《个人信息跨境处理活动认证技术规范（征求意见稿）》要点评析

///

4月29日，信息安全标准化技术委员会发布《网络安全标准 个人信息跨境处理活动认证技术规范（征求意见稿）》，本文拟从可实施性、适用情形、基本原则和要求等方面解读。

作者：蔡荣伟 陈坤

2022年4月29日，信息安全标准化技术委员会发布《网络安全标准 个人信息跨境处理活动认证技术规范（征求意见稿）》（“《规范（征求意见稿）》”），向社会公开征求意见，旨在对个人信息跨境处理活动中的认证机制做出指引。

一

《个保法》的个人信息跨境提供条件及可实施性

《个人信息保护法》（“《个保法》”）第38条规定了个人信息跨境提供所需满足的前提条件之一为“按照国家网信部门的规定经专业机构进行个人信息保护认证”。《规范（征求意见稿）》旨在明确这种认证机制（“认证机制”）下，认证适用的情形、专业机构进行认证的依据，以及通过认证所需要遵守的规则。除认证机制外，第38条所规定的其他条件尚处于不可实施状态。

二

认证机制适用的情形和认证主体

《规范（征求意见稿）》对认证机制适用的情形、申请认证和承担责任的主体做了如下要求：

关于本部分规定，我们认为需要关注如下内容：

1、跨国公司等内部适用情形

这一适用情形下，个人信息跨境传输活动中涉及的境内外各方组成了跨国公司，或者属于同一经济、事业实体。例如，总部位于中国境外的跨国公司为了集团的统一管理，需要获取位于中国境内子公司的员工个人信息。

此种适用情形在一定程度上参照了欧盟GDPR规定中“约束性公司规则”（Binding Corporate Rules，“BCR”）的要求，为集团经济实体内部的个人信息跨境活动提供了一个合规选项。

2、境外个人信息处理者适用情形

与BCR不同的是，认证机制还适用于《个保法》第3条第2款规定的境外个人信息处理者。

1）该种适用情况似乎指明，中国境外的个人信息处理者，例如某境外电商平台从境外直接收集中国用户的个人信息，仍然要遵守《个保法》第三章“个人信息跨境提供”的相应规则。即使不选择认证机制作为个人信息跨境的前提条件，也需要满足《个保法》第38条的其他条件要求。

2）此外，《规范（征求意见稿）》将适用主体限定为“《个保法》第3条第2款规定的境外个人信息处理者”。需要注意的是，《个保法》对于个人信息处理者有明确定义——指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

也即，从文义上分析，如果在境外实体对所处理的个人信息不具备自主决定个人信息的处理目的和处理方式的权限，则不是认证机制所适用的境外主体。例如在中国境外为客户提供数据存储服务的云服务商，虽然涉及对个人信息的存储行为，但主要依据客户处理目的和处理方式的要求行事，并不具备自主决定权限。

3）更进一步，基于对“境外个人信息处理者”概念的理解，认证机制也许适用于如下情形：

• 从境外直接收集情形：境外实体作为个人信息处理者，直接从个人处收集个人信息的情形，如前文举例的境外电商平台。

• 共享情形：境外实体作为个人信息处理者，从境内另一个人信息处理者处获取个人信息的情形。例如，某境外企业开发普通话的语音识别技术，从中国境内提供语料库的企业获取中国大陆居民的语音数据。

• 共同处理者情形：境外实体与境内实体作为共同的个人信息处理者情形。例如，由中外合办的教育项目中，双方收集中国学生的个人信息共同用于学生的学业成绩评估和文凭颁发。

然而，对于后两种情形是否是认证机制创立所意欲涵盖的情形，以及境外实体在中国境内设置的专门机构或指定代表申请认证后，相关境内实体（不属于跨国公司等集团内，也非境外实体的境内机构或代表）是否也需要接受认证机制下相关规则的管理，抑或是还需要符合其他的个人信息出境条件，还有待立法的进一步明确或澄清。

3、申请主体和法律责任

对于申请认证的主体，《规范（征求意见稿）》规定可以由两种适用情形下的境内主体来申请，并由其承担法律责任。我们认为，这样规定主要是为了便于认证的实施、监管以及法律责任的追究，但不代表境外主体可以脱离认证机制的监督管理。

从《规范（征求意见稿）》的上下文的内容我们可以明确，参与个人信息跨境处理的相关方（我们理解，既包括境内主体也包括境外主体）均在认证机制的监督管理之下。《规范（征求意见稿）》规定个人信息跨境处理的相关方：1）均需要签署具有约束力、执行力的文件，并执行该文件规定的各项内容；2）均需要履行统一的个人信息跨境处理规则；3）均需要接受认证机构的监督，以及接受中国个人信息保护相关法律法规的管辖；4）均应指定个人信息保护负责人和设立个人信息保护机构。

三

认证机制不适用的情形

a. 按照法律、行政法规、部门规章有关规定，需要通过国家网信部门组织的安全评估的个人信息跨境处理活动，应当向国家网信部门申报安全评估。

b. 中国缔结或者参加的国际条约、协定对向中国境外提供个人信息的条件有规定的，按照其规定执行。

1、法律规定需要申报安全评估的情形不适用于认证机制。如《个保法》第40条规定的应当通过国家网信部门组织的安全评估的情形：

1）关键信息基础设施运营者向境外提供个人信息。

2）达到国家网信部门规定数量的个人信息处理者向境外提供个人信息。（“规定数量”的标准还有待生效法律文件进行明确。）

2、根据《规范（征求意见稿）》，对于部门规章中有要求申报安全评估的情形，也同样不适用于认证机制。如《国家健康医疗大数据标准、安全和服务管理办法(试行)》（国家健康委员会于2018年7月发布）要求责任单位（医疗机构）因业务需要确需向境外提供健康医疗大数据的，应按照相关法律法规及有关要求进行安全评估审核。

四

基本原则

《规范（征求意见稿）》提出了六项基本原则，从内容来看，这些原则是对于参与个人信息跨境传输的各方的概括性要求。其中大部分原则为《个保法》所规定的内容（如公开、透明原则，信息质量原则，同等保护原则）。此外，有如下基本原则的内容值得关注。

1、合法、正当、必要和诚信原则

合法、正当、必要和诚信原则。个人信息直接关系到信息主体的人格尊严，跨境个人信息处理应当满足法律法规的规定，严格按照法定目的并采取对个人信息权益影响最小的方式处理个人信息，严守合同、协议等具有法律效力文件的约定和承诺，不随意违背约定、承诺损害个人信息主体的合法权益。

除我们普遍理解的个人信息处理者在收集使用个人信息时应当遵守该原则外，《规范（征求意见稿）》还强调个人信息跨境处理活动中的相关方应当遵守相互之间签订的合同、协议等具有法律效力文件。

相关方之间签署的文件本应是各方之间意思自治的范畴，以及违约责任也一般按照双方约定的方式进行救济。但由于《规范（征求意见稿）》“基本要求”规定了相关方之间签署文件所应具备的基本内容，且这些内容与个人信息主体的权益十分相关，相关方违反协议不仅是违约行为，更可能对个人的权益造成不利影响。基于此，《规范（征求意见稿）》将相关方的履约行为也纳入了基本原则的管理要求之下，相关方之间的违约行为也可能被认定是对个人信息主体权益造成损害的行为。

2、自愿认证原则

自愿认证原则。个人信息跨境处理活动认证属于国家推荐的自愿性认证，鼓励符合条件的个人信息跨境活动相关方自愿申请个人信息跨境处理活动认证，充分发挥认证在加强个人信息保护、提高个人信息跨境处理效率的作用。

对于符合认证机制适用情形的主体，《规范（征求意见稿）》鼓励自愿申请认证。因此，认证并非强制要求。但对于不选择认证机制的主体，还是需要符合《个保法》第38条其他项条件方可进行个人信息跨境传输。

五

基本要求

在基本要求部分，《规范（征求意见稿）》对于个人信息跨境处理活动的相关方提出了四个方面的要求，我们的总结和分析如下。

1、相关方之间签署具有法律约束力和执行力的文件

参与个人信息跨境处理活动的相关方之间应当签订具有法律约束力和执行力的文件，确保个人信息主体权益得到充分的保障。文件应当至少明确下列内容：

a）参与个人信息跨境处理活动的相关方；

b）跨境处理个人信息的目的以及个人信息的类别、范围；

c）个人信息主体权益保护措施；

d）各相关方承诺并遵守统一的个人信息处理规则，并确保个人信息保护水平不低于中华人民共和国个人信息保护相关法律、行政法规规定的标准；

e）各相关方承诺接受认证机构监督；

f）各相关方承诺接受中华人民共和国个人信息保护相关法律、行政法规管辖；

g）明确在中华人民共和国境内承担法律责任的组织机构；

h）其他应当遵守的法律、行政法规规定的义务。

其中，关于“个人信息主体权益保护措施”的内容可以参照《规范（征求意见稿）》第5条个人信息主体权益保障的要求拟定。

《规范（征求意见稿）》第4.3条（见下文）也对“统一的个人信息处理规则”所需要具备的内容作了规定。

此外，还需要注意的是，《规范（征求意见稿）》要求相关方之间签署的文件（如合同、协议）中承诺接受认证机构的监督，以及接受中国个人信息保护相关法律法规的管辖。

2、指定个人信息保护负责人、设立个人信息保护机构

《规范（征求意见稿）》第4.2条要求参与个人信息跨境处理活动的相关方均应指定个人信息保护负责人，以及设立个人信息保护机构。对于个人信息保护负责人，《规范（征求意见稿）》要求应由具备专业知识、管理工作经历的决策层成员承担。此外，《规范（征求意见稿）》对个人信息保护负责人和个人信息保护机构的职责做出了规定。

3、遵守统一的个人信息跨境处理规则

参与个人信息处理的相关方遵守统一的个人信息跨境处理规则。至少包括下列事项：

a）跨境处理个人信息的基本情况，包括个人信息类型、敏感程度、数量等；

b）跨境处理个人信息的目的、方式和范围；

c）个人信息境外存储的起止时间及到期后的处理方式；

d）跨境处理个人信息需要中转的国家或者地区；

e）保障个人信息主体权益所需资源和采取的措施；

f）个人信息安全事件的赔偿、处置规则。

4、进行个人信息保护影响评估

《规范（征求意见稿）》要求参与个人信息跨境活动的相关方参照GB/T 39335《信息安全技术 个人信息安全影响评估指南》的最新版本进行个人信息保护影响评估。在评估内容上，《规范（征求意见稿）》的要求如下。

个人信息保护影响评估至少包括下列事项：

a）向境外提供个人信息是否符合法律、行政法规；

b）对个人信息主体权益产生的影响；

c）境外国家和地区的法律环境、网络安全环境等对个人信息主体权益的影响;

d）其他维护个人信息权益所必需的事项。

六

个人信息主体权益的保障

相较于《个保法》，《规范（征求意见稿）》在“个人信息主体权益的保障”部分提出了更具有针对性的保障要求。例如：

1、个人有权要求相关方提供所签署的具有法律约束力和执行力的文件中涉及个人信息主体权益部分的副本；

2、个人有权在其经常居住地所在法院向相关方提起诉讼；

3、《规范（征求意见稿）》要求相关方以电子邮件、即时通信、信函、传真等方式向个人进行告知。告知内容方面除个人信息处理目的、类型外，还需要告知对个人信息保存保存的时间。需要取得个人的单独同意。

4、在拒绝个人关于个人信息查阅、复制、更正、补充或删除请求时，除说明拒绝理由的，还应说明救济途径。

5、在难以保证个人信息安全时，应当终止跨境处理个人信息。

6、境内的法律责任承担方需要为个人行使相应权利提供便利条件，并在相关处理活动损害个人信息主体权益时承担赔偿责任。

7、相关主体需要接受认证机构的监督，包括答复询问、例行检查等。

结语

Conclusion

《规范（征求意见稿）》在总体上向我们呈现了认证机制下适格的申请认证的主体有哪些，以及认证机构审查的内容有哪些，也从侧面解答了境外的个人信息处理者是否需要履行个人信息跨境传输的义务以及如何履行的问题。

但认证机制的具体实施也还有待其他规定来进一步完善整个认证机制体系，比如：实施认证的机构有哪些、需要具备什么资质，认证的有效期，出现什么样的情况需要重新认证或补充提交材料，对认证机构做出的审查、监督决定是否有申诉机制。

基于认证机制以及《个保法》第38条所规定的其他条件也都有待立法的进一步完善和明确，我们建议，涉及个人信息跨境传输的主体目前可关注已经较为明确的法定义务，包括：个人信息跨境事项的告知，取得个人的单独同意，以及进行个人信息保护影响评估。

 作者简介

蔡荣伟  律师

上海办公室  高级顾问

业务领域：投资并购和公司治理, 网络安全和数据保护, 诉讼仲裁

特色行业类别：能源与自然资源, 通讯与技术

陈坤  律师

上海办公室  公司业务部

作者往期文章推荐

《<网络安全法>相关法规及标准总结（2020年—2021年2月）》

特别声明：

以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。

点击“阅读原文”，可查阅该专业文章官网版。