浅析《网络安全标准实践指南——个人信息跨境处理活动认证技术规范（征求意见稿）》

为实施个人信息跨境处理活动认证提供依据

　　近日，全国信息安全标准化技术委员会秘书处就《网络安全标准实践指南——个人信息跨境处理活动认证技术规范（征求意见稿）》（以下简称《个人信息跨境认证规范》），向社会公开征求意见。作为《中华人民共和国个人信息保护法》的配套制度之一，该规范进一步落实个人信息保护法第三十八条设立的个人信息保护认证制度。

　　个人信息保护法第三十八条规定，个人信息处理者因业务等需要向境外提供个人信息时，需具备下列四种条件之一：通过国家网信部门组织的安全评估；经专业机构进行个人信息保护认证；按照标准合同与境外接收方订立合同，约定双方的权利和义务；法律、行政法规或者国家网信部门规定的其他条件。作为个人信息保护法的配套措施，有关部门已就第一项的安全评估制定了《数据出境安全评估办法（征求意见稿）》《个人信息出境安全评估办法（征求意见稿）》。此次发布的《个人信息跨境认证规范》为认证机构实施个人信息跨境处理活动认证提供依据，也为个人信息处理者进行个人信息跨境处理活动提供合规参考。

　　填补相关规定空白

　　《个人信息跨境认证规范》所指的个人信息保护认证，明确适用于个人信息保护法第三条第二款规定的境外个人信息处理者在境外处理境内自然人个人信息的活动，以及适用于跨国公司或者同一经济、事业实体内部的个人信息跨境处理活动。前者是指以向境内自然人提供产品或者服务为目的，分析、评估境内自然人的行为以及法律、行政法规规定的其他情形，后者例如某境外公司在中国境内设立实体，招募员工并开展业务，为实现跨国管理需要，境内实体向境外总部提供境内员工信息。

　　此前已公开征求意见的与个人信息跨境提供有关的规定，如《数据出境安全评估办法（征求意见稿）》《网络数据安全管理条例（征求意见稿）》，将跨境提供数据者表述为“数据处理者”，《个人信息出境安全评估办法（征求意见稿）》，将个人信息提供方表述为“网络运营者”，这些规范并未明确其是否以及如何适用于境外个人信息处理者向境内个人信息主体直接收集个人信息的情形，《个人信息跨境认证规范》恰好填补了这一空白。

　　细化跨境处理活动相关方要求

　　《个人信息跨境认证规范》为希望获得认证的跨境处理活动相关方提出七点要求。

　　参与个人信息跨境处理活动的相关方之间，应当签订具有法律约束力和执行力的文件，《个人信息跨境认证规范》明确了该文件应具备的内容要件。在跨国实体内部跨境处理个人信息情形下，跨国公司或集团内部的管理制度可作为该法律约束力和执行力文件；在个人信息保护法第三条第二款规定的情形下，该法律约束力和执行力文件可能是境内提供方与境外接收方之间签订的合作协议。

　　构建专门组织。参与个人信息跨境处理活动的相关方应当指定个人信息保护负责人，且由本组织机构决策层成员担任，负责个人信息保护工作的指导、维护和汇报等工作。此外，还应当设立个人信息保护机构，专门负责制定计划，组织自评，接受处理个人投诉以及监督组织机构的个人信息处理活动。

　　统一处理规则。参与个人信息跨境处理活动的相关方要遵守统一的个人信息跨境处理规则。其中，包括个人信息的基本情况，跨境处理个人信息的目的、方式和范围，个人信息境外存储的起止时间及到期后的处理方式，跨境处理个人信息需要中转的国家或者地区，保障个人信息主体权益所需资源和采取的措施，以及个人信息安全事件的赔偿、处置规则。

　　事先开展评估。《个人信息跨境认证规范》要求相关方应当参照GB/T 39335《信息安全技术 个人信息安全影响评估指南》的最新版本，自行展开个人信息保护影响评估。即不但要审查境外处理活动是否合乎法律、行政法规，还需评估境外国家和地区的法律环境、网络安全环境等对个人信息主体权益的影响。

　　获取单独同意。相关方应当通过电子邮件、即时通信等方式告知个人信息主体关于个人信息跨境处理活动的基本情况，并需取得个人信息主体的单独同意。

　　保障个人权利。相关方要满足个人信息主体行使其权利的各项请求，并为其提供便捷的途径。个人信息主体要求查阅、复制、更正、补充或者删除其个人信息时，应当及时予以响应，拒绝其请求的，应当说明理由和救济途径。

　　接受持续监管。认证机构可以对相关方的个人信息跨境活动进行持续监管，包括答复询问、例行检查等。

　　丰富个人信息主体权益

　　《个人信息跨境认证规范》明确了相关方应当保障的个人信息主体权利，除个人信息保护法已提及的各项信息权利外，还为个人信息主体设立了更有利的保护措施：

　　获取相关方之间法律文件的副本。依照个人信息保护法的规定，在个人信息跨境提供过程中，个人信息主体有权获知的内容包含接收方基本信息、处理目的、处理方式、个人信息种类以及个人行使权利的方式和程序等，但未涉及数据提供双方之间的协议文本。《个人信息跨境认证规范》在此基础上强调，个人信息主体有权要求个人信息跨境处理相关方提供其签订的法律约束力和执行力文件中涉及个人信息权益部分的副本，这可能包含接收方与提供方之间的协议。

　　有权向其经常居住地法院提起诉讼。《个人信息跨境认证规范》明确，个人信息主体有权在其经常居住地所在法院向参与个人信息跨境处理的相关方提起诉讼，这进一步提升了个人信息主体向个人信息跨境处理相关方行使权利的便捷性。

　　保障民事赔偿责任的实现

　　由于个人信息跨境处理的特殊性，相关方往往包含身处境外的个人或注册在境外的实体。为便利个人信息保护认证的申请、办理流程，《个人信息跨境认证规范》允许相关方以其境内分支申请认证。跨国公司或者同一经济、事业实体内部的个人信息跨境处理活动可以由境内一方申请认证。同时，以境内分支作为个人信息保护申请主体的，必须承诺该分支可以直接为个人信息主体提供便利的行使权利条件，且承诺以该分支机构作为境内承担民事赔偿责任的主体。这有助于个人信息主体确认应当承担民事赔偿责任的主体，从而维护自身合法权益。

　　（作者单位分别为广州大学粤港澳大湾区法制研究中心、中国政法大学法学院）