个人信息在出境场景下的保护,主要目的是在数据脱离了原来的数据控制者同时流出国境的情况下,持续保障个人合法权益。
数据流出国境,与数据在境内流动相比,会产生四个主要的变化:一是数据持有方发生变化,对数据的保护能力必然有相应的改变;二是数据流出后适用的法律法规不同了;三是原境内监管机关无法对接收数据的境外主体实施管辖权;四是个人数据主体维护自身合法权益的渠道变少了,且变得更加困难。
因此,保障个人数据出境安全的主要制度设计着力于上述四个方面。对这点,中外莫不如是。
先看已经落地实施较长时间的欧盟。新的《通用数据保护条例》(GDPR)在95指令的基础上,进一步固定并更新了个人数据出境的安全保护制度。首先看标准格式合同条款(standard contract clause, SCC)。SCC固定了数据出境后受到的保护原则(也就决定了保护水平);同时SCC还通过法律责任划分的形式,将主要责任确定在了境内的组织,给境内监管机关追究责任提供了便利。当然,境内主体可以转而继续追究境外主体的责任,通过合同的形式。同时,欧盟的SCC还在其合同中规定了个人数据主体可以基于合同拥有一些特定的权利。
再次看有约束力的公司准则(binding corporate rules, BCR),也是着力于上述四个方面。BCR需境内监管机关的认可,就意味着境内监管机关需要认可BCR所提供的数据保护水平,如果有一家跨国分公司所在国家的保护水平比较低,则该分公司还是需要遵守BCR,根据BCR规定的原则提供数据保护。公司在提交BCR申请时,需要确定主申报国家。一旦主申报国家确定,则公司在该国的公司主体就要承担有关数据出境的所有法律责任——即监管机关、个人数据主体,均可以通过境内的公司主体来追究法律责任。
最后看充分性认定。对某个国家或地区进行充分性认定,就意味着认可该国家或地区的法律法规,意味着认可该国家或地区监管机关对数据保护的执法力度,也意味着认可个人行使权利的有效性和便利程度。因此,认定是个非常慎重的过程,需要全方面的考察。
从上述角度来看,单纯依赖个人同意作为个人数据出境的条件,无法“补齐”数据出境带来的四个风险变化。从国际惯例上看,个人同意普遍不是数据出境的先决条件。而在实践中,如果将“同意”作为个人信息出境的条件,主要的场景是偶发、单次、数量较少且其他出境制度(如充分性认定、标准格式条款、有约束力的公司准则等)均不适用的情况下。
基于上述分析和理解,再来观察网信办发布的《个人信息出境安全评估办法(征求意见稿)》(以下简称“《办法》”)。该《办法》所建立的个人信息出境保护制度,基本上也是从上述个人信息出境时会出现的四个变化着手,通过制度设计,降低新增安全风险。主要分析如下:
《办法》要求个人信息出境前,网络运营者与境外数据接收者签订合同。同时,《办法》对合同的内容作了细致的规定,主要内容之一就是对接收者如何保护个人信息安全的约定。此外,网络运营者在申报出境安全评估时应提交个人信息出境安全风险及安全保障措施分析报告,重点分析内容之一即是接收者的数据安全能力。这样的制度设计主要针对的是确保境外数据接收者能够持续对个人信息提供足够的保护水平。
对于数据出境后所适用的法律法规发生变化的问题,《办法》提出网络运营者在与接收者签订的合同中,应当要求数据接收者在其所在国家或地区的法律发生变化而导致合同无法履行的情况时,主动告知网络运营者。后者将判断是否终止合同,并要求数据接收者删除相关数据。这样“通知-变更”的要求,能够有效防止境外法律法规产生变化后可能对个人信息安全带来的不利影响。当然,在个人数据出境前,网络运营者就应首先分析境外国家或地区的法律法规是否足以保障个人信息的安全。
对于原境内监管机关无法对境外数据接收方实施管辖的问题,《办法》从三个层面作出了设计:首先,《办法》要求网络运营者与接收者签订的合同中,要对个人信息安全责任作出约定,明确境内网络运营者“默认兜底”(accountability by default)的角色和安排。其次,网信部门通过网络运营者的年度申报可以掌握单个网络运营者的整体数据出境情况,以此安排检查;在特定情况下,网信部门可要求暂停数据出境,并要求网络运营者通过合同这个法律工具,要求数据接收者删除数据。再次,《办法》要求“境外网络运营者”直接面向中国市场提供服务时,需要在境内安排法定代表人或者机构以履行《办法》所规定的法律责任和义务,也是为了保障有效的管辖。
确保个人信息主体能够在数据出境后维护自身合法权益,也是《办法》的另外一个亮点。不仅在合同中,网络运营者需与接收方提前约定个人信息主体行使其权利的途径和方式,网络运营者在申报出境安全评估时,也需要对上述途径和方式的有效性、便利性开展分析和评估。当然,《办法》也没有将“宝”全押在网络运营者身上,其还赋予了个人信息主体针对数据出境的特殊“查询权”。个人信息主体可查询的内容包括:网络运营者与接收方之间签署的合同副本、个人信息主体网络运营者和接收者的基本情况,以及向境外提供个人信息的目的、类型和保存时间等内容。在保障知情权的前提下,个人信息主体能够更好地行使其权利。
当然,如果不对个人信息出境后再次传输(onwards transfer)进行限定,上述个人信息出境安全的制度设计就将流于形式。因此《办法》专门针对出境后的再次传输进行了规定:针对个人信息的再次传输,实施个人选择退出(opt-out);针对个人敏感信息的再次传输,则要求个人选择同意(opt-in)。
总的看来,我国个人信息出境安全评估的制度设计,在处置实体层面的安全风险(即本文前述的因数据出境带来的四个变化)时,基本和外国实践保持一致,真正做到了有的放矢。(洪延青 北京大学法治与发展研究院)