个人信息跨境处理活动 三条合规路径逐渐铺开
自2021年11月1日《个人信息保护法》实施以来,个人信息的跨境传输受到严格管控,规定了三种合规出境路径——数据出境安全评估、个人信息出境标准合同备案和个人信息保护认证。(扩展阅读:重要数据、个人信息要出境 合规路径有哪些?)
2022年9月,《数据安全评估办法》正式生效,为关键信息基础设施运营者和处理100万人以上个人信息的数据处理者明确要求,要求企业在办法施行6个月内,即2023年3月1日之前完成整改。同期出台的《数据出境安全评估指南(第一版)》,对数据出境安全评估申报方式、流程、材料等具体要求作出说明,方便企业实施。
2023年2月,国家网信办发布《个人信息出境标准合同办法》以及《个人信息出境标准合同》范本,与数据出境安全评估互补,为少量(处理不满100万人)、低风险(非关基运营者)的数据处理者提供合规方法。同年5月,《个人信息出境标准合同备案指南(第一版)》发布,标准合同备案路径正式落地。
值得注意的是,国家网信办于2023年9月28日发布《规范和促进数据跨境流动规定》(征求意见稿),进一步释放有利于数据跨境流动的积极信号,实质性豁免了具有强出境必要性以及仅涉及少量个人信息出境的数据出境场景的评估备案义务,在确保数据有序跨境流动的同时实质降低了企业的合规负担。(扩展阅读:数据跨境流动新规减轻企业合规负担 不等于降低数据保护要求)
2022年11月,《个人信息保护认证实施规则》发布,对个人信息保护的认证依据、认证模式以及认证程序进行了阐述。与此同时,个人信息跨境传输认证的国家标准也正在制定中,2023年3月,《信息安全技术 个人信息跨境传输认证要求》(征求意见稿)发布。
至此,在个人信息跨境传输的三条合规路径中,除了个人信息保护认证路径尚未全面铺开,数据出境安全评估和个人信息出境标准合同备案已正式落地,并涌现出了一批有代表性的案例。
以认证方式开展个人信息跨境处理活动迎新指南
在《个人信息保护法》实施满两周年的2023年11月1日,全国信安标委发布《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿)》,规定了大湾区跨境处理个人信息应遵循的基本原则和保护要求,为实施大湾区个人信息保护认证提供了认证依据。适用于大湾区内个人信息处理者依据《关于促进粤港澳大湾区数据跨境流动的合作备忘录》以认证方式开展个人信息跨境处理活动。
粤港澳大湾区具有“一国两制三法域”的区位特色,以及联通国际数据流动的发展潜力,依托其丰富的应用场景基础,在我国先试先行探索数据跨境国际合作的研究和实践上具备一定优势。我们在此梳理文件中与个人信息跨境相关的要求,以其为窗口,观察我国探索个人信息跨境治理、推动数据处理者合规的进一步落地举措。
通用规则
个人信息处理者跨境处理个人信息,应满足以下要求:
● 制定个人信息跨境安全管理制度和操作规程,采取相应的加密、去标识化等安全技术措施,防范跨境个人信息遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;
● 应对个人信息跨境处理活动进行日志记录,个人信息跨境处理日志至少保存 3 年;
● 应识别数据跨境处理中涉及的个人信息,形成个人信息跨境处理目录,并及时更新;
● 应对被授权跨境访问或查阅个人信息的人员,建立最小授权的访问控制策略,使其只能访问或查阅职责所需的最小必要的个人信息和数据操作权限;
● 承诺接受认证机构对个人信息跨境处理活动的持续监督,包括答复询问、配合检查、服从采取的措施或做出的决定等,并提供已采取必要行动的书面证明。
跨境提供个人信息责任
个人信息处理者在跨境提供个人信息时,应在满足上述通用规则基础上符合以下要求:
● 在跨境处理个人信息之时或之前,应向个人信息主体告知接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类、保存期限,以及个人向接收方行使个人信息权利的方式和程序等事项;
● 应按照属地法律法规要求取得个人信息主体的同意;
● 与接收方签订具有法律约束力的文件,约定个人信息跨境处理的目的、方式、范围、种类、数量、保存期限、存储地点,明确双方保护个人信息的责任和义务,并要求接收方不得将接收的个人信息转移至粤港澳大湾区之外的第三方;
● 应采取合同协议约定、向认证机构承诺、主管部门备案、定期审计接收方日志、每年开展数据出境安全风险自评估等措施,防止接收方将接收的个人信息转移至粤港澳大湾区之外的第三方。
跨境接收个人信息责任
个人信息处理者跨境接收个人信息,应在满足前述通用规则的基础上符合以下要求:
● 应按照签订的具有法律效力文件约定的处理目的、处理方式、保护措施等跨境处理个人信息,不得超出约定处理个人信息,若接收方违反相关约定,获得的认证即被视为终止或失效;
● 当合同协议未生效、无效、被撤销、终止或者按个人信息处理者要求应当删除时,应当将个人信息返还跨境提供个人信息的个人信息处理者或者予以删除,不应保留。
此外,考虑到内地与港澳在数据跨境的规则和监管机制上存在一定差异,中国网络安全审查技术与认证中心相关专家在近日对促进内地与港澳个人数据跨境流动提出合作建议,我们在此一并梳理供大家参考。
开展个人信息跨境认证采信与互认合作。根据我国《个人信息保护法》,内地采用认证手段为个人信息跨境提供安全保障,这体现出我国个保认证工作的先进性;同时认证作为国际通行的合格评定手段,能够保证评价工作的客观性和一致性,便于认证结果向更大范围推广;并且我国已具备成熟的认证监管体系和从业队伍。因此,利用认证手段开展个人信息跨境合作具有先进性和成熟性。建议三地建立统一的认证体系和认证依据,开展对技术评价和认证结果的采信互认合作,便利三地数据/个人信息的跨境传输和处理。
研究数据/个人信息跨境安全评估结果采信。建议港澳在对内地数据出境安全评估工作研判的基础上,采信内地数据出境安全评估结果,允许将个人资料转移至通过评估的内地数据/个人信息处理者。
提高对标准合同的一致性。建议三地合作开展关于资料相关方间合同的比对研究,提高各方监管部门对标准合同效力认可的一致性,帮助企业节约管理成本。
建立“白名单”机制。建议港澳在对内地相关法律体系进行研判的基础上,将内地列入其“白名单”地区。另外,虽然内地相关规定中暂不包含“白名单”方式,但也可考虑在一定范围内,将港澳作为内地“白名单”地区。
建立合作监管组织机制。在合作促进个人数据跨境流动的同时,也应加强监管合作,通过联合监管实现信息公开和共享,提高工作效率和质量,降低安全风险。
开展试点实践,逐步扩大合作。我国数据跨境机制建立时间尚短,很多工作仍待探索和完善,因此有必要根据数据类型和传输区域逐步开展试点实践,循序渐进扩大合作范围。
数据跨境流动在蓬勃发展的全球数字经济中发挥着越来越重要的作用,包括个人信息在内的数据大规模流动和跨境传输需求日益增长,为规范和促进数据依法有序自由流动,越来越细化的合规路径和操作指引为跨境数据安全治理提供了有力保障,数据处理者从事跨境数据活动应当按照国家数据跨境安全监管要求,建立健全相关技术和管理措施,保证数据安全。