作者:刘东下一代互联网国家工程中心主任

2022年11月18日,为贯彻落实《中华人民共和国个人信息保护法》有关规定,根据《中华人民共和国认证认可条例》,国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证,鼓励个人信息处理者通过认证方式提升个人信息保护能力。官方公告:《关于实施个人信息保护认证的公告》

随着互联网在全球的普及和数字经济在全球的发展,数据跨境流动已经成为各个国家和地区重点关注的议题。个人信息的跨境流动同时具备个人权益保护、企业合规发展和各国监管合作与博弈三个维度,各国和地区近年来对个人信息的跨境流动高度重视,相继出台和完善法律规则和监管框架。对此,我国《个人信息保护法》建立了既能化解风险、又可面向全球的个人信息跨境流动制度体系。国家市场监督管理总局、国家互联网信息办公室制定的《个人信息保护认证实施规则》中关于个人信息跨境提供认证制度的规定,明确了《个人信息保护法》第三十八条第二款规定的“按照国家网信部门的规定经专业机构进行的个人信息保护认证”的适用情形、基本原则、基本要求等规定,对保护个人信息主体权益、促进数字经济发展具有重要意义,是我国个人信息跨境流动制度体系进一步完善的重要标志。

认证制度是个人信息跨境流动的国际通行实践

认证制度是国际上广泛使用的监管个人信息跨境流动的实践。目前,国际上运行的认证机制有单边、双边和多边三种类型。

单边认证机制以欧盟《一般数据保护条例》规定的主要适用于跨国公司等联合经济体的有约束力的公司准则(Binding Corporate Rules)和主要适用于行业领域的行为守则(Codes of Conducts)为典型:企业制定的有约束力的公司准则或行业制定行为守则需要取得监管机构的认可,企业和行业按照认可后的规则开展个人信息跨境处理活动,并承担相应的法律责任。

双边认证机制以美国和欧盟之间已失效的“安全港”和“隐私盾”协议为代表:美欧政府签署协议,固化个人数据的保护原则。美国企业向美国商务部申请认证,自证符合协议中的保护原则,并由美国联邦贸易委员会(FTC)来执法。

多边认证机制以美国主导的“全球跨境隐私规则”(Global Cross-Border Privacy Rules System,以下简称“CBPRs”)代表。CBPRs最早在APEC框架下提出:如果位处于不同国家的不同公司,统一承诺并遵循“APEC隐私框架”提出的九大个人数据保护原则,则个人数据在这些公司之间流动就应该不受阻碍。

无论是单边还是双多边模式的个人信息跨境流动认证机制,其核心始终是两个部分:(1)个人信息出境后应当继续适用的个人信息跨境处理规则;(2)确保个人信息跨境处理规则切实落实的执行机制。个人信息跨境处理规则划定了个人信息出境后保护水平的基准线;而规则的执行机制则确保了个人信息保护水平的实质性落地。

我国认证制度与国际通行实践相衔接

我国认证制度同样由个人信息跨境处理规则及其落地执行机制两个部分组成。

就出境后应当继续适用的个人信息跨境处理规则而言,认证制度的基本要求之一是开展个人信息跨境处理活动的处理者和境外接收方须遵守统一的个人信息跨境处理规则。个人信息跨境处理规则具体包括“跨境处理个人信息的基本情况,目的、方式和范围;个人信息境外存储的起止时间及到期后的处理方式;跨境处理个人信息需要中转的国家或者地区;保障个人信息主体权益所需资源和采取的措施;个人信息安全事件的赔偿、处置规则”等事项,划定了个人信息出境后保护水平的基准线。

就确保个人信息跨境处理规则落实的执行机制而言,认证制度对开展个人信息跨境处理活动的个人信息处理者和境外接收方提出了签订具有法律约束力和执行力的文件、指定个人信息保护负责人和设立个人信息保护机构、开展个人信息保护影响评估等要求,并明确了个人信息处理者和境外接收方的责任义务以保障个人信息主体权益。这些规定从法律层面的协议约束和管理层面的角色设置等维度有效确保了个人信息跨境处理规则的落实。

我国认证制度能够有效化解个人信息跨境流动的风险

个人信息跨境流动往往伴生着法律和监管环境发生的变化,并由此衍生出四个风险方面的变化:一是数据持有方发生变化,不同主体对数据的保护能力必然不尽一致;二是数据流出后适用的法律法规发生不同;三是原境内监管机关无法对接收数据的境外主体实施管辖权;四是个人信息主体维护自身合法权益的渠道变少且变得更加困难。认证制度能够有效化解这四个方面的风险。

其一,认证制度要求境外接收方承诺并遵守统一的个人信息跨境处理规则,确保个人信息保护水平不低于我国个人信息保护相关法律、行政法规规定的标准,对齐了个人信息处理者和境外接收方的数据保护能力。

其二,认证制度要求境外接收方与个人信息处理者签订有法律约束力和执行力的协议,并承诺接受中国个人信息保护相关法律、行政法规管辖,确保了出境后的个人信息处理行为能够持续适用我国法律法规。

其三,认证制度要求境外接收方承诺接受中国认证机构对个人信息跨境处理活动的监督、明确在中国境内承担法律责任的组织等,为境内监管机关的域外管辖提供了切实保障。

其四,认证制度在《个人信息保护法》的基础上细化了个人信息主体权利的规定,并对个人信息处理者和境外接收方响应个人信息主体权利行使和法律赔偿责任承担等做出规定,从而为个人信息主体行使权利提供了渠道和保障。

对认证制度适用前景的展望

总体而言,认证制度作为我国个人信息出境制度之一,既能够有效化解个人信息跨境流动的风险,又为企业合规提供了可预期的稳定法律机制,有助于我国企业参与全球数字经济市场,提高我国数字经济竞争力。而且,作为与国际接轨的个人信息跨境流动制度认证制度还为未来的国际合作留下了充足的空间。展望未来,我国可以粤港澳大湾区这一“跨法域”的场景下首先建立三地监管机构认可个人信息跨境流动认证规则,继而以此为基础打通与东盟、“一带一路”沿线国家和地区等的个人信息跨境流动渠道,构建多边个人信息跨境流动认证机制,从而参与和引领国际数据跨境流动治理体系,推动全球数据跨境流动治理体系朝着更加公正合理的方向迈进。

声明:本文来自数据信任与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。