_($0PXQFQ7Y(P~4838LJ_]L.png

管理培训搜索
18318889481 17875936848

合规
| 合规与政府管制

支付清算 监察稽核 机构合规 网络套路贷 稽察稽核 矿业法务 纪检监察 行政合规 巡视巡察 党风廉政 医药反腐 行政监督 党内法规

| 企业合规

消费者安全 数据安全审计 企业合规师 备案登记 劳动用工合规管理 知识产权合规 个人信息与隐私权保护 企业廉洁合规 经营合规 风险提示与预警信息 IPO合规 安全生产合规管理 企业合规典型案例 合同合规管理 企业合规实务 企业数据合规 企业刑事合规

| 网络安全与隐私保护

网络犯罪 人工智能合规 网络安全 新基建安全资讯 保密科技 数据合规 元宇宙合规 数字合规 网络与数据法学 电信网络诈骗 区块链合规 信息与网络安全 网络不正当竞争 数字贸易合规 数据出境合规 互联网合规

| 法证会计与反舞弊

法证会计 涉案企业合规 调查及法证会计 舞弊审计 金融科技合规 司法会计 价格舞弊

| 反洗钱与制裁合规

反洗钱知识系列宣传 经济制裁和出口管制 反洗钱中心

| 反垄断中心

反垄断合规 竞争法(反不正当竞争、反垄断)

| 企业合规管理咨询

上市公司合规管理 税务合规 企业合规管理 商业秘密 财务合规 商业合规 内控资讯 合同法律 信息披露风险 公司法实务 人力资源合规 信用规制 知识产权合规 合规尽职调查 内控稽查 内部控制和风险管理合规 会计监管风险 税务异常处理 税务检查应对

| 合规中心

征信合规 涉税合规 经济犯罪案例 合规文化主题月 劳动与人力资源合规 合规运行报告 网络直播合规 信用合规 刑事合规管理 工程合规与舞弊调查 涉案企业合规 安全审计 合规科技 劳务派遣合规 采购合规 财务风控 招投标合规

| 转创全球企业合规

国际注册合规师 公司治理与公司合规 全球金融监管动态月刊 境外合规专项行动 国企合规 反不正当竞争合规管理 出口退税合规风险 全球反垄断 全球企业合规事务 国际监管合规服务 进出口管制和贸易制裁 境外投资和“一带一路” 跨境投资和经营合规 知识产权内部控制 商业贿赂 外汇合规 合规与诚信

| 合规律师事务所

企业法务 涉外企业合规 合同内控 反腐败合规 不正当接触 泄露公司机密罪 合规法务 刑事合规 贪污贿赂 科技法律 信披违规 企业刑事风险防控及刑事合规 法律风险管理 洗钱犯罪

| 金融安全与合规

证券合规 银行合规 金融犯罪合规 保险合规 金融消费者保护 银保监督 私募合规 互联网金融合规 银行合规资讯 投融资合规 支付 银行合规综合 金融安全 信托合规 担保合规 金融合规 信用合规 股权合规 内保外贷合规 外汇合规 保理合规

| 海关及全球贸易合规

海关及贸易合规 农食产品技术贸易 国际经贸预警 国际商事认证 出口管制 海关税收征管 走私罚罪研究 出口退税行政诉讼 跨境电商合规 AEO海关认证 出口骗税 外贸企业合规 全球贸易规则

| ESG合规
| 反欺诈中心

反欺诈实践 反欺诈反冒领专栏 欺诈调查

| 合规中心(产业)

医药合规 环保合规 医美合规 生态环境合规专题 教育合规

| 知识产权合规专题

知识产权合规 知产纠纷调解案例 知识产权确权

| 私募股权基金合规

私募投资基金 融资合规 基金合规

| 个人信息出境合规实践——《个人信息跨境传输认证要求》的适用与解读当前您所在的位置:首页 > 合规 > 网络安全与隐私保护 > 数据出境合规

2022年11月4日,国家市场监督管理总局和国家互联网信息办公室联合发布了《关于实施个人信息保护认证的公告》,该公告确认了个人信息保护认证的认证机构为中国网络安全审查技术与认证中心(CRCC),认证规则为《个人信息保护认证实施规则》(以下简称“《实施规则》”)。笔者认为,该公告的发布可以看作是个人信息保护认证制度实施落地的标志。其中,针对个人信息跨境传输的认证,还应当符合《个人信息跨境处理活动安全认证规范》(以下简称“《认证规范v2.0》”)的要求。《认证规范v2.0》系由全国信息安全标准化技术委员会秘书处(以下简称“信安标委”)组织制定和发布的实践指南。

  2023年3月16日,信安标委发布了国家标准《信息安全技术 个人信息跨境传输认证要求》征求意见稿(以下简称“《认证要求》”),作为推荐性国家标准,该《认证要求》在效力层级上高于《认证规范v2.0》, 进一步为个人信息跨境传输认证制度提供了具体的合规标准。

  随着新规发布,我国的个人信息出境合规在个人信息保护认证制度方面有了更切实的要求,本文拟从认证制度的适用主体、认证的基本原则和要求、个人信息主体权益及个人信息处理者合规需求与成本的角度,就《认证要求》作出解读。

  一、《认证要求》的适用主体

  《认证要求》第一条即为“范围”,明确规定,“本文件适用于认证机构对个人信息处理者跨境提供个人信息活动开展个人信息保护认证。”

  在实践当中,根据《中华人民共和国个人信息保护法》(以下简称“《个保法》”)的要求,个人信息处理者向境外提供个人信息可遵循三种合规路径,即:

1. 依照《个保法》的规定通过国家网信部门组织的安全评估;

2. 按照国家网信部门的规定经专业机构进行个人信息保护认证;

3. 按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。[1]

  其中,根据《数据出境安全评估办法》的规定,安全评估路径是一项强制性的合规路径。针对个人信息出境来说,处理100万人以上个人信息的数据处理者,或自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。也就是说,这两类数据(个人信息)处理者必须通过安全评估才被允许进行个人信息跨境传输活动。[2]笔者在此做两点提示,第一,此处所提及的数字均为人口数,而非人次,即个人信息所对应的主体数为100万以上、10万以上、1万以上的,需做评估。第二,此处所述处理100万人以上个人信息的数据处理者,并非指需要出境的数据主体数达到100万以上,而是处理(指个人信息的收集、存储、适用、加工、传输、提供、公开、删除等)个人信息对应人数达到100万人的,不论需向境外传输多少个人信息,均需通过安全评估。

  未达到上述门槛的个人信息跨境传输,可以选择通过个人信息保护认证或与境外接收方签订标准合同的方式满足合规要求。《认证要求》亦即个人信息保护认证制度之适用范围正是针对这一部分个人信息处理者。

  二、个人信息保护认证的基本原则和要求

  《认证要求》中对个人信息跨境传输的安全认证提出六项基本原则,分别为:

1. 合法、正当、必要和诚信原则(对应《个保法》第五条)

2. 公开、透明原则(对应《个保法》第七条)

3. 信息质量保障原则(对应《个保法》第八条)

4. 同等保护原则

5. 责任明确原则(对应《个保法》第九条)

6. 自愿认证原则

  不难看出,六项原则系根据上位法《个保法》中对于个人信息处理应当遵循的原则,针对跨境传输行为所作的延伸。例如,在合法、正当、必要和诚信原则中,加入了遵守具有法律约束力文件,不违背约定和承诺损害个人信息主体的合法权益的要求;在公开、透明原则中,加入了对境外接收方的信息公开以及个人信息主体行权的方式和程序;在责任明确原则中更是要求个人信息处理者指定机构承担处理个人信息过程中违规活动的民事法律责任。而自愿认证原则是指相对于安全评估制度,安全保护认证制度并非强制性制度,而是个人信息跨境传输合规路径的选择之一。

  《认证要求》亦对个人信息跨境传输活动提出了四点具体要求,分别是:

  1. 签署具有法律约束力的文件;

  《认证要求》中亦明确规定了相应法律文件中应当包含的内容,在实践中不免有此疑问:这项要求与选择标准合同进行个人信息跨境传输行为中的标准合同有何区别呢?诚然,《认证要求》对法律文件的内容要求与国家互联网信息办公室发布的《个人信息出境标准合同模版》(以下简称“《标准合同模版》”)有大量内容相似之处,其要素基本相同。但笔者研究认为,《认证要求》中要求境外接收方在法律文件所作的三项承诺,及在中国境内明确一个承担法律责任的组织,可以充分体现出保护认证制度与标准合同制度的不同,具体如下表:

  作为个人信息出境的两种不同合规路径,从本质上来讲,标准合同机制和保护认证机制的目的是一致的,即保护个人信息主体权利,规范个人信息出境活动。既是保护权利,则必然存在保护规则与违反规则的惩罚机制。对于标准合同机制来说,规则的设立基于个人信息处理者与境外接收方的合同关系,同时在合同之中通过约定的方式将个人信息主体作为第三方受益人,惩罚机制也在合同中作出了明确。而针对保护认证机制,规则的设立基于认证机构经审核申请认证主体(一般来说是境内个人信息处理者,或在境外处理境内个人信息的处理者在境内设置的机构)对个人信息处理(跨境传输)情况,以确认个人信息处理者跨境传输个人信息满足规则要求。在此过程之中,设置签署具有法律约束力的文件这一要求主要是为了加强对境外接收方的监管与要求,使得个人信息主体的权益尽量能够得到全面的保障。因此,在《认证要求》中,要求境外接收方就上述保护标准、接受监督、管辖及责任主体四项作出承诺,而《标准合同模版》则是出于遵守合同、合同履行的角度进行条款设置,由此亦可以看出保护认证机制的特点和自愿性原则。

  2. 个人信息处理者与境外信息接收方均应指定个人信息保护负责人、设立个人信息保护机构;

  《认证要求》中,要求个人信息处理者和境外接收方均制定个人信息保护负责人、设立个人信息保护机构,并对负责人和保护机构的经验和职责作出明确规定。而标准合同机制中则未作此要求。

  3. 个人信息处理者与境外信息接收方应共同遵守同一个人信息跨境处理规则;

  如上表第一点所示,《认证要求》要求个人信息处理者与境外接收方完全遵守同一个人信息跨境处理规则,而非《标准合同模版》中所设置的,可以在一定条件下超出约定的情形处理个人信息。[3]笔者认为,要求境外接收方作出更为严格的承诺,是由于保护认证制度的本质,是资格认证,而其赋予资格和以此进行约束的主体,只能是境内机构,而标准合同机制则可以通过合同的签署实现直接对境外接收方的约束。因此,保护认证制度要求境外接收方作出更确切的承诺,在实践过程中,这对个人信息处理活动的灵活性进行了一定的限制,即,认证机构所给出的认证只对其审核确认过的个人信息处理活动负责,如境外接收方需超出认证范围处理个人信息,则可能被要求重新进行认证。

  4. 个人信息处理者应对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估。

  与标准合同机制一样,《认证要求》亦要求个人信息处理者就向境外接收方提供个人信息的活动开展个人信息保护影响评估,其中的评估要求也基本一致,其中小小的不同之处为,《认证要求》的影响评估还要求评估报告中包含跨境处理个人信息的频率,而标准合同的影响评估则不包含此项。笔者认为,这是由于保护认证机制的监管意味更浓,认证机构及监管机构希望了解到个人信息跨境传输的频率,并据此开展监管活动。

  三、个人信息主体权益保护与个人信息处理者合规成本

  《认证要求》中对个人信息主体权益的保障要求的法律渊源是《个保法》及其他相关法律法规的规定,笔者认为,作为个人信息跨境传输的合规路径,无论保护认证机制,还是标准合同机制,其对个人信息主体权益的保障都是经过验证和官方认可的,两种合规路径的根本要求是一致的。因此,作为个人信息主体,在提交同意个人信息处理者跨境传输自己的个人信息之时,无论该个人信息处理者选择的是何种合规路径,均应相信自己的权利是得到保障,且有根据相关法律法规得到救济的途径的。

  然而,针对个人信息处理者来说,在存在个人信息跨境传输需求的情况下,保护认证机制是否是适当的合规路径,则需要慎重考虑和抉择,尤其是在未达到安全评估要求门槛的个人信息跨境传输,在保护认证机制与标准合同机制之间,该如何选择适合自身的合规路径?通过本文第二部分对《认证要求》中原则和要求的分析不难看出,保护认证机制由于是认证机构(即CRCC)对个人信息处理者跨境传输行为进行合规背书,在《认证要求》中对个人信息处理者及境外接收方各方面的要求标准较标准合同机制而言更为固定和确切,且更强调认证机构的持续监督。此外,进行安全认证需支付一笔认证费用,相较于标准合同机制而言,安全认证机制的成本亦更高一些。这两点对于个人信息处理者而言,似乎使得安全认证机制的吸引力降低不少。然而,与签署标准合同相比,进行保护认证可以在进行认证时一次性提交一对多的认证,即就一个个人信息处理者将个人信息跨境传输给多个境外接收方的处理活动进行认证,在此种情况下,个人信息处理者采用保护认证机制则可以大大降低合规工作量。


转创君
企业概况
联系我们
专家顾问
企业文化
党风建设
核心团队
资质荣誉
领导资源
专家库
公司公告
资源与智库
战略合作伙伴
质量保证
咨询流程
联系我们
咨询
IPO咨询
中国企业国际化发展战略
投融资规划
企业管理咨询
人力资源管理
风险管理
竞争战略
集团管控
并购重组
家族办公室
资产管理
股权设计
企业管治与内部审计
企业估值
价值办公室
内控咨询
投资银行
管治、内控及合规服务
法律咨询
服务
管理咨询服务
投融资规划
人力资源
资产评估服务
会计服务
科技服务
资质认证
ESG服务
商务咨询
内部控制服务
转创投服
金融服务咨询
企业服务
财会服务
翻译服务
财审
金融会计专题
法证会计
国际财务管理
会计中心
财务咨询
内部审计专题
审计创新与全球化
代理记账中心
会计师事务所
审计中心
审计及鉴证
专项审计
审计工厂
审计咨询服务
税律
财税中心
转创税务
华税律所
税务师事务所
IPO财税
国际税收
涉税服务
金融
纳斯达克
并购交易服务
北交所
IPO咨询
深交所
上交所
直通新三板
董秘工作平台
独立董事事务
SPAC
资本市场服务中心
澳洲上市
加拿大上市
估值分析事务
香港联交所
新交所
金融分析师事务所
合规
合规与政府管制
企业合规
网络安全与隐私保护
法证会计与反舞弊
反洗钱与制裁合规
反垄断中心
企业合规管理咨询
合规中心
转创全球企业合规
合规律师事务所
金融安全与合规
海关及全球贸易合规
ESG合规
反欺诈中心
合规中心(产业)
知识产权合规专题
私募股权基金合规
法信
征信管理
信用中心
法信中心
信用评级
价值办公室
联合资信
国际信用
安企中心
转创法信
诚信管理
产服
产业中心
企业与产业管理
行业中心
转创产研
城市中国
转创科研
全球城市
乡村振兴战略
创新创业中心
转型升级中心
数据经济与网安
绿创中心
双碳与可持续发展
管理
并购重组
转创国际企业研究所
创新创业
转型升级
投融资与股权激励
ESG中心
管理咨询
资产评估中心
人力资源
IPO咨询
法律
刑事法律服务
资本市场法律服务
财税金融法律事务
转创国际合规律师
民商事法律服务
公司法律服务
公共法律服务中心
转创国际法律事务所
内控
危机管理
金融风险专题
风险管理中心
网络安全与隐私保护
企业风险管理
独立董事
风险控制师事务所
国际风险研究
风险管理咨询
监督中心
管制中心
风控中心
内部控制中心
经济安全与企业内控
监管中心
转创
转创深圳(深莞)
转创广佛
转创国际福建
转创梅州
客汕经济
转创珠三角
转创潮州
转创网校
转创国际汕头
转创揭阳
18318889481 17875936848
在线QQ
在线留言
返回首页
返回顶部
留言板
发送