新年伊始,作为《个人信息保护法》的落地措施之一,《个人信息出境个人信息保护认证办法》面向公众征求意见。其第三条规定:“本办法所称个人信息出境活动,是指个人信息处理者因业务等需要确需向中华人民共和国境外提供个人信息的行为”。
同时,该条进一步将“符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动”纳入“个人信息出境活动”中,这是自《数据出境安全评估申报指南(第二版)》《个人信息出境标准合同备案指南(第二版)》之后,首次以部门规章的形式对此类“出境活动”予以明确。
这里的“《个人信息保护法》第三条第二款情形”,即在境外处理境内自然人个人信息的活动,包括“(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;以及(三)法律、行政法规规定的其他情形”(下称“境外处理个人信息”)。
《个人信息出境个人信息保护认证办法》试图明晰“个人信息出境”的内涵与外延,其意可称良善。但是,一旦将“境外处理个人信息”纳入,将可能导致《个人信息保护法》的错误适用,有违个人信息出境制度的设定目标,并引发全球数据跨境合作的法律窒碍,建议慎重考量并在最终生效文件中予以删除。
@ 正本清源:“个人信息出境”的文义解释和体系解释
“个人信息出境”这一概念并未出现在《个人信息保护法》,因而更准确地表述,实为该法第三章“个人信息跨境提供”。结合《个人信息保护法》第三十八、三十九条,“个人信息跨境提供”必然涵盖“境内个人信息处理者—境外接收方”的二元主体。否则,无论是个人信息处理者必须履行的境外接收方信息告知义务的条款,还是约定双方之间权利和义务的标准合同,其解释适用都将矛盾抵牾,以至于沦为虚设。
不过,与欧盟GDPR第44条“传输的一般性规则”将“控制者”(Controller)(即我国法下“个人信息处理者”)和“处理者”(Processor)(即我国法下“个人信息受托处理者”)一体规制不同,《个人信息保护法》第三章沿袭其他各章的思路,将规制重心落在“个人信息处理者”之上,从而留下“个人信息受托处理者跨境提供个人信息”的法律漏洞。
由此不难理解,在我国《个人信息出境标准合同》草拟时颇费踌躇,无法借鉴欧盟标准合同条款(SCC)的四分法,即从控制者到控制者、从控制者到处理者、从处理者到处理者、从处理者到控制者分类立规,而只能采取一套合同规则。其实,这一漏洞并非无解。作为个人信息受托方,其处理行为应在个人信息处理者的指示下为之,因此,可以根据实质重于形式的穿透监管原则,在其向境外提供个人信息时,承担与个人信息处理者同等的出境公法义务和责任即可。
可不论作何解释,“境外处理个人信息”均不在“个人信息跨境提供”的文义射程之内。其道理至简,境外处理个人信息不存在“境内个人信息处理者—境外接收方”的二元结构,其实质是个人,而非个人信息处理者向境外个人信息处理者提供个人信息,由此表现为“境内个人信息主体—境外个人信息处理者”的法律构造。
将“境外处理”排除“个人信息跨境提供”之外的判断,亦可由体系解释所证明。根据《促进和规范数据跨境流动规定》第八条,个人信息出境标准合同和通过个人信息保护认证是可供个人信息处理者自由选择的平行出境路径,这意味着两者适用的情形理应一致,即均应遵循《个人信息出境标准合同》下“个人信息处理者和境外接受方”的合同主体要求。
@ 管辖变更:“个人信息出境”的目的解释
全国人大法工委权威专家撰写的《<中华人民共和国个人信息保护法>释义》中特别指出:对个人信息出境的限制源于个人信息出境的特殊风险。质言之,不同国家法律制度、保护水平之间的差异以及遥远的地理位置,给个人行使权利、在权利受到侵害后寻求救济以及个人信息保护执法带来了挑战。
进而言之,在我国网络主权以及主权独立平等原则的框架下,流出到境外的个人信息将因地域和处理者的变化而脱离我国立法、执法、司法的管辖,致使我国公民个人信息安全缺乏保障。故此,《个人信息保护法》第三八条第三款明确要求“个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”。
这一“同等保护原则”也被《个人信息出境标准合同》所重申,其开宗明义地宣称:“为了确保境外接收方处理个人信息的活动达到中华人民共和国相关法律法规规定的个人信息保护标准,明确个人信息处理者和境外接收方个人信息保护的权利和义务,经双方协商一致,订立本合同”。
因此,个人信息出境制度之要旨在于协调我国和他国的法律冲突,在“本国管辖权—外国管辖权”的变更之前,通过前置性的标准合同、认证、安全评估等保障措施,防范受我国法保护的个人信息不当流入保障水平不足的洼地。由此观之,“境外处理个人信息”自始就在我国管辖范围内,当然无需个人信息出境的特别管制。
作为对属地管辖的拓展,《个人信息保护法》第三条第二款借鉴欧盟GDPR,明确域外适用效力,将“境外处理个人信息”一并纳入我国保护性管辖的范围内,从而提前消解了可能的管辖权变更问题。另外,考虑到此种情形下,境外个人处理者在我国并无商业存在,《个人信息保护法》第五十三条特别要求其在境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
@ 全球合作:“个人信息出境”的比较法解释
2024年11月,国家网信办发布《全球数据跨境流动合作倡议》,以推动国家间数据跨境流动规则共识和政策框架互操作为目标,呼呼提升个人信息保护机制、规则之间的兼容性,推动相关标准、技术法规及合格评定程序的互认。就此而言,“个人信息出境”的范围界定,不但关乎《个人信息保护法》的正确实施,还关乎全球数据跨境流通的合作大业。
当前,中欧数据跨境流动交流机制已然建立,中德之间数据跨境流动合作的谅解备忘录也已签署。在此背景下,欧盟对个人信息出境的规则和立场不失为重要的比较法参考。
作为创设个人信息出境制度的地区,欧盟很早就意识到“境外处理个人信息”和个人信息出境的关联问题。2021年,欧盟数据保护委员会(EDPB)发布《关于GDPR第三条和第五章跨境传输条款相互影响的指南》(Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR)草案,并于2023年2月通过最终版本。根据该指南,个人数据出境的识别标准由以下要素组成:(1)控制者、处理者(即“出口方”,exporter)在特定个人数据处理过程中须遵守GDPR;(2)出口方通过传输或其他方式向另一控制者、联合控制者或处理者披露或提供经处理的个人数据;(3)上述接收方位于第三国。据此,EDPB认为,在境外处理个人数据的场景下,欧盟境内并不存在出口方,而是由境外主体跨境直接处理个人数据,不满足要素(2)的要求,因此不构成个人数据出境。为便于理解,该指南还列举了一个示例:
玛丽亚住在意大利,她在一个在线服装网站上填写了自己的姓名和邮寄地址,以便完成订购并在罗马的住所收到她在网上购买的裙子。该在线服装网站由一家第三国公司运营,该公司在欧盟没有商业存在,但专门针对欧盟市场运营。在这种情况下,数据主体(玛丽亚)将其个人数据转移给第三国公司,并不构成个人数据的跨境转移,因为数据不是由出口方(控制者或处理者)传递的,而是由控制者根据GDPR第3(2)条直接从数据主体处收集的。因此,第五章“个人数据向第三国或国际组织的传输”不适用于本案。尽管如此,由于第三国公司的处理受GDPR第 3(2)条的约束,因此必须适用GDPR。
