今日全球正拥抱新一轮科技革命浪潮,层出不穷的新技术、新应用更是依赖海量个人信息的挖掘收集、处理使用乃至跨境传输。个人信息已成为机遇和福祉的新源泉,也成为风险和威胁的新焦点。面对日趋上升的数据跨境流动业务需求和跨国情形下更为复杂的安全环境,建构有效的风险管理机制确保诸多数据跨境场景中的个人信息安全,关乎网络空间主权、国家安全、社会公共利益和公民、法人的合法权益,也成为《个人信息出境安全评估办法(征求意见稿)》(以下简称:《办法》)的制度追求。
总体而言,为促进个人信息的依法有序自由流动,《办法》基于《网络安全法》有关网络安全和网络数据安全的总体要求,确立了以“经安全评估后出境”为主干制度的个人信息跨境规范框架,对于这一制度设计的准确理解有助于厘清当下外界存在的若干误读。
1、《办法》的适用范围并不是针对网民访问、注册或登陆境外网站等纯个人行为,而是明确指向于业务性活动,也即“网络运营者向境外提供在中国境内运营中收集的个人信息”这一特定的场景。
因此,从适用主体而言,《办法》主要针对的是网络运营者,其范围涵盖网络的所有者、管理者和网络服务提供者,目前最常见的就是各类网站和App的运营商。而从适用对象而言,《办法》针对的是网站和App等在先前的网络运营中收集的、将要向境外传输的个人信息。
2、《办法》所要求的个人信息出境前申报安全评估,并不是设定个人信息出境的行政许可,而是行使风险管理维度的网络安全执法权力。众所周知,行政许可是指国家行政机关对不特定的一般人依法负有不作为义务的事项,在特定条件下对特定对象解除禁令,允许他作为的行政活动,包括普通许可、特许、认可、核准以及登记等。换言之,如果在个人信息出境场景中谈及行政许可,其逻辑前提应当是国家原则上禁止个人信息出境,只有符合特定资质的主体才能获准向境外提供,但事实上在我国现行法律体系中完全不存在一般性禁止出境规范和特殊的出境业务准入资质要求,《办法》也没有基于网络运营者自身的特定主体类型设定禁止性要求。
需要指出的是,网络运营者本身应当采取技术措施和其他必要措施,确保其收集的个人信息在向境外提供过程中的安全,防止信息泄露、毁损、丢失等,这属于履行《网络安全法》第42条强调的法定义务的内容,出境前申报安全评估则是《办法》提供的一项具体的合规工具。而国家主管部门在“经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的”场合中要求不得出境,这属于行使《网络安全法》第64条赋予的网络安全执法权力,同时也符合《网络安全法》第5条有关国家采取措施处置来源于中华人民共和国境内外的网络安全风险和威胁的立法要求。
3、《办法》所引入的个人信息出境安全评估制度并不是一刀切的强监管措施,而是旨在建立一套着眼风险应对的、弹性动态的流程化管理框架。《办法》规定的安全评估内容从横向看既强调国家有关法律法规和政策规定的符合性,也强调保障个人信息主体合法权益的充分性,体现了个人信息出境风险研判范围的全面性。从纵向看既强调个人信息出境前网络运营者或接收者的业务历史以及网络运营者获得个人信息是否合法、正当,也强调对于合同能否得到有效执行的预判,结合后续的重新评估义务(第3条)、出境记录保存义务(第8条)、年度报告与安全事件报告义务(第9条)以及定期执法检查要求(第10条)和举报制度(第12条)等,反映了个人信息出境风险事前、事中与事后管理处置的全流程覆盖。
为此,就安全评估的制度性要素而言,一方面,《办法》注重发挥“个人信息出境安全风险及安全保障措施分析报告”的工具性价值,要求网络运营者披露自身和境外接收者的基本状况、个人信息出境计划、风险分析以及安保措施等,通过这一合规风控工具引导督促网络运营者落实对于个人信息跨境流动有关风险的预先研判以及安全保障措施体系的事先设计,最大程度提高网络运营者和境外接收方等相关主体的风险应对和处置能力。
另一方面,《办法》尤其注重发挥“网络运营者与接收者签订的合同”的工具性价值,旨在通过个人信息跨境流动相关主体之间权利义务的结构性分配,引导督促网络运营者和境外接收方等主体主动、自觉提高技术安全水平、权利保护水平以及业务管理水平,为个人信息主体维权提供切实可行的救济途径。就此,《办法》对于该合同的内容要素(第13条)、网络运营者的责任和义务(第14条)、接收者的责任和义务(第15条)以及个人信息出境后转移的条件(第16条)等方面做出了明确的提示性规定,提升了合规风控的确定性和可操作性,能在实务层面产生多重积极价值:
首先,《办法》对于该合同的内容要点做出了重点提示,但不影响合同双方也即网络运营者和境外接收者基于合同自由,结合特定业务场景达成符合其个性化业务诉求的具体合同条款。反观欧盟《一般数据保护条例》中有关个人数据跨境流动的“标准合同条款”机制,各当事方对于该条款的文字内容基本无权修改,在实践中多发与具体业务场景无法完全兼容的情况,而《办法》的弹性设计相对更具可行性。
此外,《办法》有关合同的制度规定具有全口径适用性,既可用于网络运营者和境外接收者分属不同主体的场合,也可用于两者同属一个主体(例如同一跨国集团公司)的场合。反观欧盟《一般数据保护条例》在个人数据跨境问题上引入的“约束性公司规则”机制,其仅限于同一跨国公司内部的数据跨境传输,显然《办法》的制度设计能够覆盖更多的业务场景。
并且,《办法》引入的合同管理机制,在制度落实和跨国协调层面可以获得更广泛的国际接受度。《办法》通过引导网络运营者和境外接收者达成的双向合意,既为中国法的合规遵从、网络运营者对接收方的约束以及个人信息主体的权利救济提供了扎实可靠的法律依据,也能够有效避免欧盟《一般数据保护条例》的域外管辖和美国《云法案》的长臂管辖等制度面对的管辖冲突和执法乏力的现实困境。
整体而言,相比较于常见的域外相关立法例,《办法》建构的个人信息出境安全评估制度以全面的风险管理为基本的制度逻辑,其侧重于事先安全评估、以合同管理机制为中心的跨境流动规范框架旨在最大限度避免可能的数据业务阻碍情形,进而更好地实现具体业务场景中安全与发展的动态平衡关系,反映了国家主管机关致力打造跨境数据业务友好型治理机制的总体思路与努力方向。(北京师范大学网络法治国际中心执行主任 吴沈括)