返回研究

《个人信息跨境处理活动认证技术规范》的信息跨境处理规则解读

  发布时间:2022-05-18

作者:杨浩、李纯、杨天昊

2022年4月29日,全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南--个人信息跨境处理活动认证技术规范》(征求意见稿)(“《技术认证规范》”),并面向社会公开征求意见。
《技术认证规范》明确了《中华人民共和国个人信息保护法》(“《个保法》”)第三十八条第二款“个人信息保护认证”的适用范围及完成认证的要件内容。为进一步了解信息跨境处理的规则,我们将在下文梳理并初步试析最新发布的《技术认证规范》的要点。
 
一、 基本原则

在《技术认证规范》中,除了基础的合法、正当、必要和诚信原则,公开、透明原则,信息质量原则,责任明确原则外,还针对个人信息保护认证明确了以下两个原则:同等保护原则与自愿认证原则。
同等保护原则,要求的是对于跨境数据的保护应当达到中华人民共和国个人信息保护相关法律法规规定的个人信息保护标准。这就要求企业在进行信息跨境处理时也应当及时跟进《个人信息出境安全评估办法(征求意见稿)》、《数据出境安全评估办法(征求意见稿)》、《网络数据安全管理条例(征求意见稿)》、《信息安全技术 数据出境安全评估指南(征求意见稿)》等的立法状态并参考内容,从而确保在个人信息跨境处理活动的不同阶段均达到前述标准。
自愿认证原则,是指该认证活动属于国家推荐的自愿性认证。
 
二、适用情形

本认证的适用范围包括以下两种情形:
a) 跨国公司或同一经济、事业实体内部的个人信息跨境处理活动;
b) 《个保法》第三条第二款规定的境外个人信息处理者,在境外处理境内自然人个人信息的活动。
《技术认证规范》明确指出,按照法律、行政法规、部门规章规定,需要通过国家网信部门组织的安全评估的个人信息跨境处理活动,应当向国家网信部门申报安全评估。例如,《个保法》第四十条要求,关键信息基础设施运营者或处理个人信息达到国家网信部门规定数量的个人信息处理者,确需向境外提供个人信息的,依然应当通过国家网信部门组织的安全评估。
 
三、认证方式
 
依据《技术认证规范》,针对前述两种适用场景,“跨国公司或者同一经济、事业实体内部的个人信息跨境处理活动可以由境内一方申请认证,并承担法律责任。”“《中华人民共和国个人信息保护法》第三条第二款规定的境外个人信息处理者,可以由境外组织机构在境内设置的专门机构或制定代表申请认证,并承担法律责任。”
上述两条均表明提出认证申请的具体申请主体可以为境内机构,并在境内承担法律责任。根据《个保法》第五十三条,该法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务。 我们理解,该等个人信息保护相关事务包括进行认证申请。
 
四、认证的相关要求
 
1. 信息跨境的合同
 
在《技术认证规范》中要求合同内容应当至少包含以下内容:
a) 参与个人信息跨境处理活动的相关方;
b) 跨境处理个人信息的目的以及个人信息的类别、范围;
c) 个人信息主体权益保护措施;
注:其中,关于个人信息主体的保护具体信息请参考《技术认证规范》原文第5部分的内容。
d) 各相关方遵守并统一的个人信息处理规则,并确保个人信息保护水平不低于中华人民共和国个人信息保护相关法律、行政法规规定的标准;
e) 各相关方承诺接受认证机构监督;
f) 明确在中华人民共和国个人信息保护相关法律、行政法规管辖;
g) 明确中华人民共和国境内承担法律责任的组织机构;
h) 其他应当遵守的法律、行政法规规定的义务。
 
2.确立相关的组织管理机构,包括个人信息保护负责人及个人信息保护机构
 
a) 个人信息保护负责人
对于个人信息保护负责人,我们理解,该词汇的定义与2020年10月生效的GB/T 35273-2020《信息安全技术  个人信息安全规范》中的“个人信息保护负责人”的内涵及外延一致,均指向一个自然人在公司或法人组织中负责个人信息保护的职责。因此,我们认为,个人信息保护负责人的职责及资质要求,不仅仅应参考本次发布的《技术认证规范》所提及的内容,也应当参考《信息安全技术  个人信息安全规范》中对该职位的要求。
应当注意的是,《信息安全技术  个人信息安全规范》对专职个人信息保护负责人的设立设置了门槛的参考标准,即只有达到相应的标准才需要设置专职个人信息保护负责人(如从业人员规模和处理个人信息的数量)。但是,在《技术认证规范》中,要求凡是参与个人信息跨境处理活动的相关方均应指定个人信息保护负责人,且该负责人应为相关方的决策层成员。
以下为在《技术认证规范》中,对个人信息保护负责人的要求:
i. 明确个人信息保护工作的主要目标、基本要求、工作任务、保护措施;
ii. 为本组织机构的个人信息保护工作提供人力、财力、物力保障,确保所需资源可用;
(注:在本条文中要求个人信息保护负责人为个人信息保护工作提供人力、财力、物力保障,我们理解更多的是指在本组织框架内,为个人信息保护工作协调提供人力、财力和物力保障。)
iii. 指导、支持相关人员开展本组织机构的个人信息保护工作,确保个人信息保护工作达到预期目标;
iv. 向本组织机构的主要负责人汇报个人信息保护工作情况,推动个人信息保护工作持续改进。
b) 个人信息保护机构
《技术认证规范》中同样要求参与个人信息跨境处理的相关方均需要设置个人信息保护机构。个人信息保护机构的职责为:
i. 制定并实施各相关方均认可的个人信息跨境处理活动计划;
ii. 组织开展个人信息保护影响评估;
iii. 监督本组织机构按照相关方约定的个人信息处理规则处理跨境个人信息;
iv. 接受和处理个人信息主体的请求和投诉。

3.参与个人信息跨境处理时,遵守个人信息跨境处理规则(包括但不限于以下规则):
 
以下为《技术认证规范》中要求的在信息跨境处理过程中需要遵守的原则:
a) 跨境处理个人信息的基本情况,包括个人信息类型、敏感程度、数量等;
b) 跨境处理个人信息的目的、方式和范围;
c) 个人信息境外存储的起止时间及到期后的处理方式;
d) 跨境处理个人信息需要中转的国家或地区;
e) 保障个人信息主体权益所需资源和采取的措施;
f) 个人信息安全时间的赔偿、处置规则。
在遵循《技术认证规范》中要求的上述规则之外,还应当考虑到之前发布的关于个人信息跨境的规则,其中包括要考虑个人信息跨境的主体角色是否特殊(如,是否为关键信息基础设施运营者等)、是否存在其他的前置条件等问题。在考虑个人信息跨境处理的规则时,可参考《《个人信息保护法》下跨国公司个人信息跨境传输规则解读》。
 
4.进行个人信息保护影响评估
 
个人信息保护影响评估的内容应当参照GB/T 39335《信息安全技术 个人信息安全影响评估指南》的最新版本,基于个人信息处理活动是否合法、正当、必要等原则,衡量所采取的保护措施是否有效并与风险程度相适应等。在《技术认证规范》中要求个人信息保护影响评估至少包含下列事项:
a) 向境外提供个人信息是否符合法律、行政法规;
b) 对个人信息主体权益的产生的影响;
c) 境外国家和地区的法律环境、网络安全环境等对个人信息主体权益的影响;
d) 其他维护个人信息权益所必需的事项。
 
注:前文《技术认证规范》的要点原文来源为“全国信息安全标准化技术委员会秘书处”。 

作者简介:




特别声明

本文仅供参考,不构成律师的正式意见,不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点,并不反映作者所服务的任何机构或客户的立场。


Copyright © 2020 立方律师     京ICP备09037220号-1      京公网安备11010102000452号