前言
2022年4月,全国信息安全标准化技术委员会发布《网络安全标准实践指南——个人信息跨境处理活动认证技术规范》(征求意见稿)(以下简称“规范”)。规范系为落实《个人信息保护法》第38条[1]建立个人信息保护认证制度提供认证依据。本文拟对其进行简析,以期对需进行个人信息跨境处理的机构提供有益参考。规范共分为五个部分,具体而言:
1.适用情形
规范适用于以下三种情形(需通过国家网信部门安全评估的,以及中国缔结或参加的国际条约/协定另有规定的除外):
(1)跨国公司跨境处理个人信息;
(2)同一经济、事业实体内部跨境处理个人信息;以及,
(3)境外个人信息处理者在向境内自然人提供产品或者服务过程中,或为了分析、评估境内自然人的行为,或因法律法规规定的其它情形,而需在境外处理境内自然人个人信息。
简析:我们认为,适用情形概括起来分为“机构内部”和“机构外部”两种。前两种情形可归为在“机构内部”进行跨境个人信息处理活动,更多的是针对企事业单位内部的人员和员工;而第(3)情形则属于处理“机构外部”的个人信息,而境内机构处理“机构外部”的个人信息并不涉及跨境信息处理,因此,第(3)种情形仅适用于境外机构处理境内个人信息。
2.认证方式
根据规范,上述适用情形中的第(1)和第(2)种情形,可由境内一方申请认证,并承担法律责任。而上述适用情形中的第(3)种情形,可由境外组织机构在境内设置的专门机构或指定代表申请认证,并承担法律责任。
简析:我们认为,第(1)和第(2)种适用情形的认证方式可操作性较强,因为该等情形中必然存在境内主体,而第(3)种适用情形却存在无法操作的可能性。因为境外个人信息处理者很可能在境内并未设置任何机构(包括但不限于子公司、代表处等),也不存在任何指定代表,若如此,该等境外个人信息处理者在客观上便无法申请认证。因此,如果境外个人信息处理者希望开展境内个人信息处理业务,就必须在境内设置专门机构(如设立子公司或者代表处),或与境内机构建立合作关系,并由该等境内专门机构或者境内合作方代其申请认证,并承担法律责任。
3.基本原则
根据规范,个人信息跨境处理活动应遵循以下原则:
合法、正当、必要和诚信原则;公开、透明原则;信息质量原则;同等保护原则;责任明确原则;自愿认证原则。
简析:我们理解,上述原则的主要法条依据是《个人信息保护法》第五条至第九条的规定[2]。值得一提的是,除依据《个人信息保护法》第四十条的规定[3]必须通过国家网信部门安全评估的情形之外,其它个人信息跨境处理活动的当事人,可自愿(而非强制)聘请专业机构对个人信息保护进行认证。
4.基本要求
这部分包括法律约束、组织管理、个人信息跨境处理规则,以及个人信息保护影响评估四个方面的内容。其中,法律约束是指参与个人信息跨境处理的相关方之间应签订具有法律约束力和执行力的文件;组织管理包括指定个人信息保护负责人和设立个人信息保护机构;个人信息跨境处理规则包括个人信息的基本情况,处理目的、方式、范围,境外存储事宜,信息中转国家/地区,保障信息主体权益的资源和措施,以及发生信息安全事件的赔偿与处置;个人信息保护影响评估的内容包括合法合规性,对信息主体权益的影响,以及其它维护信息主体权益所必需的事项。
简析:我们认为,该第4部分内容系整个规范的核心,是对《个人信息保护法》第38条的进一步说明和补充。例如,基本要求的第一条“法律约束”中所称的“具有法律约束力和执行力的文件”就是对《个人信息保护法》第38条第(三)项要求中的“网信部门制定的标准合同”的细化,根据规范,个人信息跨境处理各方签署的文件应至少包括以下内容:个人信息跨境处理各方,跨境处理的目的以及个人信息的类别、范围,信息主体权益保护措施,各方对遵守统一的处理规则、个人信息保护水平不低于境内相关标准、接受认证机构监督、接受境内相关法律法规约束的承诺,境内担责主体等。而基本要求的第二条“组织管理”,我们认为可能更适用于“机构内部”的跨境个人信息处理活动,以杨春宝律师团队服务的A客户为例,这是一个总部位于英国,并在全球多个国家和地区拥有分支机构的跨国公司,有为数不少的员工会被委派至全球各地工作,其中也包括中国区员工被委派至境外工作的情形,这就会不可避免地涉及到跨境处理该等员工个人信息的问题。我们理解,境内有众多诸如A客户这样的跨国公司,建议该等企业在企业内部设立个人信息保护机构(根据我们的实务经验,通常跨国公司的合规部或人力资源部会承担员工个人信息保护的工作职责),指定相应的负责人(可以是合规部或人力资源部负责人或其指定的下属),并严格按照规范的要求落实该机构和负责人在跨境处理员工个人信息事项上的工作职责。我们理解,基本要求的第三条“个人信息跨境处理规则”则应在个人信息跨境处理各方签署的有法律约束力的文件中予以明确约定。而基本要求的第四条“个人信息保护影响评估”则要求个人信息跨境处理各方事先对向境外提供个人信息的合法性、正当性和必要性,以及采取的保护措施是否有效及适合进行评估,我们认为,从某种意义上来说,这种“事先”进行的“自评估”是个人信息跨境处理各方进行风险控制的重要措施,能够在一定程度上降低发生个人信息跨境处理安全事件的可能,并尽量减少安全事件所导致的影响和损失。
5.个人信息主体权益保障
个人信息主体权益保障包括个人信息主体权利和相关方的责任义务两方面的内容。个人信息主体权利包括个人信息主体对其个人信息处理的知情权、决定权、投诉权和起诉权等。而相关方的责任义务则基本与个人信息主体的权益相对应。
简析:在对规范进行研读之后,我们将个人信息主体的知情权归纳为:有权要求取得相关法律文件中与其个人信息权益相关的内容的副本,查阅、复制其个人信息,以及了解其个人信息处理规则。而个人信息主体的决定权包括则有权限制、拒绝对其个人信息进行处理,更正、补充、删除其个人信息,拒绝仅以系统自动方式作出决定,向境内监管机构投诉、举报,以及向个人信息跨境处理各方起诉等。而相关方的责任义务中,除了与个人信息主体的权利相对应的内容,即保障个人信息主体的知情权、决定权之外,还包括就个人信息跨境处理相关事项征得个人信息主体的单独同意,在拒绝个人信息主体行使相关知情权和决定权时告知其理由和救济途径,在发现难以保障个人信息安全时及时终止个人信息跨境处理,以及承诺接受境内认证机构的监管、遵守境内相关规定并接受境内司法管辖。
结语
虽然,出台规范的主要目的系对跨境处理个人信息活动提供认证依据,但我们认为,该文件对于需进行跨境个人信息处理的境内和境外机构(尤其是跨国公司)而言也具有较强的指导意义。强烈建议该等机构按照规范的内容设立跨境个人信息处理相关制度,在合法合规的框架下从事跨境信息处理活动,以避免因违法违规而收到监管机构的行政处罚,并导致经济和商誉受损。
作者简介
杨春宝,一级律师,北京大成(上海)律师事务所高级合伙人、私募股权与投资基金专业组牵头人、TMT行业组牵头人,大成中国区科技文化休闲娱乐专业委员会副主任,上海涉外法律人才库成员。复旦大学法学学士(1992)、悉尼科技大学法学硕士(2001)、华东政法大学法律硕士(2001)。
杨律师执业27年,2004年起多次受到The Legal 500和Asia Law Profiles的特别推荐或点评,2016年起连续入选国际知名法律媒体China Business Law Journal“100位中国业务优秀律师”,荣获Leaders in Law - 2021 Global Awards“中国年度公司法专家”称号,多次荣获Lawyer Monthly及Finance Monthly“中国TMT律师大奖"和“中国并购律师大奖"等奖项。具有上市公司独立董事任职资格,系华东理工大学法学院兼职教授、复旦大学法学院兼职导师、华东政法大学兼职研究生导师、上海交通大学私募总裁班讲师、上海市商务委跨国经营人才培训班讲师。出版《企业全程法律风险防控实务操作与案例评析》《完胜资本2:公司投融资模式流程完全操作指南》《私募股权投资基金风险防控操作实务》等16本专著。杨律师执业领域为:公司、投资并购和私募基金,资本市场,TMT,房地产和建筑工程,以及上述领域的争议解决。电邮:chambers.yang@dentons.cn
孙瑱,北京大成(上海)律师事务所合伙人。孙律师在执业前先后在美国沃茨、英格索兰和阿尔卡特朗讯等全球500强企业担任全球、亚太区或中国区总裁或副总裁执行助理,积累了丰富的企业运营管理经验,并具备非常优秀的中英文双语沟通和协调能力。孙律师出版《私募股权投资基金风险防控操作实务》并发表数十篇并购、基金、电商领域的文章。孙律师擅长领域为:私募股权投资、企业并购、电商和劳动法律事务。电邮:sun.zhen@dentons.cn
[1] 《个人信息保护法》第38条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
……
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;……
[2] 《个人信息保护法》
第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
第八条 处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
[3] 《个人信息保护法》
第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
