第三十八條 個人資訊處理者因業務等需要,确需向中華人民共和國境外提供個人資訊的,應當具備下列條件之一:
(一)依照本法第四十條的規定通過國家網信部門組織的安全評估;
(二)按照國家網信部門的規定經專業機構進行個人資訊保護認證;
(三)按照國家網信部門制定的标準合同與境外接收方訂立合同,約定雙方的權利和義務;
(四)法律、行政法規或者國家網信部門規定的其他條件。
中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人資訊的條件等有規定的,可以按照其規定執行。
個人資訊處理者應當采取必要措施,保障境外接收方處理個人資訊的活動達到本法規定的個人資訊保護标準。
【條文主旨】
本條是關于向境外提供個人資訊的條件的規定。
【條文了解】
一、本條的整體邏輯結構
在大資料時代,資料資源的價值不言而喻,且與公民人身安全乃至國家安全息息相關,發達國家多已意識到資料資源保護和開發的重要性,不斷出台法規和政策搶占資料保護的制高點,抑或通過各類方式維護其數字主權,其中,對于資料跨境傳輸的要求構成了資料保護和個人資訊保護的重要方面。比如GDPR設定專門的第五章,針對“向第三國或國際組織轉移個人資料”的相關問題進行規定,隻有滿足GDPR所規定的相關條件,才能實施個人資料出境行為;《美國澄清境外資料合法使用法案》(以下簡稱CLOUD法案)賦予執法機構跨境調取資料的能力,以維護其在資料領域的霸權地位。國際上資料管轄權的沖突和資料治理主導權的競争啟示我們在數字化時代應高度重視資料跨境移轉問題。在此背景下,本條對個人資訊出境前需要滿足的具體條件作出規定,進而保障個人資訊出境活動的安全有序開展。
本條第1款将《網絡安全法》《資料安全法》《征信業管理條例》等法律法規内的個人資訊出境規則進行了整合,規定了向境外提供個人資訊的四種途徑,為個人資訊出境提供了更為多元化的合法性基礎,也為《個人資訊出境安全評估辦法》等個人資訊出境具體規定的生效落地提供了統一的規範基礎和上位法依據。第2款規定了大陸締結或參加的國際條約和協定可以作為向境外提供個人資訊的合法基礎。第3款規定了資訊處理者應當采取措施保障境外接收方符合大陸個人資訊保護标準的規則。通過第1款規定的四個通道以及第2款相關情形實施個人資訊出境的,都需要滿足第3款所規定的條件,即“采取必要措施,保障境外接收方處理個人資訊的活動達到本法規定的個人資訊保護标準”。可見,本條在整體邏輯結構上規定了大陸個人資訊出境的五大通道,以下就各個具體情形進行分析。
二、“因業務等需要,确需向中華人民共和國境外提供”的了解
(一)“因業務等需要,确需向中華人民共和國境外提供”的情形
1.因業務需要。“業務需要”,是指個人資訊的出境應與實作産品或服務的業務功能有直接關聯性,如果沒有上述個人資訊的參與,産品或服務的功能就無法實作。例如,境内航空公司如果不将乘客的購票資訊傳輸給境外機場,就無法有序開展國際航空業務。“确需”指個人資訊跨境傳輸應當符合最小必要原則。在“确需”的具體認定上,可以結合向境外傳輸個人資訊的頻率、數量等因素綜合判斷。
2.“等”的了解。此處的“等”意味着個人資訊出境還可以出于其他合法性與正當性的目的。具體包括以下情形:(1)科研需要。例如為開展國際合作科學研究,确需将相關個人資訊運送、郵寄、攜帶出境。(2)公司内部管理的正當性需要。典型的是境外公司總部對境内子公司的行為進行反商業賄賂或者反舞弊等合規調查工作,要求境内子公司向母公司提供相關個人資訊。(3)公務需要。因在境外參與司法程式或面臨行政調查,需要向境外提供個人資訊的,要求依法申請有關主管部門準許。(4)其他具有合法性和正當性目的的情形。
(二)向中華人民共和國境外提供
1.對“境外”的了解。《出境入境管理法》第89條第1款規定:“出境,是指由中國内地前往其他國家或者地區,由中國内地前往香港特别行政區、澳門特别行政區,由中國大陸前往台灣地區。”考慮到大陸大陸與港澳台地區法律制度的差異,本條中的“境外”更加側重于“關境”而非“國境”,如果相關主體将個人資訊向大陸港澳台地區傳輸的,屬于本條所規定的“向中華人民共和國境外提供”,其應當符合本法所規定的相關要求。此外,為貫徹商務部釋出的《全面深化服務貿易創新發展試點總體方案》,北京、上海等28個省市均出台相關檔案,積極在自貿區、自貿港等區域探索資料跨境機制。考慮到自貿區的特殊地位和功能,以及其他法律制度适用的情況,這些區域在資料跨境機制中的地位和性質還有待立法進一步明确。
2.“向境外提供”的内涵。個人資訊出境,是指網絡營運者通過網絡等方式,将其在中華人民共和國境内營運中收集和産生的個人資訊,通過直接提供或開展業務、提供服務、産品等方式提供給境外的機構、組織或個人的一次性活動或連續性活動,其中網絡營運者提供已經被依法公開披露的資料除外。“向境外提供個人資訊”實質上就是指個人資訊出境,其具體方式可以分為線下及線上兩種。線下方式指直接将個人資訊記錄在有形載體上并向境外郵寄、運輸等;線上方式指将個人資訊通過網絡的形式向境外傳輸。
需要注意的是,“個人資訊出境”的常見情形是将個人資訊傳輸至一國的地緣性邊境之外,但是二者并不等同。首先,某些情形下,将個人資訊傳輸至“境外”,并不一定構成個人資訊出境。例如,非在境内營運中收集和産生的個人資訊經由本國出境,未經任何變動或加工處理的,不屬于個人資訊出境。其次,未将個人資訊傳輸至“境外”,也可能構成個人資訊出境。在實踐中,還存在即使在一個主權國家内,跨越一定的區域,通常也被看作是跨境。例如,向位于本國境内,但不屬于本國司法管轄或未在境内注冊的主體提供個人資訊的,屬于個人資訊出境。個人資訊未移轉存儲至本國以外的地方,但被境外的機構、組織、個人通路檢視的,亦屬于個人資訊出境。
三、個人資訊出境五大通道的具體了解
(一)通過國家網信部門組織的安全評估
原則上來說,資訊處理者想要向境外提供個人資訊的,可以進行安全評估、也可以選擇其他通道。例外情形下,資訊處理者隻能選擇安全評估。例如,根據本法第40條規定,關鍵資訊基礎設施營運者和處理個人資訊達到國家網信部門規定的數量的個人資訊處理者想要進行個人資訊出境的,其必須通過國家網信部門組織的安全評估。《個人資訊保護法》着重加強前述兩類主體個人資訊安全保護責任的原因在于,前述兩種主體所控制的個人資訊量大且與國計民生息息相關,由網信部門統一進行安全評估能夠強化國家對國民安全與國家安全的把控。關于這兩類主體的認定,具體請參見對本法第40條的了解。
關于安全評估的具體要求和方法,現行法尚未明确予以規定。具體可以參考《資訊安全技術資料出境安全評估指南(征求意見稿)》《個人資訊出境安全評估辦法(征求意見稿)》的相關内容。比如安全評估要點一是“出境目的”,二是“安全風險”。出境目的需要同時滿足“合法性、正當性、必要性”的要求。對于“安全風險”的評估,需要綜合考量出境資料的屬性和資料出境發生安全事件的可能性及影響程度。關于資料屬性的判斷,主要包括類型、數量、範圍、敏感程度和技術處理情況等,關于資料出境發生安全事件的可能性及影響程度的判斷,需要結合發送方資料出境的技術和管理能力、資料接收方的安全保護能力、采取的措施、資料接收方所在國家或區域的政治法律環境等進行考量,在此不再贅述。
(二)個人資訊保護認證
個人資訊出境的第2條通道是“個人資訊保護認證”。相關主體在按照國家網信部門的規定,經過專業機構進行個人資訊保護認證後,可以将其所控制的個人資訊向境外提供。目前,對于何種個人資訊出境場景屬于符合國家網信部門規定的需經專業機構進行個人資訊保護認證的情形,相關規定并未明确,有待後續網信部門進一步出台具體的細化規則。此外,對于如何進行認證、哪些專業機構有權進行認證等問題,都還有待後續的配套措施落地。
(三)簽訂标準合同
對于通過與境外接收方簽訂合同的方式進行個人資訊出境這一情形,《個人資訊保護法(草案)》僅僅規定了“與境外接收方訂立合同,約定雙方的權利和義務,并監督其個人資訊處理活動達到本法規定的個人資訊保護标準”,在進行二次審議時,有觀點認為将個人資訊跨境合同的訂立完全交給境内提供方與境外接收方的話,有可能導緻個人資訊保護力度的不足,最終《個人資訊保護法(草案二次審議稿)》将此修改為“按照國家網信部門制定的标準合同與境外接收方訂立合同,約定雙方的權利和義務”,同時将“保障境外接收方的個人資訊處理活動達到本法規定的個人資訊保護标準”的内容放入本法第38條第3款。此做法其實借鑒了GDPR的“标準合同條款”的相關規定。
根據GDPR第五章規定,個人資料可以向已經歐盟認可的具備“充分的資料保護水準”的第三國或者國際組織跨境傳輸,比如紐西蘭、瑞士、阿根廷、日本等國,即“充分性決定”(Adequacy Decision)下的資料跨境。如果要向不符合“充分性決定”的國家或地區、組織跨境傳輸資料的,在滿足“适當保障”(Appropriate Safeguards)的情況下,也可以進行資料跨境,“标準合同條款”(Standard Clauses Contract,即SCC)便是資料出境的一個重要方式。若歐盟境内的相關主體與境外主體簽訂标準合同,承諾遵守“标準合同條款”,其就可以向境外傳輸個人資料。
因為有關部門暫未釋出大陸的個人資訊出境标準合同,該通道暫時不具有可操作性。參照比較法的規定,我們認為合同的具體内容應當包括傳輸範圍、方式、頻率等事實以及不同資料處理關系下雙方的權利義務、個人資訊保護的具體措施等,以保證合同對個人資訊的保護程度達到本法規定的标準。
(四)法律、行政法規或者國家網信部門規定的其他條件
1.法律。比如本法第36條所規定的國家機關處理的個人資訊向境外提供的情形,即“國家機關處理的個人資訊确需向境外提供的,應當進行安全評估。安全評估可以要求有關部門提供支援與協助”。再比如《資料安全法》第36條以及本法第41條所規定的向外國司法或執法機構提供個人資訊的情形,即外國司法或者執法機構關于提供存儲于境内個人資訊的請求,未經中華人民共和國主管機關準許,個人資訊處理者不得向外國司法或者執法機構提供存儲于中華人民共和國境内的個人資訊。
2.行政法規。對個人資訊出境進行特别規定的典型行政法規為國務院頒布的《人類遺傳資源管理條例》。考慮到大陸人類遺傳資源事關國家安全、社會倫理及公民的人身安全,一旦遭到濫用将産生嚴重後果,對于其出境必須嚴加管控。根據該條例第27條規定,人類遺傳資源出境的,應當符合一系列條件并取得國務院科學技術行政部門出具的人類遺傳資源材料出境證明。
3.網信部門的其他規定。比如國家網際網路資訊辦公室、國家發展和改革委員會、工業和資訊化部、公安部、交通運輸部聯合釋出的部委規章《汽車資料安全管理若幹規定(試行)》針對向境外提供包含個人資訊的重要資料提出了年度報告制度與年度補充報告制度,即汽車資料處理者應當依據第13條的規定在每年12月15日前向省、自治區、直轄市網信和有關部門報送汽車資料安全管理負責人、使用者權益事務聯系人的姓名和聯系方式、汽車資料安全事件和處置情況等年度汽車資料安全管理情況。
(五)大陸締結或者參加的國際條約、協定
1.内容。本條第2款明确大陸締結或者參加的國際條約、協定可以作為向境外提供個人資訊行為的合法性基礎。本法第12條也規定了國家積極參與個人資訊保護國際規則的制定,促進個人資訊保護方面的國際交流與合作,推動與其他國家、地區、國際組織之間的個人資訊保護規則、标準等互認。目前,相關國際合作仍處于起步階段,有待後續相關制度的不斷完善。
在司法實踐中,跨境訴訟案件在舉證過程中可能會涉及将境内個人資訊提供給國外法院的問題,此種情形下會導緻“司法協助”與“個人資訊出境”的交叉。跨境司法協助往往以相應的國際條約為前提,國際條約的締結則需要一定的本國法為基礎。差別于《美國澄清合法使用境外資料法》所确立的“長臂管轄”,大陸出台的《國際刑事司法協助法》堅持平等互惠原則,為政府今後締結刑事司法協助條約,以及在此基礎上履行義務和行使權利提供了國内法基礎,填補了刑事司法協助國際合作的法律空白。
2.“可以”的了解。“可以”往往意味着“可以不”或“可以其他”,但按照大陸的立法用語習慣,“可以”一詞并沒有嚴格限定在其語義中。我們認為,本條中的“可以”并不能解釋出“可以不”的意思。大陸在締結或者參加國際條約、協定時,可能會聲明保留某些條款,在涉及這些保留條款時,應當适用大陸法律、行政法規或網信部門關于個人資訊出境的相關規定。如果不存在“大陸聲明保留的條款”時,則應當遵守締結或者參加的國際條約、協定,而不能以本條中的“可以”為由,拒絕适用已締結或參加的國際條約、協定。
四、第3款——第1~2款所規定的個人資訊出境情形都需要滿足的條件
各國在跨境資料流動問題上存在法律文化和價值認同的差異,進而導緻其資料保護标準不統一,甚至可能存在沖突。個人資訊出境後,一方面會對主管部門的監管工作帶來挑戰;另一方面也會給個人行使個人資訊的權益增加難度,更會對個人資訊的安全造成更多的威脅。為此,本款對個人資訊處理者施加了采取必要措施、保障境外接收方處理個人資訊的活動達到本法規定的個人資訊保護标準的法定義務。無論是通過何種方式實施個人資訊出境的,都需要滿足前述必要條件。
我們初步研究認為,第1款規定中的前三種情形,即國家部門進行安全評估、專業機構進行的個人資訊保護認證、采取标準合同,在某種程度上已經對境外接收方提供對等保護的可行性進行了評估,但通過“其他條件”或“國際條約、協定”等方式進行個人資訊出境的,則需要法律明确“對等保護”的底線标準。
【條文适用】
在具體适用本條時,應注意如下幾個問題:
1.在進行本條規定的安全評估、保護認證等之前,資訊處理者應當進行事先評估。《個人資訊保護法》第55條規定:向境外提供個人資訊的,個人資訊處理者應當事前進行個人資訊保護影響評估,并對處理情況進行記錄。根據《個人資訊保護法》第56條規定,其中評估的内容主要包括個人資訊的處理目的、處理方式等是否合法、正當、必要;對個人權益的影響及安全風險;所采取的保護措施是否合法、有效并與風險程度相适應。個人資訊保護影響評估報告和處理情況記錄應當至少儲存3年。除上述事項之外,我們認為企業還可以對接收方是否在近幾年内是否發生過個人資訊安全事件、其所在國家和地區的政治及法律環境等其他有可能存在個人資訊出境安全風險的因素進行評估。
2.資訊出境前進行正式評估的主體,原則上應當為省級以上網信部門。根據《個人資訊和重要資料出境安全評估辦法(征求意見稿)》第9條第2款規定,評估主體為行業主管部門或監管機構,在行業主管部門或監管機構不明确時,由網信部門評估。但之後公布的《個人資訊出境安全評估辦法(征求意見稿)》第4條規定,實施評估主體應為省級網信部門。之是以出現這種變化,原因在于前者雜糅了個人資訊和重要資料兩類資料,重要資料需要行業主管部門作出細化規定,是以在制度設計時需要傾向于主管部門來評估。而後者僅涉及個人資訊,網信部門作為個人資訊保護及監管的主職機構,由其統一組織監管評估具有合理性。