2021年11月1日,中国《个人信息保护法》生效,成为中国第一部专门保护个人信息权利的法律。然而,由于缺乏实施条例和明确性,许多公司面临着不确定如何遵守PIPL领域的情况。
这一问题*严重的莫过于PIPL第38条,该条规定了跨境数据传输之前必须满足的几个条件(或法律途径)。根据第38条,实体可以通过以下法律途径之一向外国接收者发送个人数据:
法律途径1——政府安全评估:国家网络空间管理局组织的安全评估已由实体根据本法第40条通过。
法律途径2——标准合同:与海外接收者签订了符合国家网络空间管理局提供的标准合同的新合同,确立了双方的权利和义务。
法律途径3——认证:该实体已获得专业认证机构根据国家网络空间管理局的规定颁发的个人信息保护认证。
6月24日,国家信息安全标准化技术委员会(又称TC260)发布了其“个人信息跨境处理认证技术规范”。该规范规定了跨国公司,海外加工商和其他经济/商业实体举行会议,以获得PIPL第38条所述的认证(即法律途径3)。从高层次上讲,TC260的规范似乎描述了欧盟通用数据保护条例下具有约束力的公司规则。
换言之,跨境个人信息传输的各方可以决定他们是想通过这条途径获得认证,还是想通过他们认为合适的其他法律途径使其跨境数据传输合法化。然而,如果他们选择将自己置于这一认证制度之下,规范下的规则对他们和相关认证机构是具有约束力的。
【1】规范的适用性
规范描述了认证场景、认证申请人以及应对跨境个人信息传输负责的人员。在跨国公司内部,其在中国的实体之一可以申请认证,并为跨国公司的全球组织承担法律责任。对于在中国没有实质性存在的海外实体,其在中国的专门机构或指定代表可以为该海外实体申请认证并承担法律责任。跨境个人信息处理活动的各方必须签署具有法律约束力和可执行的文件,以确保个人的权益得到充分保护。这些具有法律约束力的文件至少应包含:
2.跨境个人信息处理的目的以及个人信息的类型和范围。4.各方承诺遵守统一的个人信息处理规则,并确保个人信息保护水平不低于中国有关个人信息保护的法律法规规定的标准。
- 跨境个人信息处理的细节,包括个人信息的类型、敏感度、数量等。
- 个人信息海外存储的开始和结束时间以及到期后的处理方法。
数据出口商和外国数据进口商都必须指定一名人员负责个人信息保护。负责人必须具备相关知识和经验,并成为其实体决策层的一员。他们的职责包括:
- 明确组织个人信息保护目标、基本要求、工作任务和保护措施。
- 确保组织内个人信息保护的人力资源、财务支持和材料的可用性。
- 指导和支持相关人员开展组织的个人信息保护工作,确保个人信息保护努力达到预期目标。
- 向组织领导人报告个人信息保护情况,并推动这些工作的持续改进。
数据输出方和外国数据输入方均应设立内部个人信息保护组织,负责防止“未经授权的个人信息访问和泄露、伪造和丢失”,并承担以下职责:【6】个人信息保护影响评估
- 海外国家和地区的法律环境和网络安全环境对个人权益的影响。
上文第2项和第4项反映了PIPL的要求,而第1项和第3项更具体地涉及跨境转移影响评估,并建议需要进行与GDPR目的类似的专门的逐国转移影响评估。关于项目3,我们注意到,“法律环境”和“网络安全环境”的确切含义目前尚不清楚。
根据PIPL,个人对其个人信息享有各种权利。这些权利包括访问权、更正权、完成权、删除权、可移植权和拒绝处理权。除这些权利外,规范还规定,个人是具有法律约束力的文件的受益人,有权要求获得与其合法权益相关的LBD条款的副本。
从理论上讲,身为LBD的受益人可能会使个人享有的权利范围超出PIPL中规定的范围。如果在多个司法管辖区运营的跨国公司在全球范围内对个人信息保护采取统一的*高标准方法,情况尤其如此。
与LBD条款相关的访问权从保密角度提出了问题。因此,明智的做法是在一份独立文件中规定此类事项,以确保向个人披露的信息保持适当。
规范还规定,应允许个人在其惯常居住地的中国法院对跨境数据传输的当事人提起诉讼。
【1】双方对跨境数据传输的义务
规范中关于处理方义务的规定通常反映了PIPL的条款。然而,对跨境数据传输的各方提出了进一步的要求,包括:- 当出现难以确保跨境传输的个人信息安全的情况时,必须“立即终止”此类处理。
- 中国的责任方应赔偿跨境数据处理活动中出现的违规行为。
- 跨境数据传输活动各方应承诺遵守中国的数据保护法律,接受其申请和执行,并配合中国监管机构的执法活动,如回答其询问和接受例行检查。
这些规范使《公共信息保护法》第38条的法律途径3(认证)成为可能,尽管不完全可行,因为中国尚未公布处理实体认证申请的认证机构名单。然而,这些规范提供了跨境数据传输认证制度的框架。我们认为,中国当局可能会发布法规,TC260也可能会发布进一步的指南,以证实该认证制度。
应该指出的是,虽然实体可以在法律途径3(认证)和法律途径2(标准合同)之间进行选择,以使其跨境数据传输合法化,但法律途径1(政府安全评估)不是可选的-只要存在法定触发因素,实体就必须参与中国网络空间管理局的安全评估。
在这个阶段,很难预测认证路径是否会比标准合同路径更受欢迎。除了签署跨境数据传输合同外,这些规范基本上要求数据出口商和海外数据接收方都必须遵守一套统一的数据保护规则,这些规则符合中国法律,并接受中国监管机构的监督。我们认为,合规工作的成本将高于简单签署标准合同的成本。然而,这种认证方式可能会受到一些公司的欢迎,这些公司将认证视为一种状态或质量标志,向消费者表明他们的个人信息将受到更高标准的保护。
由于跨境数据传输是一个快速发展的法律领域,建议跨国公司和处理中国人个人信息的海外处理机构密切关注这一领域的发展。