處理跨境個人信息新措施
我國內地跨境電商行業蓬勃發展,吸引了不少香港企業前來內地開展電商業務,為確保港商合規經營有關業務,相關部門出臺了規定,2023年6月1日起實施《個人信息出境標準合同辦法》(下稱《辦法》)。
《辦法》要求內地信息處理商與境外企業簽訂個人信息出境標準合同后,方可把低風險的境內個人信息輸出境外(包括香港、澳門及臺灣等地),以保護個人信息權益以及規范個人信息跨境活動。
處理跨境個人信息新措施
該《辦法》實施后,如果境外企業需要將中國境內的個人信息匯出至境外 (包括香港、澳門及臺灣),在風險較低、少量個人信息出境的情況下,例如中小型規模的跨境企業內部跨境處理員工數據、小型跨境電商平臺在提供跨境電商服務時涉及個人信息出境等,內地個人信息處理者(即內地信息提供方)與境外接收方(即境外企業或境外個人身份)需要通過簽署個人信息出境標準合同,方可合法地把內地的個人信息從中國境內匯出至境外。
上述《辦法》訂明,在符合下列情況下,內地信息提供方可與境外企業訂立個人信息出境標準合同:
1、內地信息提供方是非關鍵信息基礎設施運營者;
2、處理不足100萬人的個人信息;
3、自上年1月1日起累計向境外提供不足100,000人的個人信息;
4、自上年1月1日起累計向境外提供不足10,000人的敏感個人信息。
內地信息提供方在標準合同生效起10個工作日內,須向所在地省級網信部門備案,并提交材料包括標準合同、個人信息保護影響評估報告。
在高風險數據出境方面,包括關鍵信息基礎設施運營者、重要數據、處理逾100萬人的個人信息者、近兩個自然年度累積出境100,000人的個人信息或10,000人的敏感個人信息,上述情況適用安全評估制度,不能以簽訂標準合同方式代替,更不能通過分拆數量的方式規避,而須申報數據出境安全評估,由有關網信部門查驗。
境外接收方獲得內地個人信息后,應采取妥善的安全保護措施,如加密、匿名化、去標識化、訪問控制等技術和管理方式,確保個人信息在傳輸過程中及接收后存儲、使用等各個環節的安全性,同時記錄處理活動并保存紀錄至少3年,待監管機構要求時可提供相關證明。
《辦法》出臺的意義
第一,《辦法》的出臺有利于推動《個人信息保護法》更好實施。《個人信息保護法》第三十八條規定了個人信息處理者向境外提供個人信息的三個途徑,即安全評估、個人信息保護認證、標準合同以及其他條件。《辦法》正文對“標準合同”途徑下的個人信息出境要求作了詳細規定,明確了個人信息出境標準合同的適用范圍、訂立條件和備案要求;附件列出了標準合同的基本條款,將法律規范轉化為合同規則。
第二,《辦法》的出臺有利于促進數字經濟發展和數據有序跨境流動。《辦法》要求符合條件的個人信息處理者與境外接收方按照本辦法訂立個人信息出境標準合同并生效后即可出境個人信息,簡化了個人信息出境的流程與環節,為個人信息處理者提供了多元化的個人信息出境方式。《辦法》附件提供了標準合同的范本,境內個人信息處理者僅需要結合實際情況進行填充完善,極大降低了境內個人信息處理者的成本,解決了部分中小規模個人信息處理者專業人員不足的難題,便于其健康有序發展。
第三,《辦法》的出臺有利于提升個人信息出境活動的規范化水平。一方面,《辦法》明底線劃紅線,指出合規方向,細化適用訂立標準合同的方式向境外提供個人信息的基本條件,明確個人信息影響評估和合同備案的基本要求。另一方面,《辦法》也亮規矩定責任,要求個人信息處理者對所備案材料的真實性負責,違反規定依據《個人信息保護法》等法律法規處理;構成犯罪的,依法追究刑事責任。
實施《辦法》的監管和合規
第一,加強個人信息保護監管執法。建議網信部門加大指導、引導、督促力度,推動境內個人信息處理者積極開展評估、備案,監督個人信息處理者業務開展中涉及個人信息出境的合同等法律文件,對未履行備案程序或者提交虛假材料進行備案的、未履行標準合同約定的責任義務并侵害個人信息權益造成損害的依法追究法律責任。
第二,個人信息處理者應對照《辦法》要求做好合規。個人信息處理者應當加強對《辦法》的學習,對照《辦法》要求,用好通過訂立標準合同的方式開展個人信息出境活動。首先,應當盡快梳理自身數據資產和出境數據規模,識別是否具備《辦法》適用情形。其次,按照《辦法》要求,在向境外提供個人信息前嚴格開展個人信息保護影響自評估,重點評估個人信息出境的目的、范圍、方式及其合法性、正當性、必要性,通過出境個人信息的數量、范圍、種類、敏感程度來判斷其所可能產生的風險,明確境外接收方承諾承擔的責任義務、管理能力、技術措施以及境外接收方所在國家或者地區的個人信息保護政策法規。再者,應當按照《辦法》附件與境外接收方簽署標準合同,并將標準合同與影響評估報告在標準合同生效之日起10個工作日內向所在地省級網信部門備案。
第三,發展應用法律科技,賦能監管與合規。隨著人工智能、大數據等技術的進一步發展,利用“法律+科技”的手段實現監管與合規的自動化、智能化,符合數字經濟發展和數字政府建設的新方向、新趨勢。可以開發快速審查個人信息出境標準合同、影響評估報告的監管工具,助力實現備案監管的智慧化、精準化、全時化,提高監管能力和水平。通過技術對數據收集、存儲、加工、使用、傳輸、刪除等全生命周期進行可視化管理,自動分析企業數據資產與合規風險,根據分類分級等規則自動識別個人信息的數量、范圍、種類、敏感程度,保障個人信息處理目的、范圍、方式等的合法性、正當性、必要性,助力低成本、高效率完成《辦法》所要求的個人信息保護影響評估。
