个人信息跨境,涉及国家安全,必须有相关法律保驾护航。“互联网大厂”多为海外上市,很多国内数据已为境外组织或外国政府所掌握——编者一想到这个情况,就即刻明白为什么《个人信息保护法》必须尽快出台!商业是没有国界的,资本是没有伦理的,所以必须依靠法律的强制性来保护数据安全和个人隐私。
本文作者缪顾进律师,北京乾成律师事务所合伙人,系清华大学理学硕士和北京大学法律硕士。本文并不仅仅谈及了个保法中个人信息跨境的相关规定,更是谈及了最近相继出台的好几部法律:《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》甚至欧盟GDPR中对于个人信息跨境的法律规定的相应解读。言简意赅,直击根本,充分展示了清华大学的治学精神。——阮静
在个人信息的跨境监管方面,《个人信息保护法》与《网络安全法》、《数据安全法》以及《关键信息基础设施安全保护条例》的相关规定一脉相承,具有内在的一致性,均特别规定境内存储,跨境审批评估的基本制度。《网络安全法》第三十七条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”《数据安全法》第三十一条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”
1、《个人信息保护法》:
《个人信息保护法》对个人信息的跨境规定了严格的监管措施,并予以单章规定。相当长一段时间以来,因融资的制度与要求差异,国内的互联网平台企业大部分选择在境外上市,其所掌握的海量个人信息监管可能存在安全漏洞。《个人信息保护法》对个人信息的提供与存储进行了区分。对于因业务需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(i)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(ii)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(iii)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(iv)法律、行政法规或者国家网信部门规定的其他条件。
特别地,对于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
2、《关键信息基础设施安全保护条例》:
《关键信息基础设施安全保护条例》中对关键信息基础设施运营者的主体责任作了特别规定,特别是应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度。发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、公安部报告。
3、《汽车数据安全管理若干规定(试行)》:
随着汽车具备越发强大的移动通信的能力与人工智能的属性,汽车也成为个人信息越来越重要的载体。《汽车数据安全管理若干规定(试行)》中对个人信息,特别是敏感个人信息作出特别约定。汽车数据处理者开展重要数据处理活动,应当按照规定开展风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。未列入重要数据的涉及个人信息数据的出境安全管理,适用法律、行政法规的有关规定。汽车数据处理者向境外提供重要数据,不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。
4、GDPR:
GDPR规定个人数据可以在欧盟或欧洲经济区内部自由流动,而流出欧洲经济区则需要合法的跨境转移机制,主要包括:
( i)基于充分性保护决策;
(ii)基于适当的保护水平;
(iii)基于数据主体的明确同意或履行合同所必需等特殊情况。
欧盟委员会决策的国家和地区清单,目前包括:安道尔、阿根廷、加拿大(商业组织)、法罗群岛、根西岛、以色列、曼岛、日本、泽西岛、新西兰、瑞士、乌拉圭等国家和地区。欧洲经济区内的个人数据可以流向这些国家或地区。适当的保护水平主要包括以下几种场景:
(i)公共机构之间具有法律约束力和可执行力的文书;
( ii)BCR(Binding Corporate Rules,约束性企业规则);
(iii)欧盟委员会发布的标准数据保护条款(标准合同条款);
( iv)数据保护监管机构发布的标准数据保护条款(标准合同条款);
(v)采用欧盟委员会认可的行为准则;
( vi)通过欧盟委员会认可的隐私保护认证。
此前,一起适用 GDPR处罚欧盟境内公司向中国转移数据的案件引发关注。2021年5月6日,挪威数据保护局(“Datatilsynet”)宣布:它已通知Ferde公司,决定对该公司罚款500万挪威克朗(约498,065欧元)。该公司涉嫌非法向中国的一家数据处理者转移驾驶者的个人数据。Datatilsynet的调查显示, Ferde公司缺乏GDPR第28(3)条规定的数据处理协议,并且在人工处理超过1200万张车牌图像之前没有进行风险评估,违反了GDPR第32条。此外,调查进一步显示,Fedre公司在2017年至2019年期间向中国转移数据缺乏适当的法律依据,因此违反了 GDPR第44条 。
后记——展望
《个人信息保护法》对个人信息整个生命周期作出全面的规定,但制度的落地仍需监管机构、个人信息处理者与用户的共同努力。围绕《个人信息保护法》以及《网络安全法》与《数据安全法》,相关的配套规范也将陆续出台或生效,为中国数字经济行稳致远提供法制保障,中国的个人信息保护与数据安全也将开启新的篇章。
