專家解讀|個人信息出境進入“標準化”法治時代
編輯:王軍 信息來源: 中國網信網發布時間:2023-3-9
在數據要素市場化配置的國家戰略導向下,數據安全高效出境順勢成為立法工作的重要內容?!毒W絡安全法》《數據安全法》《個人信息保護法》建構起全方位的數據安全和個人信息保障體系,但是數據安全不等于限制數據流動,而是為了促成數據更高效的流動。在此背景下,我國出臺了《數據出境安全評估辦法》,解決了涉及大量個人信息、重要數據的出境安全問題。但是,數據出境立法進程并沒有就此止步。為了滿足企業數據出境的業務需求以及迎合不同規模數據出境的行業特征,國家互聯網信息辦公室又出臺了《個人信息出境標準合同辦法》(下簡稱《辦法》)。這不僅意味著我國數據出境立法的體系化工作取得巨大成就,也意味著我國個人信息出境就此步入“標準化”法治時代。
一、數據安全監管理念升級,合規出境渠道多元化
數字經濟的創新發展離不開數據資源的供給與流動,為了進一步解放數據資源在數字市場中的生產要素功能,填補數據合規出境的單一性,國家互聯網信息辦公室一針見血地點出行業痛點,以標準化合同的制度模式為企業數據出境提供了另一種可能性。與過去強監管模式相比,《辦法》體現了我國監管機構在長期的數據安全監管實踐活動中所探索出的新型監管理念和監管模式,即將行政監管與企業自主合規相結合。
(一)定底線,留磋商。《辦法》看似對企業個人信息出境合同作出了種種限制,甚至還列明了《個人信息出境標準合同》,但這種表現的背后卻體現了我國的監管智慧:在私法層面,合同的生命在于意思自治和自主磋商,《辦法》并沒有事無巨細地限定企業應當怎么訂立合同,而是以示范性的標準合同的形式指引企業應當如何完成的個人信息保障義務?!掇k法》第6條規定標準合同應當按照《辦法》附件訂立,但同時也允許在與附件內容不沖突的情況下約定其他條款。
(二)填空白,多渠道。《數據出境安全評估辦法》的出臺解決了大規模個人信息、重要數據的安全出境問題,但是對于出境數據規模不大、不屬于關鍵信息基礎設施運營者的其他企業而言,采取同樣的數據出境模式又未免存在合規成本過高等問題?!掇k法》第4條則明確了標準合同機制適用應當同時符合以下情形:一是非關鍵信息基礎設施運營者;二是處理個人信息不滿100萬人的;三是自上年1月1日起累計向境外提供個人信息不滿10萬人的;四是自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的。該條直接說明了《辦法》對數據出境安全評估機制適用范圍的填補,企業在出境部分個人信息時,可選擇的合規模式更加多元。
(三)重備案,強保密。《辦法》第3條明確提及了適用原則包括“自主締約與備案管理相結合”“保護權益與防范風險相結合”等。一方面,這里的“備案”不同于數據安全評估機制所要求的實質性審查,而是強調監管機構僅對提交材料進行形式審查,至于備案材料的真實性則由企業自行負責。另一方面,這里的“防范風險”除了強調個人信息處理者需要控制個人信息出境的安全風險,還強調了備案機構及其工作人員同樣對備案材料負有保密義務,個人信息處理者不必擔心主動備案出境合同可能會導致商業秘密等泄露,更不用擔心因泄露而導致潛在的商業機會喪失。
二、數據出境立法呈體系化趨向,條款內容“承上啟下”
時至今日,我國數據安全立法經歷了從無到有、從有到優的發展歷程,隨著《網絡安全法》《數據安全法》《個人信息保護法》相繼頒布,我國的數據立法工作呈現縱深化、專題化和領域化的發展趨勢。在數據安全出境領域,前三部法律明確了數據出境的基本原則和基本制度架構,而此次的《辦法》和《數據出境安全評估辦法》等則構成了數據安全出境體系的具體內容,并且除了適用范圍具有相互填補銜接的特點之外,在立法目標和具體條款上同樣實現了監管標準的統一化和體系化。
(一)數據出境需進行個人信息保護影響評估。《個人信息保護法》第55條和第56條規定了“向境外提供個人信息”時應當事前進行個人信息保護影響評估,并明確了評估事項主要包括處理目的、處理方式、個人權益影響及安全風險、風險匹配度等。而《辦法》第5條則將個人信息保護影響評估事項進一步細化,專門針對個人信息出境之后的潛在風險點作出了一體性評估要求,包括但不限于境外接收方能否履行承諾的個人信息保護法義務、出境后是否存在非法利用、泄露等風險、境外接收方所在國家或地區的相關立法能否保障標準合同的履行。
(二)“安全評估、標準合同、機構認證”出境機制并行。《個人信息保護法》第38條規定了個人信息出境需要滿足的法定條件包括“安全評估”“個人信息保護認證”和“標準合同”?!稊祿鼍嘲踩u估辦法》公布后不到一年內,國家互聯網信息辦公室緊鑼密鼓地頒布《辦法》,意味著我國個人信息出境機制正在逐漸按照上位法《個人信息保護法》的內容逐一補全,企業數據出境業務合規的選擇空間更加廣闊。
(三)依照上位法確定標準合同內容,并未實際增加企業合規成本。《辦法》附件所列明的標準合同條款內容絕大部分均是以《個人信息保護法》所涉及的個人信息主體權利和個人信息處理者義務為基礎,企業依據《個人信息保護法》要求落實個人信息保護義務的同時,實際上也在完成個人信息出境標準合同所要求的義務。附件標準合同的“定義”部分與《個人信息保護法》所規定的個人信息主體、個人信息、敏感個人信息等概念保持一致,至于“個人信息處理者的義務”“境外接收方的義務”“個人信息主體權利”等內容則是針對個人信息出境場景的風險特殊性,細化了《個人信息保護法》規定的義務履行方式和權利行使方式,保持了監管標準的一致性。
三、數據安全風險治理新探索:打造可信可控的個人信息出境模式
現階段,網民往往在繁瑣冗雜的隱私政策、用戶協議等平臺規則中“迷失方向”,在一次次點擊“同意”按鈕時,又在擔心自己的個人信息出境之后是否安全,這種社會公眾對個人信息出境乃至數據流動安全性的不信任已經成為數據要素市場化配置的關鍵阻礙。為了保障自然人個人信息權益,同時最大限度地實現個人信息效用,《辦法》選擇從個人信息出境最直接的風險來源切入——以出境后的個人信息安全保障為重心,以救濟方式、違約責任、爭議解決機制等方式消解社會公眾對個人信息出境的不信任,同時確保境外接收方能夠按照合同約定履行義務。這種數據安全風險治理新探索主要體現在以下兩個方面。
(一)個人信息主體維權有所依,相互推諉不復在。附件標準合同在“第六條 救濟”中明確了境外接收者需要向個人信息主體提供詢問或投訴的具體渠道,以網站公告或單獨通知的方式告知境外接收方的固定聯系人,避免個人信息主體維權時對于境外接收方“可望不可及”。個人信息主體再也不用擔心發生爭議時個人信息處理者與境外接收方相互“踢皮球”,將爭議問題推諉給對方。
(二)違約責任保障合同義務履行,仲裁或訴訟解決先行賠償問題。附件標準合同以個人信息主體的權利保障為優先事項,規定了違約方需要承擔民事責任、行政責任乃至刑事責任,同時提及了雙方依法承擔連帶責任的,個人信息主體完全有權選擇其中一方或雙方承擔責任。一方承擔的責任超過其應當承擔的責任份額時,有權向另一方追償。(作者:趙精武 北京航空航天大學法學院副教授)