專家解讀|個人信息出境進(jìn)入“標(biāo)準(zhǔn)化”法治時代
編輯:王軍 信息來源: 中國網(wǎng)信網(wǎng)發(fā)布時間:2023-3-9
在數(shù)據(jù)要素市場化配置的國家戰(zhàn)略導(dǎo)向下,數(shù)據(jù)安全高效出境順勢成為立法工作的重要內(nèi)容?!毒W(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》建構(gòu)起全方位的數(shù)據(jù)安全和個人信息保障體系,但是數(shù)據(jù)安全不等于限制數(shù)據(jù)流動,而是為了促成數(shù)據(jù)更高效的流動。在此背景下,我國出臺了《數(shù)據(jù)出境安全評估辦法》,解決了涉及大量個人信息、重要數(shù)據(jù)的出境安全問題。但是,數(shù)據(jù)出境立法進(jìn)程并沒有就此止步。為了滿足企業(yè)數(shù)據(jù)出境的業(yè)務(wù)需求以及迎合不同規(guī)模數(shù)據(jù)出境的行業(yè)特征,國家互聯(lián)網(wǎng)信息辦公室又出臺了《個人信息出境標(biāo)準(zhǔn)合同辦法》(下簡稱《辦法》)。這不僅意味著我國數(shù)據(jù)出境立法的體系化工作取得巨大成就,也意味著我國個人信息出境就此步入“標(biāo)準(zhǔn)化”法治時代。
一、數(shù)據(jù)安全監(jiān)管理念升級,合規(guī)出境渠道多元化
數(shù)字經(jīng)濟(jì)的創(chuàng)新發(fā)展離不開數(shù)據(jù)資源的供給與流動,為了進(jìn)一步解放數(shù)據(jù)資源在數(shù)字市場中的生產(chǎn)要素功能,填補(bǔ)數(shù)據(jù)合規(guī)出境的單一性,國家互聯(lián)網(wǎng)信息辦公室一針見血地點(diǎn)出行業(yè)痛點(diǎn),以標(biāo)準(zhǔn)化合同的制度模式為企業(yè)數(shù)據(jù)出境提供了另一種可能性。與過去強(qiáng)監(jiān)管模式相比,《辦法》體現(xiàn)了我國監(jiān)管機(jī)構(gòu)在長期的數(shù)據(jù)安全監(jiān)管實踐活動中所探索出的新型監(jiān)管理念和監(jiān)管模式,即將行政監(jiān)管與企業(yè)自主合規(guī)相結(jié)合。
(一)定底線,留磋商。《辦法》看似對企業(yè)個人信息出境合同作出了種種限制,甚至還列明了《個人信息出境標(biāo)準(zhǔn)合同》,但這種表現(xiàn)的背后卻體現(xiàn)了我國的監(jiān)管智慧:在私法層面,合同的生命在于意思自治和自主磋商,《辦法》并沒有事無巨細(xì)地限定企業(yè)應(yīng)當(dāng)怎么訂立合同,而是以示范性的標(biāo)準(zhǔn)合同的形式指引企業(yè)應(yīng)當(dāng)如何完成的個人信息保障義務(wù)?!掇k法》第6條規(guī)定標(biāo)準(zhǔn)合同應(yīng)當(dāng)按照《辦法》附件訂立,但同時也允許在與附件內(nèi)容不沖突的情況下約定其他條款。
(二)填空白,多渠道。《數(shù)據(jù)出境安全評估辦法》的出臺解決了大規(guī)模個人信息、重要數(shù)據(jù)的安全出境問題,但是對于出境數(shù)據(jù)規(guī)模不大、不屬于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的其他企業(yè)而言,采取同樣的數(shù)據(jù)出境模式又未免存在合規(guī)成本過高等問題?!掇k法》第4條則明確了標(biāo)準(zhǔn)合同機(jī)制適用應(yīng)當(dāng)同時符合以下情形:一是非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者;二是處理個人信息不滿100萬人的;三是自上年1月1日起累計向境外提供個人信息不滿10萬人的;四是自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的。該條直接說明了《辦法》對數(shù)據(jù)出境安全評估機(jī)制適用范圍的填補(bǔ),企業(yè)在出境部分個人信息時,可選擇的合規(guī)模式更加多元。
(三)重備案,強(qiáng)保密。《辦法》第3條明確提及了適用原則包括“自主締約與備案管理相結(jié)合”“保護(hù)權(quán)益與防范風(fēng)險相結(jié)合”等。一方面,這里的“備案”不同于數(shù)據(jù)安全評估機(jī)制所要求的實質(zhì)性審查,而是強(qiáng)調(diào)監(jiān)管機(jī)構(gòu)僅對提交材料進(jìn)行形式審查,至于備案材料的真實性則由企業(yè)自行負(fù)責(zé)。另一方面,這里的“防范風(fēng)險”除了強(qiáng)調(diào)個人信息處理者需要控制個人信息出境的安全風(fēng)險,還強(qiáng)調(diào)了備案機(jī)構(gòu)及其工作人員同樣對備案材料負(fù)有保密義務(wù),個人信息處理者不必?fù)?dān)心主動備案出境合同可能會導(dǎo)致商業(yè)秘密等泄露,更不用擔(dān)心因泄露而導(dǎo)致潛在的商業(yè)機(jī)會喪失。
二、數(shù)據(jù)出境立法呈體系化趨向,條款內(nèi)容“承上啟下”
時至今日,我國數(shù)據(jù)安全立法經(jīng)歷了從無到有、從有到優(yōu)的發(fā)展歷程,隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》相繼頒布,我國的數(shù)據(jù)立法工作呈現(xiàn)縱深化、專題化和領(lǐng)域化的發(fā)展趨勢。在數(shù)據(jù)安全出境領(lǐng)域,前三部法律明確了數(shù)據(jù)出境的基本原則和基本制度架構(gòu),而此次的《辦法》和《數(shù)據(jù)出境安全評估辦法》等則構(gòu)成了數(shù)據(jù)安全出境體系的具體內(nèi)容,并且除了適用范圍具有相互填補(bǔ)銜接的特點(diǎn)之外,在立法目標(biāo)和具體條款上同樣實現(xiàn)了監(jiān)管標(biāo)準(zhǔn)的統(tǒng)一化和體系化。
(一)數(shù)據(jù)出境需進(jìn)行個人信息保護(hù)影響評估。《個人信息保護(hù)法》第55條和第56條規(guī)定了“向境外提供個人信息”時應(yīng)當(dāng)事前進(jìn)行個人信息保護(hù)影響評估,并明確了評估事項主要包括處理目的、處理方式、個人權(quán)益影響及安全風(fēng)險、風(fēng)險匹配度等。而《辦法》第5條則將個人信息保護(hù)影響評估事項進(jìn)一步細(xì)化,專門針對個人信息出境之后的潛在風(fēng)險點(diǎn)作出了一體性評估要求,包括但不限于境外接收方能否履行承諾的個人信息保護(hù)法義務(wù)、出境后是否存在非法利用、泄露等風(fēng)險、境外接收方所在國家或地區(qū)的相關(guān)立法能否保障標(biāo)準(zhǔn)合同的履行。
(二)“安全評估、標(biāo)準(zhǔn)合同、機(jī)構(gòu)認(rèn)證”出境機(jī)制并行。《個人信息保護(hù)法》第38條規(guī)定了個人信息出境需要滿足的法定條件包括“安全評估”“個人信息保護(hù)認(rèn)證”和“標(biāo)準(zhǔn)合同”。《數(shù)據(jù)出境安全評估辦法》公布后不到一年內(nèi),國家互聯(lián)網(wǎng)信息辦公室緊鑼密鼓地頒布《辦法》,意味著我國個人信息出境機(jī)制正在逐漸按照上位法《個人信息保護(hù)法》的內(nèi)容逐一補(bǔ)全,企業(yè)數(shù)據(jù)出境業(yè)務(wù)合規(guī)的選擇空間更加廣闊。
(三)依照上位法確定標(biāo)準(zhǔn)合同內(nèi)容,并未實際增加企業(yè)合規(guī)成本。《辦法》附件所列明的標(biāo)準(zhǔn)合同條款內(nèi)容絕大部分均是以《個人信息保護(hù)法》所涉及的個人信息主體權(quán)利和個人信息處理者義務(wù)為基礎(chǔ),企業(yè)依據(jù)《個人信息保護(hù)法》要求落實個人信息保護(hù)義務(wù)的同時,實際上也在完成個人信息出境標(biāo)準(zhǔn)合同所要求的義務(wù)。附件標(biāo)準(zhǔn)合同的“定義”部分與《個人信息保護(hù)法》所規(guī)定的個人信息主體、個人信息、敏感個人信息等概念保持一致,至于“個人信息處理者的義務(wù)”“境外接收方的義務(wù)”“個人信息主體權(quán)利”等內(nèi)容則是針對個人信息出境場景的風(fēng)險特殊性,細(xì)化了《個人信息保護(hù)法》規(guī)定的義務(wù)履行方式和權(quán)利行使方式,保持了監(jiān)管標(biāo)準(zhǔn)的一致性。
三、數(shù)據(jù)安全風(fēng)險治理新探索:打造可信可控的個人信息出境模式
現(xiàn)階段,網(wǎng)民往往在繁瑣冗雜的隱私政策、用戶協(xié)議等平臺規(guī)則中“迷失方向”,在一次次點(diǎn)擊“同意”按鈕時,又在擔(dān)心自己的個人信息出境之后是否安全,這種社會公眾對個人信息出境乃至數(shù)據(jù)流動安全性的不信任已經(jīng)成為數(shù)據(jù)要素市場化配置的關(guān)鍵阻礙。為了保障自然人個人信息權(quán)益,同時最大限度地實現(xiàn)個人信息效用,《辦法》選擇從個人信息出境最直接的風(fēng)險來源切入——以出境后的個人信息安全保障為重心,以救濟(jì)方式、違約責(zé)任、爭議解決機(jī)制等方式消解社會公眾對個人信息出境的不信任,同時確保境外接收方能夠按照合同約定履行義務(wù)。這種數(shù)據(jù)安全風(fēng)險治理新探索主要體現(xiàn)在以下兩個方面。
(一)個人信息主體維權(quán)有所依,相互推諉不復(fù)在。附件標(biāo)準(zhǔn)合同在“第六條 救濟(jì)”中明確了境外接收者需要向個人信息主體提供詢問或投訴的具體渠道,以網(wǎng)站公告或單獨(dú)通知的方式告知境外接收方的固定聯(lián)系人,避免個人信息主體維權(quán)時對于境外接收方“可望不可及”。個人信息主體再也不用擔(dān)心發(fā)生爭議時個人信息處理者與境外接收方相互“踢皮球”,將爭議問題推諉給對方。
(二)違約責(zé)任保障合同義務(wù)履行,仲裁或訴訟解決先行賠償問題。附件標(biāo)準(zhǔn)合同以個人信息主體的權(quán)利保障為優(yōu)先事項,規(guī)定了違約方需要承擔(dān)民事責(zé)任、行政責(zé)任乃至刑事責(zé)任,同時提及了雙方依法承擔(dān)連帶責(zé)任的,個人信息主體完全有權(quán)選擇其中一方或雙方承擔(dān)責(zé)任。一方承擔(dān)的責(zé)任超過其應(yīng)當(dāng)承擔(dān)的責(zé)任份額時,有權(quán)向另一方追償。(作者:趙精武 北京航空航天大學(xué)法學(xué)院副教授)