第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
【条文主旨】
本条是关于向境外提供个人信息的条件的规定。
【条文理解】
一、本条的整体逻辑结构
在大数据时代,数据资源的价值不言而喻,且与公民人身安全乃至国家安全息息相关,发达国家多已意识到数据资源保护和开发的重要性,不断出台法规和政策抢占数据保护的制高点,抑或通过各类方式维护其数字主权,其中,对于数据跨境传输的要求构成了数据保护和个人信息保护的重要方面。比如GDPR设置专门的第五章,针对“向第三国或国际组织转移个人数据”的相关问题进行规定,只有满足GDPR所规定的相关条件,才能实施个人数据出境行为;《美国澄清境外数据合法使用法案》(以下简称CLOUD法案)赋予执法机构跨境调取数据的能力,以维护其在数据领域的霸权地位。国际上数据管辖权的冲突和数据治理主导权的竞争启示我们在数字化时代应高度重视数据跨境移转问题。在此背景下,本条对个人信息出境前需要满足的具体条件作出规定,从而保障个人信息出境活动的安全有序开展。
本条第1款将《网络安全法》《数据安全法》《征信业管理条例》等法律法规内的个人信息出境规则进行了整合,规定了向境外提供个人信息的四种途径,为个人信息出境提供了更为多元化的合法性基础,也为《个人信息出境安全评估办法》等个人信息出境具体规定的生效落地提供了统一的规范基础和上位法依据。第2款规定了大陆缔结或参加的国际条约和协定可以作为向境外提供个人信息的合法基础。第3款规定了信息处理者应当采取措施保障境外接收方符合大陆个人信息保护标准的规则。通过第1款规定的四个通道以及第2款相关情形实施个人信息出境的,都需要满足第3款所规定的条件,即“采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”。可见,本条在整体逻辑结构上规定了大陆个人信息出境的五大通道,以下就各个具体情形进行分析。
二、“因业务等需要,确需向中华人民共和国境外提供”的理解
(一)“因业务等需要,确需向中华人民共和国境外提供”的情形
1.因业务需要。“业务需要”,是指个人信息的出境应与实现产品或服务的业务功能有直接关联性,如果没有上述个人信息的参与,产品或服务的功能就无法实现。例如,境内航空公司如果不将乘客的购票信息传输给境外机场,就无法有序开展国际航空业务。“确需”指个人信息跨境传输应当符合最小必要原则。在“确需”的具体认定上,可以结合向境外传输个人信息的频率、数量等因素综合判断。
2.“等”的理解。此处的“等”意味着个人信息出境还可以出于其他合法性与正当性的目的。具体包括以下情形:(1)科研需要。例如为开展国际合作科学研究,确需将相关个人信息运送、邮寄、携带出境。(2)公司内部管理的正当性需要。典型的是境外公司总部对境内子公司的行为进行反商业贿赂或者反舞弊等合规调查工作,要求境内子公司向母公司提供相关个人信息。(3)公务需要。因在境外参与司法程序或面临行政调查,需要向境外提供个人信息的,要求依法申请有关主管部门批准。(4)其他具有合法性和正当性目的的情形。
(二)向中华人民共和国境外提供
1.对“境外”的理解。《出境入境管理法》第89条第1款规定:“出境,是指由中国内地前往其他国家或者地区,由中国内地前往香港特别行政区、澳门特别行政区,由中国大陆前往台湾地区。”考虑到大陆大陆与港澳台地区法律制度的差异,本条中的“境外”更加侧重于“关境”而非“国境”,如果相关主体将个人信息向大陆港澳台地区传输的,属于本条所规定的“向中华人民共和国境外提供”,其应当符合本法所规定的相关要求。此外,为贯彻商务部发布的《全面深化服务贸易创新发展试点总体方案》,北京、上海等28个省市均出台相关文件,积极在自贸区、自贸港等区域探索数据跨境机制。考虑到自贸区的特殊地位和功能,以及其他法律制度适用的情况,这些区域在数据跨境机制中的地位和性质还有待立法进一步明确。
2.“向境外提供”的内涵。个人信息出境,是指网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动,其中网络运营者提供已经被依法公开披露的数据除外。“向境外提供个人信息”实质上就是指个人信息出境,其具体方式可以分为线下及线上两种。线下方式指直接将个人信息记录在有形载体上并向境外邮寄、运输等;线上方式指将个人信息通过网络的形式向境外传输。
需要注意的是,“个人信息出境”的常见情形是将个人信息传输至一国的地缘性边境之外,但是二者并不等同。首先,某些情形下,将个人信息传输至“境外”,并不一定构成个人信息出境。例如,非在境内运营中收集和产生的个人信息经由本国出境,未经任何变动或加工处理的,不属于个人信息出境。其次,未将个人信息传输至“境外”,也可能构成个人信息出境。在实践中,还存在即使在一个主权国家内,跨越一定的区域,通常也被看作是跨境。例如,向位于本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息的,属于个人信息出境。个人信息未移转存储至本国以外的地方,但被境外的机构、组织、个人访问查看的,亦属于个人信息出境。
三、个人信息出境五大通道的具体理解
(一)通过国家网信部门组织的安全评估
原则上来说,信息处理者想要向境外提供个人信息的,可以进行安全评估、也可以选择其他通道。例外情形下,信息处理者只能选择安全评估。例如,根据本法第40条规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定的数量的个人信息处理者想要进行个人信息出境的,其必须通过国家网信部门组织的安全评估。《个人信息保护法》着重加强前述两类主体个人信息安全保护责任的原因在于,前述两种主体所控制的个人信息量大且与国计民生息息相关,由网信部门统一进行安全评估能够强化国家对国民安全与国家安全的把控。关于这两类主体的认定,具体请参见对本法第40条的理解。
关于安全评估的具体要求和方法,现行法尚未明确予以规定。具体可以参考《信息安全技术数据出境安全评估指南(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》的相关内容。比如安全评估要点一是“出境目的”,二是“安全风险”。出境目的需要同时满足“合法性、正当性、必要性”的要求。对于“安全风险”的评估,需要综合考量出境数据的属性和数据出境发生安全事件的可能性及影响程度。关于数据属性的判断,主要包括类型、数量、范围、敏感程度和技术处理情况等,关于数据出境发生安全事件的可能性及影响程度的判断,需要结合发送方数据出境的技术和管理能力、数据接收方的安全保护能力、采取的措施、数据接收方所在国家或区域的政治法律环境等进行考量,在此不再赘述。
(二)个人信息保护认证
个人信息出境的第2条通道是“个人信息保护认证”。相关主体在按照国家网信部门的规定,经过专业机构进行个人信息保护认证后,可以将其所控制的个人信息向境外提供。目前,对于何种个人信息出境场景属于符合国家网信部门规定的需经专业机构进行个人信息保护认证的情形,相关规定并未明确,有待后续网信部门进一步出台具体的细化规则。此外,对于如何进行认证、哪些专业机构有权进行认证等问题,都还有待后续的配套措施落地。
(三)签订标准合同
对于通过与境外接收方签订合同的方式进行个人信息出境这一情形,《个人信息保护法(草案)》仅仅规定了“与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准”,在进行二次审议时,有观点认为将个人信息跨境合同的订立完全交给境内提供方与境外接收方的话,有可能导致个人信息保护力度的不足,最终《个人信息保护法(草案二次审议稿)》将此修改为“按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务”,同时将“保障境外接收方的个人信息处理活动达到本法规定的个人信息保护标准”的内容放入本法第38条第3款。此做法其实借鉴了GDPR的“标准合同条款”的相关规定。
根据GDPR第五章规定,个人数据可以向已经欧盟认可的具备“充分的数据保护水平”的第三国或者国际组织跨境传输,比如新西兰、瑞士、阿根廷、日本等国,即“充分性决定”(Adequacy Decision)下的数据跨境。如果要向不符合“充分性决定”的国家或地区、组织跨境传输数据的,在满足“适当保障”(Appropriate Safeguards)的情况下,也可以进行数据跨境,“标准合同条款”(Standard Clauses Contract,即SCC)便是数据出境的一个重要方式。若欧盟境内的相关主体与境外主体签订标准合同,承诺遵守“标准合同条款”,其就可以向境外传输个人数据。
因为有关部门暂未发布大陆的个人信息出境标准合同,该通道暂时不具有可操作性。参照比较法的规定,我们认为合同的具体内容应当包括传输范围、方式、频率等事实以及不同数据处理关系下双方的权利义务、个人信息保护的具体措施等,以保证合同对个人信息的保护程度达到本法规定的标准。
(四)法律、行政法规或者国家网信部门规定的其他条件
1.法律。比如本法第36条所规定的国家机关处理的个人信息向境外提供的情形,即“国家机关处理的个人信息确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助”。再比如《数据安全法》第36条以及本法第41条所规定的向外国司法或执法机构提供个人信息的情形,即外国司法或者执法机构关于提供存储于境内个人信息的请求,未经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
2.行政法规。对个人信息出境进行特别规定的典型行政法规为国务院颁布的《人类遗传资源管理条例》。考虑到大陆人类遗传资源事关国家安全、社会伦理及公民的人身安全,一旦遭到滥用将产生严重后果,对于其出境必须严加管控。根据该条例第27条规定,人类遗传资源出境的,应当符合一系列条件并取得国务院科学技术行政部门出具的人类遗传资源材料出境证明。
3.网信部门的其他规定。比如国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布的部委规章《汽车数据安全管理若干规定(试行)》针对向境外提供包含个人信息的重要数据提出了年度报告制度与年度补充报告制度,即汽车数据处理者应当依据第13条的规定在每年12月15日前向省、自治区、直辖市网信和有关部门报送汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式、汽车数据安全事件和处置情况等年度汽车数据安全管理情况。
(五)大陆缔结或者参加的国际条约、协定
1.内容。本条第2款明确大陆缔结或者参加的国际条约、协定可以作为向境外提供个人信息行为的合法性基础。本法第12条也规定了国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。目前,相关国际合作仍处于起步阶段,有待后续相关制度的不断完善。
在司法实践中,跨境诉讼案件在举证过程中可能会涉及将境内个人信息提供给国外法院的问题,此种情形下会导致“司法协助”与“个人信息出境”的交叉。跨境司法协助往往以相应的国际条约为前提,国际条约的缔结则需要一定的本国法为基础。区别于《美国澄清合法使用境外数据法》所确立的“长臂管辖”,大陆出台的《国际刑事司法协助法》坚持平等互惠原则,为政府今后缔结刑事司法协助条约,以及在此基础上履行义务和行使权利提供了国内法基础,填补了刑事司法协助国际合作的法律空白。
2.“可以”的理解。“可以”往往意味着“可以不”或“可以其他”,但按照大陆的立法用语习惯,“可以”一词并没有严格限定在其语义中。我们认为,本条中的“可以”并不能解释出“可以不”的意思。大陆在缔结或者参加国际条约、协定时,可能会声明保留某些条款,在涉及这些保留条款时,应当适用大陆法律、行政法规或网信部门关于个人信息出境的相关规定。如果不存在“大陆声明保留的条款”时,则应当遵守缔结或者参加的国际条约、协定,而不能以本条中的“可以”为由,拒绝适用已缔结或参加的国际条约、协定。
四、第3款——第1~2款所规定的个人信息出境情形都需要满足的条件
各国在跨境数据流动问题上存在法律文化和价值认同的差异,从而导致其数据保护标准不统一,甚至可能存在冲突。个人信息出境后,一方面会对主管部门的监管工作带来挑战;另一方面也会给个人行使个人信息的权益增加难度,更会对个人信息的安全造成更多的威胁。为此,本款对个人信息处理者施加了采取必要措施、保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准的法定义务。无论是通过何种方式实施个人信息出境的,都需要满足前述必要条件。
我们初步研究认为,第1款规定中的前三种情形,即国家部门进行安全评估、专业机构进行的个人信息保护认证、采取标准合同,在某种程度上已经对境外接收方提供对等保护的可行性进行了评估,但通过“其他条件”或“国际条约、协定”等方式进行个人信息出境的,则需要法律明确“对等保护”的底线标准。
【条文适用】
在具体适用本条时,应注意如下几个问题:
1.在进行本条规定的安全评估、保护认证等之前,信息处理者应当进行事先评估。《个人信息保护法》第55条规定:向境外提供个人信息的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录。根据《个人信息保护法》第56条规定,其中评估的内容主要包括个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存3年。除上述事项之外,我们认为企业还可以对接收方是否在近几年内是否发生过个人信息安全事件、其所在国家和地区的政治及法律环境等其他有可能存在个人信息出境安全风险的因素进行评估。
2.信息出境前进行正式评估的主体,原则上应当为省级以上网信部门。根据《个人信息和重要数据出境安全评估办法(征求意见稿)》第9条第2款规定,评估主体为行业主管部门或监管机构,在行业主管部门或监管机构不明确时,由网信部门评估。但之后公布的《个人信息出境安全评估办法(征求意见稿)》第4条规定,实施评估主体应为省级网信部门。之所以出现这种变化,原因在于前者杂糅了个人信息和重要数据两类数据,重要数据需要行业主管部门作出细化规定,因此在制度设计时需要倾向于主管部门来评估。而后者仅涉及个人信息,网信部门作为个人信息保护及监管的主职机构,由其统一组织监管评估具有合理性。