个人信息出境合规实践——《个人信息跨境传输认证要求》的适用与解读

2022年11月4日，国家市场监督管理总局和国家互联网信息办公室联合发布了《关于实施个人信息保护认证的公告》，该公告确认了个人信息保护认证的认证机构为中国网络安全审查技术与认证中心（CRCC），认证规则为《个人信息保护认证实施规则》（以下简称“《实施规则》”）。笔者认为，该公告的发布可以看作是个人信息保护认证制度实施落地的标志。其中，针对个人信息跨境传输的认证，还应当符合《个人信息跨境处理活动安全认证规范》（以下简称“《认证规范v2.0》”）的要求。《认证规范v2.0》系由全国信息安全标准化技术委员会秘书处（以下简称“信安标委”）组织制定和发布的实践指南。

　　2023年3月16日，信安标委发布了国家标准《信息安全技术个人信息跨境传输认证要求》征求意见稿（以下简称“《认证要求》”），作为推荐性国家标准，该《认证要求》在效力层级上高于《认证规范v2.0》, 进一步为个人信息跨境传输认证制度提供了具体的合规标准。

　　随着新规发布，我国的个人信息出境合规在个人信息保护认证制度方面有了更切实的要求，本文拟从认证制度的适用主体、认证的基本原则和要求、个人信息主体权益及个人信息处理者合规需求与成本的角度，就《认证要求》作出解读。

　　一、《认证要求》的适用主体

　　《认证要求》第一条即为“范围”，明确规定，“本文件适用于认证机构对个人信息处理者跨境提供个人信息活动开展个人信息保护认证。”

　　在实践当中，根据《中华人民共和国个人信息保护法》（以下简称“《个保法》”）的要求，个人信息处理者向境外提供个人信息可遵循三种合规路径，即：

1. 依照《个保法》的规定通过国家网信部门组织的安全评估；

2. 按照国家网信部门的规定经专业机构进行个人信息保护认证；

3. 按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务。[1]

　　其中，根据《数据出境安全评估办法》的规定，安全评估路径是一项强制性的合规路径。针对个人信息出境来说，处理100万人以上个人信息的数据处理者，或自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。也就是说，这两类数据（个人信息）处理者必须通过安全评估才被允许进行个人信息跨境传输活动。[2]笔者在此做两点提示，第一，此处所提及的数字均为人口数，而非人次，即个人信息所对应的主体数为100万以上、10万以上、1万以上的，需做评估。第二，此处所述处理100万人以上个人信息的数据处理者，并非指需要出境的数据主体数达到100万以上，而是处理（指个人信息的收集、存储、适用、加工、传输、提供、公开、删除等）个人信息对应人数达到100万人的，不论需向境外传输多少个人信息，均需通过安全评估。

　　未达到上述门槛的个人信息跨境传输，可以选择通过个人信息保护认证或与境外接收方签订标准合同的方式满足合规要求。《认证要求》亦即个人信息保护认证制度之适用范围正是针对这一部分个人信息处理者。

　　二、个人信息保护认证的基本原则和要求

　　《认证要求》中对个人信息跨境传输的安全认证提出六项基本原则，分别为：

1. 合法、正当、必要和诚信原则（对应《个保法》第五条）

2. 公开、透明原则（对应《个保法》第七条）

3. 信息质量保障原则（对应《个保法》第八条）

4. 同等保护原则

5. 责任明确原则（对应《个保法》第九条）

6. 自愿认证原则

　　不难看出，六项原则系根据上位法《个保法》中对于个人信息处理应当遵循的原则，针对跨境传输行为所作的延伸。例如，在合法、正当、必要和诚信原则中，加入了遵守具有法律约束力文件，不违背约定和承诺损害个人信息主体的合法权益的要求；在公开、透明原则中，加入了对境外接收方的信息公开以及个人信息主体行权的方式和程序；在责任明确原则中更是要求个人信息处理者指定机构承担处理个人信息过程中违规活动的民事法律责任。而自愿认证原则是指相对于安全评估制度，安全保护认证制度并非强制性制度，而是个人信息跨境传输合规路径的选择之一。

　　《认证要求》亦对个人信息跨境传输活动提出了四点具体要求，分别是：

　　1. 签署具有法律约束力的文件；

　　《认证要求》中亦明确规定了相应法律文件中应当包含的内容，在实践中不免有此疑问：这项要求与选择标准合同进行个人信息跨境传输行为中的标准合同有何区别呢？诚然，《认证要求》对法律文件的内容要求与国家互联网信息办公室发布的《个人信息出境标准合同模版》（以下简称“《标准合同模版》”）有大量内容相似之处，其要素基本相同。但笔者研究认为，《认证要求》中要求境外接收方在法律文件所作的三项承诺，及在中国境内明确一个承担法律责任的组织，可以充分体现出保护认证制度与标准合同制度的不同，具体如下表：

　　作为个人信息出境的两种不同合规路径，从本质上来讲，标准合同机制和保护认证机制的目的是一致的，即保护个人信息主体权利，规范个人信息出境活动。既是保护权利，则必然存在保护规则与违反规则的惩罚机制。对于标准合同机制来说，规则的设立基于个人信息处理者与境外接收方的合同关系，同时在合同之中通过约定的方式将个人信息主体作为第三方受益人，惩罚机制也在合同中作出了明确。而针对保护认证机制，规则的设立基于认证机构经审核申请认证主体（一般来说是境内个人信息处理者，或在境外处理境内个人信息的处理者在境内设置的机构）对个人信息处理（跨境传输）情况，以确认个人信息处理者跨境传输个人信息满足规则要求。在此过程之中，设置签署具有法律约束力的文件这一要求主要是为了加强对境外接收方的监管与要求，使得个人信息主体的权益尽量能够得到全面的保障。因此，在《认证要求》中，要求境外接收方就上述保护标准、接受监督、管辖及责任主体四项作出承诺，而《标准合同模版》则是出于遵守合同、合同履行的角度进行条款设置，由此亦可以看出保护认证机制的特点和自愿性原则。

　　2. 个人信息处理者与境外信息接收方均应指定个人信息保护负责人、设立个人信息保护机构；

　　《认证要求》中，要求个人信息处理者和境外接收方均制定个人信息保护负责人、设立个人信息保护机构，并对负责人和保护机构的经验和职责作出明确规定。而标准合同机制中则未作此要求。

　　3. 个人信息处理者与境外信息接收方应共同遵守同一个人信息跨境处理规则；

　　如上表第一点所示，《认证要求》要求个人信息处理者与境外接收方完全遵守同一个人信息跨境处理规则，而非《标准合同模版》中所设置的，可以在一定条件下超出约定的情形处理个人信息。[3]笔者认为，要求境外接收方作出更为严格的承诺，是由于保护认证制度的本质，是资格认证，而其赋予资格和以此进行约束的主体，只能是境内机构，而标准合同机制则可以通过合同的签署实现直接对境外接收方的约束。因此，保护认证制度要求境外接收方作出更确切的承诺，在实践过程中，这对个人信息处理活动的灵活性进行了一定的限制，即，认证机构所给出的认证只对其审核确认过的个人信息处理活动负责，如境外接收方需超出认证范围处理个人信息，则可能被要求重新进行认证。

　　4. 个人信息处理者应对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估。

　　与标准合同机制一样，《认证要求》亦要求个人信息处理者就向境外接收方提供个人信息的活动开展个人信息保护影响评估，其中的评估要求也基本一致，其中小小的不同之处为，《认证要求》的影响评估还要求评估报告中包含跨境处理个人信息的频率，而标准合同的影响评估则不包含此项。笔者认为，这是由于保护认证机制的监管意味更浓，认证机构及监管机构希望了解到个人信息跨境传输的频率，并据此开展监管活动。

　　三、个人信息主体权益保护与个人信息处理者合规成本

　　《认证要求》中对个人信息主体权益的保障要求的法律渊源是《个保法》及其他相关法律法规的规定，笔者认为，作为个人信息跨境传输的合规路径，无论保护认证机制，还是标准合同机制，其对个人信息主体权益的保障都是经过验证和官方认可的，两种合规路径的根本要求是一致的。因此，作为个人信息主体，在提交同意个人信息处理者跨境传输自己的个人信息之时，无论该个人信息处理者选择的是何种合规路径，均应相信自己的权利是得到保障，且有根据相关法律法规得到救济的途径的。

　　然而，针对个人信息处理者来说，在存在个人信息跨境传输需求的情况下，保护认证机制是否是适当的合规路径，则需要慎重考虑和抉择，尤其是在未达到安全评估要求门槛的个人信息跨境传输，在保护认证机制与标准合同机制之间，该如何选择适合自身的合规路径？通过本文第二部分对《认证要求》中原则和要求的分析不难看出，保护认证机制由于是认证机构（即CRCC）对个人信息处理者跨境传输行为进行合规背书，在《认证要求》中对个人信息处理者及境外接收方各方面的要求标准较标准合同机制而言更为固定和确切，且更强调认证机构的持续监督。此外，进行安全认证需支付一笔认证费用，相较于标准合同机制而言，安全认证机制的成本亦更高一些。这两点对于个人信息处理者而言，似乎使得安全认证机制的吸引力降低不少。然而，与签署标准合同相比，进行保护认证可以在进行认证时一次性提交一对多的认证，即就一个个人信息处理者将个人信息跨境传输给多个境外接收方的处理活动进行认证，在此种情况下，个人信息处理者采用保护认证机制则可以大大降低合规工作量。