个人信息跨境流动关系个人权益保护、国际经贸活动秩序和国家司法管辖权,“按照国家网信部门的规定经专业机构进行个人信息保护认证”是《个人信息保护法》第三十八条所规定的数据出境合法途径之一。近日,国家互联网信息办公室、国家市场监督管理总局联合公布《个人信息出境认证办法》(以下简称《办法》),进一步完善了数据跨境流动规则,打通了个人信息依法出境的新通道,便利了个人信息的有序跨境流动。

一、《办法》确立了个人信息出境的新方向

认证是由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。“认证”之所以可以成为个人信息出境的合法途径之一,是因为它把跨境传输所需的适当保障具体化为经认可第三方审核+持续监督+对数据主体可执行的承诺与救济的组合。

(一)认证是国际经贸领域监管互认的主流工具

个人信息出境的主要需求是国际经济贸易往来,“认证”则是国际经贸领域常见的第三方合格评定方式。WTO框架下的《技术性贸易壁垒协定》开篇提到,认识到国际标准和合格评定体系可以通过提高生产效率和便利国际贸易的进行而在这方面作出重要贡献,因此期望鼓励制定此类国际标准和合格评定体系。为此,我们在各种进出口产品中都能看到很多认证标志,以此作为跨国监管互认的通行凭证。可以说,认证是跨国组织常见且容易被接受的安全管理方式,将认证机制引入数据跨境工作能够增强跨国组织的认可度。

作为个人信息出境监管的先行者,欧盟《通用数据保护条例》(GDPR)在第46条要求数据处理者或控制者在向第三国或国际组织进行个人信息传输时必须提供适当的安全保障措施,其中就包括GDPR第42条规定的认证机制。为此,欧洲个人信息保护监督机构在2022年发布了《关于认证作为跨境传输工具的07/2022号指南》。我国《个人信息保护法》和《网络数据安全管理条例》均将“认证”作为个人信息出境的有效途径之一,《办法》的出台将促进我国个人信息出境认证机制的完善。尽管中国和欧洲国家尚未达成关于数据充分性保护的协定,“认证”作为国际上具有互信基础的监管工具,将有助于促进各国认证结果互认。

(二)认证是持续完善公私合作治理的价值体现

认证能够通过发挥市场化的专业力量支持政府实现公共治理目标。借助市场化的第三方机构开展认证工作,不仅可以提升治理的专业水平、降低政府成本,同时也能够提升认证申请人的自由选择度和获得感。在这个过程中,监管部门通过认定、备案和管理认证机构来扩展监管能力,认证机构则依靠专业服务的信誉来获得社会各方认可。

认证是企业主动合规体系建设的体现。认证制度遵循自愿性、市场化、社会化服务原则,故而个人信息保护认证不会额外增加企业负担,而是为有志于积极从事合规体系建设的企业提供了检验合规工作效果的测试场。随着个人信息保护法律法规的贯彻落实,各类数据处理者主动深化合规体系建设的意识不断增强。符合相关条件的企业可以主动申请开展认证,从而对自身内部合规决策进行检查复核,提升企业的数据安全治理能力。

(三)专业认证机构切实履行跟踪调查职责是其功能实现的保障

《办法》建立了全链条管理机制来压实专业认证机构的责任。专业认证机构向国家网信部门办理备案手续时,应当提交对获证个人信息处理者进行的个人信息出境活动符合认证标准情况的持续监督机制。在出具认证证书之后,专业认证机构发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等情形,不再符合认证要求的,应当暂停其使用直至撤销相关认证证书,并予以公布。

《认证认可条例》通过设定严格法律责任监督认证机构勤勉尽责。如果认证机构未对其认证的产品、服务、管理体系实施有效的跟踪调查,或者发现其认证的产品、服务、管理体系不能持续符合认证要求,不及时暂停其使用或者撤销认证证书并予以公布的,可能面临5万元以上20万元以下的罚款、没收违法所得;情节严重的,可能被要求停业整顿,直至撤销批准文件。同时《办法》规定,国家市场监督管理部门和国家网信部门对个人信息出境认证活动进行监督,开展定期或者不定期的检查,对认证过程和认证结果进行抽查,对专业认证机构进行抽查和评价,从而压实专业认证机构责任。

二、个人信息出境认证制度与相关制度共同构筑我国数据跨境监管的完整体系

《办法》构建的个人信息出境认证是通用认证体系和数据出境监管中的一块新拼图,需要对《办法》和相关制度的适用关系予以说明。

(一)个人信息出境认证和通用个人信息保护认证

《个人信息保护法》所规定的“认证制度”在第三十八条和第六十二条均有体现,本次的《办法》为第三十八条落地提供了支撑。《个人信息保护法》第六十二条所规定的“支持有关机构开展个人信息保护认证服务”则在2022年就已经启动。国家互联网信息办公室、国家市场监督管理总局在2022年11月联合发布了《关于实施个人信息保护认证的公告》,决定实施个人信息保护认证,鼓励个人信息处理者通过认证方式提升个人信息保护能力,并明确了《个人信息保护认证实施规则》。该规则对个人信息保护认证的认证依据作出规定,提出“个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求,对于开展跨境处理活动的个人信息处理者,还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求”,并明确了不含跨境处理活动的个人信息保护认证标志、包含跨境处理活动的个人信息保护认证标志2种认证标志。

根据以上规定,个人信息出境认证是特殊类型的个人信息保护认证,除符合通用个人信息保护认证的标准要求外,还应符合关于个人信息跨境的特殊要求,并具有专门的认证标志。《办法》公布后,将在部门规章这一更高层面上明确个人信息出境认证的特殊要求,与《关于实施个人信息保护认证的公告》相衔接,共同构建个人信息出境认证的制度规范体系。同时,《办法》也规定,本办法施行前制定的关于个人信息出境认证的相关规定与本办法不一致的,按照本办法执行,明确了制度间的适用效力。

(二)个人信息出境认证和标准合同、安全评估的关系

《个人信息保护法》明确了安全评估、个人信息保护认证、标准合同等个人信息出境制度。《促进和规范数据跨境流动规定》具体划定了三种途径的适用范围,纳入“安全评估”范围内则不能适用“标准合同”“认证”,而“标准合同”和“认证”的适用范围均为:非关键信息基础设施运营者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息,且个人信息不包括重要数据。

值得注意的是,出境认证还可以适用于境外直接处理境内自然人个人信息的企业。《办法》对此专门规定,中华人民共和国境外的个人信息处理者申请个人信息出境认证的,应当由其在境内设立的专门机构或者指定代表协助进行申请,为境外个人信息处理者提供明确的操作指引。

与一次性签约的“标准合同”不同,认证是针对特定处理活动的体系化“打包合规”。认证由经认可的认证机构持续监督,且认证结果可撤销,形成外部“合规张力”,帮助对外提供方在尽职调查与持续监控上节省人力、事务成本,而不必反复做同质化检查。此外,通过“标准合同”途径对外提供个人信息的,需要个人信息处理者在标准合同生效之日起10个工作日内通过数据出境申报系统备案,这将促使频繁向不同接收方提供个人信息的境内主体选择“认证”方式以减轻事务压力。

党的二十届三中全会《决定》要求我们“建立高效便利安全的数据跨境流动机制”。《办法》的出台,标志着中国个人信息出境管理体系的全面建成,这将进一步优化我国法治化营商环境,促进数字经济健康可持续发展。(作者:申卫星,清华大学法学院教授)