企業(yè)在日常經(jīng)營和管理活動中,面臨著眾多的數(shù)據(jù)出境場景,其中在個(gè)人信息的跨境傳輸要求上,《個(gè)人信息保護(hù)法》(下稱“《個(gè)保法》”)第38條作出了明確的規(guī)定。同時(shí),歐盟《通用數(shù)據(jù)保護(hù)法》( Data ,下稱“GDPR”)中對于個(gè)人信息跨境傳輸也作出了相應(yīng)的規(guī)范。當(dāng)企業(yè)涉及國內(nèi)或歐盟境內(nèi)的個(gè)人信息處理活動,甚至發(fā)生中歐之間的個(gè)人信息跨境傳輸時(shí),必須同時(shí)關(guān)注《個(gè)保法》與GDPR中對于個(gè)人信息跨境傳輸?shù)暮弦?guī)要求。本文將重點(diǎn)介紹《個(gè)保法》與GDPR在個(gè)人信息跨境傳輸合規(guī)路徑上的要求,并且就企業(yè)應(yīng)當(dāng)采取何種措施進(jìn)行數(shù)據(jù)跨境傳輸提供建議。
一
個(gè)人信息跨境傳輸路徑
根據(jù)《個(gè)保法》第38條的規(guī)定,一般情況下,因業(yè)務(wù)等需要向境外提供個(gè)人信息的,可以采取下列合規(guī)路徑之一:一是通過國家網(wǎng)信部門組織的安全評估,二是按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證,三是按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同,約定雙方的權(quán)利和義務(wù),四是法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。以下重點(diǎn)對《個(gè)保法》明確規(guī)定的三種路徑和GDPR項(xiàng)下相對應(yīng)的適用要求,分別進(jìn)行說明。
(一)安全評估
2022年7月,國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《數(shù)據(jù)出境安全評估辦法》(下稱“《辦法》”),作為數(shù)據(jù)處理者向境外提供在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息時(shí)開展安全評估工作的具體適用辦法。
《辦法》中明確規(guī)定,數(shù)據(jù)出境安全評估分為兩個(gè)方面,一是企業(yè)自評估,二是安全評估申報(bào)。
1. 自評估 —— 基礎(chǔ)工作
2. 安全評估申報(bào) —— 符合特定情形
根據(jù)《辦法》第4條的規(guī)定,企業(yè)向境外提供數(shù)據(jù),有下列情形之一的,應(yīng)當(dāng)通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評估:(1)向境外提供重要數(shù)據(jù);(2)企業(yè)屬于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的;(3)企業(yè)處理的個(gè)人信息數(shù)量達(dá)到100萬人以上的;(4)自上年1月1日起,企業(yè)累計(jì)向境外提供10萬人個(gè)人信息或者1萬人敏感個(gè)人信息的;(5)國家網(wǎng)信部門規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評估的情形。
其中,若企業(yè)屬于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者,或者提供的數(shù)據(jù)涉及影響國家安全、經(jīng)濟(jì)運(yùn)行、社會穩(wěn)定、公共健康和安全的重要數(shù)據(jù)的情形,應(yīng)當(dāng)按照要求完成數(shù)據(jù)出境安全評估申報(bào)。另外,我們建議企業(yè)重點(diǎn)關(guān)注個(gè)人信息數(shù)量標(biāo)準(zhǔn),如果企業(yè)滿足上述明確的數(shù)量標(biāo)準(zhǔn)之一的,在開展個(gè)人信息出境活動前,均應(yīng)當(dāng)根據(jù)有關(guān)規(guī)定的要求和流程,向網(wǎng)信部門進(jìn)行申報(bào)。
而GDPR項(xiàng)下,向監(jiān)管部門報(bào)送有關(guān)DPIA報(bào)告內(nèi)容并不必然屬于強(qiáng)制性義務(wù)。根據(jù)GDPR第36條的規(guī)定,企業(yè)僅需要在:(1)DPIA結(jié)果表明存在高風(fēng)險(xiǎn)并且企業(yè)未采取其他保障措施;(2)監(jiān)管部門有特殊要求或者成員國有法律要求的情況下,將DPIA結(jié)果進(jìn)行報(bào)告或與監(jiān)管部門進(jìn)行溝通咨詢的義務(wù)。
(二)個(gè)人信息保護(hù)認(rèn)證
2022年11月4日,國家市場監(jiān)督管理總局、國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》(下稱“《實(shí)施規(guī)則》”),鼓勵(lì)個(gè)人信息處理者通過認(rèn)證方式提升個(gè)人信息保護(hù)能力,作為企業(yè)開展個(gè)人信息保護(hù)認(rèn)證的具體適用規(guī)則和標(biāo)準(zhǔn)。
《個(gè)保法》規(guī)定個(gè)人信息保護(hù)認(rèn)證可以作為個(gè)人信息出境的合規(guī)路徑之一,《實(shí)施規(guī)則》將其具體化、標(biāo)準(zhǔn)化、可操作化,明確了在對應(yīng)的認(rèn)證依據(jù)為TC260-PG-《個(gè)人信息跨境處理活動安全認(rèn)證規(guī)范》。《實(shí)施規(guī)則》規(guī)定,個(gè)人信息保護(hù)認(rèn)證的認(rèn)證模式為:技術(shù)驗(yàn)證+現(xiàn)場審核+獲證后監(jiān)督。認(rèn)證證書有效期為3年。在有效期內(nèi),企業(yè)仍需要接受認(rèn)證機(jī)構(gòu)的持續(xù)監(jiān)督,以保持認(rèn)證證書的有效性。
《實(shí)施規(guī)則》中提出的有關(guān)認(rèn)證的機(jī)制,其一方面是落實(shí)《個(gè)保法》第38條有關(guān)個(gè)人信息保護(hù)認(rèn)證的要求,另一方面,確立認(rèn)證制度也有助于實(shí)現(xiàn)中國和國際數(shù)據(jù)跨境傳輸和流通的接軌。根據(jù)GDPR第42條和第43條的規(guī)定,獲得有關(guān)認(rèn)證機(jī)構(gòu)或主管監(jiān)督機(jī)構(gòu)辦法的認(rèn)證()屬于數(shù)據(jù)跨境傳輸?shù)暮弦?guī)路徑之一。
(三)標(biāo)準(zhǔn)合同
2022年6月,國家互聯(lián)網(wǎng)信息辦公室就《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定(征求意見稿)》公開征求意見。就目前征求意見稿的適用范圍來看,其規(guī)范的“標(biāo)準(zhǔn)合同”等同于《個(gè)保法》第38條中定義的“國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同”。并且,個(gè)人信息處理者與境外接收方簽訂與個(gè)人信息出境活動相關(guān)的其他合同,不得與標(biāo)準(zhǔn)合同相沖突。根據(jù)《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定(征求意見稿)》第6條,標(biāo)準(zhǔn)合同的主要內(nèi)容包括:(1)個(gè)人信息處理者和境外接收方的基本信息,包括但不限于名稱、地址、聯(lián)系人姓名、聯(lián)系方式等;(2)個(gè)人信息出境的目的、范圍、類型、敏感程度、數(shù)量、方式、保存期限、存儲地點(diǎn)等;(3)個(gè)人信息處理者和境外接收方保護(hù)個(gè)人信息的責(zé)任與義務(wù),以及為防范個(gè)人信息出境可能帶來安全風(fēng)險(xiǎn)所采取的技術(shù)和管理措施等;(4)境外接收方所在國家或者地區(qū)的個(gè)人信息保護(hù)政策法規(guī)對遵守本合同條款的影響;(5)個(gè)人信息主體的權(quán)利,以及保障個(gè)人信息主體權(quán)利的途徑和方式;(6)救濟(jì)、合同解除、違約責(zé)任、爭議解決等。
而GDPR第46條第2點(diǎn)(c)(d)也提到了可以采取有關(guān)的標(biāo)準(zhǔn)合同條款( ,SCCs)作為一項(xiàng)“適當(dāng)?shù)谋U洗胧保?),開展個(gè)人信息跨境傳輸活動。歐盟委員會一共在GDPR項(xiàng)下批準(zhǔn)過四套SCCs,現(xiàn)行有效的是歐盟委員會于2021年6月4日通過的兩套新版數(shù)據(jù)傳輸標(biāo)準(zhǔn)合同條款(簡稱“SCCs 2021”),除了適用于數(shù)據(jù)控制者與數(shù)據(jù)處理者之間的數(shù)據(jù)委托處理活動(“委托處理SCCs”)的一套條款以外,另一套適用于向第三國傳輸個(gè)人數(shù)據(jù)的情形(“跨境傳輸SCCs”)。跨境傳輸SCCs根據(jù)數(shù)據(jù)輸出方以及數(shù)據(jù)接收方的不同角色(/)定位,分為4種類型(),企業(yè)可以根據(jù)具體的業(yè)務(wù)場景,判斷雙方的角色,選擇相應(yīng)的類型()進(jìn)行簽署。
關(guān)于個(gè)人信息跨境傳輸標(biāo)準(zhǔn)合同的詳細(xì)內(nèi)容,請關(guān)注我們的下一期文章《GDPR與〈個(gè)人信息保護(hù)法〉視角:個(gè)人信息跨境傳輸標(biāo)準(zhǔn)合同的異與同》。
(四)三種路徑之間的關(guān)系與銜接
根據(jù)國家網(wǎng)信辦負(fù)責(zé)人就《數(shù)據(jù)出境安全評估辦法》答記者問的內(nèi)容,對于個(gè)人信息向境外提供,安全評估與標(biāo)準(zhǔn)合同、個(gè)人信息保護(hù)認(rèn)證之間的關(guān)系,以及如何銜接適用,《辦法》適用范圍已經(jīng)明確,對于適用安全評估的個(gè)人信息處理者的數(shù)據(jù)出境情形,企業(yè)只能按照規(guī)定進(jìn)行安全評估申報(bào);《辦法》適用范圍外的個(gè)人信息處理者的數(shù)據(jù)出境情形,可以通過個(gè)人信息保護(hù)認(rèn)證或者簽訂國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同來滿足個(gè)人信息跨境提供條件。
第三章 跨境數(shù)據(jù)合規(guī)GDPR與《個(gè)人信息保護(hù)法》視角:個(gè)人信息跨境傳輸標(biāo)準(zhǔn)合同的異與同
歐盟2021版標(biāo)準(zhǔn)合同條款與我國網(wǎng)信辦發(fā)布的標(biāo)準(zhǔn)合同(征求意見稿)都適用于個(gè)人信息跨境傳輸場景,在個(gè)人信息保護(hù)的切入角度和條款設(shè)置上存在一定共性,不過各有側(cè)重點(diǎn)。個(gè)人信息處理者應(yīng)當(dāng)關(guān)注兩份個(gè)人信息跨境傳輸標(biāo)準(zhǔn)合同項(xiàng)下異同,根據(jù)實(shí)際業(yè)務(wù)場景開展合規(guī)工作。
作者簡介
郭小明 合伙人
深圳辦公室
主要業(yè)務(wù)領(lǐng)域:
爭議解決、
合規(guī)管理和知識產(chǎn)權(quán)
劉潤興高級顧問
深圳辦公室
主要業(yè)務(wù)領(lǐng)域:
常年合規(guī)、
數(shù)據(jù)合規(guī)和新經(jīng)濟(jì)