《个人信息跨境处理活动认证技术规范（征求...

?

《个人信息保护法》（“《个保法》”）第38条规定了个人信息跨境提供所需满足的前提条件之一为“按照国家网信部门的规定经专业机构进行个人信息保护认证”。《规范（征求意见稿）》旨在明确这种认证机制（“认证机制”）下，认证适用的情形、专业机构进行认证的依据，以及通过认证所需要遵守的规则。除认证机制外，第38条所规定的其他条件尚处于不可实施状态。

《规范（征求意见稿）》对认证机制适用的情形、申请认证和承担责任的主体做了如下要求：

关于本部分规定，我们认为需要关注如下内容：

1、跨国公司等内部适用情形

这一适用情形下，个人信息跨境传输活动中涉及的境内外各方组成了跨国公司，或者属于同一经济、事业实体。例如，总部位于中国境外的跨国公司为了集团的统一管理，需要获取位于中国境内子公司的员工个人信息。

此种适用情形在一定程度上参照了欧盟GDPR规定中“约束性公司规则”（Binding Corporate Rules，“BCR”）的要求，为集团经济实体内部的个人信息跨境活动提供了一个合规选项。

2、境外个人信息处理者适用情形

与BCR不同的是，认证机制还适用于《个保法》第3条第2款规定的境外个人信息处理者。

1）该种适用情况似乎指明，中国境外的个人信息处理者，例如某境外电商平台从境外直接收集中国用户的个人信息，仍然要遵守《个保法》第三章“个人信息跨境提供”的相应规则。即使不选择认证机制作为个人信息跨境的前提条件，也需要满足《个保法》第38条的其他条件要求。

2）此外，《规范（征求意见稿）》将适用主体限定为“《个保法》第3条第2款规定的境外个人信息处理者”。需要注意的是，《个保法》对于个人信息处理者有明确定义——指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

也即，从文义上分析，如果在境外实体对所处理的个人信息不具备自主决定个人信息的处理目的和处理方式的权限，则不是认证机制所适用的境外主体。例如在中国境外为客户提供数据存储服务的云服务商，虽然涉及对个人信息的存储行为，但主要依据客户处理目的和处理方式的要求行事，并不具备自主决定权限。

3）更进一步，基于对“境外个人信息处理者”概念的理解，认证机制也许适用于如下情形：

• 从境外直接收集情形：境外实体作为个人信息处理者，直接从个人处收集个人信息的情形，如前文举例的境外电商平台。

• 共享情形：境外实体作为个人信息处理者，从境内另一个人信息处理者处获取个人信息的情形。例如，某境外企业开发普通话的语音识别技术，从中国境内提供语料库的企业获取中国大陆居民的语音数据。

• 共同处理者情形：境外实体与境内实体作为共同的个人信息处理者情形。例如，由中外合办的教育项目中，双方收集中国学生的个人信息共同用于学生的学业成绩评估和文凭颁发。

然而，对于后两种情形是否是认证机制创立所意欲涵盖的情形，以及境外实体在中国境内设置的专门机构或指定代表申请认证后，相关境内实体（不属于跨国公司等集团内，也非境外实体的境内机构或代表）是否也需要接受认证机制下相关规则的管理，抑或是还需要符合其他的个人信息出境条件，还有待立法的进一步明确或澄清。

3、申请主体和法律责任

对于申请认证的主体，《规范（征求意见稿）》规定可以由两种适用情形下的境内主体来申请，并由其承担法律责任。我们认为，这样规定主要是为了便于认证的实施、监管以及法律责任的追究，但不代表境外主体可以脱离认证机制的监督管理。

从《规范（征求意见稿）》的上下文的内容我们可以明确，参与个人信息跨境处理的相关方（我们理解，既包括境内主体也包括境外主体）均在认证机制的监督管理之下。《规范（征求意见稿）》规定个人信息跨境处理的相关方：1）均需要签署具有约束力、执行力的文件，并执行该文件规定的各项内容；2）均需要履行统一的个人信息跨境处理规则；3）均需要接受认证机构的监督，以及接受中国个人信息保护相关法律法规的管辖；4）均应指定个人信息保护负责人和设立个人信息保护机构。

1、法律规定需要申报安全评估的情形不适用于认证机制。如《个保法》第40条规定的应当通过国家网信部门组织的安全评估的情形：

1）关键信息基础设施运营者向境外提供个人信息。

2）达到国家网信部门规定数量的个人信息处理者向境外提供个人信息。（“规定数量”的标准还有待生效法律文件进行明确。）

2、根据《规范（征求意见稿）》，对于部门规章中有要求申报安全评估的情形，也同样不适用于认证机制。如《国家健康医疗大数据标准、安全和服务管理办法(试行)》（国家健康委员会于2018年7月发布）要求责任单位（医疗机构）因业务需要确需向境外提供健康医疗大数据的，应按照相关法律法规及有关要求进行安全评估审核。

《规范（征求意见稿）》提出了六项基本原则，从内容来看，这些原则是对于参与个人信息跨境传输的各方的概括性要求。其中大部分原则为《个保法》所规定的内容（如公开、透明原则，信息质量原则，同等保护原则）。此外，有如下基本原则的内容值得关注。

1、合法、正当、必要和诚信原则

除我们普遍理解的个人信息处理者在收集使用个人信息时应当遵守该原则外，《规范（征求意见稿）》还强调个人信息跨境处理活动中的相关方应当遵守相互之间签订的合同、协议等具有法律效力文件。

相关方之间签署的文件本应是各方之间意思自治的范畴，以及违约责任也一般按照双方约定的方式进行救济。但由于《规范（征求意见稿）》“基本要求”规定了相关方之间签署文件所应具备的基本内容，且这些内容与个人信息主体的权益十分相关，相关方违反协议不仅是违约行为，更可能对个人的权益造成不利影响。基于此，《规范（征求意见稿）》将相关方的履约行为也纳入了基本原则的管理要求之下，相关方之间的违约行为也可能被认定是对个人信息主体权益造成损害的行为。

2、自愿认证原则

对于符合认证机制适用情形的主体，《规范（征求意见稿）》鼓励自愿申请认证。因此，认证并非强制要求。但对于不选择认证机制的主体，还是需要符合《个保法》第38条其他项条件方可进行个人信息跨境传输。

在基本要求部分，《规范（征求意见稿）》对于个人信息跨境处理活动的相关方提出了四个方面的要求，我们的总结和分析如下。

1、相关方之间签署具有法律约束力和执行力的文件

其中，关于“个人信息主体权益保护措施”的内容可以参照《规范（征求意见稿）》第5条个人信息主体权益保障的要求拟定。

《规范（征求意见稿）》第4.3条（见下文）也对“统一的个人信息处理规则”所需要具备的内容作了规定。

此外，还需要注意的是，《规范（征求意见稿）》要求相关方之间签署的文件（如合同、协议）中承诺接受认证机构的监督，以及接受中国个人信息保护相关法律法规的管辖。

2、指定个人信息保护负责人、设立个人信息保护机构

《规范（征求意见稿）》第4.2条要求参与个人信息跨境处理活动的相关方均应指定个人信息保护负责人，以及设立个人信息保护机构。对于个人信息保护负责人，《规范（征求意见稿）》要求应由具备专业知识、管理工作经历的决策层成员承担。此外，《规范（征求意见稿）》对个人信息保护负责人和个人信息保护机构的职责做出了规定。

3、遵守统一的个人信息跨境处理规则

4、进行个人信息保护影响评估

《规范（征求意见稿）》要求参与个人信息跨境活动的相关方参照GB/T 39335《信息安全技术 个人信息安全影响评估指南》的最新版本进行个人信息保护影响评估。在评估内容上，《规范（征求意见稿）》的要求如下。

相较于《个保法》，《规范（征求意见稿）》在“个人信息主体权益的保障”部分提出了更具有针对性的保障要求。例如：

1、个人有权要求相关方提供所签署的具有法律约束力和执行力的文件中涉及个人信息主体权益部分的副本；

2、个人有权在其经常居住地所在法院向相关方提起诉讼；

3、《规范（征求意见稿）》要求相关方以电子邮件、即时通信、信函、传真等方式向个人进行告知。告知内容方面除个人信息处理目的、类型外，还需要告知对个人信息保存保存的时间。需要取得个人的单独同意。

4、在拒绝个人关于个人信息查阅、复制、更正、补充或删除请求时，除说明拒绝理由的，还应说明救济途径。

5、在难以保证个人信息安全时，应当终止跨境处理个人信息。

6、境内的法律责任承担方需要为个人行使相应权利提供便利条件，并在相关处理活动损害个人信息主体权益时承担赔偿责任。

7、相关主体需要接受认证机构的监督，包括答复询问、例行检查等。