在数字经济全球化发展的今天,个人信息的跨境流动已然成为常态。如何在促进个人信息合理利用的同时,加强个人信息保护、保障数据流动的有序性和安全性成为加强个人信息跨境流动监管的重要命题。对此,我国2021年《个人信息保护法》第三十八条明文规定了个人信息出境的各种方式,国家市场监督管理总局、国家互联网信息办公室于2022年联合发布《关于实施个人信息保护认证的公告》,鼓励个人信息处理者通过认证方式提升个人信息保护能力,并发布《个人信息保护认证实施规则》,规定个人信息保护认证的认证依据、模式与流程,全国信安标委亦于2023年发布推荐性国家标准《信息安全技术 个人信息跨境传输认证要求》(征求意见稿)。此次《个人信息出境个人信息保护认证办法》(以下简称《办法》)公开征求意见,建构了个人信息出境情景中的个人信息保护认证的实施与管理,具有重大的制度意义和实践价值。
《办法》是我国首部关于个人信息出境中个人信息保护认证的专门制度设计,规定了在我国境内开展个人信息出境个人信息保护认证活动的方式与具体要求,进一步明确了出境场景下个人信息保护认证的适用情形、基本原则、申请方式、认证内容、专业机构的义务以及监管机制等主要问题。总体而言,《办法》旨在规范个人信息出境个人信息保护认证工作,保护个人信息权益,便利个人信息出境活动,促进个人信息高效便利安全跨境流动,其科学的制度构建在保障安全的同时能够切实提高个人信息出境合规与监管工作的效率与效力。根据《办法》的规定,个人信息出境个人保护认证制度适用于非关键信息基础设施运营者向境外提供个人信息本年度累计10万人以上、100万人以下,或者提供敏感个人信息不超过1万人的情形。《办法》规定了自愿性、市场化、社会化服务三项个人信息保护认证的原则,并要求具备资质的专业认证机构按照统一标准、统一规则、统一标识开展个人信息出境保护认证活动。此外,《办法》规定了认证申请的提出方式,列举了六项认证机构在进行个人信息保护认证评定中需要重点评定的事项,并明确了认证机构在此过程中需承担的重大情况报告、信息报送以及配合义务等三项责任义务。同时,《办法》还明确了国家网信部门以及国家市场监督管理部门在个人信息出境个人信息保护认证制度中各自的权限与监管职责,强调了监管部门以及认证机构的保密和数据保护要求。在国际合作方面,《办法》鼓励就个人信息出境个人信息保护认证开展交流合作,推动实现本认证的国际互认。就个人信息出境个人信息保护认证的制度意义而言,一方面,该制度与其他数据出境机制系统配套,共同构筑我国数据出境的完整机制体系。《办法》规定的“依法设立并经国家市场监督管理部门批准取得个人信息保护认证资质的专业认证机构,对个人信息处理者个人信息出境活动开展的个人信息保护认证”,与数据出境安全评估以及个人信息出境标准合同等在体系架构上形成了整体的有机耦合,三者分别构筑了以政府、当事方以及第三方机构为中心圆点的个人信息出境机制,同时在适用范围、监管机制和制度逻辑等方面形成了体系协同。另一方面,个人信息出境个人信息保护认证的施行有助于加速构建国际接轨的数据出境机制。认证属于目前国际通行的一项个人信息出境机制,其有助于全面、及时回应跨境数据治理的全球态势,为推动个人信息出境个人信息保护认证的国际互认奠定基础,有助于有效满足各国之间对个人信息相关权益安全保障的共同关切,助益有效利用国内国际两个市场两种数据资源,更高水平参与国内国际双循环。就个人信息出境个人信息保护认证的实践价值而言,作为我国数据跨境流动的实现机制之一,个人信息出境个人信息保护认证制度能有效发挥第三方规制的功能,对于实现个人信息高效便利安全的跨境流动具有加力推动的影响:其一,该认证制度能够有效降低个人信息出境面临的风险,助力解决数据出境后国内法律法规以及监管机构管辖实现的难题,提高个人信息出境处理活动的安全性。首先,个人信息出境认证制度的认证对象包括境内数据处理者以及境外接收方,这要求双方接受相对统一的个人信息保护规则的规制,确保境外接收方具备不低于我国《个人信息保护法》等相关法律法规所要求的个人信息保护水平与风险处置能力。此外,认证机构将作为个人信息出境活动的规制主体,对境外接收者的个人信息处理活动进行监督,确保我国国内个人信息保护规则的可持续适用。而且,该认证制度要求境外接收方签署具有法律约束力的协议,进一步细化了境外接收方在个人信息保护方面所承担的责任义务以及赔偿责任,为我国个人信息主体的权利救济提供了保障。整体而言,通过借助于专业机构的力量,发挥“软法”在国际生态治理中的协同作用,能够对齐不同地区个人信息保护规则的保护水平。其二,该认证制度提高了个人信息出境监管的效率与效力,进一步提升了我国个人信息出境监管政策法律的合规性效果。该认证制度要求专业的认证机构直接对境内外经营者双方的数据保护水平进行审核与监督,在一定意义上更侧重于对个人信息处理者以及境外接收方进行主体层面的整体研判,超越了“个案分析”、“一事一议”的局限性。一则便利了尚未达到数据出境安全评估门槛的个人信息跨境高频流动,提高了企业等主体开展个人信息出境活动的效率。二则前置性地对个人信息权益与安全保护标准、风险评估与事故处理等提出了要求,切实提高了数据跨境流动与利用的规则透明度。这使得该认证亦可成为企业向监管方、用户以及合作方彰显其数据保护水平的有力证明,有助于通过创造良性竞争环境激励企业不断提升其自身的数据保护能力与数据风险管理水平,全面引导各类企业主动投入守法合规。(作者:北京师范大学法学院博士生导师、中国互联网协会研究中心副主任 吴沈括)