论个人信息出境认证与安全评估、标准合同的关系

文│中央财经大学副教授 张金平

个人信息跨境流动是当今数字经济全球化的常态，同时个人信息保护也是国际共识，《全面与进步跨太平洋全面伙伴关系协定》(CPTPP)、《区域全面经济伙伴关系协定》（RCEP）和《数字经济伙伴关系协定》（DEPA）等多边条约都对成员的个人信息保护作出明确要求。我国《个人信息保护法》在设计个人信息跨境提供（简称“出境”）监管制度时，结合国内监管需求和国际监管经验，在第 38 条第 1 款规定了个人信息出境安全评估、认证和标准合同的三种主要合法出境的方式。目前，国家互联网信息办公室已经出台《数据出境安全评估办法》，并公布《个人信息出境标准合同规定（征求意见稿）》。同时，全国信息安全标准化技术委员会秘书处也发布 TC260-PG-20222A《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》（征求意见稿 2.0）（简称“《认证规范》”）。那么，个人信息跨境处理活动安全认证（简称“出境认证”）与安全评估、标准合同之间的关系亟需明确，便于出境认证制度的推广和执行。

一、出境认证与安全评估、标准合同具有共通之处

出境认证与安全评估、标准合同在目的、理论基础、事后监督方面具有相同之处。首先，在目的方面，三者的规制目的都是落实《个人信息保护法》第 38 条第 3 款，即判断个人信息处理者是否能够确保境外接收方对所接收个人信息提供了符合该法所规定的保护水平（下称“同等保护”）。换言之，个人信息处理者通过了出境认证、安全评估，或者与境外接收方签订标准合同，都能确认境外接收方提供了同等保护，依法可以将个人信息跨境提供。

同时，三者实施的理论基础也是相同的，即个人信息处理者必须遵守公认的责任原则。从《OECD 指南》《108 号公约》到《APEC 隐私框架》，国际上普遍认可的个人信息保护都以个人信息处理基本原则为框架，并以其中的责任原则驱动其他原则的落实。责任原则的核心要求是个人信息处理者要为自己的个人信息处理行为负责，包括将个人信息跨境提供给境外接收方。类似地，我国《个人信息保护法》第九条规定个人信息处理者应当对其个人信息处理活动负责。因此，出境认证、安全评估和标准合同都是以责任原则为理论基础，审查和评估个人信息处理者是否采取了合理措施、履行其在个人信息向境外提供情形下应当尽到的法律责任。

最后，个人信息处理者通过安全评估、出境认证或者签订标准合同之后，仅仅完成出境前的合规要求，都仍要根据责任原则持续采取措施，监督境外接收方是否对所接收个人信息持续提供同等保护。在具体监督方式上，《个人信息保护法》第五十四条规定，个人信息处理者应当定期合规审计其处理个人信息遵守法律、行政法规的情况。因此，个人信息处理者这里所要持续采取的监督措施主要就是对境外接收方的后续个人信息处理进行合规审计。

二、出境认证与安全评估、标准合同在具体实施方面有所不同

首先，适用的范围不同。《个人信息保护法》第三十八条仅列举安全评估、出境认证和标准合同是个人信息合法出境的条件之一，并未明确三者适用范围的关系，三者似乎是平等适用关系。不过，该法第四十条规定，关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者的个人信息出境原则上应当通过安全评估。其中，“国家网信部门规定数量的个人信息处理者”已通过《数据出境安全评估办法》第四条加以明确。目前，《个人信息出境标准合同规定（征求意见稿）》第四条规定了未达到安全评估的个人信息出境情形都可以通过签订标准合同的形式进行合法出境。相比之下，《认证规范》将出境认证的范围扩展至所有个人信息处理者开展个人信息跨境处理活动。换言之，只要企业开展个人信息出境活动都可以申请出境认证。这样的定位实际上是回归认证的原本功能，即体现企业对个人信息的高水平保护，因此任何有个人信息出境需求的企业都可以通过该认证体现其在个人信息处理尤其是跨境处理方面的高水平保护。

其次，审查的主体不同。虽然三者都是在审查或评估个人信息处理者是否履行个人信息出境方面的责任原则要求，但具体审查的主体有所不同。安全评估的审查主体是网信部门，其中省级网信部门对申请材料进行形式审查，国家网信部门对申请材料进行实质审查并作出是否可以出境的决定。出境认证的审查主体是国家网信部门认可的专业机构，该专业机构不是政府机构，而是市场化运营的组织。相比之下，标准合同机制下的审查主体是向境外提供个人信息的个人信息处理者自己。值得注意的是，这三种审查都是相应主体在个人信息出境前进行的审查或评估，与事后的国家监督（或安全评估中的国家事后持续监督）并不冲突。

再者，审查的依据和侧重点有所不同。虽然三者最根本的审查依据是《个人信息保护法》，但三者都要遵守各自细化的审查依据。安全评估的审查依据是《数据出境安全评估办法》，侧重审查个人信息出境风险、个人信息处理者和境外接收方有关个人信息保护责任分配的约定、境外接收方所在国法律环境对境外接收方遵守约定的影响。相比之下，出境认证的审查目前而言依据的是全国信息安全标准化技术委员会发布的《认证规范》，主要考察的是个人信息处理者个人信息处理的内部管理体系（包括组织管理、个人信息处理基本规则、个人信息跨境出境规则等），个人信息处理者与境外接收方存在的关联关系以及该关系对个人信息处理者对境外接收方进行监督和责任承担方面的便利安排。值得注意的是，今年 11 月 4 日，国家市场监管总局、国家互联网信息办联合发布了《个人信息保护认证实施规则》，明确了个人信息出境认证的依据、模式、实施程序、认证证书有效期等规则。在标准合同机制下，个人信息处理者的审查依据并非自己确定，而是由国家网信部门通过标准合同具体条款加以明确，如第三方受益人条款要求个人信息处理者审查境外接收方是否同意个人信息主体可以作为第三方受益人向其主张权利。

最后，审查决定的性质不同。根据《数据出境安全评估办法》第三条的“风险自评估和安全评估相结合”原则，安全评估的法律属性是行政确认，是行政主体（国家网信部门）依法对行政相对人（个人信息处理者）是否采取合理措施确保境外接收方提供同等保护进行甄别，给予确定、认定、证明并予以宣告的具体行政行为。相比之下，认证机构作出的个人信息处理者满足认证要求的决定不是行政确认，而是由认证机构证明该个人信息处理者在个人信息处理尤其是个人信息跨境保护方面所采取的技术、管理和制度措施等方面符合相关技术规范或者标准的合格评定活动。在标准合同机制下，个人信息处理者按照标准合同要求审查境外接收方能否提供同等保护要求后与其签订标准合同，并依法进行标准合同备案时，也就相当于做出了自我审查决定。该自我审查决定在性质上属于自我提供了个人信息出境合规的证据，其证明力要比认证机构的认证决定和国家网信部门的安全评估决定相对要弱，但仍符合我国个人信息出境制度的合规要求。

三、出境认证与安全评估和标准合同的内在协调关系

在全球数字经济当中，个人信息跨境流动频繁而多样，包括了跨国企业为统一人力资源管理而进行的员工个人信息跨境流动，也包括了企业为因服务客户而进行的消费者个人信息跨境流动。因此，为了有效平衡不同个人信息跨境需求下的个人信息安全和经济发展的两大利益，多元互补的个人信息出境合法机制更为科学、合理。

首先，三者的适用范围在现有制度下仍有可能存在交叉和重叠。在判断三者适用范围的关系时，我们容易忽略《个人信息保护法》第四十条的但书规定，从而误认为达到安全评估门槛的都必须申报安全评估。然而，该但书规定为豁免安全评估预留了制度空间，“法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定”。尽管国家网信部门在制定《数据出境安全评估办法》时未同步明确安全评估的豁免情形，但仍有权在未来通过其他规定设定豁免情形。目前而言，全国信息安全标准化技术委员会秘书处在《认证规范》中对出境认证的适用范围未做限制，但个人信息出境的情形达到安全评估门槛时是否仅通过出境认证即可合法出境，目前《个人信息保护认证实施规则》尚未明确，仍有待国家网信部门综合《数据出境安全评估办法》和《个人信息保护法》第四十条的但书规定作出最终决定，例如符合安全评估的特定情形通过出境认证即可合法出境，从而在效果上创设安全评估的豁免情形。同理，依据《个人信息保护法》第四十条但书规定，国家网信部门在出台正式的《个人信息出境标准合同规定》时，也可以考虑将符合安全评估的特定情形规定为签订标准合同即可合法出境。

其次，出境认证属于第三方专业认证，任何个人信息处理者都可以自愿委托依法设立的个人信息出境认证机构进行出境认证。按照我国《认证认可条例》第十八条的规定，认证遵循自愿原则，任何法人、组织和个人可以自愿委托依法设立的认证机构进行产品、服务、管理体系认证。出境认证也应当遵循《认证认可条例》的自愿原则，只要个人信息处理者自愿申请出境认证，认证机构都应当依法依规对其认证申请进行受理和评审。值得注意的是，当出境个人信息达到一定数量或者境外接收方所在国家或地区的法律环境变化时，个人信息出境风险可能会发生质变，以至于个人信息处理者通过自身内部的管理和技术措施调整和优化仍未能有效控制该出境风险。此时个人信息处理者通过出境认证后，可能还会被要求申报个人信息出境安全评估。

最后，个人信息处理者在申请出境认证时，必须和境外接收方签订合同明确各自的权利与义务，但并不排除当事人可以直接选择用标准合同。标准合同是国家为了便利中小企业个人信息出境而制定的个人信息出境机制。具体而言，国家网信部门在制定标准合同具体条款时，综合个人信息出境的风险、个人信息处理者和境外接收方的个人信息安全保障能力、个人信息主体维权困难等，事先拟定了个人信息处理者和境外接收方对出境个人信息的权利和义务的分配机制。一旦个人信息处理者和境外接收方在个人信息出境时自愿选择签订标准合同，则国家网信部门事先拟定的标准合同具体条款自动转化为双方的自愿约定，进而成为约束双方的有效法律机制。至于双方签订标准合同是否可以直接合法开展个人信息出境，仍然需要根据标准合同规定来确定。因此，个人信息处理者在申请出境认证时，也可自愿与境外接收方签订标准合同，并以此作为双方在个人信息出境方面的权利和义务安排。应当强调的是，个人信息处理者申请认证时选择签订标准合同作为约束境外接收方的法律机制，应当全面审查和明确其个人信息出境评价要求与标准合同条款有关要求相冲突时的解决方案，而认证机构则需要重点评判该解决方案是否能够确保境外接收方提供同等保护。

总而言之，在《个人信息保护法》的制度框架和责任原则的理论框架下，出境认证与安全评估、标准合同可以形成多元互补的关系，从而在整体上构建起宽严相济的个人信息出境监管制度。

（本文刊登于《中国信息安全》杂志2022年第12期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。