十國/地區(qū)數(shù)據(jù)保護(hù)法十大合規(guī)要點(diǎn)對(duì)比 | #4 數(shù)據(jù)跨境傳輸規(guī)則與要求
2021-09-28
來源:出?;ヂ?lián)網(wǎng)法律觀察
第四部分:數(shù)據(jù)跨境傳輸規(guī)則與要求
在數(shù)字經(jīng)濟(jì)時(shí)代,數(shù)據(jù)是各國競(jìng)相爭(zhēng)奪的基礎(chǔ)性戰(zhàn)略資源,各國不斷出臺(tái)數(shù)據(jù)跨境傳輸規(guī)則與政策,強(qiáng)化本國對(duì)數(shù)據(jù)資源的掌控能力,以便在全球數(shù)字經(jīng)濟(jì)發(fā)展格局中占據(jù)有利地位。與此同時(shí),數(shù)據(jù)只有流動(dòng)才能產(chǎn)生經(jīng)濟(jì)紅利,如何平衡跨境數(shù)據(jù)流動(dòng)為跨國合作帶來極大促進(jìn)作用的同時(shí),也能更好地維護(hù)主權(quán)國家在個(gè)人隱私權(quán)、企業(yè)商業(yè)利益和國家安全的問題上,提出了法律規(guī)制上的全新挑戰(zhàn)。
?。ㄒ唬┪覈鴤€(gè)人信息保護(hù)法解讀:
01 跨境提供個(gè)人信息的前置條件
我國個(gè)保法正式確立了我國個(gè)人信息跨境流動(dòng)的規(guī)則體系,規(guī)定個(gè)人信息以在境內(nèi)存儲(chǔ)為原則,并確定了需要在滿足法律規(guī)定的條件下可以向境外提供個(gè)人信息的規(guī)則。
可見,我國基于個(gè)人信息的跨境流動(dòng)將會(huì)影響到個(gè)人隱私安全、企業(yè)利益甚至國家安全,以及數(shù)據(jù)的跨境流動(dòng)具有不可逆的特性,采取了對(duì)個(gè)人信息跨境傳輸活動(dòng)進(jìn)行事前監(jiān)管的方式。
個(gè)保法第三十八條明確規(guī)定,個(gè)人信息處理者因業(yè)務(wù)等需要,確需向中華人民共和國境外提供個(gè)人信息的,應(yīng)當(dāng)至少具備下列一項(xiàng)條件:
01
照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評(píng)估;
02
按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證;
03
按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同,約定雙方的權(quán)利和義務(wù);
04
法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。
我國締結(jié)或者參加的國際條約、協(xié)定對(duì)向境外提供個(gè)人信息的條件等有規(guī)定的,可以按照其規(guī)定執(zhí)行。
首先,從法條本義解析出發(fā),至少滿足其中一項(xiàng)條件即可,但實(shí)踐中,如果能同時(shí)滿足其他條件,亦為更佳。
其次,需要注意的是,安全評(píng)估或個(gè)人信息保護(hù)認(rèn)證,并非企業(yè)自我評(píng)估或自我認(rèn)證就可以,而是兩者都需要由國家網(wǎng)信部門的安排與組織下進(jìn)行。根據(jù)2019網(wǎng)信辦發(fā)布的《個(gè)人信息出境安全評(píng)估辦法(征求意見稿)》,與安全評(píng)估的相關(guān)規(guī)則還處在征求意見階段,暫未見其他進(jìn)一步的強(qiáng)制規(guī)定與政策指南。
所以,盡管目前還沒有具體的由國家網(wǎng)信部門指定的標(biāo)準(zhǔn)合同,但相比前兩者來說,目前跨國企業(yè)在進(jìn)行個(gè)人信息跨境傳輸時(shí)較為可行的方式,是采取“與境外接收方訂立合同”的方式,通過要求提供方與接收方公司簽訂合同以約定雙方在個(gè)人信息處理和保護(hù)的權(quán)利和義務(wù)。
02 跨境提供個(gè)人信息的基礎(chǔ)要求
跨境傳輸是個(gè)人信息處理活動(dòng)的一種,因此,在滿足“前置條件”的情況下,企業(yè)在向境外提供個(gè)人信息的時(shí)候,仍需要繼續(xù)按照我國個(gè)保法的基礎(chǔ)要求進(jìn)行,主要包括:
01
數(shù)據(jù)主體告知境外接收方的身份和聯(lián)系方式,個(gè)人信息的處理目的、處理方式,個(gè)人信息的種類、數(shù)據(jù)主體對(duì)應(yīng)權(quán)利,以及保存期限(且應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短時(shí)間等);
02
獲得數(shù)據(jù)主體的單獨(dú)同意;
03
進(jìn)行事先的個(gè)人信息保護(hù)影響評(píng)估(DPIA或PIA)
04
采取必要措施,保障境外接收方處理個(gè)人信息的活動(dòng)達(dá)到個(gè)保法要求的個(gè)人信息保護(hù)標(biāo)準(zhǔn);
05
確保境外接收方?jīng)]有落入國家網(wǎng)信部門的黑名單(列入限制或者禁止提供個(gè)人信息的公告清單)。
03 跨境提供個(gè)人信息的對(duì)等要求
我國個(gè)保法確立了信息跨境傳輸?shù)摹皩?duì)等原則”,即,如果信息接收國家和地區(qū)在個(gè)人信息保護(hù)方面對(duì)我國采取歧視性的禁止、限制或者其他類似措施,則我國可以根據(jù)實(shí)際情況對(duì)該國家或者地區(qū)采取對(duì)等的禁止、限制或其他類似的措施。在這樣的情況下,當(dāng)個(gè)人信息是向該等國家或地區(qū)提供的時(shí)候,則會(huì)受到相應(yīng)的限制,需要視情況而具體分析。
04 跨境提供個(gè)人信息的特殊要求
A
在向境外提供個(gè)人信息時(shí)候,還需要特別關(guān)注被傳輸?shù)膫€(gè)人信息的性質(zhì),以及數(shù)量問題。
對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者,以及處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者,應(yīng)當(dāng):
01
將在境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi);
02
確需向境外提供的,應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評(píng)估;但法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評(píng)估的,從其規(guī)定。
關(guān)于“關(guān)鍵信息基礎(chǔ)設(shè)施”的認(rèn)定,在剛剛生效的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》中有所體現(xiàn),主要是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。
關(guān)于“個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量”的界定,可參考本年7月份網(wǎng)信辦發(fā)布的《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見稿)》,以及2017年網(wǎng)信辦發(fā)布的《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見稿)》中的規(guī)定。
B
在協(xié)助境外司法執(zhí)行方面的規(guī)定
我國個(gè)保法在這方面設(shè)置了非常高的門檻,明確規(guī)定了,對(duì)于存儲(chǔ)在我國境內(nèi)的個(gè)人信息,如果沒有經(jīng)過我國主管機(jī)關(guān)的批準(zhǔn),不得向外國司法或者執(zhí)法機(jī)構(gòu)進(jìn)行提供??梢姡覈鴮?duì)此情形下亦強(qiáng)調(diào)并采取了事前監(jiān)管原則,即便進(jìn)行了各種安全評(píng)估、獲得數(shù)據(jù)主體同意、進(jìn)行個(gè)人信息保護(hù)認(rèn)證等方式也不能成為可以向境外司法或執(zhí)法機(jī)構(gòu)提供的前置條件,而唯有獲得中國主管機(jī)關(guān)的明確批準(zhǔn),才能流出境外。
(二) 海外主要個(gè)人信息保護(hù)法律對(duì)比:
總體來說
在數(shù)據(jù)跨境流動(dòng)方面,可以看到,各國正在不斷強(qiáng)化數(shù)據(jù)跨境傳輸?shù)囊?guī)則與限制要求,體現(xiàn)了主權(quán)國家對(duì)本國數(shù)據(jù)資源的管控意識(shí)??v觀各國在數(shù)據(jù)跨境流動(dòng)的管理思路,主要以美國和歐盟為首的兩種做法為主。
美國在數(shù)據(jù)流入方面主張“數(shù)據(jù)自由流動(dòng)”,強(qiáng)調(diào)通過美國科技和數(shù)據(jù)資源上的優(yōu)勢(shì),推動(dòng)數(shù)字經(jīng)濟(jì)的發(fā)展;在數(shù)據(jù)流出方面,則通過出口管制手段來限制高科技、軍民兩用技術(shù)的數(shù)據(jù)出境。
歐盟則選擇“歐盟境內(nèi)松,歐盟境外緊”的數(shù)據(jù)跨境管理模式。在歐盟境內(nèi)通過《非個(gè)人數(shù)據(jù)自由流動(dòng)框架條例》促進(jìn)歐盟內(nèi)部數(shù)據(jù)的自由流動(dòng),同時(shí)通過《通用數(shù)據(jù)保護(hù)條例》(GDPR),確定歐盟數(shù)據(jù)保護(hù)的法律框架,增強(qiáng)了數(shù)據(jù)向境外流出的管控,并通過長(zhǎng)臂管轄方式加大了對(duì)歐盟個(gè)人數(shù)據(jù)的保護(hù)力度。