网信办新规细化个人信息出境细则 明确责任划分与本地化法规披露要求
信息安全监管趋势正在从“统一的数据出境监管”转变为“基于数据类型、数量和性质建构层次化、体系化的监管制度”。
6月30日,为规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动,国家互联网信息办公室起草并发布《个人信息出境标准合同规定(征求意见稿)》(以下简称《规定》),向社会公开征求意见。
本次发布的《规定》共十三条,另附个人信息出境标准合同(以下简称“标准合同”),涵盖了可签订标准合同的条件,个人信息保护影响评估重点等方面。
受访专家表示,本次《规定》的出台体现了信息安全监管趋势正在从“统一的数据出境监管”转变为“基于数据类型、数量和性质建构层次化、体系化的监管制度”,这与我国《数据安全法》立法目标“保障数据安全,促进数据利用和流动”具有一致性。
明确标准合同内容
《规定》中提到,“个人信息处理者依据《中华人民共和国个人信息保护法》第三十八条第一款第(三)项,与境外接收方订立合同向中华人民共和国境外提供个人信息的,应当按照本规定签订个人信息出境标准合同。”
具体而言,标准合同内容包括:个人信息处理者和境外接收方的基本信息;个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等;个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等;境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响;个人信息主体的权利,以及保障个人信息主体权利的途径和方式;救济、合同解除、违约责任、争议解决等。
采访专家表示,标准合同制度旨在将法定义务嵌入于合同中,以延伸到境外接收方。世辉律师事务所合伙人王新锐向21记者解释:“标准合同本身需要包含的条款较为详细,尤其需要关注的是事前的个人信息保护影响评估的内容需要与合同中的信息对应。合同起草工作不困难,但准备合同中必须填写的信息,需要花费时间和资源。”
此外,标准合同中还需规定出境个人信息范围仅限于实现处理目的所需的最小范围,以及存储个人信息的期限为实现处理目的所必要的最短时间。
对此,王新锐表示:“哪些信息可以出境、哪些目的允许出境,还要结合后续出台的其他规则才能落地。当然肯定会有一些属与行业实践、且风险较低的‘最大公约数’。”
北京航空航天大学法学院助理教授赵精武也认为,个人信息出境行为的双方判断信息范围和信息期限,是该征求意见稿的操作难点之一:“因为在网络信息服务互联互通的大背景下,用户个人信息往往与企业业务数据相互绑定,界限分明地判断哪一个信息要素属于个人信息出境范畴显然不切实际。”
他进一步指出,在实操中,对是否超过相关范围的界定标准主要是以信息处理者自身的主营业务、具体的个人信息处理者目的进行综合评断,其基本原则是自然人在个人信息出境中所获得利益或服务内容应当明显高于个人信息出境所面临的安全风险。
例如,从事网上购物服务类的信息处理者而言,其出境的个人信息范围应当是以“用户购买商品”为必要,主要的个人信息包括用户联系方式、收件人联系方式、支付时间、支付金额等支付信息。
明确责任划分与本地化法规披露要求
此前,数据跨境过程中传收双方的责任划分一直是业界实践亟待解决的关键问题,也是政策法规制定的焦点所在。
本次发布的《规定》要求,个人信息处理者和境外接收方之间的责任限于非违约方所遭受的损失。
对此,赵精武解释,该条属于损失赔偿额的最高限额计算方式。判定遭受损失的重点在于“违约行为与损害结果之间是否存在因果关系”和“损失确实已经发生”。如违约方可能会导致个人信息出境之后存在安全风险,但是这种安全风险是否在未来一定确实发生仍难以确定,这种“未来不确定的损失”并不属于我国《民法典》所认可的损失类型。
赵精武进一步指出,本条规定对违约方的惩罚力度较为充分,这里的“损失”不仅仅包括非违约方所遭受的直接业务损失,还包括因为对方违约导致非违约方自身的商誉减损、丧失预期利润等经济损失类型。需要特别注意的是,标准合同的附录二也预留了“双方约定的其他条款(如需要)”,供双方进一步明确损失赔偿额。
此外,鉴于当前各国对于个人信息保护的监管要求不一的背景,本次发布的《规定》还提出了对信息出境接收方所在地政策法规的影响进行披露的要求。
对此,王新锐表示:“尽管境外个人信息保护立法存在着一些差异,尤其是因为历史文化产生的差异,但整体而言其制度均较为接近,很多国家的立法都不同程度借鉴了欧盟出台的GDPR(《通用数据保护条例》)。具体到不同行业,则可能差异非常大。在个人信息出境的过程中,要尤其关注接收方所在国家及地区对于政府获取个人信息(包含法定上报义务等)的规定。”
关于中国企业在进行披露需要着重关注的境外法规,赵精武认为,根据现有要求,企业需主要关注的方面包括:(1)境外法规是否与个人信息出境标准合同条款存在相悖的内容;(2)境外法规有关境外国家机关调取用户个人信息的情形;(3)境外法规是否规定了企业应当承担个人信息安全保护义务以及义务履行的具体方式;(4)境外法规有关违反个人信息安全保护义务的法律责任以及具体的行政监管和行政处罚措施。
王新锐补充,无论是境内的个人信息处理者还是境外接收方,都有义务向信息主体提供合同副本,这也对合同起草提出了更高要求;而按照现有制度设计,个人信息行使查阅权、复制权、删除权等权利时,既可以向境内的个人信息处理者提出,也可以直接向境外接收方提出,这无疑对合规工作来说会带来很大的压力。