处理跨境个人信息新措施
我国内地跨境电商行业蓬勃发展,吸引了不少香港企业前来内地开展电商业务,为确保港商合规经营有关业务,相关部门出台了规定,2023年6月1日起实施《个人信息出境标准合同办法》(下称《办法》)。
《办法》要求内地信息处理商与境外企业签订个人信息出境标准合同后,方可把低风险的境内个人信息输出境外(包括香港、澳门及台湾等地),以保护个人信息权益以及规范个人信息跨境活动。
处理跨境个人信息新措施
该《办法》实施后,如果境外企业需要将中国境内的个人信息汇出至境外 (包括香港、澳门及台湾),在风险较低、少量个人信息出境的情况下,例如中小型规模的跨境企业内部跨境处理员工数据、小型跨境电商平台在提供跨境电商服务时涉及个人信息出境等,内地个人信息处理者(即内地信息提供方)与境外接收方(即境外企业或境外个人身份)需要通过签署个人信息出境标准合同,方可合法地把内地的个人信息从中国境内汇出至境外。
上述《办法》订明,在符合下列情况下,内地信息提供方可与境外企业订立个人信息出境标准合同:
1、内地信息提供方是非关键信息基础设施运营者;
2、处理不足100万人的个人信息;
3、自上年1月1日起累计向境外提供不足100,000人的个人信息;
4、自上年1月1日起累计向境外提供不足10,000人的敏感个人信息。
内地信息提供方在标准合同生效起10个工作日内,须向所在地省级网信部门备案,并提交材料包括标准合同、个人信息保护影响评估报告。
在高风险数据出境方面,包括关键信息基础设施运营者、重要数据、处理逾100万人的个人信息者、近两个自然年度累积出境100,000人的个人信息或10,000人的敏感个人信息,上述情况适用安全评估制度,不能以签订标准合同方式代替,更不能通过分拆数量的方式规避,而须申报数据出境安全评估,由有关网信部门查验。
境外接收方获得内地个人信息后,应采取妥善的安全保护措施,如加密、匿名化、去标识化、访问控制等技术和管理方式,确保个人信息在传输过程中及接收后存储、使用等各个环节的安全性,同时记录处理活动并保存纪录至少3年,待监管机构要求时可提供相关证明。
《办法》出台的意义
第一,《办法》的出台有利于推动《个人信息保护法》更好实施。《个人信息保护法》第三十八条规定了个人信息处理者向境外提供个人信息的三个途径,即安全评估、个人信息保护认证、标准合同以及其他条件。《办法》正文对“标准合同”途径下的个人信息出境要求作了详细规定,明确了个人信息出境标准合同的适用范围、订立条件和备案要求;附件列出了标准合同的基本条款,将法律规范转化为合同规则。
第二,《办法》的出台有利于促进数字经济发展和数据有序跨境流动。《办法》要求符合条件的个人信息处理者与境外接收方按照本办法订立个人信息出境标准合同并生效后即可出境个人信息,简化了个人信息出境的流程与环节,为个人信息处理者提供了多元化的个人信息出境方式。《办法》附件提供了标准合同的范本,境内个人信息处理者仅需要结合实际情况进行填充完善,极大降低了境内个人信息处理者的成本,解决了部分中小规模个人信息处理者专业人员不足的难题,便于其健康有序发展。
第三,《办法》的出台有利于提升个人信息出境活动的规范化水平。一方面,《办法》明底线划红线,指出合规方向,细化适用订立标准合同的方式向境外提供个人信息的基本条件,明确个人信息影响评估和合同备案的基本要求。另一方面,《办法》也亮规矩定责任,要求个人信息处理者对所备案材料的真实性负责,违反规定依据《个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。
实施《办法》的监管和合规
第一,加强个人信息保护监管执法。建议网信部门加大指导、引导、督促力度,推动境内个人信息处理者积极开展评估、备案,监督个人信息处理者业务开展中涉及个人信息出境的合同等法律文件,对未履行备案程序或者提交虚假材料进行备案的、未履行标准合同约定的责任义务并侵害个人信息权益造成损害的依法追究法律责任。
第二,个人信息处理者应对照《办法》要求做好合规。个人信息处理者应当加强对《办法》的学习,对照《办法》要求,用好通过订立标准合同的方式开展个人信息出境活动。首先,应当尽快梳理自身数据资产和出境数据规模,识别是否具备《办法》适用情形。其次,按照《办法》要求,在向境外提供个人信息前严格开展个人信息保护影响自评估,重点评估个人信息出境的目的、范围、方式及其合法性、正当性、必要性,通过出境个人信息的数量、范围、种类、敏感程度来判断其所可能产生的风险,明确境外接收方承诺承担的责任义务、管理能力、技术措施以及境外接收方所在国家或者地区的个人信息保护政策法规。再者,应当按照《办法》附件与境外接收方签署标准合同,并将标准合同与影响评估报告在标准合同生效之日起10个工作日内向所在地省级网信部门备案。
第三,发展应用法律科技,赋能监管与合规。随着人工智能、大数据等技术的进一步发展,利用“法律+科技”的手段实现监管与合规的自动化、智能化,符合数字经济发展和数字政府建设的新方向、新趋势。可以开发快速审查个人信息出境标准合同、影响评估报告的监管工具,助力实现备案监管的智慧化、精准化、全时化,提高监管能力和水平。通过技术对数据收集、存储、加工、使用、传输、删除等全生命周期进行可视化管理,自动分析企业数据资产与合规风险,根据分类分级等规则自动识别个人信息的数量、范围、种类、敏感程度,保障个人信息处理目的、范围、方式等的合法性、正当性、必要性,助力低成本、高效率完成《办法》所要求的个人信息保护影响评估。
