随着数字时代的来临,数据作为新兴生产要素,成为社会经济发展的重要引擎。在深度数字化与经济全球化的叠加下,包括个人信息在内的数据大规模流动日益频繁。数据跨境流动在蓬勃发展的全球数字经济中发挥着越来越重要的作用,其中的个人信息保护问题也成为各国关注的焦点。
2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》),明确了个人信息出境标准合同(以下简称“标准合同”)相关要求,为个人信息处理者向境外提供个人信息的活动提供了规范指引。《办法》不仅是《个人信息保护法》中“个人信息跨境提供规则”的细化落实,也是我国数据跨境流动治理的重要实践。
首先,《办法》是我国个人信息跨境治理体系的重要一环。2021年11月实施的《个人信息保护法》在第38条提出了安全评估、专业认证和标准合同等个人信息跨境流动方式。2022年6月,国家互联网信息办公室出台了《数据出境安全评估办法》;2022年11月,国家市场监督管理总局、国家互联网信息办公室发布了《关于实施个人信息保护认证的公告》;2022年12月,全国信息安全标准化技术委员会发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》,完成了安全评估与专业认证条款的落地。《办法》是对“标准合同”相关制度的细化,标志着上位法相关要求的落实。上述模式互相补充,实现了个人信息出境场景的全覆盖,构建了较为完备数据跨境流动治理体系。
其次,《办法》体现了我国个人信息跨境领域的制度创新。《办法》适用于个人信息处理者通过与境外接收方订立个人信息出境标准合同的情形。“标准合同”系监管部门为了确保个人信息出境后享有不低于本国标准而要求个人信息处理者与境外接收方签订的合同范本。《办法》通过“标准合同”的方式将我国个人信息保护的相关规定转化为境内个人信息处理者与境外个人信息接收方的合同责任。同时,个人信息主体也可以依据“标准合同”向个人信息处理者和境外接收方主张相关权利。
第三,《办法》明晰了标准合同适用范围,有利于发挥数据要素作用。《办法》在安全有序的前提下,保障了数据相关业务的开展。《办法》立足于数据分类分级保护制度,提供了一种便捷高效的个人信息跨境方式。“标准合同”适用于非关键信息基础设施运营者且处理个人信息未达到一定数量等情况,规定个人信息处理者可以采取“自评估+合同备案”的方式开展个人信息出境活动。“标准合同”是安全评估、专业认证制度的补充,形式上方便灵活,确保了个人信息跨境流动的效率,有利于我国数字经济的发展。
第四,《办法》为个人信息处理者的合规工作提供了清晰指引。《办法》要求个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估。依据《办法》,个人信息处理者在开展个人信息出境活动前应当重点关注以下方面,包括处理个人信息的目的、范围、方式等的合法性、正当性、必要性;出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响等。上述规定既强调了个人信息处理者的自评估责任,也明确地划定了相关责任范围,有利于数据合规工作的开展。
最后,《办法》有效平衡了数据跨境流动与个人信息保护的关系。数据跨境流动是国际经济合作的重要基础,如何处理安全与发展的关系是开展相关活动的前提。一方面,“标准合同”有效保障了个人信息出境活动及相关业务的正常进行。“标准合同”灵活高效,降低了合规成本,有利于相关企业正常业务的开展。另一方面,“标准合同”确保了数据跨境中的个人信息安全。《办法》规定“个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突”,有效落实了个人信息保护与数据安全相关要求。“标准合同”不仅有助于个人信息保护目的的实现,也为相关规则的国际对接预留了空间。
综上,《办法》立足于个人信息保护领域基础性法律,细化了个人信息跨境相关规定,体现了我国个人信息跨境治理的体系性和务实性,为个人信息保护与数字经济发展提供了有力保障。(作者:吴玄 上海师范大学哲学与法政学院副教授)