第四部分:数据跨境传输规则与要求
在数字经济时代,数据是各国竞相争夺的基础性战略资源,各国不断出台数据跨境传输规则与政策,强化本国对数据资源的掌控能力,以便在全球数字经济发展格局中占据有利地位。与此同时,数据只有流动才能产生经济红利,如何平衡跨境数据流动为跨国合作带来极大促进作用的同时,也能更好地维护主权国家在个人隐私权、企业商业利益和国家安全的问题上,提出了法律规制上的全新挑战。
(一)我国个人信息保护法解读:
01 跨境提供个人信息的前置条件
我国个保法正式确立了我国个人信息跨境流动的规则体系,规定个人信息以在境内存储为原则,并确定了需要在满足法律规定的条件下可以向境外提供个人信息的规则。
可见,我国基于个人信息的跨境流动将会影响到个人隐私安全、企业利益甚至国家安全,以及数据的跨境流动具有不可逆的特性,采取了对个人信息跨境传输活动进行事前监管的方式。
个保法第三十八条明确规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当至少具备下列一项条件:
01
照本法第四十条的规定通过国家网信部门组织的安全评估;
02
按照国家网信部门的规定经专业机构进行个人信息保护认证;
03
按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
04
法律、行政法规或者国家网信部门规定的其他条件。
我国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的,可以按照其规定执行。
首先,从法条本义解析出发,至少满足其中一项条件即可,但实践中,如果能同时满足其他条件,亦为更佳。
其次,需要注意的是,安全评估或个人信息保护认证,并非企业自我评估或自我认证就可以,而是两者都需要由国家网信部门的安排与组织下进行。根据2019网信办发布的《个人信息出境安全评估办法(征求意见稿)》,与安全评估的相关规则还处在征求意见阶段,暂未见其他进一步的强制规定与政策指南。
所以,尽管目前还没有具体的由国家网信部门指定的标准合同,但相比前两者来说,目前跨国企业在进行个人信息跨境传输时较为可行的方式,是采取“与境外接收方订立合同”的方式,通过要求提供方与接收方公司签订合同以约定双方在个人信息处理和保护的权利和义务。
02 跨境提供个人信息的基础要求
跨境传输是个人信息处理活动的一种,因此,在满足“前置条件”的情况下,企业在向境外提供个人信息的时候,仍需要继续按照我国个保法的基础要求进行,主要包括:
01
数据主体告知境外接收方的身份和联系方式,个人信息的处理目的、处理方式,个人信息的种类、数据主体对应权利,以及保存期限(且应当为实现处理目的所必要的最短时间等);
02
获得数据主体的单独同意;
03
进行事先的个人信息保护影响评估(DPIA或PIA)
04
采取必要措施,保障境外接收方处理个人信息的活动达到个保法要求的个人信息保护标准;
05
确保境外接收方没有落入国家网信部门的黑名单(列入限制或者禁止提供个人信息的公告清单)。
03 跨境提供个人信息的对等要求
我国个保法确立了信息跨境传输的“对等原则”,即,如果信息接收国家和地区在个人信息保护方面对我国采取歧视性的禁止、限制或者其他类似措施,则我国可以根据实际情况对该国家或者地区采取对等的禁止、限制或其他类似的措施。在这样的情况下,当个人信息是向该等国家或地区提供的时候,则会受到相应的限制,需要视情况而具体分析。
04 跨境提供个人信息的特殊要求
A
在向境外提供个人信息时候,还需要特别关注被传输的个人信息的性质,以及数量问题。
对于关键信息基础设施运营者,以及处理个人信息达到国家网信部门规定数量的个人信息处理者,应当:
01
将在境内收集和产生的个人信息存储在境内;
02
确需向境外提供的,应当通过国家网信部门组织的安全评估;但法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
关于“关键信息基础设施”的认定,在刚刚生效的《关键信息基础设施安全保护条例》中有所体现,主要是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
关于“个人信息达到国家网信部门规定数量”的界定,可参考本年7月份网信办发布的《网络安全审查办法(修订草案征求意见稿)》,以及2017年网信办发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》中的规定。
B
在协助境外司法执行方面的规定
我国个保法在这方面设置了非常高的门槛,明确规定了,对于存储在我国境内的个人信息,如果没有经过我国主管机关的批准,不得向外国司法或者执法机构进行提供。可见,我国对此情形下亦强调并采取了事前监管原则,即便进行了各种安全评估、获得数据主体同意、进行个人信息保护认证等方式也不能成为可以向境外司法或执法机构提供的前置条件,而唯有获得中国主管机关的明确批准,才能流出境外。
(二) 海外主要个人信息保护法律对比:
总体来说
在数据跨境流动方面,可以看到,各国正在不断强化数据跨境传输的规则与限制要求,体现了主权国家对本国数据资源的管控意识。纵观各国在数据跨境流动的管理思路,主要以美国和欧盟为首的两种做法为主。
美国在数据流入方面主张“数据自由流动”,强调通过美国科技和数据资源上的优势,推动数字经济的发展;在数据流出方面,则通过出口管制手段来限制高科技、军民两用技术的数据出境。
欧盟则选择“欧盟境内松,欧盟境外紧”的数据跨境管理模式。在欧盟境内通过《非个人数据自由流动框架条例》促进欧盟内部数据的自由流动,同时通过《通用数据保护条例》(GDPR),确定欧盟数据保护的法律框架,增强了数据向境外流出的管控,并通过长臂管辖方式加大了对欧盟个人数据的保护力度。
第五部分:数据主体在个人信息处理活动中的权利
每个人都有权保护与他或她有关的个人信息或数据,对个人信息主体进行数据处理的,必须出于特定目的并在相关人员同意或法律规定等其他的合法基础的基础上进行,且数据处理的过程需要是公平的、平等的、自愿的。这样的权利会分为不同的类型,有包括维护数据主体尊严的权利,例如每个人都有权访问已收集的有关他或她的数据(知情权、访问权),并有权对其进行纠正(更正权);有包括进行消极的控制数据使用的权利,例如删除权/被遗忘权、限制处理权/拒绝权等权利;也有包括对数据进行积极处理与控制的权利,例如数据转移权/可携带权等。
通过法律赋予数据主体在个人信息处理活动中的权利,是非常重要与关键的,这不仅意味着每个人都有权保护他们的个人信息,更体现了企业、个人在使用这些数据主体的个人信息时,更应以公平、合法、合规的方式进行处理和使用,并尊重每个人的个人信息权利。
(一)我国个人信息保护法解读:
我国个保法在借鉴海外优秀数据法律的同时,也结合了自己的特色,从八大个方面赋予了个人信息主体所享有的主体权利,并特别就数据主体行使个人权利的可触达途径,以及逝者在个人信息主体权利方面做了进一步的完善,使到我国个人信息保护的整体架构更为丰满.
01 知情权
个人信息主体对于自己的个人信息是如何被收集、使用、处理的进行充分的知悉和了解,是最为基础的权利,也与我国个保法要求企业、个人等信息处理者需要履行告知义务,获得用户的自愿明确的同意相辅相成。
企业在处理个人信息时,应通过明示个人信息保护政策让个人信息主体清晰地了解到有关个人信息处理的各项内容与规则,包括但不限于企业的主体身份、联系方式等基本情况、所收集的个人信息的具体类型与范围、个人信息的收集方式、存储期限、数据出境的处理规则、个人信息处理和使用的目的、使用方式与范围等等。
02 决定权
个人信息主体对自己的个人信息权利享有自主决定的权利是保护数据主体权利的核心内容,有权决定是否接受个人信息处理者对其个人信息的收集、使用和处理。企业在处理个人信息时应该对个人信息主体的决定权提供充分的保障,例如通过主动勾选同意协议、通过区分必要与附加业务功能来为个人信息主体提供是否选择接受服务功能等方式进行。
03 限制权
个人信息主体的限制权是决定权的延伸体现,例如个人信息主体有权要求企业、组织在收集个人信息的时候应当限于实现处理目的的最小范围,不得过度收集个人信息;有权要求企业、组织在处理个人信息的时候仅在已经告知和获得同意的限定范围内进行使用,如果超出已约定的范围或者超出合理合法的范围的,则需要另外再行告知与获得同意。
04 拒绝权
个人信息主体的拒绝权也可以理解为决定权的延伸体现,例如,对于不是非必需提供个人信息才能使用的某些业务功能,个人信息主体可以拒绝提供。我国四部门在2021年3月联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》进行了明确要求与呼应,明确规定了移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。我国个保法也在个人信息处理规则中,通过要求个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务(但处理个人信息属于提供产品或者服务所必需的除外)来进一步保障了个人信息主体实现拒绝权的可能性。
05 查询、复制权
个人信息主体有权对自己被收集和处理的个人信息进行查看、访问与复制,但是也给出了豁免条款,例如企业、组织在处理个人信息时候被法律所要求应当进行保密或者不需要进行告知的情形。
本次个保法还特别新增了数据可携权,这个权利在此前的一审、二审稿中都没有体现过。该权利明确要求了当个人信息主体在请求将其个人信息转移到其指定的其他个人信息处理者的时候,如果也符合了网信办规定的条件的,则个人信息处理者应当为该个人主体提供转移的途径。
关于数据可携权在实操方面亦带来了很大的问题与争议,我们将可能在另外的文章中进行讨论,暂不在此展开。
06 更正、补充权
个人信息也会有一个动态的变化,赋予个人信息主体的修正、更改的权利非常重要,因为不准确、不完整的个人信息,不仅会对个人在生活、工作中造成影响,也会为企业在处理个人信息时候带来其他风险(特别是涉及征信、金融、医疗等敏感特殊领域与情况)。因此,在个人信息主体提出要求对自己的个人信息进行更正、补充或其他异议的时候,企业、组织等个人信息处理者应该及时进行回复、处理,核实个人信息的准确性,并对错误、不完整的信息进行及时的纠正与补充。
07 删除权
个人信息主体的删除权是数据主体权利保护方面的重要体现,在其他国家或地区可能也有不同的称呼,例如镲除权、被遗忘权(会有具体细微的区别)。
对比之前的草案,个保法在删除理由中新增了“处理目的无法实现”,同时还就个人信息处理者提供了关于删除权的救济保障的规定,即在个人信息主体要求行使删除权的时候,而实际上其他法律法规要求的保存期限尚未届满,或技术上存在很大困难的,则个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理,以作为对数据主体行使删除权而企业或组织等信息处理者又无法满足时候的救济。
同时,需要特别注意的是,原则上,在一些特别的情形下,个人信息处理者应当主动删除个人信息。如果个人信息处理者没有主动删除的,则我国个保法赋予了个人有权请求个人信息处理者进行删除。因此,作为企业,在处理用户个人信息时候,应特别注意这些情形:
01
处理目的已实现、无法实现或者为实现处理目的不再必要;
02
个人信息处理者停止提供产品或者服务,或者保存期限已届满;
03
个人撤回同意;
04
个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
05
法律、行政法规规定的其他情形。
08 解释说明权
如前所述,企业应当向用户明确告知个人信息的处理规则以及相关的各项内容,这是对个人信息主体的各项权利的有效保障,因此,个保法赋予了个人信息主体有权请求企业对其个人信息处理规则进行解释说明的权利,当个人提起该要求时,作为个人信息处理者的企业、组织应该进行及时的反馈与答复。
09 关于逝者个人信息的近亲属继承权
这也是本次个保法新增的亮点内容之一。从全球角度来看,法律对于逝者的个人信息保护与隐私权保护,很多国家还在不断探索中,有部分国家有明确的立法规定,例如美国HIPPA对逝者在医疗方面的隐私保护。
我国个保法也为逝者的个人信息保护提供了一定程度的保护,在自然人死亡情况下,当该逝者的近亲属是为了自身的合法、正当利益的,其近亲属可以对逝者的相关个人信息行使包括个保法规定的查阅、复制权、更正权、删除权等相关权利,但如果逝者在生前通过协议、约定等方式另有安排的除外。
可见,逝者近亲属行使的逝者数据主体权利的法定基础是明确的,包括合法、正当、或遵从逝者生前的安排等。同时,对于可以行使的权利类型也给出了较为明确的规定,包括查阅权、复制权、更正权和删除权等可以由近亲属等继承人实现的权利。
10 行使个人权利的途径
如果没有个人权利有效的实现途径,上述个人信息主体的权利将会仅是纸上谈兵。
因此我国个保法,特别在本章的最后,增加并明确要求企业、组织等个人信息处理者应当建立便捷的、可真正触达的、方便用户(个人信息主体)行使数据主体权利的途径,包括申请受理途径和具体可落地的处理机制。
同时,明确要求企业、组织等个人信息处理者在拒绝个人行使权利的请求的,应当明确说明其具体的理由。在遭受个人信息处理者拒绝行使数据主体权利请求的的时候,用户个人有权向法院提起诉讼,以获得有效的司法救济。
(二) 海外主要个人信息保护法律对比:
总体来说
各国数据保护法律在个人信息主体权利方面的保护还是比较充分的,特别是在知情权、访问权、更正权、删除权等最为核心基础权利的保障上。随着数据保护法律的不断迭代更新与发展,个人信息主体的权利将会得到更为有效、完善的法律保障。
第六部分:数据影响评估或事前风险评估(DPIA/PIA)的要求
“数据保护影响评估”是引用自GDPR的规定,要求数据控制者需要对“可能会对自然人的权利和自由造成高风险”的操作进行数据保护影响评估,英文为Data Protection Impact Assessment,简称DPIA,有些国家或地区也称为“隐私影响评估”(Privacy Impact Assessment,简称PIA),主要是指在开始数据处理活动之前和在部分特定的情况下,数据控制者有义务对数据处理的行为进行不同维度的影响评估,对个人信息主体合法权益是否可能会造成损害的不同风险进行评估,以帮助企业对数据处理过程中可能涉及的风险进行识别与系统分析。
鉴于篇幅有限,本文仅就需要进行DPIA/PIA的情况进行基础对比,暂不就如何开展DPIA/PIA进行论述,我们或会通过其他文章就怎样进行数据影响评估进行分析。
(一)我国个人信息保护法解读:
在我国个保法出台前,我国已经有相关的法律以及国家标准指南等文件对“个人信息安全影响评估”作出了规定,例如《网络安全法》要求“关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”;又例如,《数据安全法》对“重要数据的处理者”作出了“应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告”的要求;以及国家市场监督管理总局、国家标准化管理委员会也通过正式发布《信息安全技术 个人信息安全影响评估指南(GB/T39335-2020国家标准)》,来对如何进行个人信息保护影响评估提出了具体的评估规则和参考内容,以便为企业提供更有效的实务参考工具和标准。
虽然个保法出台前已经有前述关于“个人信息安全影响评估”的规定内容,但对于大部分非CIIO亦非重要数据处理者的企业来说,由于进行数据影响评估属于非强制性要求,因此较多企业可能还没将需要进行数据影响评估作为内部合规机制之一。而本次个保法则明确将数据影响评估的要求作为强制性法律要求列入,对企业内部合规制度的建设提出了更为严格的要求。
本次个保法没有就笼统性的场景对需要进行数据影响评估作出规定,而是针对具体的处理活动作为判断是否需要进行DPIA/PIA的基准点,个人信息处理者应当在数据处理活动之前进行数据影响评估的情况(事前风险评估)包括:
01
处理敏感个人信息
02
利用个人信息进行自动化决策
03
委托处理个人信息
04
向其他个人信息处理者提供个人信息
05
公开个人信息
06
向境外提供个人信息
07
以及其他对个人权益有重大影响的个人信息处理活动
不管是否是CIIO,还是重要的数据处理者,只要是落入我国个保法立法语境下“个人信息处理者”的范畴,就可以根据上述法定的情况来判断是否需要执行DPIA/PIA。
同时,个保法还对DPIA/PIA应当包括的内容作出了明确的规定:
01
个人信息的处理目的、处理方式等是否合法、正当、必要;
02
对个人权益的影响及安全风险;
03
所采取的保护措施是否合法、有效并与风险程度相适应。
另外,在企业档案保管制度要求方面,个保法亦通过明确的法律规定对企业提出了具体的保存期限要求,即,个人信息处理者应当对个人信息保护影响报告和处理情况的记录至少保存三年。
(二) 海外主要个人信息保护法律对比:
总体来说
笔者认为,当企业涉及处理敏感的、重要的的数据时候,将进行数据影响评估作为必备的内部合规制度,还是非常必要的。即便通过DPIA/PIA并不能为企业消除所有的数据合规风险,但却能在较大程度上帮助企业最小化与数据合规相关的风险,以及可以帮助企业判断对应的数据风险等级,并作出是否接受该等风险的判断。从GDPR角度而言,DPIA是履行GDPR问责制义务的关键体现之一;从我国个保法来看,是企业在部分法定情形下应当进行事前风险评估的强制性要求。
总体而言,企业通过实施并较好地完成数据影响评估,不仅能降低各类数据潜在风险的发生,而且能帮助企业自我证明其在业务运营过程中遵守了属地国/地区的数据保护法律的规定和要求,企业亦能根据数据影响评估的结果采取有效的合规策略与保障措施。
作者介绍
王捷
执业律师,垦丁W&W国际法律团队创始人,联合国世界丝绸之路委员会专家,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士,专注于网络法领域的研究和实务,特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规,已为多家知名互联网公司及大中型外资企业提供专业法律服务,覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。
王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作,拥有10年的科技型公司实务经验与中外律所从业背景,深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求,快速响应并提供基础到战略的有效支持,并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。
同时为出海互联网法律观察公众号主理人,合著《互联网全球数据合规法律观察报告》,并输出多篇专业互联网与数据合规文章,部分文章刊登于威科先行专业数据库中。
联系方式:
夏律
垦丁律师事务所W&W国际法律团队律师助理。
协助全球数据合规资讯周刊编写,追踪各国数据合规执法状况。
联系客服
