專家解讀|個(gè)人信息跨境流動(dòng)法治化取得新成果
編輯:王軍 信息來(lái)源: 中國(guó)網(wǎng)信網(wǎng)發(fā)布時(shí)間:2023-3-17
個(gè)人信息跨境流動(dòng)是數(shù)字經(jīng)濟(jì)全球化的重要組成部分,能夠充分釋放數(shù)據(jù)價(jià)值,對(duì)于數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展具有重要推動(dòng)作用。為滿足日益增長(zhǎng)的個(gè)人信息出境需要,保護(hù)個(gè)人信息權(quán)益,國(guó)家互聯(lián)網(wǎng)信息辦公室于2023年2月24日以部門(mén)規(guī)章形式出臺(tái)《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》(以下簡(jiǎn)稱《辦法》),細(xì)化了個(gè)人信息通過(guò)與境外接收方訂立標(biāo)準(zhǔn)合同方式出境的制度,是網(wǎng)絡(luò)與信息法治建設(shè)的重要成果;創(chuàng)新了網(wǎng)絡(luò)空間治理的新型綜合治理機(jī)制,是網(wǎng)絡(luò)與信息法學(xué)研究的最新立法范本。
一、《辦法》出臺(tái)的重要意義
第一,《辦法》的出臺(tái)有利于推動(dòng)《個(gè)人信息保護(hù)法》更好實(shí)施。《個(gè)人信息保護(hù)法》第三十八條規(guī)定了個(gè)人信息處理者向境外提供個(gè)人信息的三個(gè)途徑,即安全評(píng)估、個(gè)人信息保護(hù)認(rèn)證、標(biāo)準(zhǔn)合同以及其他條件?!掇k法》正文對(duì)“標(biāo)準(zhǔn)合同”途徑下的個(gè)人信息出境要求作了詳細(xì)規(guī)定,明確了個(gè)人信息出境標(biāo)準(zhǔn)合同的適用范圍、訂立條件和備案要求;附件列出了標(biāo)準(zhǔn)合同的基本條款,將法律規(guī)范轉(zhuǎn)化為合同規(guī)則。
第二,《辦法》的出臺(tái)有利于促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展和數(shù)據(jù)有序跨境流動(dòng)。《辦法》要求符合條件的個(gè)人信息處理者與境外接收方按照本辦法訂立個(gè)人信息出境標(biāo)準(zhǔn)合同并生效后即可出境個(gè)人信息,簡(jiǎn)化了個(gè)人信息出境的流程與環(huán)節(jié),為個(gè)人信息處理者提供了多元化的個(gè)人信息出境方式?!掇k法》附件提供了標(biāo)準(zhǔn)合同的范本,境內(nèi)個(gè)人信息處理者僅需要結(jié)合實(shí)際情況進(jìn)行填充完善,極大降低了境內(nèi)個(gè)人信息處理者的成本,解決了部分中小規(guī)模個(gè)人信息處理者專業(yè)人員不足的難題,便于其健康有序發(fā)展。
第三,《辦法》的出臺(tái)有利于提升個(gè)人信息出境活動(dòng)的規(guī)范化水平。一方面,《辦法》明底線劃紅線,指出合規(guī)方向,細(xì)化適用訂立標(biāo)準(zhǔn)合同的方式向境外提供個(gè)人信息的基本條件,明確個(gè)人信息影響評(píng)估和合同備案的基本要求。另一方面,《辦法》也亮規(guī)矩定責(zé)任,要求個(gè)人信息處理者對(duì)所備案材料的真實(shí)性負(fù)責(zé),違反規(guī)定依據(jù)《個(gè)人信息保護(hù)法》等法律法規(guī)處理;構(gòu)成犯罪的,依法追究刑事責(zé)任。
二、《辦法》的四大亮點(diǎn)
第一,平衡了安全與發(fā)展。個(gè)人信息跨境流動(dòng)對(duì)于引領(lǐng)數(shù)字經(jīng)濟(jì)全球化發(fā)展具有重要作用,有利于做大、做強(qiáng)、做優(yōu)我國(guó)數(shù)字經(jīng)濟(jì)。《辦法》堅(jiān)持自主締約與備案管理相結(jié)合,防范個(gè)人信息出境后因泄露、損毀、篡改、濫用等可能對(duì)個(gè)人信息權(quán)益帶來(lái)的風(fēng)險(xiǎn),落實(shí)多元化個(gè)人信息出境模式,豐富個(gè)人信息保護(hù)監(jiān)管方式和手段,保障個(gè)人信息跨境安全、自由流動(dòng),有利于充分發(fā)揮數(shù)據(jù)要素對(duì)于高質(zhì)量發(fā)展的重要推動(dòng)作用,引領(lǐng)數(shù)字經(jīng)濟(jì)全球化發(fā)展。
第二,織密了數(shù)據(jù)出境制度。一方面,《辦法》與《數(shù)據(jù)出境安全評(píng)估辦法》互為補(bǔ)集、互相銜接,為“非關(guān)鍵、小規(guī)模”的個(gè)人信息出境提供了詳細(xì)規(guī)范,進(jìn)一步織密了個(gè)人信息出境管理制度。另一方面,《辦法》附件的標(biāo)準(zhǔn)合規(guī)范本在合同雙方之外,還對(duì)向境外的第三方提供個(gè)人信息提出了約束性要求,并對(duì)受個(gè)人信息處理者委托處理個(gè)人信息,轉(zhuǎn)委托第三方處理的情形作出規(guī)定,進(jìn)一步筑牢了個(gè)人信息權(quán)益保護(hù)“防火墻”。
第三,創(chuàng)新了個(gè)人信息保護(hù)監(jiān)管機(jī)制。《辦法》充分體現(xiàn)了依法治理、綜合治理的理念,一方面創(chuàng)造性地將合同這一意思自治形式吸收成為新的監(jiān)管手段,在對(duì)個(gè)人信息處理者提出管理要求的同時(shí),也留出了充足的創(chuàng)新空間;另一方面充分地把合規(guī)要求融入個(gè)人信息保護(hù)要求,除了將采取的技術(shù)措施列為個(gè)人信息評(píng)估的重點(diǎn)內(nèi)容,還在附件的合同范本中,為個(gè)人信息處理者采取加密、匿名化、去標(biāo)識(shí)化、訪問(wèn)控制等技術(shù)和管理措施作出引導(dǎo)。
第四,突出了個(gè)人信息主體權(quán)益實(shí)現(xiàn)。《辦法》除了將《個(gè)人信息保護(hù)法》確立的個(gè)人信息主體權(quán)益列入合同范本正文,還重視境外接收方所在國(guó)家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)對(duì)我國(guó)個(gè)人信息主體權(quán)益的影響,把相關(guān)政策法規(guī)發(fā)生變化等可能影響個(gè)人信息權(quán)益的情形,作為觸發(fā)重新開(kāi)展個(gè)人信息保護(hù)影響評(píng)估、補(bǔ)充或者重新訂立標(biāo)準(zhǔn)合同的重要條件。此外,《辦法》也充分體現(xiàn)了對(duì)“無(wú)救濟(jì)就無(wú)權(quán)利”原則的重視,把“救濟(jì)”作為合同范本的一條,要求境外接收方確定接受詢問(wèn)或投訴的聯(lián)系人,并載明聯(lián)系方式;明確境外接收方接受個(gè)人信息主體通過(guò)向監(jiān)管機(jī)構(gòu)投訴和提起訴訟等方式維護(hù)權(quán)利;申明合同雙方同意個(gè)人信息主體所作的維權(quán)選擇,不會(huì)減損個(gè)人信息主體根據(jù)其他法律法規(guī)尋求救濟(jì)的權(quán)利。
三、加強(qiáng)監(jiān)管和合規(guī),更好實(shí)施《辦法》
第一,加強(qiáng)個(gè)人信息保護(hù)監(jiān)管執(zhí)法。建議網(wǎng)信部門(mén)加大指導(dǎo)、引導(dǎo)、督促力度,推動(dòng)境內(nèi)個(gè)人信息處理者積極開(kāi)展評(píng)估、備案,監(jiān)督個(gè)人信息處理者業(yè)務(wù)開(kāi)展中涉及個(gè)人信息出境的合同等法律文件,對(duì)未履行備案程序或者提交虛假材料進(jìn)行備案的、未履行標(biāo)準(zhǔn)合同約定的責(zé)任義務(wù)并侵害個(gè)人信息權(quán)益造成損害的依法追究法律責(zé)任。
第二,個(gè)人信息處理者應(yīng)對(duì)照《辦法》要求做好合規(guī)。個(gè)人信息處理者應(yīng)當(dāng)加強(qiáng)對(duì)《辦法》的學(xué)習(xí),對(duì)照《辦法》要求,用好通過(guò)訂立標(biāo)準(zhǔn)合同的方式開(kāi)展個(gè)人信息出境活動(dòng)。首先,應(yīng)當(dāng)盡快梳理自身數(shù)據(jù)資產(chǎn)和出境數(shù)據(jù)規(guī)模,識(shí)別是否具備《辦法》適用情形。其次,按照《辦法》要求,在向境外提供個(gè)人信息前嚴(yán)格開(kāi)展個(gè)人信息保護(hù)影響自評(píng)估,重點(diǎn)評(píng)估個(gè)人信息出境的目的、范圍、方式及其合法性、正當(dāng)性、必要性,通過(guò)出境個(gè)人信息的數(shù)量、范圍、種類、敏感程度來(lái)判斷其所可能產(chǎn)生的風(fēng)險(xiǎn),明確境外接收方承諾承擔(dān)的責(zé)任義務(wù)、管理能力、技術(shù)措施以及境外接收方所在國(guó)家或者地區(qū)的個(gè)人信息保護(hù)政策法規(guī)。再者,應(yīng)當(dāng)按照《辦法》附件與境外接收方簽署標(biāo)準(zhǔn)合同,并將標(biāo)準(zhǔn)合同與影響評(píng)估報(bào)告在標(biāo)準(zhǔn)合同生效之日起10個(gè)工作日內(nèi)向所在地省級(jí)網(wǎng)信部門(mén)備案。
第三,發(fā)展應(yīng)用法律科技,賦能監(jiān)管與合規(guī)。隨著人工智能、大數(shù)據(jù)等技術(shù)的進(jìn)一步發(fā)展,利用“法律+科技”的手段實(shí)現(xiàn)監(jiān)管與合規(guī)的自動(dòng)化、智能化,符合數(shù)字經(jīng)濟(jì)發(fā)展和數(shù)字政府建設(shè)的新方向、新趨勢(shì)??梢蚤_(kāi)發(fā)快速審查個(gè)人信息出境標(biāo)準(zhǔn)合同、影響評(píng)估報(bào)告的監(jiān)管工具,助力實(shí)現(xiàn)備案監(jiān)管的智慧化、精準(zhǔn)化、全時(shí)化,提高監(jiān)管能力和水平。通過(guò)技術(shù)對(duì)數(shù)據(jù)收集、存儲(chǔ)、加工、使用、傳輸、刪除等全生命周期進(jìn)行可視化管理,自動(dòng)分析企業(yè)數(shù)據(jù)資產(chǎn)與合規(guī)風(fēng)險(xiǎn),根據(jù)分類分級(jí)等規(guī)則自動(dòng)識(shí)別個(gè)人信息的數(shù)量、范圍、種類、敏感程度,保障個(gè)人信息處理目的、范圍、方式等的合法性、正當(dāng)性、必要性,助力低成本、高效率完成《辦法》所要求的個(gè)人信息保護(hù)影響評(píng)估。(作者:周輝 中國(guó)社會(huì)科學(xué)院法學(xué)研究所網(wǎng)絡(luò)與信息法研究室副主任)