观点 | 《个人信息跨境处理活动安全认证规范》实务解读（附中英双语版要点速览）

根据《个信法》第三十八条关于个人信息跨境提供规则的规定，我们理解个人信息处理者因业务需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：1）依照《个信法》第四十条的规定通过国家网信部门组织的安全评估；2）按照国家网信部门的规定经专业机构进行个人信息保护认证；3）按照国家网信部门制定的标准合同与境外接受方订立合同，约定双方的权利和义务；4）法律、行政法规或者国家网信部门规定的其他条件。

以上四项条件的具体落地需要相关部门出台配套行政规章，以明确数据出境的具体路径。截至本文写作之日，第（三）项下的“标准合同”与第（四）项下的“其他条件”暂未见相关范本或规定出台。第（一）项下的“安全评估”相关内容，可参考国家网信办于2021年10月29日发布的《数据出境安全评估办法（征求意见稿）》相关规定。

至于第（二）项下的个人信息保护认证，我们理解就可以参考《认证规范》中的相关内容。但需说明的是，根据《个信法》的规定，有关安全认证的制度需要网信部门发布正式规定，而信安标委的“网络安全标准实践指南”其性质为“标准相关技术文件，旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题，宣传网络安全相关标准及知识，提供标准化实践指引”。^[1]因此，《认证规范》尚不能构成对安全认证的完整法律支持文件，但考虑到其将来在认证实践中有可能被认证机构直接参照执行，故其内容我们认为对现阶段的企业个人信息跨境传输合规工作具有重要参考价值。

《认证规范》在其“摘要”中明确指出，“申请个人信息保护认证的个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求；对于开展跨境处理活动的个人信息处理者，还必须符合本实践指南的要求。”此摘要其实为《认证规范》下个人信息处理设置了一个认证前提，即按照《认证规范》进行个人信息保护认证的个人信息处理者，除《认证规范》提出的合规要求外，还应当完成GB/T 35273下的合规要求。考虑到GB/T 35273的内容非常全面且细致，这其实是为企业设置了一个较高的合规基准。

《认证规范》明确了认证机构对个人信息跨境处理活动进行个人信息保护认证的基本要求所适用的两种情形及相应的申请主体。

其一，为跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动。例如，位于境内的跨国企业子公司出于特定的管理目的，需要向位于境外的跨国公司总部跨境传输部分雇员的个人信息。该情形下，可由境内一方申请认证，并承担相应法律责任。

值得注意的是，以上场景下所谓“可以由境内一方申请认证，并承担相应法律责任”，可能不宜简单理解为“只由一方主体申请认证即可”。根据国家网信办发布的《网络数据安全管理条例（征求意见稿）》（以下简称“《数安条例》”）第三十五条的规定，数据处理者因业务等需要，确需向中华人民共和国境外提供数据的，“数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证”是路径之一。因此，我们认为，不排除境内参与方在申请认证的时候需要提供包含境外接收方相关合规材料的可能性。

其二，为《个信法》第三条第二款适用的个人信息处理活动，也即在境外以向境内自然人提供产品或者服务为目的，或为分析、评估境内自然人的行为而进行的处理活动。例如，境外的跨境电商直接通过个人在平台进行交易的过程中收集境内用户的个人信息。该情形下，境外个人信息处理者可由其在境内设置的专门机构或指定代表申请认证，并承担法律责任。

《认证规范》提出了个人信息处理者在进行跨境处理个人信息活动时，如果想通过我国相关认证机构的个人信息跨境处理活动安全认证，应遵循的六项基本原则，包括合法、正当、必要和诚信原则；公开、透明原则；信息质量原则；同等保护原则；责任明确原则；自愿认证原则。我们认为同等保护原则、责任明确原则、自愿认证原则值得企业特别关注。

同等保护原则，是指个人信息处理者和境外接收方在跨境处理个人信息时应当采取必要措施，确保个人信息跨境处理活动达到中华人民共和国个人信息保护相关法律法规规定的个人信息保护标准。该要求在实践中可能不易实现，或难以进行证明，因此企业不仅需要考虑是否将相关要求作为重要条款放入与境外接收方相关协议中，通过合同方式对境外接收方进行约束及适当分配风险与责任，更可能需要与境外接收方协商，让后者提供更多的材料来证明其具有实现同等保护的能力。

责任明确原则，是指在安全认证机制下，需要明确指定境内的一方、多方或境外接收方在境内设置的机构来承担法律责任。虽然我们国家与个人信息保护、数据安全相关的法律均在一定程度采取了“长臂管辖”原则，但在司法实践中，监管主体要实现“长臂管辖”的效果并不容易。同时，如果出现民事纠纷，个人信息主体也可能面临维权无能为力或成本过高等问题。因此，我们认为，要求指定的一方、多方或境外接收方在境内设置的机构来承担法律责任，既是监管部门寻找合规抓手，确保个人信息跨境提供活动受到监管的需要，也在某种程度上保障了个人信息主体权利得以实现。同时，这也提醒参与个人信息跨境提供活动的各方，切莫怀有侥幸心态。

自愿认证原则，是明确了安全认证属于国家推荐的自愿性认证，鼓励符合条件的企业自愿进行申请，以加强个人信息保护、提高个人信息跨境处理效率。由此，跨国企业可根据自身的具体情况，来选择是否通过安全认证的方式实现数据跨境。这也与《个信法》与《数安条例》下个人信息与数据跨境提供可以选择不同路径的规定相契合。这也说明了，如果境内的个人信息跨境处理者，认为满足此类认证的成本过高，比如实现同等保护、责任明确原则的要求过高，可以考虑其他的合规路径。

《认证规范》对于开展个人信息跨境处理活动的处理者和境外接收方（以下简称为“参与各方”）在参与跨境数据传输活动时提出了四个方面的要求：

1) 法律协议，即参与各方间应当签订具有法律约束力和执行力的文件；

2) 组织管理，即参与各方均应指定适格的个人信息保护负责人，以及设立个人信息保护机构；

3) 处理规则，即参与各方应遵守统一的个人信息跨境处理规则；

4) 影响评估，即参与各方应事前评估向境外提供个人信息活动是否合法、正当、必要，所采取的保护措施是否与风险程度相适应并有效。

其中，对于法律协议的具体内容，相较于《个人信息出境安全评估办法（征求意见稿）》第十三条的规定，《认证规范》中提出了一些新的条款内容，例如，1）境外接收方承诺并遵守统一的个人信息跨境处理规则，并确保个人信息保护水平不低于中华人民共和国个人信息保护相关法律、行政法规规定的标准；2）接收方应承诺接受认证机构监督；3）接收方应承诺接受我国法律法规管辖；3）明确在我国境内承担法律责任的组织。我们理解这是《认证规范》的基本原则在法律协议层面的具体体现。当然，《认证规范》下所指法律协议与“国家网信部门制定的标准合同”具体是何种关系，我们认为还有待观察。

此外，以上要求中还值得注意的是，组织管理中规定的“个人信息保护负责人”与《个信法》第五十二条中所指的“个人信息保护负责人”可能有所不同。根据《个信法》第五十二条，“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督”，同时，该负责人的联系信息还需对外公开并报送监管部门。而《认证规范》中的“个人信息保护负责人”并无上述要求，其本身需是企业的决策层成员，主要职能是指导组织内部的个人信息保护工作，确保个人信息保护达到预期目标。因此我们理解该两份法律文件下的“个人信息保护负责人”含义并不相同，需区别对待。

《认证规范》在《个信法》的基础上，进一步提出了更具有针对性的对个人信息主体权益的保障要求，主要有两方面内容：

第一，明确定义了何为个人信息主体，并精细化列举了个人信息主体在跨境场景下的权利内容、行使方式以及维权途径。

第二，明确了参与各方对个人信息主体应履行的责任义务，包括告知并获取单独同意义务、提供信息查阅的义务、难以保障安全情况下及时中止跨境的义务、承诺接受认证机构对处理活动的监督、接受认证机构监督以及遵守境内法律法规与境内司法管辖等。

我们注意到，《认证规范》对“告知-同意”的具体形式进行了列举式规定，明确“电子邮件、即时通信、信函、传真等”均可作为“告知-同意”的实施形式。在以往实践中，企业有时对于“告知-同意”的形式理解过于狭隘，尤其在需要单独同意的场合，会倾向于采用书面打印后个人签字的形式取得同意。在出境场景下，即使企业通过安全评估或获得安全认证，其对个人信息主体的“告知-同意”义务并未免除，故采用合理、高效的实施形式将有利于企业履行相关义务，在这方面《认证规范》明确给出了实践指引，可供企业参考实施。

最后，《认证规范》还对个人信息主体的维权路径进行了尤为具体的规定。一方面，个人信息主体有权向监管部门进行投诉举报，另一方面则明确规定了个人信息主体有权在其经常居住地所在法院就参与各方提起司法诉讼，同时要求参与各方承诺接受我国司法管辖。我们理解，《认证规范》在该部分提及个人信息主体的上述权利，其用意在于提示参与各方不得对个人信息主体的权利行使制造障碍。例如，不得在与个人签署数据处理相关协议时约定适用外国法或境外法院管辖，也不得在个人信息主体依法在其经常居住地所在法院提起诉讼时，故意不接受管辖或以其他方式阻挠个人信息主体依法维权。如果参与各方有上述行为的，将可能被认为违反了《认证规范》而影响其获得安全认证。

《认证规范》整体上明确了《个信法》第三十八条规定的个人信息跨境提供下个人信息保护认证的实践路径，可以作为相关企业尤其是跨国公司，个人信息跨境合规的重要参考。当然，就个人信息保护认证机制自身而言，还有一些问题有待国家网信部门进一步明确，例如认证机构如何确定，认证能够涵盖的主体范围与事项范围，一次认证的有效期限等等。从实务的角度来看，如跨国企业将来有可能选择个人信息保护认证作为数据跨境实施路径的，我们建议可以先参照上述《认证规范》中的标准提前进行自我评估和相应调整。