为落实《个人信息保护法》关于建立个人信息保护认证制度的相关要求,2022年4月29日,全国信息安全标准化技术委员会秘书处就《网络安全标准实践指南—个人信息跨境处理活动认证技术规范(征求意见稿)》向社会公开征求意见,2022年6月24日便正式发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(以下简称《认证规范》)。同时期,欧盟数据保护委员会(EDPB)于2022年6月16日就《关于认证作为数据传输工具的指南》(以下简称《认证指南》)公开征求意见。
不同司法辖区就同一事项出台规则,说明在个人信息跨境处理活动中,急需作为配套制度的执行层面的规则尽快出台与落地,为个人信息处理者进行认证提供指引,也为认证机构实施认证提供依据。
我们已在“数据出境的监管和条件解析系列”专题文章之第一篇《数据出境的监管、条件和标准合同制度评析》及第二篇《<数据出境安全评估办法>速评》中对数据出境的监管、条件进行了系统梳理,并对标准合同制度、数据出境安全评估制度进行了解读。在此基础上,本文将通过对比我国的《认证规范》与欧盟的《认证指南》关于认证制度要点的异同,分析《认证规范》的特征与内容等,为开展个人信息跨境处理活动认证提供参考。
一、《认证规范》的性质与地位
《认证规范》的编制主体为全国信息安全标准化技术委员会秘书处,其规定的个人信息跨境处理活动认证属于国家推荐的自愿性认证,不具有强制性。根据《个人信息保护法》第三十八条第一款第二项的规定,个人信息处理者向境外提供个人信息的个人信息保护认证,是指按照国家网信部门的规定经专业机构进行的个人信息保护认证,即开展个人信息保护认证的机构应当是符合国家网信部门规定的专业机构,而《认证规范》并未提及认证机构,并且,截至目前,国家网信部门并未指定任何具体专业机构作为认证机构。
此外,对于开展跨境处理活动的个人信息处理者,除符合《认证规范》的要求外,也应符合《数据安全管理认证实施规则》等数据安全管理认证规范的要求。
二、比较法研究:我国的《认证规范》与欧盟的《认证指南》
根据欧盟《通用数据保护条例》(GDPR),在满足特定条件的情况下,欧盟境内个人数据转移至未达到充分保护水平的第三方司法管辖区具有以下几种途径:(1)通过公共当局或机构间的具有法律约束力和执行力的文件;(2)集团公司内部采纳“约束性公司规则”;(3)签署标准合同条款;(4)遵守经批准的行为准则;(5)遵守经批准的认证机制。
因此,同我国一样,认证机制也是将个人数据跨境传输至欧盟外第三方国家的合规路径之一。在数据传输的背景下,欧盟认证机制是自愿性的,并且,也要遵守GDPR关于认证的一般性规定。
但对比欧盟《认证指南》与我国《认证规范》的实质内容,我们可以发现,二者在适用情形、认证主体、基本要求及具有约束力和可执行性的承诺等方面存在较大差异:
(一) 适用情形
《个人信息保护法》第三条第二款规定:“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。”因此,《认证规范》的适用情形二实际对应的是境外处理境内个人信息活动,而无论是否存在相应境内个人信息处理者。
如前所述,认证机制为《个人信息保护法》第三章“个人信息跨境提供的规则”中,个人信息处理者向境外提供个人信息(即个人信息跨境提供)的合规途径之一,而《认证规范》情形二涉及境外处理境内个人信息活动,因此,《认证规范》认为,境外处理境内个人信息活动(无论有无境内个人信息处理者)可以直接适用《个人信息保护法》第三章“个人信息跨境提供的规则”。
反观GDPR,一个数据处理行为是否构成跨境传输,从而适用GDPR第五章“将个人数据转移到第三国或国际组织”规定,应具备如下三个必备要素:(1)某控制者或处理者的处理行为受GDPR管辖;(2)控制者或处理者(“发送者”)通过传输或其他方式将受此处理的个人数据提供给另一个控制者、联合控制者或处理者(“接收者”);(3)接收者在第三国,或者是一个国际组织,不管这个接收者本身是否受GDPR关于特定处理的限制。因此,如果缺少境内个人信息处理者,将不构成跨境传输,无法适用GDPR第五章规定。
(二) 认证主体
我国《认证规范》规定的认证主体为境内一方、境外个人信息处理者在境内设置的专门机构或指定代表,均为境内主体,这与欧盟《认证指南》规定的境外主体申请认证存在明显差异。《认证规范》之所以将境内主体作为认证主体,可能是为了赋予监管以抓手,落实认证主体在境内的法律责任。
欧盟《认证指南》的逻辑为境内数据输出方的传输处理属于GDPR的管辖范畴,需遵守GDPR规定的义务,需以符合GDPR规定的安全方式进行传输,并制定适当保障措施。此外,数据输出方还负有义务核实其拟依赖的认证是否有效,并符合其预期的处理特点。在此逻辑下,GDPR已经为境内主体赋予较多义务,可以对境内主体进行良好监管,因此,将境外主体作为认证主体,并不会使得监管缺少抓手。
(三) 认证标准
我国《认证规范》通过签订具有拘束力的文件、设置个人信息保护负责人与个人信息保护机构、遵守相关规则及进行评估等方式,对个人信息处理者和境外接收方在保障个人信息安全方面提出了实质性要求。
欧盟《认证指南》的认证标准从两个方面出发,一方面,GDPR体系中现有的关于认证的第1/2018号指南附件2以及《认证标准评估指南-增编》的认证标准依然适用于个人数据跨境情形,但需对一些现有标准予以明确以便适应特定的传输场景;另一方面,需制定额外认证标准,在保障数据主体权益的同时,考虑保障措施是否适当。
(四) 具有约束力和可执行性的承诺
我国《认证规范》与欧盟《认证指南》均要求个人信息处理者与数据接收方签订具有法律约束力和执行力的文件,明确数据接收方应作出遵守相关规则及监管要求的承诺。
关于该等法律文件与标准合同之间的关系,《认证规范》并未予以明确,《认证指南》则指出,各方可以使用现有的合同,其中包含具有约束力和可执行性的承诺即可,只要该等承诺可以与其他条款明显区分。
三、《认证规范》简评
结合欧盟《认证指南》,我们认为《认证规范》在以下几点有待立法的进一步明确或澄清:
(一)《认证规范》具体实施规则尚待完善
对于认证机构、认证实施程序、认证时限及有效期等,《认证规范》均未予以规定,这或许是因为《认证规范》的编制主体为全国信息安全标准化技术委员会秘书处,而非国家网信部门。
对此,我们认为,可以参考国家市场监督管理总局、国家互联网信息办公室于2022年6月5日发布的《数据安全管理认证实施规则》(“《认证实施规则》”),该规则适用于网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动,个人信息跨境传输也可参照适用该规则。《认证实施规则》对认证依据、认证模式、认证实施程序、认证证书和标志、认证责任作出了一些规定,可供参考。但由于这些规定依然比较简单,尤其是认证机构没有明确,也留待后续新规则进行补充完善。
因此,个人信息跨境情境下,监管部门未来可以出台进一步规定,就认证机构、认证实施程序、认证时限及有效期等参考《数据安全管理认证实施规则》予以完善和补充。
(二) 具有法律约束力和执行力的文件与标准合同之间的关系尚待厘清
从《认证规范》来看,签订具有法律约束力和执行力的文件是认证的基本要求之一,但《认证规范》并未像欧盟《认证指南》一样明确具有法律约束力和执行力的承诺与标准合同之间的关系。结合近日刚公布的《个人信息出境标准合同规定(征求意见稿)》来看,在个人信息出境情形下,标准合同很可能会成为个人信息保护认证过程中评判拟订立的法律文件是否符合前述基本要求的对照标准,进而,签署标准合同很可能会成为完成个人信息保护认证的隐性要求。换个角度,由于个人信息保护认证需要评判双方签订的法律文件,而签订标准合同在“法律文件”这一评判内容中显然会得到优先适用。
(三)《认证规范》适用场景超出《数据出境安全评估办法》《个人信息保护法》上的数据出境
《个人信息保护法》第三十八条规定了“向境外提供”个人信息的,应该具备网信部门组织的安全评估、个人信息保护认证、标准合同中三个条件中的一个。这里的“向境外提供”就是大家常说的“出境”,但就何为“向境外提供”并没有给出直接的定义。《数据出境安全评估办法》明确其适用于“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估”,这一表述与《个人信息保护法》保持了一致。
在该办法的答记者问中进一步列明了两种情形:“一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外;二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。” 由此,可以概括出“数据出境”,也就是“向境外提供”包括:
但《认证规范》显然没有遵循上述分类逻辑,而是自设了两种情形;尤其是情形二将《个人信息保护法》扩大管辖范围的场景(第三条第二款)也囊括进来。逻辑上讲,“认证”本身是在跨境章节中对数据处理者提出的要求,但第三条第二款场景则明显超出上述四种跨境情况,比如没有有传输至境外的要求等,说明其适用不仅仅是跨境,而是“有一定涉境外因素”即可适用。
《个人信息保护法》第三条第二款实质是一种“长臂管辖”条款,该条款也借鉴了欧盟GDPR管辖的规定。我们认为《认证规范》的适用场景突破“跨境”,可以构成对“长臂管辖”的一种具体的行为规制,也具有合理性。
整体而言,《认证规范》对认证适用情形、认证主体、基本原则及基本要求进行了相对详细的规定,但认证机构、认证实施程序、认证时限及有效期等执行层面的细节尚待进一步明确,以期为个人信息跨境处理认证制度的落地实施提供更明确的指引。