專家解讀|推動個人信息出境個人信息保護認證制度落地 促進個人信息高效便利安全跨境流動
數據跨境流動加速了各國產業與經濟的數字化轉型進程,推動全球數據跨境流動合作已經成爲國際社會共同的意願和選擇,探索全球數字領域規則和秩序是當下新形勢。制定《個人信息出境個人信息保護認證辦法(徵求意見稿)》(以下簡稱《辦法》)是爲了貫徹落實《中華人民共和國個人信息保護法》(以下簡稱《個保法》)要求,進一步完善數據出境安全管理制度,對於促進個人信息高效便利安全跨境流動具有重要意義,也爲促進數字經濟貿易發展和國際合作提供保障。
一、總體考慮
《辦法》切實貫徹《個保法》要求,全面梳理有關規定並做好銜接,統籌高質量發展和高水平安全,從市場需求出發推進個人信息出境個人信息保護認證工作規範化、制度化、市場化。
(一)處理好《辦法》與現行法律法規的關係
制定《辦法》是爲了落實《個保法》第三十八條規定。明確了本《辦法》即《個保法》中的“國家網信部門的規定”;明確了個人信息出境個人信息保護認證是針對個人信息處理者向境外提供個人信息開展的個人信息保護認證活動,即《個保法》中的“個人信息保護認證”在個人信息出境情形下的適用。本《辦法》和《數據出境安全評估辦法》《個人信息出境標準合同辦法》共同構築了我國數據跨境管理制度體系設計的三種路徑,在《促進和規範數據跨境流動規定》已明確規定各自的適用範圍。
(二)處理好個人信息出境情形中安全和發展的關係
《辦法》在爲個人信息處理者提供個人信息出境高效便利的基礎上,還要兼顧個人信息出境活動的安全監管。監管則主要體現在對認證機構的規範和約束,制度設計上也充分考慮了避免對個人信息處理者的壓力傳導,通過對認證機構的規範,並在不額外增加企業負擔的基礎上,有效保障個人信息的安全跨境傳輸。
(三)堅持問題導向,充分考慮市場發展需求
《辦法》圍繞個人信息出境活動,明確個人信息出境個人信息保護認證和個人信息保護認證之間的關係,切實解決如何降低合規成本、認證怎麼評定、認證機構怎麼管理、境外組織如何適用等實踐中的問題,更好地服務個人信息處理者,在合法合規的前提下充分滿足相關組織機構個人信息出境需求,指導、規範個人信息出境活動。
二、重要意義
《辦法》定位部門規章,共計20條,明確了個人信息出境個人信息保護認證的總體設計,規定了個人信息出境個人信息保護認證機構備案制度,細化了個人信息出境個人信息保護認證的認證落地實施和監督管理方面的具體要求,規範認證機構和引導行業自律,促進數字經濟和推動國際合作,對於護航數字貿易發展具有重要意義。
(一)規範認證機構
《辦法》明確細化了個人信息出境個人信息保護認證機構的職責,引導和規範認證機構依法依規提供高質量認證服務,爲個人信息處理者開展個人信息出境活動提供更爲高效便利安全的路徑選擇。首先明確《個保法》中的“專業機構”是依法設立並經國家市場監督管理部門批准取得個人信息保護認證資質的專業機構;其次明確了認證機構開展個人信息出境個人信息保護認證活動需要向國家網信部門備案;最後還明確了認證機構的責任和義務,包括重大事件報告、信息報送和配合監管的義務,包括保障服務質量以及對獲證組織個人信息出境活動進行監督的職責,當然還包括保密責任。
(二)引導行業自律
《辦法》明確個人信息出境個人信息保護認證遵循自願性、市場化、社會化的服務原則,認證活動依據統一標準、統一規則、統一標識。《辦法》明確認證內容要點,評定內容聚焦確保境外個人信息處理者處理個人信息的活動達到和境內個人信息處理者同等的個人信息保護標準。鼓勵以市場方式引導個人信息處理者自願申請認證,通過合格評定,取得認證證書,並維持證書有效性。認證活動全過程,需要個人信息處理者積極發揮主觀能動性,自願選擇是否通過認證這種方式進行出境,自主擬定什麼場景和什麼範圍進行申請和驗證,以至於自覺採用什麼技術手段來符合標準要求,是一種主動合規行爲,從而形成一種行業自律的機制。
(三)促進數字經濟
《辦法》統籌發展和安全,注重促發展的市場需求、導向,深化“放管服”改革精神,制度設計爲個人信息出境個人信息保護認證活動創造三個方面的便利:一是境內、境外個人信息處理者任一方都可以申請認證,在自由度和開放性方面有制度性突破;二是境內、境外個人信息處理者任一方獲得認證,即可開展個人信息出境活動,更加便捷高效;三是與個人信息保護認證銜接,簡化認證程序,節省部分評定指標重複驗證的時間和費用成本。既“放得活”又“管得住”,有利於構建“供得出、流得動、用得好、保安全”的數據生態,爲數字經濟發展提供活力。
(四)推動國際合作
《辦法》充分考慮到數據跨境國際規則制定需要,以及數據流通共享的國際市場需求,對於穩外貿、穩外資,擴大高水平對外開放,積極發展數字貿易具有積極作用。一是國際上個人信息跨境規則體系中,認證制度的選擇是一種較爲成熟的通行做法,如《通用數據保護條例》(GDPR)框架下的數據跨境傳輸認證,亞太經合組織框架下的跨境隱私規則(CBPR)認證體系。制定《辦法》是我國在推動個人信息跨境國際互認、促進數字貿易國際合作的嘗試中邁出的堅實一步。二是國際社會正在探索形成全球數字領域規則秩序。聯合國制定發佈《全球數字契約》(GDC)、世貿組織電子商務談判以及《全面與進步跨太平洋夥伴關係協定》(CPTPP)、《數字經濟夥伴關係協定》(DEPA)等多雙邊實踐正在開展。制定《辦法》是主動對接國際高標準經貿規則的需要,也是探索數據跨境流動治理與國際規則銜接機制的努力。
三、創新舉措
《辦法》充分借鑑國外通行做法和實踐中有益經驗,制度設計具有鮮明的系統性、開放性、創新性,特別是在爲企業降低合規成本方面提出了諸多創新舉措。
(一)境內境外個人信息處理者均可申請認證
《辦法》明確境外個人信息處理者也可以申請認證是借鑑了GDPR的做法。這種制度上的安排爲個人信息處理活動提供了很好的便利性和開放性,符合國際經貿規則的平等性要求。
(二)境內境外個人信息處理者任意一方通過認證即可
在《辦法》設計的認證制度下,境內境外個人信息處理者任意一方申請並通過認證後,在認證範圍內和認證有效期內,無論是由境內方還是境外方發起,個人信息都可以合法出境流動,這就要求個人信息處理者對認證範圍明確圈定。這種制度設計特別利好的是跨國公司等一對多或者多對一的出境傳輸場景,將大大節省合規成本。
(三)認證機構備案機制
《辦法》明確開展個人信息出境個人信息保護認證的專業認證機構應當向國家網信部門辦理備案手續,主要提交資質證明、經驗案例、實施細則等材料,要求建立數據安全風險防範、獲證後持續監督、爭議受理解決等機制。需要特別指出的是該備案機制並非許可審批,而是對認證機構的監督管理要求,是對認證結果負責的需要,對社會負責的需要。 (作者:國家計算機網絡應急技術處理協調中心高級工程師 王暉)
來源: “網信中國”微信公衆號
審覈:酈陳雪
編髮:馬 凱
素材整理:呂昕洺、施嬌嬌