本文共字,預計閱讀時間。
一、個人信息跨境的相關定義
個人信息跨境(又稱“個人信息出境”),是指個人信息處理者向中華人民共和國境外提供個人信息的行為。對于個人信息“提供”的形式,當前法律法規暫未作出明確規定。依據信安標委2017年5月27日公布的《信息安全技術 數據出境安全評估指南(征求意見稿)》第3.7條,“提供”是指個人信息處理者通過網絡等方式,將其在中華人民共和國境內運營中收集和產生的個人信息和重要數據,通過直接提供或開展業務、提供服務、產品等方式提供給境外的機構、組織或個人的一次性活動或連續性活動。
依據信安標委發布的《信息安全技術 數據出境安全評估指南(征求意見稿)》,以下情形屬于數據(含個人信息)出境:
- 向本國境內,但不屬于本國司法管轄或未在境內注冊的主體提供個人信息和重要數據;
- 數據未轉移存儲至本國以外的地方,但被境外的機構、組織、個人訪問查看的(公開信息、網頁訪問除外);
- 個人信息處理者集團內部數據由境內轉移至境外,涉及其在境內運營中收集和產生的個人信息和重要數據的。
以下情形不屬于信息出境:
- 非在境內運營中收集和產生的個人信息和重要數據經由本國出境,未經任何變動或加工處理的;
- 非在境內運營中收集和產生的個人信息和重要數據在境內存儲、加工處理后出境,不涉及境內運營中收集和產生的個人信息和重要數據的。
二、個保法下的個人信息跨境合規要點
當前,我國有多部生效法律法規涉及對個人信息跨境的規制,例如《個人信息保護法》、《數據安全法》、《網絡安全法》、《關鍵信息基礎設施保護條例》等。《網絡安全法》、《數據安全法》從網絡安全與數據安全的角度出發,以保護國家和社會公共利益目的,對關鍵信息基礎設施的運營者的收集和產生的個人信息和重要數據的跨境提供予以規定,并要求此類個人信息應當境內存儲。個保法在借鑒GDPR的基礎上正式確立了個人信息跨境提供的法律規制框架。與《網絡安全法》與《數據安全法》不同的是,個保法對個人信息跨境提供的相關規定不僅體現出立法者對個人信息跨境的安全性的考慮,更體現出立法者對于促進個人信息在全球范圍內規范、有序地流動的愿景。規范個人信息跨境提供行為,促進個人信息合理利用也與個保法第一條規定的立法目的相呼應。
《個人信息保護法》第三章專章規定了個人信息跨境提供的規則,其中,第38條規定了個人信息跨境的前提,即:個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當具備下列條件之一:
(1)依照本法第四十條的規定通過國家網信部門組織的安全評估
《個人信息保護法》第四十條規定:關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的,應當通過國家網信部門組織的安全評估;法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。因此,如果企業被認定為關鍵信息基礎設施運營者或者處理的個人信息達到國家網信部門規定數量,應當將收集的個人信息存儲在境內。如需向境外提供的,除了例外情形(有待法律法規進一步明確),必須通過國家網信部門組織的安全評估。
如果企業不適用《個人信息保護法》第四十條的規定,則符合《個人信息保護法》第三十八條規定的其它任一條件即滿足個人信息跨境的前提條件。
A.關于關鍵信息基礎設施運營者的認定
當前我國法律法規尚未對關鍵信息基礎設施運營者作出清晰定義,后續將由關鍵信息基礎設施保護工作部門(重要行業和領域的主管部門、監督管理部門)對關鍵信息基礎設施運營者(“Critical Information Infrastructure Operator”,CIIO)進行認定。《關鍵信息基礎設施安全保護條例》將關鍵信息基礎設施定義為:“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。”從該定義可知判斷企業是否構成關鍵信息基礎設施運營者的核心在于其運營的網絡設施、信息系統等遭到破壞、喪失功能或者數據泄露是否可能危害國家安全、國計民生、公共利益。
B.關于國家網信部門規定的數量
目前,網信部門尚未對此數量作出明確界定。根據2021年8月20日國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、交通運輸部五部委聯合發布的《汽車數據安全管理若干規定(試行)》(下稱“《規定》”),涉及個人信息主體超過10萬人的個人信息屬于重要數據,因業務需要向境外提供的,原則上應當通過國家網信部門會同國務院有關部門組織的安全評估。由此可以看出,未來國家網信部門可能會以會同行業主管部門針對各個行業制定相應的法規的形式針對不同的行業規設置評估的數量門檻。
(2)按照國家網信部門的規定經專業機構進行個人信息保護認證
在企業不符合第(1)條的情形下,企業可通過進行個人信息保護認證滿足個人信息跨境的條件,但如何進行認證、哪些機構有權進行個人信息保護認證仍有待國家網信部門明確。
(3)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務
在企業不符合第(1)條的情形下,企業可以通過與境外接收方簽訂國家網信部門制定的標準合同滿足個人信息跨境的條件。國家網信部門尚未公布個人信息跨境提供的標準合同。但根據PaRR報道,知情人士表示中國國家互聯網信息辦公室(國家網信辦)已啟動“中國版SCC”—數據跨境傳輸標準合同的起草工作。企業可以在網信部門制定的標準合同基礎上對跨境傳輸合同進行修改,但修改不應當增加合同雙方的權利或減少合同雙方的義務。由于本條的立法借鑒了GDPR的標準合同條款(Standard Contractual Clauses, ”SCCs")機制,故在實踐中,在網信辦尚未發布中國版SCC的情形下,有些企業會參考歐盟委員會頒布的數據跨境傳輸標準合同條款,結合企業的自身情況起草中國版的跨境傳輸協議。
(4)法律、行政法規或者國家網信部門規定的其他條件
其它條件有待法律、行政法規或國家網信部門作出規定,因此企業應當關注全國人大常委會、國務院、國家網信部門的立法動態。
需要注意的是,上述規定為個人信息出境的前提,即,滿足上述的前提條件是企業的基本合規要求。在前述合規基礎上,為履行企業的個人信息跨境合規義務,企業還應當盡到以下義務:
1.?保障境外接收方的個人信息保護水平
企業應當采取必要措施保障境外接收方的個人信息保護水平不低于《個人信息保護法》的保護水平。實踐中,企業可采取簽訂合同(合同中包括有權對境外接收方進行審計的條款)、定期或不定期地對境外接收方開展審計評估(可由企業自行開展或委托第三方機構開展)、對境外接收方開展技術監測等措施來實現。
2. 個人信息跨境傳輸的行為符合境內的法律法規
向境外主體提供個人信息仍屬于個人信息的處理活動,故應當滿足《個人信息保護法》等法律法規對個人信息處理活動的要求,例如遵循合法、正當、必要和誠信原則、在事前進行個人信息保護影響評估等。跨境提供個人信息應當具有明確、合理的目的,如:跨境提供個人信息為企業開展業務所必需,不跨境提供個人信息將極大地提高企業開展業務的成本等。又如:跨境提供的個人信息的范圍、跨境傳輸的方式等應當與企業跨境提供個人信息的目的直接相關,并采取對個人權益影響最小的方式,例如企業僅需將用戶在境內收集的某一類信息提供給境外主體即可實現業務目的的,則不應將不相關的類別的個人信息一并提供給境外主體。
3. 向個人信息主體進行充分告知并取得個人的單獨同意
企業在向境外主體提供個人信息之前,應當以單獨聲明等形式向個人告知境外接收方的名稱、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使知情權、決定權、撤回同意、查閱復制權、更正權、刪除權等《個人信息保護法》規定的權利的方式和程序等事項,并取得個人的單獨同意。個保法實施后,企業僅通過隱私政策中一攬子告知的方式將難以滿足合規性要求。個保法第十三條有關個人信息處理規則的一般規定中將取得個人同意僅作為個人信息處理者處理個人信息的合法性基礎之一,在特定情形下,例如為了履行合同所必需時,處理個人信息無需取得個人同意。依據個保法第三十九條的規定,個人信息處理者在跨境提供個人信息前,必須取得個人的單獨同意。個保法列出了多處需要取得個人單獨同意的情形,如何平衡合規與用戶體驗,設計較好的獲取個人單獨同意的方式,是企業面臨的合規難點。
4. 遵守法律法規的特殊規定
特定類別、數量級的個人信息的跨境提供、向不同類別的境外主體提供、以及特定情形下的個人信息跨境提供還可能涉及國家安全、網絡安全多方面的問題,故法律法規對某些特定情況作出了特殊規定,企業還應當遵守此類規定。依據個保法相關規定,企業應當重點注意以下個人信息跨境傳輸的規則:
(1)如外國司法機構或執法機構要求企業提供個人信息,企業應當事先經過主管機關的批準。
(2)如境外主體被國家網信部門列入限制或者禁止個人信息提供清單,企業應當避免向該境外主體提供個人信息或在向該境外主體提供個人信息時遵守網信部門的限制要求。
(3)如境外主體所在國家/地區在個人信息保護方面對中國采取歧視性的禁止、限制等措施,企業應當避免向該境外主體提供個人信息或遵循我國法律法規對向該國家/地區的境外主體提供個人信息的特殊規定。
四、個人信息跨境的合規建議
針對我國當前個保法下的個人信息跨境規制框架,合規君對企業的個人信息跨境提供活動提出以下建議:
【事前】
1.?對境外接收方開展盡職調查
建議企業在選擇境外合作伙伴或采購境外主體提供的服務或產品前,對境外主體開展盡職調查,根據調查結果評估是否與該境外伙伴開展合作。對境外主體的盡職調查建議包括以下事項:
(1)該境外主體的個人信息保護能力,包括合規能力、技術能力、管理能力,是否曾發生過重大個人信息泄露等個人信息安全事件等;
(2)該境外主體所在國家/地區的個人信息保護水平;
(3)該境外主體所在國家/地區對于向我國提供個人信息是否存在歧視性的禁止、限制等措施。
2.?進行個人信息保護影響評估,并對處理情況進行記錄
按照《個人信息保護法》的規定,企業在向境外主體提供個人信息前應當進行個人信息保護影響評估。
根據個保法,個人信息保護影響評估必須包括以下內容:
(1)企業個人信息的處理目的、處理方式等是否合法、正當、必要;
(2)企業向跨境提供個人信息的行為對個人權益的影響及安全風險;
(3)企業所采取的保護措施是否合法、有效并與風險程度相適應。
根據網信部門以及國務院相關部門曾發布的相關征求意見稿、指南等,關于個人信息出境的評估建議包括以下內容:
(1)個人信息跨境提供的行為是否符合國家有關法律法規和政策規定;
(2)個人信息出境的必要性;
(3)涉及個人信息情況,包括個人信息的數量、范圍、類型、敏感程度,以及個人信息主體是否同意其個人信息出境等;
(4)涉及重要數據情況,包括重要數據的數量、范圍、類型及其敏感程度等;
(5)與境外接收方訂立的合同條款是否能夠充分保障個人信息主體合法權益;
(6)與見外接收方訂立的合同能否得到有效執行;
(7)境外接收方是否有損害個人信息主體合法權益的歷史、是否發生過重大網絡安全事件;
(8)境外接收方的背景、規模、業務、財務、信譽、網絡安全能力、安全保護措施以及所在國家和地區的網絡安全環境等;
(9)數據出境及再轉移后被泄露、毀損、篡改、濫用等風險;
(10)數據出境及出境數據匯聚可能對國家安全、社會公共利益、個人合法利益帶來的風險;
根據網信部門以及國務院相關部門曾發布的相關征求意見稿、指南等,個人信息保護影響評估報告建議包括以下內容:
(1)網絡運營者和接收者的背景、規模、業務、財務、信譽、網絡安全能力等;
(2)個人信息出境計劃,包括持續時間、涉及的個人信息主體數量、向境外提供的個人信息規模、個人信息出境后是否會再向第三方傳輸等;
(3)個人信息出境風險分析和保障個人信息安全和個人信息主體合法權益的措施。
個人信息保護影響評估報告和處理情況記錄應當至少保存三年,記錄內容建議包括:
(1)向境外提供個人信息的日期時間;
(2)接收者的身份,包括但不限于接收者的名稱、地址、聯系方式等;
(3)向境外提供的個人信息的類型及數量、敏感程度;
(4)國家網信部門規定的其他內容。
企業可自行開展個人信息出境的個人信息保護影響評估,也可以委托第三方機構完成或配合企業完成評估。如企業的技術與合規能力較弱,則委托外部機構進行評估可能有助于提高評估的客觀性和有效性。
3. 境內的個人信息處理活動符合境內法律法規
企業在境內的個人信息處理活動應當合法合規開展,確保在向境外提供個人信息之前,在境內個人信息的處理行為,尤其是個人信息的收集行為無明顯的合規瑕疵。對于涉及較大體量的個人信息處理活動的業務,尤其是較大體量的敏感個人信息的處理活動的業務,建議企業予以重點關注,并及時開展合規自查和整改工作,例如依照個保法的要求獲得用戶的有效同意,停止收集與業務功能無關的信息,減少不必要的個人信息共享等。
企業應當在個人信息跨境提供之前以公告、發函、消息推送等形式向個人信息主體告知境外接收方的名稱/姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使個人信息保護法規定權利的方式和程序等事項并取得個人信息的單獨同意。
4. 與境外接收方簽訂個人信息跨境傳輸合同
企業應當與境外接收方簽訂個人信息跨境傳輸合同,約定雙方的權利與義務,保障個人信息主體的權益。原則上企業應當使用國家網信部門制定的標準合同,但鑒于標準合同尚未發布,企業當前可以參考個保法相關條款、歐盟委員會發布的SCC以及國家網信部門曾發布的指南類文件起草個人信息跨境傳輸合同。
個人信息跨境傳輸合同條款建議包括以下內容:
(1)個人信息出境的目的、類型、保存時限;
(2)個人信息主體是合同中涉及個人信息主體權益的條款的受益人;
(3)個人信息主體合法權益受到損害時,可以自行或者委托代理人向網絡運營者或者接收者或者雙方索賠,網絡運營者或者接收者應當予以賠償,除非證明沒有責任;
(4)接收者所在國家法律環境發生變化導致合同難以履行時,應當終止合同,或者重新進行安全評估;
(5)合同的終止不能免除合同中涉及個人信息主體合法權益有關條款規定的網絡運營者和接收者的責任和義務,除非接收者已經銷毀了接收到的個人信息或作了匿名化處理;
(6)明確企業作為境內網絡運營者承擔以下責任和義務:
①以電子郵件、即時通信、信函、傳真等方式告知個人信息主體境內網絡運營者和境外接收者的基本情況,以及向境外提供個人信息的目的、類型和保存時間;
②應個人信息主體的請求,提供本合同的副本;
③應請求向境外接收方轉達個人信息主體訴求,包括向境外接收方索賠;個人信息主體不能從境外接收方獲得賠償時,先行賠付。
(7)明確境外接收方承擔以下責任和義務:
①為個人信息主體提供訪問其個人信息的途徑,個人信息主體要求更正或者刪除其個人信息時,應在合理的代價和時限內予以響應、更正或者刪除;
②按照合同約定的目的使用個人信息,個人信息的境外保存期限不得超出合同約定的時限;
③確認簽署合同及履行合同義務不會違背接收者所在國家的法律要求,當接收者所在國家和地區法律環境發生變化可能影響合同執行時,應當及時通知境內網絡運營者,并通過境內網絡運營者報告境內網絡運營者所在地省級網信部門。
【事中】
1.?關注境外接收方動態
企業應當持續關注境外接收方的動態,如境外接收方的個人信息處理方式、財務、信譽、網絡安全能力、安全保護措施等發生重大改變,可能影響個人信息主體權益或國家安全、社會公共利益,應當視情況終止合作或者重新開展個人信息保護影響評估。企業應當采取一定的措施(例如技術措施)嚴格監督境外接收方是否按照合同約定的目的處理個人信息,是否將個人信息再次傳輸給其他方。
2.?關注境外接收方所在國家/地區的動態
企業應當持續關注境外接收方所在國家或地區的動態,包括接收方所在國家或地區的立法動態(包括是否與中國簽訂與個人信息保護相關的雙邊、多邊條約、協定)、發布的重要文件或政策、相關部門的重要執法動作、執法案例等。如我國與境外接收方簽訂的條約、協定允許我國與境外接收方之間的信息自由流動的,企業可以適當調整個人信息出境合規計劃。如果境外接收方所在國家或地區的個人信息保護水平顯著下降的、針對我國采取歧視性措施的,企業應當視情況終止合作或重新開展個人信息保護影響評估。
3. 定期/不定期開展個人信息保護影響評估
建議企業對內部定期開展個人信息保護影響評估并記錄評估結果,當企業數據出境目的、范圍、數量、類型等發生較大變化時,應當及時開展個人信息保護影響評估。如企業處理的個人信息數量達到了國家網信部門規定的數量,則企業還應當及時向網信部門申請安全評估。
4. 保障個人信息主體行使權利的暢通
企業應當設立個人信息保護部門,及時響應并處理個人信息主體提出的查閱、復制、更正、刪除個人信息等請求。企業還應當通過在隱私政策中列出境外接收方的聯系方式、與境外接收方簽訂協議等方式要求境外接受及時響應并處理個人信息主體向其提出的查詢、復制、更正、刪除個人信息等請求。
5. 密切關注有關部門動態
如前所述,個保法對于個人信息跨境傳輸的規則較為原則性,具體的實施方案例如安全評估、個人信息保護認證的實施步驟以及標準等還有待于司法解釋以及網信部門和相關部門制定的規則進一步明確。企業應當密切關注網信部門(網信辦、工信部)、行業主管部門等重要監管部門的立法動態與執法動態,并及時調整組織內的合規計劃。
【事后】
當個人信息跨境提供不再具有必要性,例如需要跨境提供個人信息的相關業務已不再開展或者與境外主體簽訂的合同已經終止,企業應當及時要求境外接收方刪除個人信息,要求其提供信息已刪除的證明并保存相關記錄,或在有必要時,再次對境外接收方開展審計。
非常感謝您的報名,請您掃描下方二維碼進入沙龍分享群。
非常感謝您的報名,請您點擊下方鏈接保存課件。
點擊下載金融科技大講堂課件本文系未央網專欄作者發表,屬作者個人觀點,不代表網站觀點,未經許可嚴禁轉載,違者必究!首圖來自圖蟲創意。
本文為作者授權未央網發表,屬作者個人觀點,不代表網站觀點,未經許可嚴禁轉載,違者必究!首圖來自圖蟲創意。
本文版權歸原作者所有,如有侵權,請聯系刪除。首圖來自圖蟲創意。
京公網安備 11010802035947號