(原标题:个人信息跨境提供的合规要点)

一、个人信息跨境的相关定义

个人信息跨境(又称“个人信息出境”),是指个人信息处理者向中华人民共和国境外提供个人信息的行为。对于个人信息“提供”的形式,当前法律法规暂未作出明确规定。依据信安标委2017年5月27日公布的《信息安全技术 数据出境安全评估指南(征求意见稿)》第3.7条,“提供”是指个人信息处理者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。

依据信安标委发布的《信息安全技术 数据出境安全评估指南(征求意见稿)》,以下情形属于数据(含个人信息)出境:

  • 向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;
  • 数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);
  • 个人信息处理者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。

以下情形不属于信息出境:

  • 非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的;
  • 非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的。

二、个保法下的个人信息跨境合规要点

当前,我国有多部生效法律法规涉及对个人信息跨境的规制,例如《个人信息保护法》、《数据安全法》、《网络安全法》、《关键信息基础设施保护条例》等。《网络安全法》、《数据安全法》从网络安全与数据安全的角度出发,以保护国家和社会公共利益目的,对关键信息基础设施的运营者的收集和产生的个人信息和重要数据的跨境提供予以规定,并要求此类个人信息应当境内存储。个保法在借鉴GDPR的基础上正式确立了个人信息跨境提供的法律规制框架。与《网络安全法》与《数据安全法》不同的是,个保法对个人信息跨境提供的相关规定不仅体现出立法者对个人信息跨境的安全性的考虑,更体现出立法者对于促进个人信息在全球范围内规范、有序地流动的愿景。规范个人信息跨境提供行为,促进个人信息合理利用也与个保法第一条规定的立法目的相呼应。

《个人信息保护法》第三章专章规定了个人信息跨境提供的规则,其中,第38条规定了个人信息跨境的前提,即:个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:

(1)依照本法第四十条的规定通过国家网信部门组织的安全评估

《个人信息保护法》第四十条规定:关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。因此,如果企业被认定为关键信息基础设施运营者或者处理的个人信息达到国家网信部门规定数量,应当将收集的个人信息存储在境内。如需向境外提供的,除了例外情形(有待法律法规进一步明确),必须通过国家网信部门组织的安全评估。

如果企业不适用《个人信息保护法》第四十条的规定,则符合《个人信息保护法》第三十八条规定的其它任一条件即满足个人信息跨境的前提条件。

A.关于关键信息基础设施运营者的认定

当前我国法律法规尚未对关键信息基础设施运营者作出清晰定义,后续将由关键信息基础设施保护工作部门(重要行业和领域的主管部门、监督管理部门)对关键信息基础设施运营者(“Critical Information Infrastructure Operator”,CIIO)进行认定。《关键信息基础设施安全保护条例》将关键信息基础设施定义为:“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”从该定义可知判断企业是否构成关键信息基础设施运营者的核心在于其运营的网络设施、信息系统等遭到破坏、丧失功能或者数据泄露是否可能危害国家安全、国计民生、公共利益。

B.关于国家网信部门规定的数量

目前,网信部门尚未对此数量作出明确界定。根据2021年8月20日国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部五部委联合发布的《汽车数据安全管理若干规定(试行)》(下称“《规定》”),涉及个人信息主体超过10万人的个人信息属于重要数据,因业务需要向境外提供的,原则上应当通过国家网信部门会同国务院有关部门组织的安全评估。由此可以看出,未来国家网信部门可能会以会同行业主管部门针对各个行业制定相应的法规的形式针对不同的行业规设置评估的数量门槛。

(2)按照国家网信部门的规定经专业机构进行个人信息保护认证

在企业不符合第(1)条的情形下,企业可通过进行个人信息保护认证满足个人信息跨境的条件,但如何进行认证、哪些机构有权进行个人信息保护认证仍有待国家网信部门明确。

(3)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务

在企业不符合第(1)条的情形下,企业可以通过与境外接收方签订国家网信部门制定的标准合同满足个人信息跨境的条件。国家网信部门尚未公布个人信息跨境提供的标准合同。但根据PaRR报道,知情人士表示中国国家互联网信息办公室(国家网信办)已启动“中国版SCC”―数据跨境传输标准合同的起草工作。企业可以在网信部门制定的标准合同基础上对跨境传输合同进行修改,但修改不应当增加合同双方的权利或减少合同双方的义务。由于本条的立法借鉴了GDPR的标准合同条款(Standard Contractual Clauses, ”SCCs”)机制,故在实践中,在网信办尚未发布中国版SCC的情形下,有些企业会参考欧盟委员会颁布的数据跨境传输标准合同条款,结合企业的自身情况起草中国版的跨境传输协议。

(4)法律、行政法规或者国家网信部门规定的其他条件

其它条件有待法律、行政法规或国家网信部门作出规定,因此企业应当关注全国人大常委会、国务院、国家网信部门的立法动态。

需要注意的是,上述规定为个人信息出境的前提,即,满足上述的前提条件是企业的基本合规要求。在前述合规基础上,为履行企业的个人信息跨境合规义务,企业还应当尽到以下义务:

1. 保障境外接收方的个人信息保护水平

企业应当采取必要措施保障境外接收方的个人信息保护水平不低于《个人信息保护法》的保护水平。实践中,企业可采取签订合同(合同中包括有权对境外接收方进行审计的条款)、定期或不定期地对境外接收方开展审计评估(可由企业自行开展或委托第三方机构开展)、对境外接收方开展技术监测等措施来实现。

2. 个人信息跨境传输的行为符合境内的法律法规

向境外主体提供个人信息仍属于个人信息的处理活动,故应当满足《个人信息保护法》等法律法规对个人信息处理活动的要求,例如遵循合法、正当、必要和诚信原则、在事前进行个人信息保护影响评估等。跨境提供个人信息应当具有明确、合理的目的,如:跨境提供个人信息为企业开展业务所必需,不跨境提供个人信息将极大地提高企业开展业务的成本等。又如:跨境提供的个人信息的范围、跨境传输的方式等应当与企业跨境提供个人信息的目的直接相关,并采取对个人权益影响最小的方式,例如企业仅需将用户在境内收集的某一类信息提供给境外主体即可实现业务目的的,则不应将不相关的类别的个人信息一并提供给境外主体。

3. 向个人信息主体进行充分告知并取得个人的单独同意

企业在向境外主体提供个人信息之前,应当以单独声明等形式向个人告知境外接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使知情权、决定权、撤回同意、查阅复制权、更正权、删除权等《个人信息保护法》规定的权利的方式和程序等事项,并取得个人的单独同意。个保法实施后,企业仅通过隐私政策中一揽子告知的方式将难以满足合规性要求。个保法第十三条有关个人信息处理规则的一般规定中将取得个人同意仅作为个人信息处理者处理个人信息的合法性基础之一,在特定情形下,例如为了履行合同所必需时,处理个人信息无需取得个人同意。依据个保法第三十九条的规定,个人信息处理者在跨境提供个人信息前,必须取得个人的单独同意。个保法列出了多处需要取得个人单独同意的情形,如何平衡合规与用户体验,设计较好的获取个人单独同意的方式,是企业面临的合规难点。

4. 遵守法律法规的特殊规定

特定类别、数量级的个人信息的跨境提供、向不同类别的境外主体提供、以及特定情形下的个人信息跨境提供还可能涉及国家安全、网络安全多方面的问题,故法律法规对某些特定情况作出了特殊规定,企业还应当遵守此类规定。依据个保法相关规定,企业应当重点注意以下个人信息跨境传输的规则:

(1)如外国司法机构或执法机构要求企业提供个人信息,企业应当事先经过主管机关的批准。

(2)如境外主体被国家网信部门列入限制或者禁止个人信息提供清单,企业应当避免向该境外主体提供个人信息或在向该境外主体提供个人信息时遵守网信部门的限制要求。

(3)如境外主体所在国家/地区在个人信息保护方面对中国采取歧视性的禁止、限制等措施,企业应当避免向该境外主体提供个人信息或遵循我国法律法规对向该国家/地区的境外主体提供个人信息的特殊规定。

四、个人信息跨境的合规建议

针对我国当前个保法下的个人信息跨境规制框架,合规君对企业的个人信息跨境提供活动提出以下建议:

事前】

1. 对境外接收方开展尽职调查

建议企业在选择境外合作伙伴或采购境外主体提供的服务或产品前,对境外主体开展尽职调查,根据调查结果评估是否与该境外伙伴开展合作。对境外主体的尽职调查建议包括以下事项:

(1)该境外主体的个人信息保护能力,包括合规能力、技术能力、管理能力,是否曾发生过重大个人信息泄露等个人信息安全事件等;

(2)该境外主体所在国家/地区的个人信息保护水平;

(3)该境外主体所在国家/地区对于向我国提供个人信息是否存在歧视性的禁止、限制等措施。

2. 进行个人信息保护影响评估,并对处理情况进行记录

按照《个人信息保护法》的规定,企业在向境外主体提供个人信息前应当进行个人信息保护影响评估。

根据个保法,个人信息保护影响评估必须包括以下内容:

(1)企业个人信息的处理目的、处理方式等是否合法、正当、必要;

(2)企业向跨境提供个人信息的行为对个人权益的影响及安全风险;

(3)企业所采取的保护措施是否合法、有效并与风险程度相适应。

根据网信部门以及国务院相关部门曾发布的相关征求意见稿、指南等,关于个人信息出境的评估建议包括以下内容:

(1)个人信息跨境提供的行为是否符合国家有关法律法规和政策规定;

(2)个人信息出境的必要性;

(3)涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;

(4)涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;

(5)与境外接收方订立的合同条款是否能够充分保障个人信息主体合法权益;

(6)与见外接收方订立的合同能否得到有效执行;

(7)境外接收方是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件;

(8)境外接收方的背景、规模、业务、财务、信誉、网络安全能力、安全保护措施以及所在国家和地区的网络安全环境等;

(9)数据出境及再转移后被泄露、毁损、篡改、滥用等风险;

(10)数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;

根据网信部门以及国务院相关部门曾发布的相关征求意见稿、指南等,个人信息保护影响评估报告建议包括以下内容:

(1)网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力等;

(2)个人信息出境计划,包括持续时间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等;

(3)个人信息出境风险分析和保障个人信息安全和个人信息主体合法权益的措施。

个人信息保护影响评估报告和处理情况记录应当至少保存三年,记录内容建议包括:

(1)向境外提供个人信息的日期时间;

(2)接收者的身份,包括但不限于接收者的名称、地址、联系方式等;

(3)向境外提供的个人信息的类型及数量、敏感程度;

(4)国家网信部门规定的其他内容。

企业可自行开展个人信息出境的个人信息保护影响评估,也可以委托第三方机构完成或配合企业完成评估。如企业的技术与合规能力较弱,则委托外部机构进行评估可能有助于提高评估的客观性和有效性。

3. 境内的个人信息处理活动符合境内法律法规

企业在境内的个人信息处理活动应当合法合规开展,确保在向境外提供个人信息之前,在境内个人信息的处理行为,尤其是个人信息的收集行为无明显的合规瑕疵。对于涉及较大体量的个人信息处理活动的业务,尤其是较大体量的敏感个人信息的处理活动的业务,建议企业予以重点关注,并及时开展合规自查和整改工作,例如依照个保法的要求获得用户的有效同意,停止收集与业务功能无关的信息,减少不必要的个人信息共享等。

企业应当在个人信息跨境提供之前以公告、发函、消息推送等形式向个人信息主体告知境外接收方的名称/姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使个人信息保护法规定权利的方式和程序等事项并取得个人信息的单独同意。

4. 与境外接收方签订个人信息跨境传输合同

企业应当与境外接收方签订个人信息跨境传输合同,约定双方的权利与义务,保障个人信息主体的权益。原则上企业应当使用国家网信部门制定的标准合同,但鉴于标准合同尚未发布,企业当前可以参考个保法相关条款、欧盟委员会发布的SCC以及国家网信部门曾发布的指南类文件起草个人信息跨境传输合同。

个人信息跨境传输合同条款建议包括以下内容:

(1)个人信息出境的目的、类型、保存时限;

(2)个人信息主体是合同中涉及个人信息主体权益的条款的受益人;

(3)个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任;

(4)接收者所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者重新进行安全评估;

(5)合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务,除非接收者已经销毁了接收到的个人信息或作了匿名化处理;

(6)明确企业作为境内网络运营者承担以下责任和义务:

①以电子邮件、即时通信、信函、传真等方式告知个人信息主体境内网络运营者和境外接收者的基本情况,以及向境外提供个人信息的目的、类型和保存时间;

②应个人信息主体的请求,提供本合同的副本;

③应请求向境外接收方转达个人信息主体诉求,包括向境外接收方索赔;个人信息主体不能从境外接收方获得赔偿时,先行赔付。

(7)明确境外接收方承担以下责任和义务:

①为个人信息主体提供访问其个人信息的途径,个人信息主体要求更正或者删除其个人信息时,应在合理的代价和时限内予以响应、更正或者删除;

②按照合同约定的目的使用个人信息,个人信息的境外保存期限不得超出合同约定的时限;

③确认签署合同及履行合同义务不会违背接收者所在国家的法律要求,当接收者所在国家和地区法律环境发生变化可能影响合同执行时,应当及时通知境内网络运营者,并通过境内网络运营者报告境内网络运营者所在地省级网信部门。

【事中】

1. 关注境外接收方动态

企业应当持续关注境外接收方的动态,如境外接收方的个人信息处理方式、财务、信誉、网络安全能力、安全保护措施等发生重大改变,可能影响个人信息主体权益或国家安全、社会公共利益,应当视情况终止合作或者重新开展个人信息保护影响评估。企业应当采取一定的措施(例如技术措施)严格监督境外接收方是否按照合同约定的目的处理个人信息,是否将个人信息再次传输给其他方。

2. 关注境外接收方所在国家/地区的动态

企业应当持续关注境外接收方所在国家或地区的动态,包括接收方所在国家或地区的立法动态(包括是否与中国签订与个人信息保护相关的双边、多边条约、协定)、发布的重要文件或政策、相关部门的重要执法动作、执法案例等。如我国与境外接收方签订的条约、协定允许我国与境外接收方之间的信息自由流动的,企业可以适当调整个人信息出境合规计划。如果境外接收方所在国家或地区的个人信息保护水平显著下降的、针对我国采取歧视性措施的,企业应当视情况终止合作或重新开展个人信息保护影响评估。

3. 定期/不定期开展个人信息保护影响评估

建议企业对内部定期开展个人信息保护影响评估并记录评估结果,当企业数据出境目的、范围、数量、类型等发生较大变化时,应当及时开展个人信息保护影响评估。如企业处理的个人信息数量达到了国家网信部门规定的数量,则企业还应当及时向网信部门申请安全评估。

4. 保障个人信息主体行使权利的畅通

企业应当设立个人信息保护部门,及时响应并处理个人信息主体提出的查阅、复制、更正、删除个人信息等请求。企业还应当通过在隐私政策中列出境外接收方的联系方式、与境外接收方签订协议等方式要求境外接受及时响应并处理个人信息主体向其提出的查询、复制、更正、删除个人信息等请求。

5. 密切关注有关部门动态

如前所述,个保法对于个人信息跨境传输的规则较为原则性,具体的实施方案例如安全评估、个人信息保护认证的实施步骤以及标准等还有待于司法解释以及网信部门和相关部门制定的规则进一步明确。企业应当密切关注网信部门(网信办、工信部)、行业主管部门等重要监管部门的立法动态与执法动态,并及时调整组织内的合规计划。

【事后】

当个人信息跨境提供不再具有必要性,例如需要跨境提供个人信息的相关业务已不再开展或者与境外主体签订的合同已经终止,企业应当及时要求境外接收方删除个人信息,要求其提供信息已删除的证明并保存相关记录,或在有必要时,再次对境外接收方开展审计。

本文系未央网专栏作者:张豪 发表,内容属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注