信息安全監(jiān)管趨勢(shì)正在從“統(tǒng)一的數(shù)據(jù)出境監(jiān)管”轉(zhuǎn)變?yōu)椤盎跀?shù)據(jù)類型��、數(shù)量和性質(zhì)建構(gòu)層次化���、體系化的監(jiān)管制度”。
6月30日��,為規(guī)范個(gè)人信息出境活動(dòng)��,保護(hù)個(gè)人信息權(quán)益,促進(jìn)個(gè)人信息跨境安全����、自由流動(dòng),國(guó)家互聯(lián)網(wǎng)信息辦公室起草并發(fā)布《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定(征求意見(jiàn)稿)》(以下簡(jiǎn)稱《規(guī)定》)�,向社會(huì)公開(kāi)征求意見(jiàn)。
本次發(fā)布的《規(guī)定》共十三條���,另附個(gè)人信息出境標(biāo)準(zhǔn)合同(以下簡(jiǎn)稱“標(biāo)準(zhǔn)合同”)�,涵蓋了可簽訂標(biāo)準(zhǔn)合同的條件�,個(gè)人信息保護(hù)影響評(píng)估重點(diǎn)等方面。
受訪專家表示����,本次《規(guī)定》的出臺(tái)體現(xiàn)了信息安全監(jiān)管趨勢(shì)正在從“統(tǒng)一的數(shù)據(jù)出境監(jiān)管”轉(zhuǎn)變?yōu)椤盎跀?shù)據(jù)類型、數(shù)量和性質(zhì)建構(gòu)層次化��、體系化的監(jiān)管制度”�,這與我國(guó)《數(shù)據(jù)安全法》立法目標(biāo)“保障數(shù)據(jù)安全���,促進(jìn)數(shù)據(jù)利用和流動(dòng)”具有一致性�����。
明確標(biāo)準(zhǔn)合同內(nèi)容
《規(guī)定》中提到���,“個(gè)人信息處理者依據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》第三十八條第一款第(三)項(xiàng)����,與境外接收方訂立合同向中華人民共和國(guó)境外提供個(gè)人信息的��,應(yīng)當(dāng)按照本規(guī)定簽訂個(gè)人信息出境標(biāo)準(zhǔn)合同�����?!?/p>
具體而言,標(biāo)準(zhǔn)合同內(nèi)容包括:個(gè)人信息處理者和境外接收方的基本信息���;個(gè)人信息出境的目的����、范圍�����、類型�����、敏感程度、數(shù)量���、方式�����、保存期限����、存儲(chǔ)地點(diǎn)等����;個(gè)人信息處理者和境外接收方保護(hù)個(gè)人信息的責(zé)任與義務(wù),以及為防范個(gè)人信息出境可能帶來(lái)安全風(fēng)險(xiǎn)所采取的技術(shù)和管理措施等�����;境外接收方所在國(guó)家或者地區(qū)的個(gè)人信息保護(hù)政策法規(guī)對(duì)遵守本合同條款的影響��;個(gè)人信息主體的權(quán)利���,以及保障個(gè)人信息主體權(quán)利的途徑和方式����;救濟(jì)��、合同解除����、違約責(zé)任、爭(zhēng)議解決等���。
采訪專家表示����,標(biāo)準(zhǔn)合同制度旨在將法定義務(wù)嵌入于合同中��,以延伸到境外接收方���。世輝律師事務(wù)所合伙人王新銳向21記者解釋:“標(biāo)準(zhǔn)合同本身需要包含的條款較為詳細(xì)�����,尤其需要關(guān)注的是事前的個(gè)人信息保護(hù)影響評(píng)估的內(nèi)容需要與合同中的信息對(duì)應(yīng)��。合同起草工作不困難��,但準(zhǔn)備合同中必須填寫(xiě)的信息�,需要花費(fèi)時(shí)間和資源?��!?/p>
此外���,標(biāo)準(zhǔn)合同中還需規(guī)定出境個(gè)人信息范圍僅限于實(shí)現(xiàn)處理目的所需的最小范圍,以及存儲(chǔ)個(gè)人信息的期限為實(shí)現(xiàn)處理目的所必要的最短時(shí)間����。
對(duì)此,王新銳表示:“哪些信息可以出境����、哪些目的允許出境,還要結(jié)合后續(xù)出臺(tái)的其他規(guī)則才能落地����。當(dāng)然肯定會(huì)有一些屬與行業(yè)實(shí)踐、且風(fēng)險(xiǎn)較低的‘最大公約數(shù)’���?����!?/p>
北京航空航天大學(xué)法學(xué)院助理教授趙精武也認(rèn)為����,個(gè)人信息出境行為的雙方判斷信息范圍和信息期限�,是該征求意見(jiàn)稿的操作難點(diǎn)之一:“因?yàn)樵诰W(wǎng)絡(luò)信息服務(wù)互聯(lián)互通的大背景下,用戶個(gè)人信息往往與企業(yè)業(yè)務(wù)數(shù)據(jù)相互綁定�,界限分明地判斷哪一個(gè)信息要素屬于個(gè)人信息出境范疇顯然不切實(shí)際?���!?/p>
他進(jìn)一步指出,在實(shí)操中�����,對(duì)是否超過(guò)相關(guān)范圍的界定標(biāo)準(zhǔn)主要是以信息處理者自身的主營(yíng)業(yè)務(wù)���、具體的個(gè)人信息處理者目的進(jìn)行綜合評(píng)斷���,其基本原則是自然人在個(gè)人信息出境中所獲得利益或服務(wù)內(nèi)容應(yīng)當(dāng)明顯高于個(gè)人信息出境所面臨的安全風(fēng)險(xiǎn)。
例如�,從事網(wǎng)上購(gòu)物服務(wù)類的信息處理者而言,其出境的個(gè)人信息范圍應(yīng)當(dāng)是以“用戶購(gòu)買商品”為必要,主要的個(gè)人信息包括用戶聯(lián)系方式�����、收件人聯(lián)系方式����、支付時(shí)間、支付金額等支付信息����。
明確責(zé)任劃分與本地化法規(guī)披露要求
此前,數(shù)據(jù)跨境過(guò)程中傳收雙方的責(zé)任劃分一直是業(yè)界實(shí)踐亟待解決的關(guān)鍵問(wèn)題�����,也是政策法規(guī)制定的焦點(diǎn)所在���。
本次發(fā)布的《規(guī)定》要求�,個(gè)人信息處理者和境外接收方之間的責(zé)任限于非違約方所遭受的損失���。
對(duì)此����,趙精武解釋,該條屬于損失賠償額的最高限額計(jì)算方式�。判定遭受損失的重點(diǎn)在于“違約行為與損害結(jié)果之間是否存在因果關(guān)系”和“損失確實(shí)已經(jīng)發(fā)生”。如違約方可能會(huì)導(dǎo)致個(gè)人信息出境之后存在安全風(fēng)險(xiǎn)���,但是這種安全風(fēng)險(xiǎn)是否在未來(lái)一定確實(shí)發(fā)生仍難以確定�,這種“未來(lái)不確定的損失”并不屬于我國(guó)《民法典》所認(rèn)可的損失類型���。
趙精武進(jìn)一步指出,本條規(guī)定對(duì)違約方的懲罰力度較為充分����,這里的“損失”不僅僅包括非違約方所遭受的直接業(yè)務(wù)損失,還包括因?yàn)閷?duì)方違約導(dǎo)致非違約方自身的商譽(yù)減損�、喪失預(yù)期利潤(rùn)等經(jīng)濟(jì)損失類型。需要特別注意的是�,標(biāo)準(zhǔn)合同的附錄二也預(yù)留了“雙方約定的其他條款(如需要)”,供雙方進(jìn)一步明確損失賠償額�。
此外,鑒于當(dāng)前各國(guó)對(duì)于個(gè)人信息保護(hù)的監(jiān)管要求不一的背景�����,本次發(fā)布的《規(guī)定》還提出了對(duì)信息出境接收方所在地政策法規(guī)的影響進(jìn)行披露的要求�。
對(duì)此����,王新銳表示:“盡管境外個(gè)人信息保護(hù)立法存在著一些差異��,尤其是因?yàn)闅v史文化產(chǎn)生的差異��,但整體而言其制度均較為接近����,很多國(guó)家的立法都不同程度借鑒了歐盟出臺(tái)的GDPR(《通用數(shù)據(jù)保護(hù)條例》)。具體到不同行業(yè)��,則可能差異非常大����。在個(gè)人信息出境的過(guò)程中,要尤其關(guān)注接收方所在國(guó)家及地區(qū)對(duì)于政府獲取個(gè)人信息(包含法定上報(bào)義務(wù)等)的規(guī)定�。”
關(guān)于中國(guó)企業(yè)在進(jìn)行披露需要著重關(guān)注的境外法規(guī)��,趙精武認(rèn)為�����,根據(jù)現(xiàn)有要求��,企業(yè)需主要關(guān)注的方面包括:(1)境外法規(guī)是否與個(gè)人信息出境標(biāo)準(zhǔn)合同條款存在相悖的內(nèi)容;(2)境外法規(guī)有關(guān)境外國(guó)家機(jī)關(guān)調(diào)取用戶個(gè)人信息的情形���;(3)境外法規(guī)是否規(guī)定了企業(yè)應(yīng)當(dāng)承擔(dān)個(gè)人信息安全保護(hù)義務(wù)以及義務(wù)履行的具體方式�;(4)境外法規(guī)有關(guān)違反個(gè)人信息安全保護(hù)義務(wù)的法律責(zé)任以及具體的行政監(jiān)管和行政處罰措施���。
王新銳補(bǔ)充�����,無(wú)論是境內(nèi)的個(gè)人信息處理者還是境外接收方,都有義務(wù)向信息主體提供合同副本�����,這也對(duì)合同起草提出了更高要求���;而按照現(xiàn)有制度設(shè)計(jì)��,個(gè)人信息行使查閱權(quán)����、復(fù)制權(quán)����、刪除權(quán)等權(quán)利時(shí)����,既可以向境內(nèi)的個(gè)人信息處理者提出����,也可以直接向境外接收方提出,這無(wú)疑對(duì)合規(guī)工作來(lái)說(shuō)會(huì)帶來(lái)很大的壓力���。
轉(zhuǎn)自:21世紀(jì)經(jīng)濟(jì)報(bào)道
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品���,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力�。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊,僅代表作者個(gè)人觀點(diǎn)���,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)��。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056����。
延伸閱讀
