张奕欣,邢 潇,张金平
(1.国家计算机网络应急技术处理协调中心,北京 100094;2.中央财经大学 法学院,北京 100081)
《中国人民共和国个人信息保护法》(以下简称《个人信息保护法》)于2021年11月1日起正式实施,国家互联网信息办公室在2021年10月29日和11月14日先后发布《数据出境安全评估办法(征求意见稿)》(以下简称《2021办法》)和《网络数据安全管理条例(征求意见稿)》(以下简称《数据条例》),共同就个人信息处理者向境外提供个人信息(以下简称“个人信息出境”)的安全评估制度提出了最新的实施方案。相较于国家互联网信息办公室2017年发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称《2017办法》)和2019年发布的《个人信息出境安全评估办法(征求意见稿)》(以下简称《2019办法》),新安全评估方案在评估原则、申报评估门槛、申报材料、评估主体、评估内容、评估决定有效期及重新评估情形、评估通过后持续监督机制等方面都有所调整。因此,本文结合《2021办法》和《数据条例》来系统解读最新的个人信息出境安全评估方案,并根据个人信息出境安全评估的制度宗旨提出完善建议,以期有利于我国个人信息出境安全评估制度的实施。
自《中华人民共和国网络安全法》(以下简称《网络安全法》)实施以来,个人信息出境是否需要通过安全评估以及如何进行评估都存有争议。对此,国家互联网信息办公室根据《个人信息保护法》的授权,结合数据跨境安全风险实际情况,制定了最新的个人信息出境安全评估方案。
为了更全面和系统地保护个人信息主体的权益,提升我国在个人信息保护领域的国际地位,我国高度重视个人信息保护的相关立法工作。在《网络安全法》提供专章保护、《中华人民共和国民法典》(以下简称《民法典》)人格权编提供人格权益保护[1]的基础之上,又专门出台《个人信息保护法》,建立个人信息处理基本原则、个人信息主体权益、个人信息处理者义务、违规处理个人信息的法律责任等系统规则。
该法第3章专门规定了个人信息跨境提供的规则。其中,第38条第1款规定个人信息处理者开展个人信息出境的合法途径包括通过国家网信部门组织的安全评估,按照国家网信部门的规定经专业机构进行个人信息保护认证,按照国家网信部门制定的标准合同签订个人信息出境合同。第40条规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者的个人信息出境应当通过国家网信部门组织的安全评估。综上,《个人信息保护法》通过第38条和第40条授权国家网信部门就个人信息出境安全评估制定具体实施办法。
因此,国家互联网信息办公室根据上述授权制定个人信息出境安全评估办法就变得名正言顺,一改此前《网络安全法》授权不充分的问题,后者仅授权国家互联网信息办公室就关键信息基础设施的个人信息和重要数据出境制定安全评估办法[2]。《网络安全法》授权不充分也是导致《2017办法》和《2019办法》未能最终通过的重要原因之一。
进入数字经济时代,数据成为驱动经济发展的新动力,也是引发全球经济社会乃至政治文化变革的重要力量。因此,个人信息出境不仅涉及个人信息主体的权益保护问题,更关乎国家安全和公共利益。例如,在华外企(基因等生物领域公司)可能将中国用户的个人敏感信息跨境转移到国外母公司处理;境内公司在美上市可能为了满足美国证监会监管要求而披露用户个人信息,这些数据通过大数据分析可能对我国国家安全和公共利益造成风险隐患。
由此可见,单个或少量个人信息可能仅关涉个人信息主体的权益,但海量个人信息及其衍生的分析数据则可能影响国家安全和公共利益。因此,我国在《网络安全法》中确立了重要数据的概念,并通过该法第37条和《中华人民共和国数据安全法》(以下简称《数据安全法》)第31条确立了重要数据出境安全评估的制度。不过,这些法律尚未直接明确重要数据的概念,《数据条例》第37条从结果角度将其界定为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据”,该界定并未排除海量个人信息构成重要数据的可能性[3]。
有鉴于此,国家互联网信息办公室回归《2017办法》就个人信息和重要数据出境安全评估统一制定《2021办法》,而不是延续《2019办法》单独出台个人信息出境安全评估办法。质言之,《2021办法》的立法依据并不限于《个人信息保护法》,还包括了涉及重要数据出境安全评估的《网络安全法》和《数据安全法》。本文仅评价《2021办法》中的个人信息出境安全评估规则。
相对于此前两个方案,基于《个人信息保护法》而起草的《2021办法》主要有4个方面的调整,包括新增评估原则、调整评估门槛、收紧评估权力和强化个人信息处理者义务。
不同于此前办法,《2021办法》第3条首次明确提出个人信息出境安全评估的两大原则,表明国家互联网信息办公室对安全评估有了更清晰的认识和定位。其中,第一个原则是事前评估和持续监督相结合原则。该原则明确安全评估不仅关注个人信息出境前能够预见的风险本身,还同样关注这些风险在出境后能够得到持续有效的控制。对此,《个人信息保护法》第38条第3款也提出明确要求,即安全评估等措施应当能够审查个人信息处理者是否采取了必要措施,足以“保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”。所以,《2021办法》在这个原则的指导下明确了事前评估的重点事项,并且与《数据条例》相结合明确个人信息处理者的事后监督义务。
第二个原则是风险自评估与安全评估相结合原则。该原则明确个人信息处理者要对自己的个人信息出境行为负责,通过风险自评估的形式明确个人信息出境的风险,并通过自评估确认自己所采取的技术及管理措施与该风险是否相适应且有效。对此,《个人信息保护法》第55条要求个人信息处理者在个人信息出境或者开展其他特定活动前进行个人信息保护影响评估(类同于风险自评估)。由于风险自评估的结论倾向于通过评估,个人信息处理者在风险自评估时无法确保其关注到更广阔的个人信息出境风险及所采取措施的充分性和有效性。因此,国家需要安全评估作为后盾保障。安全评估是国家基于主动保护个人信息权益及维护国家安全和公共利益的立场去审查个人信息处理者是否充分意识到个人信息出境的风险,以及所采取的措施是否确实有效。值得注意的是,国家只是通过安全审查去确认,而不是代替个人信息处理者采取基于风险的保护措施。
《2021办法》与《2017办法》都是对个人信息出境的安全评估设定一个门槛,但整体比《2017办法》做了部分收紧。具体而言,《2021办法》第4条要求处理个人信息达到一百万人的个人信息处理者和关键信息基础设施的运营者收集和产生的个人信息和重要数据出境都要向国家网信部门申报数据出境安全评估,并进一步要求累计向境外提供超过10万人以上个人信息或者一万人以上敏感个人信息的也要申报评估。此外,该条还提供了一个开放性条款,即国家网信部门规定的其他需要申报数据出境安全评估的情形。最后,《2021办法》放弃了《2017办法》中设置的数据存储量的指标,即数据量超过1000 GB的数据出境。
相比于《2019办法》对全部申报安全评估“一刀切”的做法,《2021办法》在个人信息类型、数量、个人信息处理主体类型方面设置了适当的安全评估门槛。其中有关具体数量的划定,业界还存在争议——例如,为什么敏感个人信息的数量是一万以上而不是十万或者一百万以上,特定个人信息处理者处理个人信息的数量为什么是一百万以上而不是一千万以上——但不影响这个门槛的整体科学性,具体数量级还可以在后期征求意见或是实施过程中依据执行情况进一步动态调整。
在出现滴滴网络安全审查事件之后,国家互联网信息办公室更加重视个人信息出境的安全问题,并反映到了《2021办法》的评估主体设定上。不同于《2019办法》将安全评估的主体设定在省级网信部门、《2017办法》设定在行业主管部门,《2021办法》将个人信息出境安全评估的主体回归到国家网信部门手中。在具体操作上,国家网信部门组织行业主管部门、国务院有关部门、省级网信部门、专门机构等进行安全评估。
值得注意的是,安全评估权力收紧的另一个好处是在于安全评估的标准能够得到统一,不会出现不同省级网信部门或者不同主管部门制定不同标准的情况。因此,对于个人信息处理者而言,这个调整也是一个比较好的信号。
《个人信息保护法》不仅弥补《网络安全法》在个人信息出境安全评估授权方面的不足,而且系统性地明确了个人信息处理者应当遵守的3大义务:一是根据该法第39条的规定获得个人信息主体的单独同意;二是根据第55条和第56条的规定开展个人信息保护影响评估;三是通过第38条规定的安全评估、认证和根据标准合同签订个人信息出境合同3大常规途径进行个人信息合法出境,但我国缔结或参加的条约、其他法律法规或国家网信部门规定的其他非常规性途径除外。此外,个人信息处理者因境外执法机构、司法机构要求提供其存储在中国境内的个人信息的,我国参与或缔结的多边、双边条约有约定的按照其约定处理,无约定须经我国主管机关批准。
有鉴于此,《2021办法》更进一步明确了个人信息处理者的义务。其中,第9条未沿用《2019办法》对个人信息处理者和境外接收方的义务与责任分别规定的做法,而是规定了个人信息处理者与境外接收方应通过合同约定的6项必备内容,充分明确双方的个人信息安全保护责任义务。至于这些约定的个人信息安全保障义务是否充分,主要取决于个人信息处理者的个人信息保护影响评估,评估的风险越高,应当约定的个人信息安全保障义务越重。
正确评价和完善《2021办法》,必须要重新回归安全评估制度甚至是个人信息出境安全监管制度的宗旨。我国个人信息出境安全评估制度有两大宗旨:一是确保境外个人信息处理达到我国有关个人信息保护标准;二是维护国家安全和公共利益。
《个人信息保护法》第38条第3款明确了个人信息出境安全监管的核心目标是要求个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到“本法规定的个人信息保护标准”。那么,在个人信息出境安全评估当中,如何解释或利用好个人信息保护标准?
首先,个人信息权益是一项宪法保障的基本权利[4]。《个人信息保护法》第1条规定了“根据宪法”的要求,这是在制定《个人信息保护法》时第三次审议稿中新增加的要求。根据《中华人民共和国宪法》(以下简称《宪法》)第38条规定,“公民的人格尊严不受侵犯”,《个人信息保护法》所保护的个人信息权益就可以上升到《宪法》第38条保护的人格尊严中,即个人信息权益不仅是《民法典》所保护的民事权益,更是《宪法》所保障的基本权益。
其次,个人信息权益的基本权益地位提供了个人信息跨境流动监管的最高标准。宪法是法治国家中最高的法律依据,因此,个人信息权益作为宪法所保护的基本权益,应该明确所有个人信息处理者都必须尊重和保护基本权益,不能以个人信息出境为由而降低其所要承担的责任,即对出境的个人信息继续提供符合我国《宪法》所要求的个人信息保护标准。对此,我们可以从欧盟法院先后认定《安全港协议》和《隐私盾协议》的无效判决中深刻体会到宪法保护标准的高度[5]——《欧盟基本权利宪章》第8条有关保护个人信息权的规定授权欧盟法院可以否定欧盟最高行政权力机关和美国商务部签订的双边协定。因此,我国《个人信息保护法》将个人信息权益保护标准提高到基本权利的高度,也就在理论上与欧盟的个人信息基本权利保护标准处在同一水平。
最后,个人信息权益保护的具体标准回归《个人信息保护法》的实体和程序规则。从全球来看,个人信息保护标准基本是由实体和程序两个部分构成,个人信息实体保护标准由个人信息处理基本原则、个人信息权益、个人信息处理者义务构成;个人信息程序保护标准由个人信息的行政和司法救济构成。目前,我国《个人信息保护法》已经明确了个人信息保护的实体保护标准和程序保护标准。
《2021办法》第1条指出,数据出境安全评估的目的在于“保护个人信息权益,维护国家安全和社会公共利益”。由于该办法同时适用于重要数据和个人信息的出境安全评估工作,所以个人信息出境安全评估也是为了保护个人利益及维护国家安全和公共利益。这一点与《2019办法》第2条第1款的规定一致,“经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境”。
然而,《个人信息保护法》并未专门强调个人信息保护是为了维护国家安全和公共利益。其中,该法第1条规定,为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。第38条第3款规定,设置个人信息出境条件的目的是要求个人信息处理者采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
那么,如何解释《2021办法》对个人信息出境安全评估的国家安全和公共利益考虑?首先,《网络安全法》第37条明确了关键信息基础设施运营者个人信息出境的安全评估要求,而《网络安全法》第1条的立法宗旨是明确维护国家安全和公共利益。其次,《个人信息保护法》第40条将达到国家网信部门规定数量的个人信息处理者和关键信息基础设施运营者进行并列规定,要求二者个人信息境内存储、出境安全评估,因而二者都涉及国家安全和公共利益。最后,《数据条例》从结果角度界定重要数据,导致大量个人信息集合及其大数据分析结果有可能构成重要数据,而重要数据放在侧重国家安全和公共利益保护的《数据安全法》中进行专门保护,并且不排除大量个人信息出境在个别情况下等同于重要数据出境的可能性。
个人信息出境安全评估制度应以《个人信息保护法》的立法目的进行指导并加以建构和执行,而不是在实践中进行泛化安全评估。同时,应增设事后持续监督的机制,并限制出境后再转移所带来的不确定性。
《2021办法》以个人信息保护、维护国家安全和公共利益为宗旨,指导包括个人信息和重要数据出境的安全评估制度建设和落实,但在实践中,个人信息出境安全评估应以《个人信息保护法》第1条和第38条第3款的规定为主。相比之下,《网络安全法》和《数据安全法》的国家安全和公共利益是作为个人信息出境安全评估的额外考虑因素而存在的,并非首要考虑因素。换言之,国家互联网信息办公室要否决个人信息处理者的个人信息出境申请,应当主要从其未能满足个人信息权益保护要求出发,极个别情况才有必要启用国家安全和公共利益事由。如果任何个人信息出境安全评估最终都以“国家安全或公共利益”为由不予通过,容易导致“国家安全和公共利益”的泛化,势必引起社会不适。
此外,目前《2021办法》对于个人信息出境安全评估的门槛设置虽然比《2019办法》要宽松,但在一定程度上仍偏紧。为防止国家安全和公共利益泛化,这个门槛在后期草案修订或者草案通过后可根据实际执行情况再行调整。
虽然《2021办法》强调了个人信息出境安全评估要坚持事前评估和事后持续监督相结合原则,但该办法本身没有明确持续监督的机制。对此,《数据条例》提出两个持续监督工具加以弥补:一是第39条要求个人信息处理者存留相关日志记录和个人信息出境审批记录三年以上;二是第40条要求个人信息处理者应在每年1月31日前编制个人信息出境安全报告,向设区的市级网信部门报告上一年度数据出境情况。尽管如此,前者仍然强调日常的记录,并不强调日常审计;后者的跨度又过长,难以督促个人信息处理者强化个人信息出境活动的监督。
有鉴于此,我们应当根据《个人信息保护法》第54条有关个人信息处理者自我监督的要求,在《2021办法》或者《数据条例》两个草案的后期修订中增加个人信息处理者定期对个人信息出境活动,尤其是对境外接收方的个人信息处理活动进行审计的义务,以确保境外接收方的个人信息处理活动达到我国的标准。例如,在《数据条例》第39条第1款第3项中增加审计要求,即“采取合同和审计等有效措施监督数据接收方按照双方约定的目的、范围、方式适用数据,履行数据安全保障义务,保证数据安全”。在具体操作方面,个人信息处理者可以自行或者委托第三方对境外接收方进行定期审计,或者要求境外接收方定期提供自行或者委托第三方的审计报告,具体根据双方的谈判地位而定。
《2021办法》虽然在第9条第3项中要求在个人信息处理者与境外接收方订立的个人信息出境合同中限制境外接收方将个人信息再转移,但并未明确要求应当如何限制。相比之下,《数据条例》第39条第1款第9项要求,个人信息出境确需再转移的,应当事先与个人约定再转移的条件,相当于将责任推卸给了个人。事实上,按照《个人信息保护法》第38条第3款的要求,国家建立个人信息出境安全管理制度就是要主动介入,弥补个人监督个人信息处理者的不足,确保个人权益不会因为个人信息出境而受损。
对此,我们建议个人信息出境后再转移仍然要满足《个人信息保护法》第38条第3款的要求。鉴于《2021办法》第9条并不限于个人信息出境后再转移的问题,还涉及重要数据出境后再转移的问题,我们建议将《数据条例》第39条第1款第9项修改为“个人信息出境后禁止数据接收方再转移,确需再转移的应当明确数据接收方根据《中华人民共和国个人信息保护法》第38条第1项的要求采取必要措施,确保再转移后处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准。”据此,境外接收方要采取的必要措施是《个人信息保护法》第38条第1款列举的通过安全评估、获得认证或者按照标准合同签订出境合同。
个人信息出境安全评估制度是我国面对数据出境安全风险应当建立起来的应对机制,因此,国家互联网信息办公室自2017年《网络安全法》实施以来就开始研究制定,到《个人信息保护法》获得明确授权后发布《2021办法》。该办法在评估原则、门槛、评估主体、个人信息处理者义务4个方面的调整值得肯定,但在安全评估目的限缩、持续监督机制、再转移要求3个方面要予以关注和强化,确保该制度以实现《个人信息保护法》第38条第3款的目标为主,防止该制度在未来实施过程中泛化为《网络安全法》或《数据安全法》框架下维护国家安全和公共利益为主的制度。