大陆个人信息保护法专题文章(三) – 《个人信息保护法》对信息跨境传输之特殊规定要求(中国大陆)

温坚坚 律师、庄薇馨 实习律师、黄郁婷 顾问[1]

在现今全球化世界潮流中,跨境信息传输的问题不仅十分常见,对于希望在其国家境外运用客户资源或服务供应商资源的跨国或国内企业而言更为重要。而拟将中国大陆境内居民的个人信息进行跨境传输的企业,必须确保其完全符合新制定的《中华人民共和国个人信息保护法》(以下简称“个保法”)的要求和限制。本文旨在对个保法中针对跨境信息传输的有关规定进行说明,以协助企业把控信息跨境传输的法律风险。

一、信息跨境传输的四类法定条件

若个保法規定之个人信息处理者在业务执行过程中预计向境外传输个人信息时,按照个保法第38条,应当具备下列法定条件之一始能进行:(一)通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。

此处须特别注意的是,在某种特定条件下,对于某些信息的跨境传输只能先通过国家网信部门组织的安全评估。如个保法第40条规定,关键信息基础设施[2]运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,原则上应当将在中华人民共和国境内收集和产生的个人信息存储在境内,确需向境外提供信息的,应当通过国家网信部门组织的安全评估,除非法律、行政法规和国家网信部门规定可不进行安全评估的除外。目前,针对需提报安全评估的信息数量,主管机关尚未提供明确意见,可暂参考《个人信息和重要数据出境安全评估办法(征求意见稿)》第9条[3],其规定对于出境数据含量超过1000GB、含有或累计含有50万人以上的个人信息等数据均应报请评估。但因为上述办法仍是征求意见稿,尚需要关注主管机关之后出台的通知及相关办法。

二、跨境信息传输的告知同意规则

除了符合上述法定条件要求外,个保法第39条针对个人信息的出境程序也有明确的规定。个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使个保法规定权利的方式和程序等事项,并应取得个人的单独同意。

三、对跨境信息接收方的监管

个人信息的跨境传输涉及到境内信息提供方和境外信息接收方,由于针对境外的接收方较难规制其信息保护的义务,个保法遂通过对境内的信息处理者进行约束以间接达到规制境外接收方的目的。个保法第38条第3款提出了“同等保护标准”要求,要求个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到个保法规定的个人信息保护标准。

对境外信息接收方的监管还体现在个保法第42条,该条规定境外主体从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。如此在一定程度上可以弥补对境外信息接收方的监管,也提示了境外信息接收方的注意义务。

四、对于从事跨境传输个人信息企业之建议

1. 尽早制定企业关于个人信息出境内控机制,管理制度和操作规程应至少覆盖个人信息收集、存储、使用、加工、传输、提供、公开、删除等内容。

2. 加强对从业人员关于信息安全之教育和培训。强化员工对于个人信息安全意识,并开展个人信息保护的相关法律法规规定、操作流程的教育和培训。

3. 加强个人信息分类管理,建议企业根据个人信息的敏感程度,对信息进行分级,并视敏感程度采取不同的安全技术措施。

4. 在信息跨境传输中涉及与境外接收方订立合同的,建议订立的合同应尽可能详尽,包括但不限于合同的目的、内容、传输情况、对双方的权利、义务、责任均进行明确的约定,以有效划分责任,规避风险。

5. 了解信息接收方当地的法律法规。个保法明确要求境外个人信息处理者针对接收的信息执行境内同等保护标准,如此若境内企业向信息保护安全法律制度健全的国家传输信息时,其承担的法律风险也相应降低。


[1] 作者为上海理慈律师事务所律师与顾问,惟本文内容为个人意见,不代表事务所立场。

[2] 《关键信息基础设施安全保护条例》第二条:本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

[3] 《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条:出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:(一)含有或累计含有50万人以上的个人信息;(二)数据量超过1000GB;(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;(五)关键信息基础设施运营者向境外提供个人信息和重要数据;(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。