專家解讀｜建構個人信息出境認證制度 完善個人信息出境合規體系

《個人信息保護法》規定個人信息處理者因業務等需要，確需向境外提供個人信息，需通過安全評估、訂立標準合同或進行個人信息保護認證。此前，通過《網絡數據安全管理條例》《數據出境安全評估辦法》《個人信息出境標準合同辦法》以及《促進和規范數據跨境流動規定》，個人信息出境制度已經具有較為完整的規定。《個人信息出境認證辦法》（以下簡稱《辦法》）則在法律法規規定基礎上，銜接《關于實施個人信息保護認證的公告》的規定，細化了個人信息出境認證的具體實施規則，標志著我國三種個人信息出境制度的全面落地。

從國際視角看，認證機制在個人信息出境中發揮重要作用。早在2011年，亞太經濟合作組織（APEC）推出了跨境隱私規則（CBPR）認證機制。目前，日本、新加坡等國采用了全球CBPR認證作為跨境數據傳輸的手段，獲得CBPR認證的全球公司可以直接在這些國家之間跨境傳輸個人信息。獲得認證的企業可在CBPR成員之間直接進行個人信息跨境傳輸。2016年歐盟《通用數據保護條例》則是首次將認證機制規定為數據出境的機制之一，并發布了對應指南。韓國等其他國家也引入認證機制作為個人信息出境的一種途徑。但總體上，現有的個人信息出境認證主要停留在規定層面，實踐中由于具備認證資質的認證機構比較缺乏、認證細則不明確等原因，企業較少采用此種機制進行個人信息跨境傳輸。《辦法》立足中國個人信息保護規定和監管經驗，在以下方面給出了中國方案，切實推動個人信息出境認證制度落地。

其一，明確適用個人信息出境認證的條件，銜接相關規定內容。《辦法》延續了《促進和規范數據跨境流動規定》相關內容，從三方面規定了適用認證機制的條件：一是主體方面，明確不適用于關鍵信息基礎設施運營者。二是信息類型方面，明確不適用于重要數據。三是處理信息數量方面，規定自當年1月1日起累計向境外提供的個人信息需滿足在10萬人至100萬人之間，或如果含敏感個人信息，則敏感個人信息需不滿1萬人。

其二，彰顯個人信息保護認證的自愿性和市場化，明確個人信息保護認證的定位。《辦法》體現了個人信息出境認證的四個特性。一是自愿性，認證申請系由個人信息處理者自愿向專業認證機構提出，認證不是強制性的出境手續，不會給企業帶來合規負擔。二是市場化，認證主體是市場化的專業認證機構而非國家監管部門，這在很大程度上有助于激發認證活動的活力，增強認證制度的適用性。三是社會化，認證活動以需求為導向，由政府、專業認證機構、申請人以及社會公眾共同合作實現。四是統一性，主管部門制定個人信息出境認證相關標準、技術規范、認證規則，統一認證證書和標志，專業認證機構按照認證基本規范、個人信息保護認證規則開展個人信息出境認證活動，能夠保證認證門檻的一致性，避免申請人為了提升認證通過率，選擇采用標準更低的認證機構。

其三，明確專業認證機構認證重點要求，規范個人信息出境認證程序。首先，明確規定認證機構評定依據，規定專業認證機構應當按照認證基本規范、個人信息保護認證規則開展個人信息出境認證活動。其次，規范認證證書管理，明確認證證書出具、有效期及延期申請、信息報送等內容。最后，規定專業認證機構對認證證書的暫停與撤銷，以及重大情況報告制度。《辦法》同時規定投訴舉報機制，明確任何組織和個人發現獲證個人信息處理者違反本辦法規定向境外提供個人信息的，都可向專業認證機構、網信部門和有關部門投訴、舉報，強調社會各主體在監督方面的作用，以期最大程度保障個人信息跨境安全。此外，《辦法》還規定中國境外的個人信息處理者通過其在境內設立的專門機構或指定代表協助，同樣可以申請個人信息出境認證，為個人信息保護認證申請提出了具有針對性、操作性的指引。

《辦法》的出臺是我國個人信息出境領域立法和監管體系的重要完善，標志著我國個人信息出境制度體系已構建完成。《辦法》結合我國認證制度與個人信息保護的相關法律規定，形成了一套契合中國國情、具有較強針對性和可操作性的個人信息出境認證制度。未來，隨著《辦法》的實施，我國個人信息跨境治理將邁向更高水平，在保障安全的基礎上促進個人信息高效跨境流動，進一步激發我國數據要素活力，為我國數字經濟發展提供堅實基礎。

作者：丁曉東　中國人民大學法學院副院長、教授

來源：“網信中國”微信公眾號