨境傳輸中涉及與境外接收方訂立合同的,建議訂立的合同應盡可能詳盡,包括但不限於合同的目的、內容、傳輸情況、對雙方的權利、義務、責任均進行明確的約定,以有效劃分責任,規避風險。
5. 瞭解信息接收方當地的法律法規。個保法明確要求境外個人信息處理者針對接收的信息執行境內同等保護標準,如此若境內企業向信息保護安全法律制度健全的國家傳輸信息時,其承擔的法律風險也相應降低。
在現今全球化世界潮流中,跨境信息傳輸的問題不僅十分常見,對於希望在其國家境外運用客戶資源或服務供應商資源的跨國或國內企業而言更為重要。而擬將中國大陸境內居民的個人信息進行跨境傳輸的企業,必須確保其完全符合新制定的《中華人民共和國個人信息保護法》(以下簡稱“個保法”)的要求和限制。本文旨在對個保法中針對跨境信息傳輸的有關規定進行說明,以協助企業把控信息跨境傳輸的法律風險。
一、信息跨境傳輸的四類法定條件
若個保法規定之個人信息處理者在業務執行過程中預計向境外傳輸個人信息時,按照個保法第38條,應當具備下列法定條件之一始能進行:(一)通過國家網信部門組織的安全評估;(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;(三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;(四)法律、行政法規或者國家網信部門規定的其他條件。
此處須特別注意的是,在某種特定條件下,對於某些信息的跨境傳輸只能先通過國家網信部門組織的安全評估。如個保法第40條規定,關鍵信息基礎設施[2]運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,原則上應當將在中華人民共和國境內收集和產生的個人信息存儲在境內,確需向境外提供信息的,應當通過國家網信部門組織的安全評估,除非法律、行政法規和國家網信部門規定可不進行安全評估的除外。目前,針對需提報安全評估的信息數量,主管機關尚未提供明確意見,可暫參考《個人信息和重要數據出境安全評估辦法(徵求意見稿)》第9條[3],其規定對於出境數據含量超過1000GB、含有或累計含有50萬人以上的個人信息等數據均應報請評估。但因為上述辦法仍是徵求意見稿,尚需要關注主管機關之後出臺的通知及相關辦法。
二、跨境信息傳輸的“告知-同意”規則
除了符合上述法定條件要求外,個保法第39條針對個人信息的出境程序也有明確的規定。個人信息處理者向中華人民共和國境外提供個人信息的,應當向個人告知境外接收方的名稱、聯繫方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使個保法規定權利的方式和程序等事項,並應取得個人的單獨同意。
三、對跨境信息接收方的監管
個人信息的跨境傳輸涉及到境內信息提供方和境外信息接收方,由於針對境外的接收方較難規制其信息保護的義務,個保法遂通過對境內的信息處理者進行約束以間接達到規制境外接收方的目的。個保法第38條第3款提出了“同等保護標準”要求,要求個人信息處理者應當採取必要措施,保障境外接收方處理個人信息的活動達到個保法規定的個人信息保護標準。
對境外信息接收方的監管還體現在個保法第42條,該條規定境外主體從事侵害中華人民共和國公民的個人信息權益,或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的,國家網信部門可以將其列入限制或者禁止個人信息提供清單,予以公告,並採取限制或者禁止向其提供個人信息等措施。如此在一定程度上可以彌補對境外信息接收方的監管,也提示了境外信息接收方的注意義務。
四、對於從事跨境傳輸個人信息企業之建議
1. 儘早制定企業關於個人信息出境內控機制,管理制度和操作規程應至少覆蓋個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等內容。
2. 加強對從業人員關於信息安全之教育和培訓。強化員工對於個人信息安全意識,並開展個人信息保護的相關法律法規規定、操作流程的教育和培訓。
3. 加強個人信息分類管理,建議企業根據個人信息的敏感程度,對信息進行分級,並視敏感程度採取不同的安全技術措施。
4. 在信息跨境傳輸中涉及與境外接收方訂立合同的,建議訂立的合同應盡可能詳盡,包括但不限於合同的目的、內容、傳輸情況、對雙方的權利、義務、責任均進行明確的約定,以有效劃分責任,規避風險。
5. 瞭解信息接收方當地的法律法規。個保法明確要求境外個人信息處理者針對接收的信息執行境內同等保護標準,如此若境內企業向信息保護安全法律制度健全的國家傳輸信息時,其承擔的法律風險也相應降低。
