专家解读 | 开辟个人信息出境便捷通道,完善数据出境安全管理制度
发布日期:2023-02-27 作者: 来源:CNCERT国家工程研究中心 分享:
专家解读 | 开辟个人信息出境便捷通道,完善数据出境安全管理制度
作者 | 王一楠北京德恒律师事务所 合伙人
随着全球化与数字经济的发展,数据在国际间的流动越来越频繁。在实践中,个人出境商务或旅游、企业海外云存储或IT技术支撑、跨国公司全球员工统一管理、跨境电商等场景下,境内自然人的个人信息都有可能被传输到境外。
个人信息关乎隐私、财产、人身等安全,其泄露与非法获取可能导致个人隐私权、名誉权受损;银行账号、密码等信息的泄露可能导致个人财产损失;被不法分子利用也可能导致公民人身安全处于危险之中。除了涉及个人权利与利益,个人信息还是重要的社会资源,对经济发展和社会进步有举足轻重的作用,特定领域的个人信息甚至可能关乎国家安全与社会稳定。因而,个人信息跨境流动的规制的必要性和重要性日益提高。2023年2月24日,国家互联网信息办公室发布了《个人信息出境标准合同办法》(“标准合同办法”),这是继去年出台的《数据出境安全评估办法》(“安全评估办法”)之后,国家网信部门为了落实《个人信息保护法》中关于多个出境路径的制度设计,而推出的第二个具体规定,构成我国数据出境安全管理制度中的一个重要组成部分。
一、补齐个人信息出境适用范围,构建多层次安全管理体系
首先,《标准合同办法》在适用范围上与《安全评估办法》形成有效互补,实现个人信息出境各类场景的规制全覆盖。在出境数据涉及个人信息时,《安全评估办法》适用于如下四类任一情形:(1)关键信息基础设施的运营者,(2)处理个人信息达到一百万人,(3)自上年1月1日起累计向境外提供10万人个人信息,(4)自上年1月1日起累计向境外提供1万人敏感个人信息。而《标准合同办法》适用于上述四类情形以外的其他情形,与《安全评估办法》无缝衔接,补齐了我国个人信息出境安全管理制度的拼图。其次,《标准合同办法》与《安全评估办法》形成阶梯式监管体系,体现了规制强度与风险高度相适应的科学管理理念。《安全评估办法》适用于涉及个人信息数量较大、风险较高的情形,而《标准合同办法》则相反,适用于涉及个人信息数量较小、风险较低的情形。与之匹配,《安全评估办法》配备了强度较高的规制要求,即事前审查;而《标准合同办法》则配备了强度较低的规制要求,即事后备案。最后,《标准合同办法》为其他数据出境路径中的保护性措施设计提供了有益参照。《安全评估办法》所要求提交的申报资料中包括“数据处理者与境外接收方拟订立的法律文件”(“法律文件”),而且概括性地规定了“法律文件”需要涵盖的主要内容,即约定数据安全保护责任义务等。这与《标准合同办法》提供的合同范本中主要条款不仅在内容上还是在逻辑上均保持基本一致。虽然《安全评估办法》中的“法律文件”未提供其所要求涵盖内容的具体条款,数据处理者与境外接收方完全可以参考《标准合同办法》中合同范本的条款表述进行谈判和起草该“法律文件”,这为通过其他路径进行数据出境的各方提供了一个重要航标。
首先,《标准合同办法》通过赋予个人信息主体“第三方受益人”地位来加强对其权益的保护。鉴于数据跨境合同在数据处理者与境外接收方之间签署,个人信息主体理论上无法依据合同通过违约责任来主张其权利。为了解决这个问题,欧盟标准合同条款(Standard Contractual Clause或SCC)就设计了“第三方受益人(Third-Party Beneficiary)制度。我国《标准合同办法》大胆地借鉴了这个做法。其次,《标准合同办法》引入连带责任概念,使个人信息主体的权利实现既充分又便利。相对于数据处理者与境外接收方来说,个人信息主体的维权成本高、难度大,特别是在数据跨境传输情形下向境外接收方主张权利更是难上加难。在这方面,《标准合同办法》采用了欧盟SCC的做法,如果数据处理者与境外接收方共同对个人信息主体造成损害,双方对个人信息主体承担连带责任。最后,《标准合同办法》严格限制再传输活动,防范个人信息主体权益被第三方侵害的风险。再传输(Onward Transfer)是指个人信息被传输至境外接收方之后被后续传输至合同之外的境外接收方。这种情况下,因后续境外接收方脱离了原合同约束,会给个人信息主体带来风险,因而很多国家或地区的数据跨境流动标准合同对此进行规制,例如欧盟的SCC、英国的国际数据传输协议(International Data Transfer Agreement或IDTA)、东盟的跨境数据流动示范合同条款(Model Contractual Clauses或MCC)、香港的建议条文范本(Recommended Model Contractual Clauses或RMCC)等。我国《标准合同办法》则为再传输提出了类似限制要求:业务需要、满足充分的告知和同意义务、与第三方达成书面协议等,有效保护个人信息主体免受侵害。
首先,《标准合同办法》采取了去模块化设计,更加简洁、明晰、有效。为了适应实践中的多种场景,很多国家和地区的标准合同条款基于数据处理者与境外接收方在跨境传输时分别担任控制者(Controller)或处理者(Processor)不同角色采用了多模块化条款设计,例如,欧洲SCC四种模块(C-C、C-P、P-P、P-C)、东盟MCC双模块(C-C、C-P)、香港RMCC双模块(C-C、C-P)。然而,我国《标准合同办法》并不明确罗列多种模块,而是以实践中较为常见的场景(C-C)为主线设计条款,在(C-P)场景下使用“受个人信息处理者委托处理个人信息的”等语言,反映境外接收方作为受托人从属地位所对应权利义务的变化。这样既在内容上兼顾了不同场景下的义务区别,又在形式上简化了行文逻辑与架构,而且语言更加简洁易懂,摒弃欧洲SCC式的大量文中交叉引用以及法规引用做法,与脱欧后的英国在其标准合同条款IDTA中的设计很类似。其次,《标准合同办法》的争议解决条款设计更加开放和包容。大多数国家标准合同的争议解决条款强制要求法院管辖,而英国IDTA虽然增加了仲裁作为争议解决的选项,但其仲裁条款列有诸多限制,例如,必须适用《伦敦国际仲裁院规则》、仲裁地须在伦敦、仲裁员须以具备英国数据保护法律经验的律师独任等。我国《标准合同办法》不仅允许数据处理者和境外接收方在诉讼和仲裁之间自由选择,而且在仲裁机构选择方面也未禁止双方选择国际仲裁机构。这样的制度设计即解决了国内法院判决在境外承认和执行的困难,又提高了境外接收方对标准合同的接受程度,有利于标准合同的签署和执行,体现了更加开放立法态度。最后,《标准合同办法》引入适度的行政监督,加强了对个人信息主体的保护力度。不同于其他国家和地区的标准合同制度设计,我国标准合同全程处于行政监管之下:在事前,标准合同生效后须在网信部门备案;在事后,监管机构接受关于违反《标准合同办法》的投诉、举报,并可以采取约谈等行政监管措施。这样有效地弥补了仅依赖合同各方通过民事争议解决这样单一手段的不足,充分利用了行政措施灵活高效的优势,确保《标准合同办法》及标准合同约定能得到切实有效地遵守和履行。同时,该制度设计最大限度地确保了行政手段的克制和适当,例如个人信息在标准合同签署生效后即可自由出境,而备案仅为后置程序且无需进行任何前置行政审查,避免标准合同向安全评估泛化,便利了合同双方数据跨境传输业务,有效地平衡了自由和安全之间的关系。
整体上,《标准合同办法》中的合同范本在结构上错落有致、逻辑清晰,在条款设计方面环环相扣、细致全面,体现了较高的立法水平。相较于数据出境安全评估的流程,标准合同这种出境路径更加快捷,为个人信息处理者和境外接收方提供了一个个人信息出境活动的“绿色通道”。《标准合同办法》的出台标志着“标准合同”这个国际上应用最广的个人信息出境保护性措施,首次在我国生根发芽。随着我国数据出境安全管理制度的不断完善,它将以其灵活便捷的特点展现出越来越强的生命力。
