目 录
1. 法律效力、适用范围与主体
2. 思考与展望
1) “个人信息跨境处理活动”的涵义
2) 认证机构、流程及材料
3) 认证对象
4) 认证有效期
5) 认证与标准协议的关系
除法律规定适用个人信息出境数据安全评估的情形外, 《个人信息保护法》将“标准协议”或“个人信息保护认证”作为个人信息出境的前提条件。国家网信办于2022年6月公布了《个人信息出境标准合同》的草案, 为个人信息通过标准协议出境拉开了帷幕。关于个人信息保护认证应该怎样进行, 相关法律法规却迟迟未见颁布。
针对个人信息出境认证, 全国信息安全标准化技术委员会(“信安标委”)于2022年6月发布了《网络安全标准实践手册—个人信息跨境处理活动安全认证规范(TC260-PG-20222A)》( “《认证规范》”), 对“个人信息跨境处理”涉及的认证提出了相应的指引。信安标委随后又于2022年11月8日发布了《认证规范》2.0版的征询意见稿。根据《认证规范》, 其致力“为认证机构对个人信息处理者的个人信息跨境处理活动举办认证提供根据, 也为个人信息处理者规范个人信息跨境处理活动提供参考”。值得注意的是, 国家市场监督管理总局及网信办于2022年11月18日发布了《个人信息保护认证施行规则》(“《认证规则》”), 其中规定“对于举办跨境处理活动的个人信息处理者, 还应该符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求”。
《认证规则》及《认证规范》的颁布无疑将个人信息出境认证机制往前推动了一大步, 但也要听到《认证规则》将《认证规范》纳入“个人信息跨境处理”认证的同时, 也引起了对《认证规范》的法律效力、适用范围与主体、认证对象、认证具体流程、境外接收方的法律责任、认证机制简化等众多规范和实践问题的思索。因此, 我们结合法律法规及自身经验, 对《认证规范》的效力、适用范围及适用主体等进行评析, 同时也列举《认证规范》中仍未明晰的问题, 展望个人信息出境认证机制的未来趋势。
1
法律效力、适用范围与主体
首先, 就《认证规范》的法律效力而言, 其属于由信安标委发布的技术规范, 本身并没有法律强制力。尽管如此, 根据《中华人民共和国认证认可条例》, “认证”是指“由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或则标准的合格评定活动”。因此, 《认证规范》可以成为相关认证机构对“个人信息跨境处理”活动进行认证时引述的技术规范, 从而在个人信息跨境处理认证中具有法律效力。
然而, 需要注意的是, 《认证规范》中“个人信息跨境处理”的叙述与《个人信息保护法》中“个人信息跨境提供”的叙述并不一致。因此其内涵是否一致值得研究。根据《认证规范》, 其适用范围包括: (1)“跨国公司或则同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动”; 及(2)“《个人信息保护法》第三条第二款规定的境外个人信息处理者(的个人信息跨境处理活动)”。上述两种情形中, 第(1)种情形属于跨国集团内部的个人信息跨境提供, 属于《个人信息保护法》下个人信息跨境提供的一种; 第(2)种情形则针对的是“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动”。对此我们觉得可能有两种解释, 第一种是个人信息已经完成从中国出境后, 在境外的处理活动; 第二种是境外个人信息处理者从境外直接搜集、处理中国境内个人信息的个人信息跨境处理活动。但无论是上述哪种解释, 由于缺少境内的数据出境主体, 似乎都难以解释为《个人信息保护法》下的“个人信息跨境提供”。因此, 与其将第(2)种情形解释为个人信息跨境提供情景下的个人信息保护认证, 我们觉得更合理的解释是《认证规范》新创设了针对“境外个人信息处理者直接处理境内个人信息”这一情形的认证, 但这与《个人信息保护法》下的个人信息跨境提供认证并无关联。
由此可见, 对于《个人信息保护法》下的“个人信息跨境提供的认证”, 《认证规范》只规定了这其中涉及跨国集团内部个人信息跨境提供的部份, 相当于限缩了《个人信息保护法》下的认证范围。相应地, 后续有待进一步立法的问题便是, “个人信息跨境提供认证”是否仅限于跨国集团内部, 抑或是都会有针对非跨国集团的、适用于其他通常场景的个人信息跨境提供认证规则。
综上, 我们觉得《认证规范》属于《个人信息保护法》下针对“个人信息跨境提供”进行认证所根据的技术规范, 但针对“个人信息跨境提供”而言, 认证机制的适用范围及适用主体是否仅限于跨国集团内部, 目前仍尚不明晰。
2
思考与展望
新修订的《认证规范》无疑从更明确的定义、适用主体和范围、基本原则、个人信息处理者和境外接收方的责任义务、响应个人信息主体保障权益等各方面综合审视, 为企业的个人信息出境认证提供了更明晰的指示和要求。但如上所述, 《认证规范》在适用范围、适用主体, 以及与《个人信息保护法》下“个人信息跨境提供”认证机制的衔接等方面一直存在一些有待明晰的问题。下文中我们尝试为读者阐述这种问题, 并提出我们对于认证机制未来发展的思索和展望。
1)“个人信息跨境处理活动”的涵义
鉴于《认证规范》及《认证规则》中提出的“个人信息跨境处理活动”与《个人信息保护法》等法律中的叙述不一致, 且没有明晰的定义, 我们觉得有必要对“个人信息跨境处理活动”的定义给以明晰。
结合上述剖析, 基于目前《认证规范》的内容, 似乎可以将“个人信息跨境处理活动”解释为“个人信息跨境提供”以及“境外个人信息处理者直接搜集境内个人信息”两种情形, 其中对于“个人信息跨境提供”的认证的法律依据为《个人信息保护法》, 而对于“境外个人信息处理者直接搜集境内个人信息”的认证不落入《个人信息保护法》的规定, 其法律依据为《认证规则》。
无论后续立法或执法机构是否会根据我们对“个人信息跨境处理活动”的上述剖析去进行定义, 我们觉得赋于“个人信息跨境处理活动”明确的外延和内涵, 将更有助于有个人信息出境须要的主体选择合适的个人信息出境的法律路径。
2)认证机构、流程及材料
《认证规范》对于个人信息跨境处理活动的认证规范作出了详尽的规定, 但从企业的角度, 更为关心的问题无疑是认证的具体程序。例如, 应该向那个(些)认证机构递交认证申请、认证的具体流程和时间限制, 以及认证须要递交什么申请材料。
对于认证机构, 《认证规则》及《认证规范》均未给以明晰。《认证规范》中提到《认证规范》的制订得到了中国网路安全审查技术与认证中心(CCRC)的技术支持, 而且CCRC也是目前网信办举办数据出境安全评估的技术评测方, 因此, 我们觉得个人信息跨境处理活动的认证有可能会委托CCRC进行。此外, 认证工作的常规主管机构为国家认证认可监督管理委员会(CNCA), 且CNCA早已认定并发布了认证机构的名录列表(参见认证机构信息列表)[1], 因此未来也不排除将认证工作交由CNCA指定的认证机构进行。
认证的材料及认证所需的法定期限也有待进一步的明晰。由于《认证规范》中明晰对“有法律约束力的合同”提出了规范要求, 将来出境方与境外接收方就个人信息跨境处理活动订立的个人信息出境合同(是否须要采用网信办公布的标准协议有待明晰)或将会作为认证申请材料的重要部份。
3)认证对象
目前《认证规则》及《认证规范》尚未明晰的另一个问题是, 认证的对象到底是“个人信息跨境处理活动”, 抑或是出境或境外接收个人信息的主体。
如果认证的对象是“个人信息跨境处理活动”, 那么认证的范围将会相对较为窄小, 即便是跨国集团内部的数据出境活动, 其出境个人信息的目的、范围、类型和形式也不是纤尘不变的, 如果仅仅针对“处理活动”进行认证, 那么很有可能造成后续处理活动发生变化后, 需要重新进行认证。
企业更期盼听到的应该是对于出境主体和/或境外个人信息接收主体的认证, 即认证是对个人信息出境方和/或境外接收方的个人信息出境合规及个人信息安全保护能力的证明。也就是说, 即使其出境/接收的个人信息范围、类型等仍然在变化, 经过认证的主体依然可以自由地在遵循中国法律的前提下, 进行个人信息出境/接收行为。如此, 可适当减少企业的合规负担, 从而提高企业进行认证的积极性。
4)认证有效期
根据目前的法律草案, 除非协议涉及的出境情形发生重大变化, 否则标准协议备案后将常年有效。对于认证而言, 我们觉得将会采取相同的机制, 即除非认证的“个人信息跨境处理活动”, 或认证的对象发生重大变化, 个人信息跨境提供的认证也将会是常年有效的状态。
5)认证与标准协议的关系
就个人信息跨境提供而言, 认证与标准协议并列个人信息跨境提供的法律路径。但除非这两种路径的复杂性、有效性、成本等完全相同, 否则企业没有理由不选择更容易、成本更低的路径。
从目前《认证规范》对于“有法律效力的合同”的要求来看, 很有可能会要求申请认证的主体递交境内外双方签订的出境合同(即使不是标准协议, 也不会有太大的区别)。意即企业假如通过标准协议出境个人信息, 仅需签订合同, 而倘若通过认证出境个人信息, 除标准协议外, 还须要履行其他的认证手续。若这么, 除非认证机制在其他方面有优于标准协议之处, 出境方恐难劝说境外接收方配合进行个人信息出境认证。
我们觉得, 相较于标准协议仅能与单个的境外接收方一对一签订, 且协议中能约定(预见)的数据出境场景和类型也比较固定, 认证的机制可以是相对比较灵活的。例如, 认证除了可以针对个人信息跨境提供的行为, 也可以针对跨境提供的提供方和接收方主体。如果可以针对主体进行认证, 比如对某一境外接收方进行认证, 只要早已证明其具有符合中国法律要求的数据安全保护能力, 此后其从其他境内主体接收数据, 或者境内主体向其传输的个人信息范围或类型发生变化, 不需要再履行认证或则其他的个人信息跨境提供义务。此将大大提升认证机制对于个人信息出境方及境外接收方的吸引力, 促使企业选择认证作为个人信息出境的法律路径。
注: 本篇文章首次发表于律商网。
【注释】
[1]认证机构信息列表,
