(CWW)个人信息跨境流动是数字经济全球化的重要组成部分,能够充分释放数据价值,对于数字经济高质量发展具有重要推动作用。为满足日益增长的个人信息出境需要,保护个人信息权益,国家互联网信息办公室于2023年2月24日以部门规章形式出台《个人信息出境标准合同办法》(以下简称《办法》),细化了个人信息通过与境外接收方订立标准合同方式出境的制度,是网络与信息法治建设的重要成果;创新了网络空间治理的新型综合治理机制,是网络与信息法学研究的最新立法范本。
(资料图)
一、《办法》出台的重要意义
第一,《办法》的出台有利于推动《个人信息保护法》更好实施。《个人信息保护法》第三十八条规定了个人信息处理者向境外提供个人信息的三个途径,即安全评估、个人信息保护认证、标准合同以及其他条件。《办法》正文对“标准合同”途径下的个人信息出境要求作了详细规定,明确了个人信息出境标准合同的适用范围、订立条件和备案要求;附件列出了标准合同的基本条款,将法律规范转化为合同规则。
第二,《办法》的出台有利于促进数字经济发展和数据有序跨境流动。《办法》要求符合条件的个人信息处理者与境外接收方按照本办法订立个人信息出境标准合同并生效后即可出境个人信息,简化了个人信息出境的流程与环节,为个人信息处理者提供了多元化的个人信息出境方式。《办法》附件提供了标准合同的范本,境内个人信息处理者仅需要结合实际情况进行填充完善,极大降低了境内个人信息处理者的成本,解决了部分中小规模个人信息处理者专业人员不足的难题,便于其健康有序发展。
第三,《办法》的出台有利于提升个人信息出境活动的规范化水平。一方面,《办法》明底线划红线,指出合规方向,细化适用订立标准合同的方式向境外提供个人信息的基本条件,明确个人信息影响评估和合同备案的基本要求。另一方面,《办法》也亮规矩定责任,要求个人信息处理者对所备案材料的真实性负责,违反规定依据《个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。
二、《办法》的四大亮点
第一,平衡了安全与发展。个人信息跨境流动对于引领数字经济全球化发展具有重要作用,有利于做大、做强、做优我国数字经济。《办法》坚持自主缔约与备案管理相结合,防范个人信息出境后因泄露、损毁、篡改、滥用等可能对个人信息权益带来的风险,落实多元化个人信息出境模式,丰富个人信息保护监管方式和手段,保障个人信息跨境安全、自由流动,有利于充分发挥数据要素对于高质量发展的重要推动作用,引领数字经济全球化发展。
第二,织密了数据出境制度。一方面,《办法》与《数据出境安全评估办法》互为补集、互相衔接,为“非关键、小规模”的个人信息出境提供了详细规范,进一步织密了个人信息出境管理制度。另一方面,《办法》附件的标准合规范本在合同双方之外,还对向境外的第三方提供个人信息提出了约束性要求,并对受个人信息处理者委托处理个人信息,转委托第三方处理的情形作出规定,进一步筑牢了个人信息权益保护“防火墙”。
第三,创新了个人信息保护监管机制。《办法》充分体现了依法治理、综合治理的理念,一方面创造性地将合同这一意思自治形式吸收成为新的监管手段,在对个人信息处理者提出管理要求的同时,也留出了充足的创新空间;另一方面充分地把合规要求融入个人信息保护要求,除了将采取的技术措施列为个人信息评估的重点内容,还在附件的合同范本中,为个人信息处理者采取加密、匿名化、去标识化、访问控制等技术和管理措施作出引导。
第四,突出了个人信息主体权益实现。《办法》除了将《个人信息保护法》确立的个人信息主体权益列入合同范本正文,还重视境外接收方所在国家或者地区的个人信息保护政策和法规对我国个人信息主体权益的影响,把相关政策法规发生变化等可能影响个人信息权益的情形,作为触发重新开展个人信息保护影响评估、补充或者重新订立标准合同的重要条件。此外,《办法》也充分体现了对“无救济就无权利”原则的重视,把“救济”作为合同范本的一条,要求境外接收方确定接受询问或投诉的联系人,并载明联系方式;明确境外接收方接受个人信息主体通过向监管机构投诉和提起诉讼等方式维护权利;申明合同双方同意个人信息主体所作的维权选择,不会减损个人信息主体根据其他法律法规寻求救济的权利。
三、加强监管和合规,更好实施《办法》
第一,加强个人信息保护监管执法。建议网信部门加大指导、引导、督促力度,推动境内个人信息处理者积极开展评估、备案,监督个人信息处理者业务开展中涉及个人信息出境的合同等法律文件,对未履行备案程序或者提交虚假材料进行备案的、未履行标准合同约定的责任义务并侵害个人信息权益造成损害的依法追究法律责任。
第二,个人信息处理者应对照《办法》要求做好合规。个人信息处理者应当加强对《办法》的学习,对照《办法》要求,用好通过订立标准合同的方式开展个人信息出境活动。首先,应当尽快梳理自身数据资产和出境数据规模,识别是否具备《办法》适用情形。其次,按照《办法》要求,在向境外提供个人信息前严格开展个人信息保护影响自评估,重点评估个人信息出境的目的、范围、方式及其合法性、正当性、必要性,通过出境个人信息的数量、范围、种类、敏感程度来判断其所可能产生的风险,明确境外接收方承诺承担的责任义务、管理能力、技术措施以及境外接收方所在国家或者地区的个人信息保护政策法规。再者,应当按照《办法》附件与境外接收方签署标准合同,并将标准合同与影响评估报告在标准合同生效之日起10个工作日内向所在地省级网信部门备案。
第三,发展应用法律科技,赋能监管与合规。随着人工智能、大数据等技术的进一步发展,利用“法律+科技”的手段实现监管与合规的自动化、智能化,符合数字经济发展和数字政府建设的新方向、新趋势。可以开发快速审查个人信息出境标准合同、影响评估报告的监管工具,助力实现备案监管的智慧化、精准化、全时化,提高监管能力和水平。通过技术对数据收集、存储、加工、使用、传输、删除等全生命周期进行可视化管理,自动分析企业数据资产与合规风险,根据分类分级等规则自动识别个人信息的数量、范围、种类、敏感程度,保障个人信息处理目的、范围、方式等的合法性、正当性、必要性,助力低成本、高效率完成《办法》所要求的个人信息保护影响评估。