網信辦新規細化個人信息出境細則 明確責任劃分與本地化法規披露要求

　　信息安全監管趨勢正在從“統一的數據出境監管”轉變為“基于數據類型、數量和性質建構層次化、體系化的監管制度”。

　　6月30日，為規范個人信息出境活動，保護個人信息權益，促進個人信息跨境安全、自由流動，國家互聯網信息辦公室起草并發布《個人信息出境標準合同規定(征求意見稿)》(以下簡稱《規定》)，向社會公開征求意見。

　　本次發布的《規定》共十三條，另附個人信息出境標準合同(以下簡稱“標準合同”)，涵蓋了可簽訂標準合同的條件，個人信息保護影響評估重點等方面。

　　受訪專家表示，本次《規定》的出臺體現了信息安全監管趨勢正在從“統一的數據出境監管”轉變為“基于數據類型、數量和性質建構層次化、體系化的監管制度”，這與我國《數據安全法》立法目標“保障數據安全，促進數據利用和流動”具有一致性。

　　明確標準合同內容

　　《規定》中提到，“個人信息處理者依據《中華人民共和國個人信息保護法》第三十八條第一款第(三)項，與境外接收方訂立合同向中華人民共和國境外提供個人信息的，應當按照本規定簽訂個人信息出境標準合同。”

　　具體而言，標準合同內容包括：個人信息處理者和境外接收方的基本信息；個人信息出境的目的、范圍、類型、敏感程度、數量、方式、保存期限、存儲地點等；個人信息處理者和境外接收方保護個人信息的責任與義務，以及為防范個人信息出境可能帶來安全風險所采取的技術和管理措施等；境外接收方所在國家或者地區的個人信息保護政策法規對遵守本合同條款的影響；個人信息主體的權利，以及保障個人信息主體權利的途徑和方式；救濟、合同解除、違約責任、爭議解決等。

　　采訪專家表示，標準合同制度旨在將法定義務嵌入于合同中，以延伸到境外接收方。世輝律師事務所合伙人王新銳向21記者解釋：“標準合同本身需要包含的條款較為詳細，尤其需要關注的是事前的個人信息保護影響評估的內容需要與合同中的信息對應。合同起草工作不困難，但準備合同中必須填寫的信息，需要花費時間和資源。”

　　此外，標準合同中還需規定出境個人信息范圍僅限于實現處理目的所需的最小范圍，以及存儲個人信息的期限為實現處理目的所必要的最短時間。

　　對此，王新銳表示：“哪些信息可以出境、哪些目的允許出境，還要結合后續出臺的其他規則才能落地。當然肯定會有一些屬與行業實踐、且風險較低的‘最大公約數’。”

　　北京航空航天大學法學院助理教授趙精武也認為，個人信息出境行為的雙方判斷信息范圍和信息期限，是該征求意見稿的操作難點之一：“因為在網絡信息服務互聯互通的大背景下，用戶個人信息往往與企業業務數據相互綁定，界限分明地判斷哪一個信息要素屬于個人信息出境范疇顯然不切實際。”

　　他進一步指出，在實操中，對是否超過相關范圍的界定標準主要是以信息處理者自身的主營業務、具體的個人信息處理者目的進行綜合評斷，其基本原則是自然人在個人信息出境中所獲得利益或服務內容應當明顯高于個人信息出境所面臨的安全風險。

　　例如，從事網上購物服務類的信息處理者而言，其出境的個人信息范圍應當是以“用戶購買商品”為必要，主要的個人信息包括用戶聯系方式、收件人聯系方式、支付時間、支付金額等支付信息。

　　明確責任劃分與本地化法規披露要求

　　此前，數據跨境過程中傳收雙方的責任劃分一直是業界實踐亟待解決的關鍵問題，也是政策法規制定的焦點所在。

　　本次發布的《規定》要求，個人信息處理者和境外接收方之間的責任限于非違約方所遭受的損失。

　　對此，趙精武解釋，該條屬于損失賠償額的最高限額計算方式。判定遭受損失的重點在于“違約行為與損害結果之間是否存在因果關系”和“損失確實已經發生”。如違約方可能會導致個人信息出境之后存在安全風險，但是這種安全風險是否在未來一定確實發生仍難以確定，這種“未來不確定的損失”并不屬于我國《民法典》所認可的損失類型。

　　趙精武進一步指出，本條規定對違約方的懲罰力度較為充分，這里的“損失”不僅僅包括非違約方所遭受的直接業務損失，還包括因為對方違約導致非違約方自身的商譽減損、喪失預期利潤等經濟損失類型。需要特別注意的是，標準合同的附錄二也預留了“雙方約定的其他條款(如需要)”，供雙方進一步明確損失賠償額。

　　此外，鑒于當前各國對于個人信息保護的監管要求不一的背景，本次發布的《規定》還提出了對信息出境接收方所在地政策法規的影響進行披露的要求。

　　對此，王新銳表示：“盡管境外個人信息保護立法存在著一些差異，尤其是因為歷史文化產生的差異，但整體而言其制度均較為接近，很多國家的立法都不同程度借鑒了歐盟出臺的GDPR(《通用數據保護條例》)。具體到不同行業，則可能差異非常大。在個人信息出境的過程中，要尤其關注接收方所在國家及地區對于政府獲取個人信息(包含法定上報義務等)的規定。”

　　關于中國企業在進行披露需要著重關注的境外法規，趙精武認為，根據現有要求，企業需主要關注的方面包括：(1)境外法規是否與個人信息出境標準合同條款存在相悖的內容；(2)境外法規有關境外國家機關調取用戶個人信息的情形；(3)境外法規是否規定了企業應當承擔個人信息安全保護義務以及義務履行的具體方式；(4)境外法規有關違反個人信息安全保護義務的法律責任以及具體的行政監管和行政處罰措施。

　　王新銳補充，無論是境內的個人信息處理者還是境外接收方，都有義務向信息主體提供合同副本，這也對合同起草提出了更高要求；而按照現有制度設計，個人信息行使查閱權、復制權、刪除權等權利時，既可以向境內的個人信息處理者提出，也可以直接向境外接收方提出，這無疑對合規工作來說會帶來很大的壓力。

　　轉自：21世紀經濟報道

　　【版權及免責聲明】凡本網所屬版權作品，轉載時須獲得授權并注明來源“中國產業經濟信息網”，違者本網將保留追究其相關法律責任的權力。凡轉載文章及企業宣傳資訊，僅代表作者個人觀點，不代表本網觀點和立場。版權事宜請聯系：010-65363056。

延伸閱讀