信息安全監(jiān)管趨勢正在從“統(tǒng)一的數(shù)據(jù)出境監(jiān)管”轉(zhuǎn)變?yōu)椤盎跀?shù)據(jù)類型、數(shù)量和性質(zhì)建構(gòu)層次化、體系化的監(jiān)管制度”。
6月30日,為規(guī)范個人信息出境活動,保護個人信息權(quán)益,促進個人信息跨境安全、自由流動,國家互聯(lián)網(wǎng)信息辦公室起草并發(fā)布《個人信息出境標準合同規(guī)定(征求意見稿)》(以下簡稱《規(guī)定》),向社會公開征求意見。
本次發(fā)布的《規(guī)定》共十三條,另附個人信息出境標準合同(以下簡稱“標準合同”),涵蓋了可簽訂標準合同的條件,個人信息保護影響評估重點等方面。
受訪專家表示,本次《規(guī)定》的出臺體現(xiàn)了信息安全監(jiān)管趨勢正在從“統(tǒng)一的數(shù)據(jù)出境監(jiān)管”轉(zhuǎn)變?yōu)椤盎跀?shù)據(jù)類型、數(shù)量和性質(zhì)建構(gòu)層次化、體系化的監(jiān)管制度”,這與我國《數(shù)據(jù)安全法》立法目標“保障數(shù)據(jù)安全,促進數(shù)據(jù)利用和流動”具有一致性。
明確標準合同內(nèi)容
《規(guī)定》中提到,“個人信息處理者依據(jù)《中華人民共和國個人信息保護法》第三十八條第一款第(三)項,與境外接收方訂立合同向中華人民共和國境外提供個人信息的,應(yīng)當按照本規(guī)定簽訂個人信息出境標準合同。”
具體而言,標準合同內(nèi)容包括:個人信息處理者和境外接收方的基本信息;個人信息出境的目的、范圍、類型、敏感程度、數(shù)量、方式、保存期限、存儲地點等;個人信息處理者和境外接收方保護個人信息的責(zé)任與義務(wù),以及為防范個人信息出境可能帶來安全風(fēng)險所采取的技術(shù)和管理措施等;境外接收方所在國家或者地區(qū)的個人信息保護政策法規(guī)對遵守本合同條款的影響;個人信息主體的權(quán)利,以及保障個人信息主體權(quán)利的途徑和方式;救濟、合同解除、違約責(zé)任、爭議解決等。
采訪專家表示,標準合同制度旨在將法定義務(wù)嵌入于合同中,以延伸到境外接收方。世輝律師事務(wù)所合伙人王新銳向21記者解釋:“標準合同本身需要包含的條款較為詳細,尤其需要關(guān)注的是事前的個人信息保護影響評估的內(nèi)容需要與合同中的信息對應(yīng)。合同起草工作不困難,但準備合同中必須填寫的信息,需要花費時間和資源?!?/p>
此外,標準合同中還需規(guī)定出境個人信息范圍僅限于實現(xiàn)處理目的所需的最小范圍,以及存儲個人信息的期限為實現(xiàn)處理目的所必要的最短時間。
對此,王新銳表示:“哪些信息可以出境、哪些目的允許出境,還要結(jié)合后續(xù)出臺的其他規(guī)則才能落地。當然肯定會有一些屬與行業(yè)實踐、且風(fēng)險較低的‘最大公約數(shù)’。”
北京航空航天大學(xué)法學(xué)院助理教授趙精武也認為,個人信息出境行為的雙方判斷信息范圍和信息期限,是該征求意見稿的操作難點之一:“因為在網(wǎng)絡(luò)信息服務(wù)互聯(lián)互通的大背景下,用戶個人信息往往與企業(yè)業(yè)務(wù)數(shù)據(jù)相互綁定,界限分明地判斷哪一個信息要素屬于個人信息出境范疇顯然不切實際。”
他進一步指出,在實操中,對是否超過相關(guān)范圍的界定標準主要是以信息處理者自身的主營業(yè)務(wù)、具體的個人信息處理者目的進行綜合評斷,其基本原則是自然人在個人信息出境中所獲得利益或服務(wù)內(nèi)容應(yīng)當明顯高于個人信息出境所面臨的安全風(fēng)險。
例如,從事網(wǎng)上購物服務(wù)類的信息處理者而言,其出境的個人信息范圍應(yīng)當是以“用戶購買商品”為必要,主要的個人信息包括用戶聯(lián)系方式、收件人聯(lián)系方式、支付時間、支付金額等支付信息。
明確責(zé)任劃分與本地化法規(guī)披露要求
此前,數(shù)據(jù)跨境過程中傳收雙方的責(zé)任劃分一直是業(yè)界實踐亟待解決的關(guān)鍵問題,也是政策法規(guī)制定的焦點所在。
本次發(fā)布的《規(guī)定》要求,個人信息處理者和境外接收方之間的責(zé)任限于非違約方所遭受的損失。
對此,趙精武解釋,該條屬于損失賠償額的最高限額計算方式。判定遭受損失的重點在于“違約行為與損害結(jié)果之間是否存在因果關(guān)系”和“損失確實已經(jīng)發(fā)生”。如違約方可能會導(dǎo)致個人信息出境之后存在安全風(fēng)險,但是這種安全風(fēng)險是否在未來一定確實發(fā)生仍難以確定,這種“未來不確定的損失”并不屬于我國《民法典》所認可的損失類型。
趙精武進一步指出,本條規(guī)定對違約方的懲罰力度較為充分,這里的“損失”不僅僅包括非違約方所遭受的直接業(yè)務(wù)損失,還包括因為對方違約導(dǎo)致非違約方自身的商譽減損、喪失預(yù)期利潤等經(jīng)濟損失類型。需要特別注意的是,標準合同的附錄二也預(yù)留了“雙方約定的其他條款(如需要)”,供雙方進一步明確損失賠償額。
此外,鑒于當前各國對于個人信息保護的監(jiān)管要求不一的背景,本次發(fā)布的《規(guī)定》還提出了對信息出境接收方所在地政策法規(guī)的影響進行披露的要求。
對此,王新銳表示:“盡管境外個人信息保護立法存在著一些差異,尤其是因為歷史文化產(chǎn)生的差異,但整體而言其制度均較為接近,很多國家的立法都不同程度借鑒了歐盟出臺的GDPR(《通用數(shù)據(jù)保護條例》)。具體到不同行業(yè),則可能差異非常大。在個人信息出境的過程中,要尤其關(guān)注接收方所在國家及地區(qū)對于政府獲取個人信息(包含法定上報義務(wù)等)的規(guī)定。”
關(guān)于中國企業(yè)在進行披露需要著重關(guān)注的境外法規(guī),趙精武認為,根據(jù)現(xiàn)有要求,企業(yè)需主要關(guān)注的方面包括:(1)境外法規(guī)是否與個人信息出境標準合同條款存在相悖的內(nèi)容;(2)境外法規(guī)有關(guān)境外國家機關(guān)調(diào)取用戶個人信息的情形;(3)境外法規(guī)是否規(guī)定了企業(yè)應(yīng)當承擔個人信息安全保護義務(wù)以及義務(wù)履行的具體方式;(4)境外法規(guī)有關(guān)違反個人信息安全保護義務(wù)的法律責(zé)任以及具體的行政監(jiān)管和行政處罰措施。
王新銳補充,無論是境內(nèi)的個人信息處理者還是境外接收方,都有義務(wù)向信息主體提供合同副本,這也對合同起草提出了更高要求;而按照現(xiàn)有制度設(shè)計,個人信息行使查閱權(quán)、復(fù)制權(quán)、刪除權(quán)等權(quán)利時,既可以向境內(nèi)的個人信息處理者提出,也可以直接向境外接收方提出,這無疑對合規(guī)工作來說會帶來很大的壓力。
轉(zhuǎn)自:21世紀經(jīng)濟報道
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊,僅代表作者個人觀點,不代表本網(wǎng)觀點和立場。版權(quán)事宜請聯(lián)系:010-65363056。
延伸閱讀