全球数字经济高速发展的背景下,数据跨境流动已成为世界各国的重要议题。党中央高度重视数据出境安全管理工作,党的二十届三中全会通过的《中共中央关于进一步全面深化改革、推进中国式现代化的决定》(以下简称《决定》)指出“建立高效便利安全的数据跨境流动机制”。近日,国家网信办发布《个人信息出境个人信息保护认证办法(征求意见稿)》(以下简称《认证办法(意见稿)》),推动建立个人信息出境个人信息保护认证制度,为个人信息出境活动的便利化、个人信息出境个人信息保护认证工作的规范化提供了明确具体的办法指引,对进一步扩大高水平对外开放、保障个人信息出境安全、充分释放数据要素活力具有重要意义。
一、建立个人信息出境个人信息保护认证制度是衔接国际通行规则的迫切需要
党的二十届三中全会《决定》指出“扩大面向全球的高标准自由贸易区网络,建立同国际通行规则衔接的合规机制,优化开放合作环境。”认证是国际通行的个人信息跨境传输保护规则。欧盟的《通用数据保护条例》(GDPR)第42条、第43条规定了对数据控制者和处理者的数据处理操作进行数据保护认证的机制,第42(2)款、第46(2)款明确认证机制可以作为数据跨境传输(转移至第三国或国际组织)的合规方式。亚太经合组织(APEC)建立了《数据跨境隐私规则》(CBPR)认证体系和《数据处理者隐私识别》(PRP)认证体系。一些国家或地区也建立了相关认证体系,例如,新加坡的《个人数据保护条例》(PDPR)规定,境外个人数据接收方通过CBPR认证或PRP认证的,属于满足新加坡相关法律对于数据跨境传输接收方的合规要求,可作为个人数据跨境传输的合规方式。
我国在数据安全和个人信息保护方面建立了相关认证体系。2022年,国家市场监督管理总局、国家互联网信息办公室联合印发了《关于开展数据安全管理认证工作的公告》《关于实施个人信息保护认证的公告》,决定实施数据安全管理认证、个人信息保护认证。但对于数据跨境传输方面的认证工作具体要求,此前尚未进行明确。在2024年世界互联网大会乌镇峰会期间,《全球数据跨境流动合作倡议》对外发布,发出“提升个人信息保护机制、规则之间的兼容性,推动相关标准、技术法规及合格评定程序的互认”等倡议。此次公布的《认证办法(意见稿)》,对个人信息出境个人信息保护认证工作进行了明确,提出国家促进个人信息出境个人信息保护认证活动的国际交流合作,推动个人信息出境个人信息保护认证与其他国家、地区、国际组织之间的互认等,彰显了我国包容开放的数据跨境国际合作态度,为与其他国家、地区、国际组织之间建立数据跨境流动机制打下基础。
二、建立个人信息出境个人信息保护认证制度是落实有关法律规定的具体安排
我国始终坚持依法管理数据跨境流动安全。《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》在法律层面对向境外提供重要数据和个人信息作出明确规定。其中,《个人信息保护法》第三十八条、《网络数据安全管理条例》第三十五条规定了向境外提供个人信息应当满足的条件,包括申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证3条合规路径,以及可以向境外提供个人信息的其他条件。近年来,国家网信办坚持高质量发展与高水平安全良性互动,出台了《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等一系列文件,建立了数据出境安全评估制度、个人信息出境标准合同备案制度等。
此次发布的《认证办法(意见稿)》,与《数据出境安全评估办法》《个人信息出境标准合同办法》等文件一脉相承。《认证办法(意见稿)》是落实法律对于个人信息处理者因业务等需要向境外提供个人信息的“按照国家网信部门的规定经专业机构进行个人信息保护认证”的具体制度安排。特别是在已有的个人信息保护认证工作基础上,对个人信息出境个人信息保护认证工作进行规范,明确个人信息出境个人信息保护认证的适用情形、认证申请、认证内容、备案要求、机构监管等要求。
值得注意的是,个人信息出境个人信息保护认证的工作视角与数据出境安全评估、个人信息标准合同等制度存在明显区别。数据出境安全评估由国家网信办组织实施,侧重于国家安全视角;个人信息出境标准合同是境内处理者与境外接收方订立,属于甲乙双方责任义务约定视角;而个人信息出境个人信息保护认证则可以发挥专业认证机构的能力作用,主要为第三方监督视角,包括事前阶段对于个人信息出境安全的技术评价,以及事中事后阶段专业机构对于个人信息出境活动安全风险的重大情况报告和监督举报。因此,建立个人信息出境个人信息保护认证制度是我国法律的必然要求,是对个人信息保护认证工作的进一步健全,有利于发挥专业机构的重要支撑作用,加强数据出境安全管理工作力量,提高相关工作的质量和效率。
三、建立个人信息出境个人信息保护认证制度是回应社会需求的重要举措
我国数据跨境流动的需求旺盛、场景丰富,数据出境合规是企业开展跨国业务的基础前提。同时,数据出境合规是涉及技术、法律、业务等多学科交叉、专业性较强的工作,市场营销、生产制造等传统行业的部分企业缺少技术和法务相关从业人员,自身合规能力相对薄弱,开展数据出境合规工作存在难度。因此,很多企业选择向市场化、社会化的第三方服务机构寻求帮助,以履行数据出境合规义务,保障数据跨境流动安全。但是,当前市场上的第三方服务机构缺少监督和指导,部分第三方服务机构服务差、要价高,给企业带来了一定的合规负担。
此次发布的《认证办法(意见稿)》,明确个人信息保护认证遵循自愿性、市场化、社会化的服务原则,并规范对认证活动以及专业认证机构的管理监督,正是对企业提高自身合规能力迫切需求的重要回应。个人信息出境个人信息保护认证向有个人信息跨境需求的企业提供了市场化、规范化认证合规方式,企业可借助专业认证机构的能力,提高自身数据跨境合规能力和效率。同时,《认证办法(意见稿)》明确有关部门任务分工,要求有关部门要制定个人信息出境个人信息保护认证相关标准、技术法规、合格评定程序、实施规则等。相关标准化文件不但可用于指导专业认证机构开展认证工作,也可以帮助企业筛选服务机构,进一步降低企业的第三方选择成本。此外,认证标准、规则等文件的公开化,还有利于形成透明稳定可预期的数据出境安全管理政策条件,为企业营造良好的经商营商环境。
未来,经过对各方意见的研究吸纳,个人信息出境个人信息保护认证制度正式确立后,将进一步丰富完善我国数据出境安全管理制度体系,更好的统筹各方力量,在保障个人信息出境安全的基础上,促进数据跨境高效便利安全流动,推动我国数据出境安全管理进入新阶段,为网络强国建设提供坚实的数据安全基础。 (作者:中央网信办数据与技术保障中心处长 国震寰,中央网信办数据与技术保障中心工程师 姜松浩)
来源: “网信中国”微信公众号
审核:郦陈雪
编发:马 凯
素材整理:吕昕洺、施娇娇
热门跟贴