![]()
国家互联网信息办公室就《个人信息出境个人信息保护认证办法》(下称《办法》)公开征求意见,建立个人信息出境场景下的个人信息保护认证制度,为后续具体认证工作提供了法律遵循,也为未来开展国际互认提供了坚实的基础。
在个人信息出境场景下的个人信息保护认证方面,目前主要三种方案并存:欧盟方案、美国主导的CBPR方案和中国方案。欧盟2016年出台的GDPR明确个人信息跨境认证作为合法机制,欧盟数据保护委员会(EDPB)在2022年和2023年先后发布两版《关于认证作为跨境工具的指南》(下称《EDPB指南》),明确了相关要求,但目前尚无专业机构获得跨境认证业务资质。美国在2007年通过《APEC隐私框架》推动建立“跨境隐私规则体系”(CBPR),2011年CBPR开始运行,目前有9个APEC成员参与,8家认证机构获得资质开展CBPR认证工作,获证企业可在CBPR成员之间就个人信息进行跨境流动。 我国2021年制定的《个人信息保护法》明确了个人信息保护认证作为个人信息出境的合法机制之一,2022年6月全国信息安全标准化技术委员会秘书处制定了《个人信息跨境处理活动安全认证规范》。2022年11月18日国家市场监督管理总局、国家互联网信息办公室联合发布《个人信息保护认证实施规则》,主要明确了个人信息保护认证的一般规则,同时也规定向中华人民共和国境外提供个人信息须满足《个人信息跨境处理活动安全认证规范》,但有关个人信息出境场景的认证机构资质要求、认证标准、认证适用范围、认证程序等规则,直到《办法》的出台才正式确立。 从认证的宗旨而言,三种方案都是为了实现个人信息在出境后获得实质等同的个人信息保护水平。实质等同保护指的是个人信息出境后仍然获得与出境国或地区实质上同等的个人信息保护水平,但并不要求获得完全一样的保护水平。例如,我国《个人信息保护法》第38条第3款规定,个人信息保护认证的宗旨是“保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”。GDPR第44条则表述为个人信息在出境时个人信息主体根据GDPR获得的保护水平不受影响。CBPR则要求个人信息处理者在CBPR成员之间对《APEC隐私框架》的基本原则得到一致的遵守。 从认证的定性而言,三种方案都将认证作为一种市场化的合格评定机制。个人信息跨境通常有多种合法机制,例如欧盟提供第三国适当性评估、集团企业有效规则、标准合同、认证等机制;我国提供数据出境安全评估、标准合同、保护认证等,APEC成员如日本、新加坡等也规定了多种机制。这些机制在本质上都是评估境外接收方能否为所接收的个人信息提供同等保护,不同之处在于第三国适当性评估、数据出境安全评估等机制是由监管方直接作出评估决定,而认证则将评估的过程和决定交给专业认证机构,并允许其开展市场化认证服务。例如,《办法》第6条强调个人信息保护认证遵循自愿性、市场化、社会化服务原则。GDPR第42条规定认证的自愿性,EDPB鼓励认证的市场化。CBPR要求认证机构原则上应当是民间第三方机构。 从认证的标准而言,三种方案都要求专业认证机构的认证标准应获得官方审批。鉴于认证的宗旨是评估境外接收方能否提供同等保护,而认证结论能否获得官方认可,关键在于认证的资质和认证的标准都事先获得官方的批准。例如,GDPR第42条规定,监管机构的主要职责是批准认证标准,不要求自己制定认证标准;实践中《EDPB指南》列出了认证标准必须考虑的因素。CBPR体系除了对认证机构的资质作出要求之外,也对认证标准作出明确规定。《办法》第3条要求专业认证机构应获得国家市场监督管理部门批准,第7条明确国家网信部门会同有关部门组织制定认证标准,国家市场监督管理部门会同国家网信部门组织制定认证实施规则,第8条允许专业认证机构制定认证实施细则,但应当报国家网信部门备案。 从认证的内容而言,三种方案都围绕个人信息同等保护确定认证的重点事项。由于个人信息保护主要围绕个人信息处理基本原则、个人信息处理者基本义务、个人信息主体权利与救济进行构建,三种方案都对这些事项作出明确要求。其中,CBPR以《APEC隐私框架》的个人信息处理基本原则为核心明确具体认证要求。相比之下,《EDPB指南》和《办法》除了对个人信息处理基本原则作出要求外,都对境外接收方所在国家或地区的个人信息保护法律环境,个人信息处理者与境外接收方双方的组织架构、管理体系,双方之间签订的协议等作出明确要求。 从认证的作用而言,三种方案都将认证定性为一种用于证明获证个人信息处理者具备提供同等保护的合规证据。因此,三种方案除了强调认证机构的专业性、认证标准的符合性、认证过程的规范性和透明性之外,还特别强调认证机构对获证个人信息处理者的持续监督。与《EDPB指南》和CBPR框架下《负责任机构认可标准》类似,《办法》第3条、第8条、第12条、第13条第1款对上述事项都进行了明确。此外,《办法》第13条第2款、第14条、第16条还强调国家相关监管部门在认证机构之外的监督职责。 首先,探索更广泛的认证适用对象。相较于《EDPB指南》仅适用于境外接收方,CBPR认证仅限于从事商业活动的个人信息处理者,《办法》探索适用于两类对象。一类是《办法》第4条规定的境内个人信息处理者,即非关键信息基础设施,且自当年1月1日起累积向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的个人信息处理者;另一类是《办法》第5条规定的境外处理中国境内个人信息的个人信息处理者。 其次,对境外个人信息处理者探索更务实高效的认证方式。CBPR认证机构主要通过审核申请企业提交的《企业自评估文件》完成认证,不要求现场审核。欧盟《EDPB指南》要求认证机构具备到境外开展现场审核的能力。相比之下,对于境外个人信息处理者的申请,《办法》第9条第2款探索一种无须认证机构到境外开展现场审核但又能有效达到认证目的的方式,即境外个人信息处理者可以由其在境内设立的专门机构或者指定代表协助进行申请认证,而且由其代为承担相应的法律责任,并承诺遵守专业认证机构的持续监督、遵守我国法律和接受监督管理。 最后,为未来探索形式多样的国际互认预留充分空间。中国方案与其他两种方案在认证的宗旨、属性、标准、内容和作用方面具有共通之处,也明确鼓励国际互认合作。而且,实践中我国已经在粤港澳大湾区开展互认的探索。在2024年11月21日,我国国家安全标准委员会秘书处已经联合香港私隐公署编制并发布《粤港澳大湾区(内地、香港)个人信息跨境处理保护要求》,除明确大湾区内个人信息跨境流动开展认证互认应当遵守的基本原则和要求之外,并探索获证企业通过认证即可开展粤港澳大湾区(内地、香港)个人信息跨境流动,无须申报数据出境安全评估或订立个人信息出境标准合同;而且在认证方式上探索专业认证机构与官方认可相结合的方式,即内地采用专业机构认证,香港由香港个人资料私隐专员公署设立认可名单。因此,《办法》的出台,也预示着粤港澳大湾区(内地、香港)的个人信息保护认证互认工作可以实际开展,为我国将来与其他国家、国际组织开展相关互认在积累经验的同时,更提供一种互认的示范。 总而言之,从全球个人信息保护认证制度比较视角来看,《办法》规定的个人信息保护认证方案在寻求广泛共识的基础之上开展了积极的创新探索。(作者:中央财经大学数字法务教研室主任 张金平)
