数据跨境流动加速了各国产业与经济的数字化转型进程,推动全球数据跨境流动合作已经成为国际社会共同的意愿和选择,探索全球数字领域规则和秩序是当下新形势。制定《个人信息出境个人信息保护认证办法(征求意见稿)》(以下简称《办法》)是为了贯彻落实《中华人民共和国个人信息保护法》(以下简称《个保法》)要求,进一步完善数据出境安全管理制度,对于促进个人信息高效便利安全跨境流动具有重要意义,也为促进数字经济贸易发展和国际合作提供保障。
一、总体考虑
《办法》切实贯彻《个保法》要求,全面梳理有关规定并做好衔接,统筹高质量发展和高水平安全,从市场需求出发推进个人信息出境个人信息保护认证工作规范化、制度化、市场化。
(一)处理好《办法》与现行法律法规的关系
制定《办法》是为了落实《个保法》第三十八条规定。明确了本《办法》即《个保法》中的“国家网信部门的规定”;明确了个人信息出境个人信息保护认证是针对个人信息处理者向境外提供个人信息开展的个人信息保护认证活动,即《个保法》中的“个人信息保护认证”在个人信息出境情形下的适用。本《办法》和《数据出境安全评估办法》《个人信息出境标准合同办法》共同构筑了我国数据跨境管理制度体系设计的三种路径,在《促进和规范数据跨境流动规定》已明确规定各自的适用范围。
(二)处理好个人信息出境情形中安全和发展的关系
《办法》在为个人信息处理者提供个人信息出境高效便利的基础上,还要兼顾个人信息出境活动的安全监管。监管则主要体现在对认证机构的规范和约束,制度设计上也充分考虑了避免对个人信息处理者的压力传导,通过对认证机构的规范,并在不额外增加企业负担的基础上,有效保障个人信息的安全跨境传输。
(三)坚持问题导向,充分考虑市场发展需求
《办法》围绕个人信息出境活动,明确个人信息出境个人信息保护认证和个人信息保护认证之间的关系,切实解决如何降低合规成本、认证怎么评定、认证机构怎么管理、境外组织如何适用等实践中的问题,更好地服务个人信息处理者,在合法合规的前提下充分满足相关组织机构个人信息出境需求,指导、规范个人信息出境活动。
二、重要意义
《办法》定位部门规章,共计20条,明确了个人信息出境个人信息保护认证的总体设计,规定了个人信息出境个人信息保护认证机构备案制度,细化了个人信息出境个人信息保护认证的认证落地实施和监督管理方面的具体要求,规范认证机构和引导行业自律,促进数字经济和推动国际合作,对于护航数字贸易发展具有重要意义。
(一)规范认证机构
《办法》明确细化了个人信息出境个人信息保护认证机构的职责,引导和规范认证机构依法依规提供高质量认证服务,为个人信息处理者开展个人信息出境活动提供更为高效便利安全的路径选择。首先明确《个保法》中的“专业机构”是依法设立并经国家市场监督管理部门批准取得个人信息保护认证资质的专业机构;其次明确了认证机构开展个人信息出境个人信息保护认证活动需要向国家网信部门备案;最后还明确了认证机构的责任和义务,包括重大事件报告、信息报送和配合监管的义务,包括保障服务质量以及对获证组织个人信息出境活动进行监督的职责,当然还包括保密责任。
(二)引导行业自律
《办法》明确个人信息出境个人信息保护认证遵循自愿性、市场化、社会化的服务原则,认证活动依据统一标准、统一规则、统一标识。《办法》明确认证内容要点,评定内容聚焦确保境外个人信息处理者处理个人信息的活动达到和境内个人信息处理者同等的个人信息保护标准。鼓励以市场方式引导个人信息处理者自愿申请认证,通过合格评定,取得认证证书,并维持证书有效性。认证活动全过程,需要个人信息处理者积极发挥主观能动性,自愿选择是否通过认证这种方式进行出境,自主拟定什么场景和什么范围进行申请和验证,以至于自觉采用什么技术手段来符合标准要求,是一种主动合规行为,从而形成一种行业自律的机制。
(三)促进数字经济
《办法》统筹发展和安全,注重促发展的市场需求、导向,深化“放管服”改革精神,制度设计为个人信息出境个人信息保护认证活动创造三个方面的便利:一是境内、境外个人信息处理者任一方都可以申请认证,在自由度和开放性方面有制度性突破;二是境内、境外个人信息处理者任一方获得认证,即可开展个人信息出境活动,更加便捷高效;三是与个人信息保护认证衔接,简化认证程序,节省部分评定指标重复验证的时间和费用成本。既“放得活”又“管得住”,有利于构建“供得出、流得动、用得好、保安全”的数据生态,为数字经济发展提供活力。
(四)推动国际合作
《办法》充分考虑到数据跨境国际规则制定需要,以及数据流通共享的国际市场需求,对于稳外贸、稳外资,扩大高水平对外开放,积极发展数字贸易具有积极作用。一是国际上个人信息跨境规则体系中,认证制度的选择是一种较为成熟的通行做法,如《通用数据保护条例》(GDPR)框架下的数据跨境传输认证,亚太经合组织框架下的跨境隐私规则(CBPR)认证体系。制定《办法》是我国在推动个人信息跨境国际互认、促进数字贸易国际合作的尝试中迈出的坚实一步。二是国际社会正在探索形成全球数字领域规则秩序。联合国制定发布《全球数字契约》(GDC)、世贸组织电子商务谈判以及《全面与进步跨太平洋伙伴关系协定》(CPTPP)、《数字经济伙伴关系协定》(DEPA)等多双边实践正在开展。制定《办法》是主动对接国际高标准经贸规则的需要,也是探索数据跨境流动治理与国际规则衔接机制的努力。
三、创新举措
《办法》充分借鉴国外通行做法和实践中有益经验,制度设计具有鲜明的系统性、开放性、创新性,特别是在为企业降低合规成本方面提出了诸多创新举措。
(一)境内境外个人信息处理者均可申请认证
《办法》明确境外个人信息处理者也可以申请认证是借鉴了GDPR的做法。这种制度上的安排为个人信息处理活动提供了很好的便利性和开放性,符合国际经贸规则的平等性要求。
(二)境内境外个人信息处理者任意一方通过认证即可
在《办法》设计的认证制度下,境内境外个人信息处理者任意一方申请并通过认证后,在认证范围内和认证有效期内,无论是由境内方还是境外方发起,个人信息都可以合法出境流动,这就要求个人信息处理者对认证范围明确圈定。这种制度设计特别利好的是跨国公司等一对多或者多对一的出境传输场景,将大大节省合规成本。
(三)认证机构备案机制
《办法》明确开展个人信息出境个人信息保护认证的专业认证机构应当向国家网信部门办理备案手续,主要提交资质证明、经验案例、实施细则等材料,要求建立数据安全风险防范、获证后持续监督、争议受理解决等机制。需要特别指出的是该备案机制并非许可审批,而是对认证机构的监督管理要求,是对认证结果负责的需要,对社会负责的需要。 (作者:国家计算机网络应急技术处理协调中心高级工程师 王晖)
来源: “网信中国”微信公众号
审核:郦陈雪
编发:马 凯
素材整理:吕昕洺、施娇娇
