?

信息安全標(biāo)準(zhǔn)化技術(shù)委員會于2022年4月29日發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn) 個人信息跨境處理活動認(rèn)證技術(shù)規(guī)范（征求意見稿）》（“征求意見稿"），距正式稿發(fā)布，有近兩個月的時間，立法效率還是比較高的。從征求意見稿到正式稿的變化，往往反映出社會的關(guān)切和爭議焦點。我們不妨先看一下，本認(rèn)證規(guī)范正式稿的主要變化點：

其它的一些修改還包括文字修改和立法邏輯的理順，此處不做詳述。

首先，個人信息跨境處理活動認(rèn)證屬于國家推薦的自愿性認(rèn)證，一旦認(rèn)證成功，可以作為在認(rèn)證范圍內(nèi)的跨境處理活動的合法路徑。

?

其次，我們理解，本認(rèn)證屬于一種長效的機制，即，獲得認(rèn)證后的一定期限內(nèi)，如果個人信息跨境處理活動的認(rèn)證事項沒有發(fā)生實質(zhì)性變化的，即可作為連續(xù)性的跨境處理活動的依賴。雖然本認(rèn)證規(guī)范沒有明確認(rèn)證的有效期限，我們可以參考《數(shù)據(jù)出境安全評估辦法（征求意見稿）》的相關(guān)規(guī)定，即本認(rèn)證會設(shè)定有效期限，期限屆滿，需要重新申請認(rèn)證，期間如出現(xiàn)需要重新認(rèn)證的情形的，應(yīng)提前重新申請認(rèn)證。

?

最后，關(guān)于認(rèn)證機構(gòu)，網(wǎng)信部門尚未指定。考慮到，中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心和中國電子技術(shù)標(biāo)準(zhǔn)化研究院等單位為本認(rèn)證規(guī)范的制定提供了技術(shù)支持，如其最后成為指定的認(rèn)證機構(gòu)，也是順理成章。

本認(rèn)證規(guī)范第1條 a)規(guī)定的適用場景包括三個：

?

• 跨國公司的個人信息跨境處理活動（“場景一"）；

• 同一經(jīng)濟、事業(yè)實體下屬子公司的個人信息跨境處理活動（“場景二"）；以及

• 關(guān)聯(lián)公司之間的個人信息跨境處理活動（“場景三"）。

?

跨國公司及同一實體下的子公司間的處理活動，具有內(nèi)部性，且各方的關(guān)系穩(wěn)定、公司管理架構(gòu)一致，容易達成認(rèn)證所需要的協(xié)議、組織設(shè)置、統(tǒng)一數(shù)據(jù)處理規(guī)則等要求，比較適合于認(rèn)證機制。關(guān)聯(lián)公司之間的個人信息跨境處理活動的認(rèn)證，是正式稿新增的場景，我們理解，這里的“關(guān)聯(lián)"既可包括股權(quán)關(guān)聯(lián)，也可以包括業(yè)務(wù)關(guān)聯(lián)，只要處理者和境外接收方能夠達到本認(rèn)證規(guī)范所規(guī)定的認(rèn)證條件即可。

?

而對于第1條 b)所規(guī)定的適用情形，即個保法第三條第二款規(guī)定的境外處理境內(nèi)自然人個人信息的活動（“場景四"），引發(fā)了比較大的爭議。業(yè)內(nèi)普遍觀點認(rèn)為，個保法第三條第二款規(guī)定的處理活動，會導(dǎo)致個保法對境外的個人信息處理者直接適用，但第三章規(guī)定的個人信息跨境提供的規(guī)則不適用。該觀點的邏輯是，該處理活動中，缺失境內(nèi)個人信息處理者主體，也就沒有發(fā)生（境內(nèi)處理者）向境外提供個人信息的行為。GDPR在此問題上亦是這樣的邏輯。?

?

但是，本認(rèn)證規(guī)范第1條 b)把個保法第三條第二款規(guī)定的處理活動納入認(rèn)證的范圍，而認(rèn)證機制又在個保法第三章針對個人信息跨境提供的規(guī)則中所規(guī)定，是否可以理解，個保法第三條第二款規(guī)定的處理活動同樣適用個保法第三章的跨境規(guī)則？至少，可以理解為這是本認(rèn)證規(guī)范的一種觀點。?

?

進一步討論，如果場景四的適用縮限到境外的個人信息處理者再向第三方傳輸個人信息的場景，即使該第三方與境外的個人信息處理者位于同一法域，由于該傳輸處理構(gòu)成跨境傳輸，進而可適用認(rèn)證機制，邏輯上是行得通的。?

根據(jù)本認(rèn)證規(guī)范第2條，對于跨境的場景一到場景三，由境內(nèi)一方申請認(rèn)證，并承擔(dān)法律責(zé)任。也就是說，把境內(nèi)的個人信息處理者作為認(rèn)證的監(jiān)管抓手及后續(xù)承擔(dān)法律責(zé)任的主體，這種安排也是順理成章。

?

但是，對于場景四，則規(guī)定由境外個人信息處理者在境內(nèi)設(shè)置的專門機構(gòu)或指定代表申請認(rèn)證，并承擔(dān)法律責(zé)任，就有些讓人擔(dān)心。在GDPR生效后，很多歐洲律所和第三方咨詢公司提供了擔(dān)任域外公司GDPR歐盟代表的服務(wù)。GDPR歐盟代表主要的職責(zé)是聯(lián)絡(luò)溝通，依照GDPR規(guī)定，即使指定了歐盟代表，數(shù)據(jù)處理活動的違法責(zé)任仍應(yīng)當(dāng)由數(shù)據(jù)控制者或處理者承擔(dān)。在場景四的邏輯下，我們估計很少有律所或第三方機構(gòu)敢于承擔(dān)這項工作了。

個保法第三十八條規(guī)定，個人信息處理者應(yīng)當(dāng)采取必要措施，保障境外接收方處理個人信息的活動達到本法規(guī)定的個人信息保護標(biāo)準(zhǔn)，此即同等保護原則的來源。但是，本認(rèn)證規(guī)范的第3條d)規(guī)定，要“確保個人信息跨境處理活動達到中華人民共和國個人信息保護相關(guān)法律法規(guī)規(guī)定的個人信息保護標(biāo)準(zhǔn)"。認(rèn)證規(guī)范顯然是擴張了個保法第三十八條的同等保護的基準(zhǔn)，即不但包括個保法，還包括與個人信息處理活動有關(guān)的其它法律和行政法規(guī)，比如《數(shù)據(jù)安全法》及未來可能出臺的《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等。

本認(rèn)證規(guī)范所規(guī)定的認(rèn)證，是對個保法第三十八條第（二）項規(guī)定的認(rèn)證機制的配合實施，屬于個人信息跨境傳輸?shù)暮戏窂街?。同樣，個保法第三十八條第（三）項規(guī)定的標(biāo)準(zhǔn)合同條款，是與認(rèn)證機制平行的機制，兩者相互獨立。本認(rèn)證規(guī)范第4.1條也要求開展跨境處理活動的雙方簽署具有法律約束力的協(xié)議，至少包括：處理活動雙方、跨境處理個人信息的目的及個人信息的類別和范圍；統(tǒng)一的跨境處理規(guī)則，達到同等保護的標(biāo)準(zhǔn)；接受監(jiān)督；接受中國法的管轄；明確責(zé)任等。

?

個保法第三十八條第（三）項規(guī)定的標(biāo)準(zhǔn)合同條款尚未公布，與認(rèn)證機制相比，標(biāo)準(zhǔn)合同條款仍屬于合同性質(zhì)，缺少第三方機構(gòu)的介入，因此，在合同架構(gòu)和責(zé)任義務(wù)設(shè)定上，比認(rèn)證規(guī)范所要求的協(xié)議可能會更加復(fù)雜。?目前，對于標(biāo)準(zhǔn)合同條款機制，監(jiān)管部門的監(jiān)管抓手和監(jiān)管程序尚待完善。

本認(rèn)證規(guī)范第4.1條要求個人信息處理者和境外接收方之間應(yīng)當(dāng)簽訂具有法律約束力和執(zhí)行力的文件。針對場景四，因為不存在境內(nèi)的個人信息處理者，境外的個人信息處理者與誰來簽署這份協(xié)議呢?

?

一種可能的方案是，由境外個人信息處理者與其在境內(nèi)設(shè)置的專門機構(gòu)或指定代表簽署協(xié)議。?此種方案下，是把境內(nèi)的機構(gòu)或代表擬制成為境內(nèi)的個人信息處理者，成為監(jiān)管抓手和協(xié)議義務(wù)主體，并承擔(dān)相應(yīng)的法律責(zé)任。

本認(rèn)證規(guī)范第4.2.1條規(guī)定了個人信息保護負(fù)責(zé)人（DPO），且個人信息處理者和境外接收方均應(yīng)指定。從本認(rèn)證規(guī)范的條款看，DPO除了要具備專業(yè)知識和管理經(jīng)歷外，還應(yīng)當(dāng)是該組織的決策層成員，也就是具有決策權(quán)利的高管。此項規(guī)定無疑也提升了DPO的層級和重要性。我們理解，這些要求的背后邏輯是DPO要具有管理權(quán)限和資源調(diào)配能力，只有如此，數(shù)據(jù)保護工作才能順利開展。

在DPO之下，本認(rèn)證規(guī)范第4.2.2條還要求個人信息處理者和境外接收方均應(yīng)設(shè)立個人信息保護機構(gòu)，主要職責(zé)是制定跨境處理活動計劃、開展個人信息保護影響評估（“PIA"）、監(jiān)督跨境處理活動、接受個人信息主體權(quán)利請求和投訴。

?

我們可以理解，個人信息保護機構(gòu)是DPO領(lǐng)導(dǎo)下的個人信息保護執(zhí)行機構(gòu)。

本認(rèn)證規(guī)范第4.3條要求個人信息處理者和境外接收方遵守統(tǒng)一的個人信息跨境處理規(guī)則。此要求含義有二：?一是雙方在議定跨境個人信息傳輸過程中，要制定個人信息跨境處理規(guī)則；二是，該個人信息跨境處理規(guī)則對雙方都適用，都要遵守。?統(tǒng)一的個人信息跨境處理規(guī)則是保障跨境數(shù)據(jù)處理活動達到同等保護水平的基礎(chǔ)機制。在規(guī)則的內(nèi)容上，至少要包括：跨境處理活動的基本情況，處理的目的、方式和范圍，存儲期限及到期后的處理方式，需要中轉(zhuǎn)的國家/地區(qū)，資源和措施，安全事件的賠償和處理規(guī)則。

本認(rèn)證規(guī)范第4.4條要求進行個人信息跨境活動前，個人信息處理者要開展PIA評估。GB/T39335—2020《信息安全技術(shù) 個人信息安全影響評估指南》所確立的評估方法可以作為借鑒，但考慮到該指南并未重點考慮數(shù)據(jù)跨境傳輸場景，在參考該指南的同時，要重點補足跨境風(fēng)險因素的考量。

個保法對個人信息跨境傳輸監(jiān)管的主要考慮之一就是個人信息主體權(quán)益能否得到保障。因此，本認(rèn)證規(guī)范第5.1條賦予了個人信息主體在跨境處理活動中充分的權(quán)利保障，尤其值得關(guān)注的是關(guān)于個人信息主體的救濟渠道。即個人信息主體有權(quán)對違法個人信息處理活動向國內(nèi)監(jiān)管部門進行投訴、舉報，也可以在其經(jīng)常居住地法院對處理者和境外接收方提起司法訴訟。

本認(rèn)證規(guī)范第5.2條規(guī)定了針對個人信息處理者和境外接收方的系統(tǒng)性責(zé)任義務(wù)，主要包括：

?

• 充分告知個人信息主體的義務(wù)，并獲得單獨同意；

• 查閱途徑，及響應(yīng)查閱、復(fù)制、更正、補充或者刪除的請求；

• 如難以保證安全，應(yīng)中止傳輸；

• 發(fā)生信息安全事件，采取補救措施，并通知監(jiān)管部門和個人；

• 應(yīng)請求提供與個人信息主體權(quán)益有關(guān)的法律文件副本；

• 承擔(dān)賠償責(zé)任；

• 接受認(rèn)證機構(gòu)的監(jiān)督；

• 承諾接受中國法的管轄。