一、导读
中国《个人信息保护法》(“《个保法》”)为个人信息跨境传输提供了四种路径供企业选择,分别为通过(1)网信部门安全评估、(2)获得个人信息保护认证、(3)签署网信部门制定的标准合同或(4)满足其他法定条件。目前,网信部门安全评估已经由2022年7月初公布的《数据出境安全评估办法》确立基本框架,网信部门制定的标准合同也通过2022年6月30日公布的《个人信息出境标准合同规定(征求意见稿)》初现雏形,但个人信息保护认证的工作则刚刚处于探索阶段——2022年6月24日,全国信息安全标准化技术委员会发布实践指南“TC260-PG-20222A”《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》(以下简称“《跨境认证规范》”),首次对《个保法》规定的个人信息跨境保护认证路径做出探索。
从内容上看,《跨境认证规范》要求具有跨境需求的具有密切关系的境内个人信息处理者和境外接收方通过签署法律协议、制定《统一的个人信息跨境处理规则》等方式,在接受规则约束的各方之间建立起符合《个保法》保护标准的数据流动环境。这与大家已相对熟悉的《欧盟一般数据保护条例》(“GDPR”) 第46条第2(f)款所确认跨境路径之一——数据保护认证机制(Approved Certifications,“AC”),以及另一项GDPR第46条第2(b)款确认的跨境路径之一——约束性公司准则(“ Binding Corporate Rules,BCRs”)在保护逻辑上非常类似。
这也正是本文的撰写初衷。由于《个保法》个人信息出境路径之一“获得个人信息保护认证”尚未被高位阶的法律法规所确立,因而我们希望通过对《跨境认证规范》、BCRs和AC三种机制的比较,更好地理解《个保法》下有关跨境认证可能探索的方向和可能性,协助具有跨境需求的企业做出更为充分的理解和应对。
二、三种机制的简介
(一) 《个保法》跨境处理活动认证
《个人信息保护法》第38条为个人信息跨境传输提供了四种路径,企业但凡需要跨境活动,必须满足下述四种路径之一:
1
通过国家网信部门组织的安全评估(针对处理个人信息达到国家网信部门规定数量的个人信息处理者或关键信息基础设施运营者);
2
按照国家网信部门的规定经专业机构进行个人信息保护认证;
3
按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
4
法律、行政法规或者国家网信部门规定的其他条件。
《跨境认证规范》即为落实上述“个人信息保护认证”路径的具体规范,编制目的是为个人信息保护认证提供跨境处理活动认证依据。但是,并非所有的个人信息处理者都可以使用认证方式。首先,《跨境认证规范》仅适用于跨国企业或关联方之间,或在境外处理境内自然人个人信息的情形,其次,按照《个人信息保护法》的规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者必须通过安全评估才能跨境提供个人信息,不能仅仅依赖认证这一方式。
“认证”在中国国家标准框架下具备如下定义:认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动[1]。个人信息保护认证亦即专业机构的个人信息保护认证是在国家网信部门的统筹协调下开展的第三方认证,同时兼具专业性和中立性,能够有效确保个人信息出境之后获得足够的保护。但需注意,“个人信息保护认证”是个人信息安全相关认证的统称,“跨境处理活动认证”是其中针对个人跨境场景的特定认证类型,因此此前网信办等部门联合开展的“移动互联网程序(App)安全认证”“数据安全管理认证”等相关认证虽可能也属于“个人信息保护认证”,但几乎都将数据出境的相关适用依据让渡给了“国家相关规定和相关标准的要求”,因而《跨境认证规范》对于个人信息的出境认证方面具有填补制度空白的重大意义。
“跨境处理活动认证”描绘的整体认证框架如下图所示,概括而言,《跨境认证规范》的目的是要求具有跨境需求的境内个人信息处理者和境外接收方(二者须为跨国企业、关联方等密切关系)通过签署法律协议、制定《统一的个人信息跨境处理规则》等方式,在接受规则约束的各方之间建立起符合《个保法》保护标准的数据流动环境。其流程要求主要包括,境外个人信息处理者处理境内自然人个人信息/跨国集团内部传输的场景中,由境内特定机构/集团境内一方负责申请认证。认证规则应要求境内/外的个人信息处理者与境外接收方签订法律协议(如数据处理协议或承诺函)、遵守统一的个人信息跨境处理规则,并做好组织管理、个人信息保护影响评估、个人信息主体权益保障等事项。认证获批后即可在法定/约定范围内进行个人信息跨境传输。
图1 跨境处理认证框架
(二) BCRs
欧盟数据保护法对于欧盟境内个人数据向欧盟以外国家地区传输有着严格的管控。个人数据传输到欧盟境外需要跨越多重条件,其中首要考察条件即数据接收国家或地区是否对数据主体有关个人数据处理的权利与自由实行与欧盟等同的保护水平。然而,在实践中跨国企业能基于充分性认定而实现个人数据从欧盟境内向欧盟境外传输的情况非常有限,跨国企业往往需要依赖于充分性决定以外的方法实现个人数据从欧盟境内向欧盟境外传输。在此前提下,GDPR的第46条提供了几项机制,允许个人数据在满足特定条件的情况下,向未被欧盟认定为具有“足够的数据保护水平”的国家、地区或国际组织转移。该等机制主要包括:
1
基于公共机构之间具有约束力和可执行力的协议进行跨境转移;
2
企业制定BCRs,且该BCRs获得了数据保护机关的批准;
3
数据出口方与数据进口方签署了标准合同条款(SCCs);
4
基于经批准的行为守则(code of conduct)进行转移;以及
5
基于经批准的认证机制进行转移。
BCRs是充分性决定以外供个人数据出境需求企业考虑的方法之一,其本质是企业按照欧盟要求制定的、适用于跨国企业内部的有关个人数据跨境流动的自律性规则。BCRs是基于整体责任的概念,也就是说,跨国公司、集团公司作为一个整体,确保数据在该整体之中的成员之间流动能够获得同等的保护,且个人数据主体在欧盟境内可以享受的相关权利在该整体之中能够得到保障。因而BCRs可被视为一个有关数据保护的规则框架,框架下应当按照GDPR的要求包含相关法律规则、公司政策、安全策略等。同时,BCRs应当是“定制”的,集团除了需要满足欧盟对法定要求,还需要考虑自身的结构、处理的个人数据的具体类型、企业集团现有的有关个人数据保护的政策和程序等因素。集团在形成初步的BCRs框架后,必须向主管欧盟成员国数据保护机构提交申请材料[2],经其批准认证后个人信息便可在集团内部合法自由流转、跨境传输。批准程序如图所示:
图2 BCRs审批框架
尽管欧盟委员会以及各成员国的数据保护机构表态鼓励大中型集团申请BCRs,但实际上能够顺利通过申请的企业相当有限。根据欧盟委员会以及各成员国的数据保护机构会公示的已经授权的BCRs的企业清单[3],目前进入清单的企业仅有Intel、花旗集团、E-bay、安永、GE、爱马仕等数十家跨国集团公司。
(三) AC
除BCRs外,GDPR认证机制也是个人数据转移的适当保障措施之一,该认证是由欧盟各国数据监管当局认可的认证机构进行的认证,其意味着:与产品、服务、流程或数据系统相连的个人数据处理活动已经依照一项参照标准被予评估,相关标准由各国监管当局或欧洲数据保护委员会事先批准,以证明数据传输方和数据接收方的个人的数据处理行为符合GDPR的要求。
如果欧盟以外的控制者和处理者能够通过合同或其他有约束力的法律文书表明愿意实施规定的数据保护保障措施,则可通过一系列申请和评估程序后获得认证。例如,符合GDPR一般规定以及第25条规定(该条规定了隐私设计和默认情况下的数据保护)的认证可以由一个可信的认证机构、“主管监督机关”或欧洲数据保护委员会颁发,进行认证的机构必须进行“适当的评估”,以便授予认证,并在不符合规定的情况下撤销认证。
GDPR第42条第2款特别规定了针对跨境数据传输所需的认证。同《跨境认证规范》确定的跨境处理活动认证类似,“GDPR认证”同样是数据保护认证机制的统称,GDPR第46(2)条(f)提出的认证只是“GDPR认证”中针对个人跨境场景的特定认证类型。例如,近期卢森堡数据保护监管机构(CNPD)采用的GDPR-CARPA(General Data Protection Regulation - Certified Assurance Report-Based Processing Activities)认证[4]类似中国此前开展的“数据安全管理认证”,作用是为证明某数据安全管理体系/处理活动的高度合规性。但由于并非针对跨境转移这一特定场景而缺少对个人信息跨境转移安全的考量,不足以证明数据跨境活动实施了充分数据保护保障措施,因此不属于上述个人数据跨境传输的认证机制。
2022年6月14日,欧盟数据保护委员会(European Data Protection Board,“EDPB”)通过了首个关于跨境认证的指南《关于认证作为跨境传输工具的07/2022号指南》[5](以下称“《AC认证指南》”),并于6月30日公开其文本。该指南由四个部分组成:目的、范围和所涉及的不同参与者;认证机构实施认证要求;用于证明存在适当的保障措施的特定认证标准;以及要执行的具有约束力和可执行的承诺。相较于《跨境认证规范》,《AC认证指南》对AC的整体认证框架进行更为细致的规定,对于具有跨境需求的主体如何制订认证标准具有详细的指导作用:
国家认证机构/监管机构(SAs)认可第三方认证机构;
SAs或第三方认证机构形成完整的认证方案(认证标准和具体符合性要求);
EDPB(欧洲数据保护印章)和SAs批准认证标准;
第三国数据接收方自愿申请认证;
SAs或认证机构并根据认证方案中的认证标准和要求进行合规性评估,并持续监测认证对象合规性,有权颁发、更新(认证最长时效为3年)以及撤销认证;
数据传输方遵守GDPR合规义务,对认证进行核实(认证是否有效且未过期,是否涵盖了要进行的具体传输,个人数据的传输是否在认证范围内,以及是否涉及继续传输,并提供了足够的文件、检查(数据接收方与认证机构之间是否确有具有法律约束力的协议),并评估认证在第三国现行法律和惯例下是否有效。如前述条件无法满足,则应要求数据接收方采取适当补充措施;
数据传输方与接收方作出具有约束力和可执行的承诺;
进行个人信息跨境传输。
三、三种机制的比较
(一) 申请程序比较
1. 跨境处理活动认证
《个人信息保护法》仅规定应“按照国家网信部门的规定经过专业机构进行认证”。此次《跨境认证规范》也暂未明确专业机构的资质、认证的流程和标准等事项,但确定了由跨国企业境内一方或境外个人信息处理者在境内的代表组织申请认证并承担法律责任,认证机构有权对个人信息处理者和境外接收方做出的承诺进行监督。
关于认证机构,中国目前能够批准认证机构的监管部门为中国国家认证认可监督管理委员会,在网络安全领域,中国网络安全审查技术与认证中心(CCRC,原中国信息安全认证中心,国家市场监督理总局直属事业单位)是依据《网络安全法》和国家有关强制性产品认证、 网络安全管理法规,负责实施网络安全审查和认证的专门机构,目前可以提供产品认证、体系认证、服务认证等认证服务,其开展认证时均依据相应的法律、法规和国家标准展开。考虑到中国网络安全审查技术与认证中心和中国电子技术标准化研究院等单位为《跨境认证规范》的制定提供了技术支持,如其最后成为指定的认证机构,也是顺理成章的猜测。
我们理解,跨境处理活动认证的核心即在于对《跨境认证规范》中所述的《统一的个人信息跨境处理规则》的内容进行认证,其余有关跨境协议的签署、组织架构管理及个人信息保护影响评估义务则是《个保法》原本即对个人信息处理者义务的应有之义。因此,我们理解《统一的个人信息跨境处理规则》的内容及执行不发生重大实质性变更的情况之下,可作为企业连续性的跨境处理活动的依赖。此外,参考《数据出境安全评估办法》的相关规定,我们合理期待后续跨境处理活动认证最终将补齐重新认证情形及认证有效期等关键程序性条件。
2. BCRs
BCRs制定后需经主导性的欧盟成员国内的数据保护机构批准授权方可实施。BCRs批准主要由各国的数据保护监管当局负责,主要分为两个阶段,第一阶段是牵头当局的指定,第二阶段是欧盟合作程序。具体而言,BCRs必须遵循以下程序:
1
选定牵头当局(lead authority),该牵头当局(由集团总部所在地/大多数决策地等因素决定,例如美国石油企业埃克森美孚选定的牵头当局是其欧洲总部所在地——比利时数据保护局,不过企业也可选择能够承担起数据保护责任的实体所在地DPA)[6]需与其他欧洲数据保护机构(DPA)合作处理;
2
企业集团起草BCRs,并提交牵头当局审核。后者对文件内容提出建议以确保文件符合WP153(工作组第153号)文件规定的要求,并形成“第一修改稿”(first revised draft)发送给1到2个其他监管当局共同审阅,以此启动欧盟合作程序;
3
牵头当局将共同审阅后形成的BCRs “统一草案”(consolidated draft)发给所有相关的DPA(集团其他实体所在地)共同评论;
4
经过各相关当局的审阅后,牵头当局会将“最终草案”(final draft)提交给欧洲数据保护委员会,如果欧洲数据委员会的意见是赞同决议草案,那么牵头当局会以通过决议的形式批准BCRs;
5
牵头当局批准了BCRs后,将通知所有相关的监管当局并将BCRs的副本发送给所有相关的监管当局。企业即可请求各DPA授权内部数据传输。
3. AC
GDPR第42条和第43条规定了对数据控制者和处理者的数据处理操作进行合规性认证的制度,提出了认证框架、明确了相关角色。第42(1)款规定:“成员国、监管机构欧盟数据保护委员会和欧盟委员会应鼓励建立数据保护认证机制,设立数据保护印章、标识,特别是欧盟级别的印章和标识,以便证明数据控制者和处理者的数据处理操作符合本条例要求.应考虑中小微型企业的特定需求。
根据GDPR第42条第5项之规定,认证证书可以由经有权监管机构认可的认证机构颁发,也可由有权监管机构在根据第58条第3项所获授权的基础上所批准的标准,并依照此标准自行颁发。认证机构对发证以及撤销发证的评估工作承担责任,但该责任并不减损数据控制者和处理者自己应当承担的合规义务,也不妨碍有权监管机构根据《条例》第55、56条之规定赋予的任务和权力。认证机构在发证和更新前,应当通知认可其的数据监管机构,以方便该机构行使相应职权。可见,认证机构的作用是基于认证机制和批准的标准颁发、审查、更新和撤销认证。需要注意的是,一个成员国的认证机构根据经该国的监管机构审核通过的认证标准只能在该国发证,除非出现使用欧洲通用级认证(欧洲数据保护印章)的情况。
GDPR以及配套指南规定了认证过程的必要阶段(主要包括制定认证标准、审批认证标准、进行合格评定、签发/续签/撤销认证、持续监督、争议和纠纷处理等)。此外,GDPR提出ISO/IEC 17065《合格评定产品、过程和服务认证机构的要求》中确定的阶段(包括申请,申请的评审、评价、复核,认证决定,认证文件,获证产品的名录,监督,影响认证的变更,认证的终止、缩小、暂停和撤销,认证记录,以及投诉和申诉等)可对其进行补充。GDPR规定,对控制者或处理者一次认证最长期限为3年,到期后满足条件的可以更新续期。否则,认证机构或发证的有权监管机构可以撤销所发证书。
《AC认证指南》认为此前发布的GDPR相关指南已经涵盖了认证机构认证作为数据跨境传输工具所需的具体要求。在此基础上,《AC认证指南》就04/2018号指南[7]中的“资源要求”“过程要求”“影响认证的变更要求”进行了补充性诠释:
所需资源 (见准则4/2018指南附件1的要求6),认证机构应确保其拥有必要的资源,以便能够根据认证标准的要求核实数据接收方以适当和正确的方式对其所在的第三国的法律状况和做法进行了必要的评估。并在必要时要求数据接收方确定和实施补充措施。
过程要求 (见准则4/2018指南附件1的要求7),认证机构应确保认证过程是针对将在第三国进行的处理进行的,评估还应涵盖在实践中实施现有的第三国的法律和政策,可能会进行现场审计。
影响认证的变更的要求 (见准则4/2018指南附件1的要求7.10)。认证机构应监测可能影响个人数据跨境处理范围内的第三国立法和/或判例法的变更。
(二) 适用情形比较
跨国公司及同一实体下的子公司间的处理活动,具有内部性,且各方的关系稳定、公司管理架构一致,容易达成认证所需要的协议、组织设置、统一数据处理规则等要求,比较适合于认证机制。所以跨境处理活动认证[8]和BCRs[9]的主要适用情形都是关联企业之间的数据传输,这也是二者在框架设计上高度类同的原因。
相比较而言,AC的适用范围非常广泛,只要数据处理活动是将欧盟保护的个人信息从欧盟出境传输至欧盟境外的第三国或国际组织,境外接收方都可以就该系列数据处理活动或单个数据处理活动申请认证。
(三) 合规要求比较
GDPR从法律层面提出的个人数据保护要求是认证依据的基础,其应包括实质性要求和程序性要求2个方面:实质性要求是依据GDPR规定,对数据处理者或控制者法定义务的细化明确,如数据主体权利、数据安全、通过设计和默认实现数据保护等一般性规定以及GDPR第五章的要求(第三国控制者或处理者有约束力且可执行的承诺,并采用适当的保障措施),EDPB第1/2018号指南附件2部分也明确认证标准应该囊括的一般性要求。而程序性要求用于明确认证的具体过程,GDPR认证相关指南中也提出了部分程序性要求,如认证证书有效期最长为3年等。制定认证标准应侧重其可验证性、重要性和适用性,以证明被测的数据处理操作符合GDPR相关项的要求.认证标准应明确易懂,并具有可操作性。
但是,由于GDPR跨境认证尚未公布一项经过批准的认证标准,且相比之下跨境处理活动认证和BCRs的适用范围更为接近,因而本文下述比较将主要集中于且相比之下跨境处理活动认证和BCRs之间,并就AC的特殊要求进行补充说明。整体上看,三种跨境机制的核心为确保数据跨境流动采取足够安全措施(以数据出口国保护水平为基线),保障数据主体有效行使个人数据权利,并着重在以下几方面存在共性和呼应:
1. 共同遵守的规则
《跨境认证规范》要求个人信息处理者和境外接收方之间应当签订具有法律约束力和执行力的文件(如数据处理协议或承诺函),至少明确下列内容,确保个人信息主体权益得到充分的保障:
开展个人信息跨境处理活动的个人信息处理者和境外接收方;
跨境处理个人信息的目的以及个人信息的类别、范围;
个人信息主体权益保护措施;
境外接收方承诺并遵守统一的个人信息跨境处理规则,并确保个人信息保护水平不低于中华人民共和国个人信息保护相关法律、行政法规规定的标准;
境外接收方承诺接受认证机构监督;
境外接收方承诺接受中华人民共和国个人信息保护相关法律、行政法规管辖;
明确在中华人民共和国境内承担法律责任的组织;
其他应当遵守的法律、行政法规规定的义务。
BCRs作为一种规则协议其本身也被要求必须具有法律约束力与可执行性,要求对集团以及每个成员都得到有效适用。此外,EDPB第29条工作组的工作文件里还要求控制者和处理者之间的《服务协议》必须包含GDPR第28条规定的所有必要内容[10],即:
通过《服务水平协议》(附件)中对BCRs的具体引用,使BCRs对控制者(客户)具有可执行性;
控制者承诺,如果传输特殊类别的数据,应在传输前告知或将会告知数据主体,其数据可能被传输到无法提供充分保护的第三国;
控制者承诺将设在欧盟以外的处理者和BCRs告知数据主体。控制者应根据要求向数据主体提供BCRs和《服务协议》的副本(不含敏感和保密的商业信息);
以告知或链接的方式提供明确的保密和安全措施;
对指令和数据处理的清晰描述;
《服务协议》将规定数据是否可以在集团内部或集团外部进行分包处理,并将规定控制者对其表达的事先授权是一般性的还是需要对每个新的分包处理活动进行特别授权。
2. 适用范围的明确
《跨境认证规范》要求在有法律约束力的协议和统一的个人信息跨境处理规则中明确:a)开展个人信息跨境处理活动的个人信息处理者和境外接收方;b)跨境处理个人信息的基本情况,包括个人信息数量、范围、种类、敏感程度等;c)跨境处理个人信息的目的、方式和范围;d)跨境处理个人信息需要中转的国家或者地区;
在BCRs中,集团也需要明确规则适用的地理范围,适用于欧盟境内集团成员向欧盟境外集团成员传输的所有个人数据,还是集团成员间传输的所有个人数据。此外,集团还需要约定BCRs适用的实质范围,例如,个人数据的种类和类别、处理类型、处理目的、个人数据传输到的欧盟以外国家的名称等等。
AC要求每种认证标准都必须清晰描述认证机制的范围和评估目标(ToE),包括数据跨境转移还是数据过境,适用于哪种类型的实体 (控制者和/或处理者)等等。同时,认证标准应充分描述如何具体定义ToE,这至少应该包括:a) 处理操作,包括设想转移的情况;b) 目的;c) 实体的类型 (控制器和/或处理器);d) 考虑到是否涉及GDPR第9条中定义的特殊类别的个人数据,传输的数据类型;e) 数据主体的类别;f) 进行数据处理的国家。
3. 数据保护最低标准
《跨境认证规范》要求境外接收方确保个人信息保护水平不低于中华人民共和国个人信息保护相关法律、行政法规规定的标准,这与AC遵循的同等保护标准一致。与之相比BCRs的要求更为严格,集团在BCRs中应说明BCRs和适用的法律的关系并声明:如果地方立法要求对个人数据提供更高水平的保护,那么地方立法将优先于BCRs。
4. 组织管理
《跨境认证规范》、BCRs和AC均要求企业有义务任命适当人员监督企业数据保护规则的遵守情况。《跨境认证规范》要求个人信息处理者和境外接收方均应指定应具备个人信息保护专业知识和相关管理工作经历的组织决策层成员担任个人信息保护负责人,并设立个人信息保护机构。
BCRs中强调对BCRs遵守的监督,集团在BCRs中应承诺任命适当的人员或实体(例如数据保护官(DPO)、隐私官)在最高管理层的支持下监督集团对BCRs的遵守情况。两者DPO和专门机构的角色定位和职责并无太大差别,皆负责指导支持组织的个人信息保护工作、向最高管理层提供建议、处理监管当局的调查和请求投诉、监管企业的培训情况和合规义务遵守情况等等。
而AC则对GDPR合规要求进行重申:认证标准应该核查组织是否应当根据第 37 条的要求任命数据保护官,以及DPO是否符合GDPR第 37 条至第 39 条规定(DPO委任、角色定位以及职能)的要求。
5. 培训项目
跨境处理活动认证、BCRs和AC均要求企业有义务对员工提供数据保护方面的培训。《个人信息保护法》和《个人信息安全规范》要求企业应定期(至少每年一次)或在个人信息保护政策发生重大变化时,对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核,确保相关人员熟练掌握个人信息保护政策和相关规程。培训职责归属于个人信息保护负责人和个人信息保护工作机构。而BCRs则要求企业承诺,向持久或经常访问个人数据的人员,或参与个人数据收集的人员,或开发个人数据处理工具的人员提供有关BCRs/AC的培训。
6. 数据保护影响评估
《跨境规范》第4.4条要求进行个人信息跨境活动前,个人信息处理者要开展个人信息安全影响评估,这与《个保法》第五十五条[11]要求相衔接。GB/T39335—2020《信息安全技术 个人信息安全影响评估指南》所确立的评估方法可以作为借鉴,但考虑到该指南并未重点考虑数据跨境传输场景,在参考该指南的同时,要重点补足跨境风险因素的考量。评估事项应包括:a)个人信息的处理目的、处理方式等是否合法、正当、必要;b)向境外提供个人信息是否符合法律、行政法规;c)对个人信息主体权益产生的影响,特别是境外国家和地区的法律环境、网络安全环境等对个人信息主体权益的影响;d)所采取的保护措施是否合法、有效并与风险程度相适应;e)其他维护个人信息权益所必需的事项。此外,个人信息保护影响评估报告和处理情况记录应当至少保存三年。
GDPR框架下的BCRs也要求特定场景下数据控制者的数据保护影响评估。数据控制者应承诺,对数据主体的权利和自由带来高风险的数据处理,在进行数据处理前应进行个人数据保护影响评估,评估包括:对拟进行的处理操作和处理目的的系统描述;结合数据处理目的,对处理操作的必要性和适当性进行评估;数据主体权利和自由风险评估;风险应对措施。
AC的评估要求集中于申请认证的数据接收方。数据接收方应对第三国立法进行评估,评估其经营的第三国在GDPR第46条中的适当保障措施方面的法律情况和监管活动,同时考虑到还需要考虑第三国的适用立法和监管活动是否可能影响认证的目标。此外数据接收方还应对评估进行记录,并应要求向认证机构和主管数据保护当局提供文件。
7. 数据主体权利保护
跨境处理活动认证和BCRs都充分考虑了个人信息主体权益的保障,要求企业承诺保障数据主体享有数据访问权、更正权、删除权、反对权等数据主体权利;
《跨境认证规范》对个人信息主体的权利进行如下规定:a)要求获得法律文本中涉及个人信息主体权益部分的副本;b)知情权、决定权,撤回同意,限制或者拒绝处理;c)向境外接收方查阅、复制、更正、补充、删除其个人信息;d)要求对个人信息跨境处理规则进行解释说明;e)拒绝个人信息处理者仅通过自动化决策的方式作出决定;f)对违法个人信息处理活动向中国履行个人信息保护职责的部门进行投诉、举报;g)在经常居住地所在法院提起司法诉讼;
BCRs中也要求集团承诺保障数据主体享有数据访问权、更正权、删除权、限制处理权、数据可携带权、反对权、不受仅根据对个人数据的自动化处理而做出的决策限制的权利。此外,BCRs还赋予数据主体第三方受益权,要求集团通过单方承诺或合同条款的方式使得数据主体有权要求集团执行包括以下权益: 第一,数据保护原则;第二,数据主体权利;第三,对BCRs的知情权;第四,当国家立法阻止企业遵守BCRs时采取的行动;第五,通过投诉处理机制对企业进行投诉;第六,与监管当局的合作责任;第七,赔偿责任和对违反BCRs的补救。
关于透明度和数据主体的权利,AC的认证标准应:a) 要求数据接收方向数据主体提供有关处理活动的信息,包括有关将个人数据转移到第三国或国际组织的信息,以及有关使用认证作为转移工具的信息;b) 要求保证数据主体的访问、纠正、可携、删除、限制、反对处理的权利,以及不受仅基于自动处理(如GDPR第15至19、21和22条规定的分析)的决定的影响的权利;c) 数据接收方应建立适当的投诉处理程序,以确保数据主体权利的有效实施;d) 充分解决这些权利是否以及在多大程度上对相关第三国的数据主体可执行,或者是否需要采取适当措施来执行这些权利。
8. 对法律约束力文件的知情权
《跨境认证规范》强调,个人信息主体是个人信息处理者和境外接收方签订法律文件中涉及个人信息主体权益相关条款的受益人,有权要求个人信息处理者和境外接收方提供法律文本中涉及个人信息主体权益部分的副本;
BCRs和AC都要求保障数据主体的知情权。BCRs对此进行进一步要求:集团应承诺,每个数据主体都有权利知晓BCRs,尤其是BCRs中与第三方受益权、赔偿责任、数据保护原则相关的部分。集团可在BCRs中承诺会将BCRs,或至少将BCRs中与数据主体有关的部分公布在互联网上。如果数据主体仅是企业员工,可公布在内联网上。
9. 投诉处理机制
三种机制都着重保障了个人信息主体权益保障渠道,并要求企业有义务建立投诉处理机制,为数据主体向企业投诉提供便利渠道。中国《个人信息安全规范》中要求个人信息控制者应建立投诉管理机制和投诉跟踪流程,并在合理的时间内对投诉进行响应。《跨境认证规范》也要求企业在境内法律责任承担方承诺为个人信息主体行使权利提供便利条件应当及时予以响应,拒绝其请求的,应当说明理由。
BCRs则要求集团应承诺建立投诉处理机制,任何数据主体能通过企业的投诉处理机制对任何集团成员不遵守BCRs的行为向企业进行投诉。投诉将由一个具体的部门或人员处理,该部门或人员必须在行使职能时具备独立性。集团对投诉的处理不得不当拖延,应在1 个月内完成。
10. 法律责任承担
《跨境认证规范》中“责任明确原则”提出,个人信息处理者和境外接收方应指定境内一方、多方或者境外接收方在境内设置的机构承担法律责任。也就是说,把境内的个人信息处理者作为认证的监管抓手及后续承担法律责任的主体。此外,境内法律责任承担方还应为个人信息主体行使权利提供便利条件,当发生个人信息跨境处理活动损害个人信息主体权益时,承担法律赔偿责任。
欧盟BCRs也是如此,其要求集团必须指定欧盟境内的一个集团成员,承担集团内其他非欧盟成员的违反BCRs的责任后果,即责任承担将集中到一个实体。若针对特殊的架构,无法指派欧盟境内责任实体的,可以在有效证明的前提下申请其他机构来承担以及其他替代方案。 成员国数据保护机构将根据个案确认是否同意可替代方案。此外,针对数据主体的投诉,欧盟境内的责任承担实体负责承担举证责任,并应为欧盟境外集团成员违反BCRs的行为承担赔偿责任。
对于司法管辖事项,《跨境认证规范》要求个人信息处理者和境外接收方均承诺遵守中华人民共和国个人信息保护有关法律、行政法规, 接受中华人民共和国司法管辖。BCRs还必须规定,如果位于欧盟境外的集团成员有违反BCRs的行为,欧盟境内的法院或监管当局对该行为有管辖权。
11. 监管机制
目前中国跨境处理活动认证的监管机制还并不完备,《跨境认证规范》只明确了集团承诺接受中华人民共和国认证机构对个人信息跨境处理活动的监督,包括答复询问、例行检查等。而在欧盟BCRs体系下,欧盟各国的数据保护当局会负责对企业BCRs的遵守情况进行监管,监管方式有数据保护审计、对数据主体申诉的处理等。
对于审计计划,BCRs中包含自行审计和监管当局审计两种模式。集团需承诺对BCRs在集团内的遵守情况进行审计:第一,自行审计必须由被集团内部或外部认可的审计员定期进行或根据集团内的隐私官、隐私职能部门、任何其他主管职能部门的要求进行;第二,审计涵盖BCRs的所有方面;第三,所有的审计结果应传达给集团内的隐私官、隐私职能部门、董事会;第四,监管当局一旦要求可获得审计结果,并且监管当局在有需要时可对任何集团成员进行数据保护审计。
12. 数据主体的救济方式
跨境处理活动认证和BCRs都关注于个人信息主体的救济渠道。如果企业个人信息处理活动违法或对数据主体造成损害,《跨境认证规范》明确个人信息主体有权对违法个人信息处理活动向国内监管部门进行投诉、举报,也可以在其经常居住地法院对处理者和境外接收方提起司法诉讼。
同样,根据欧盟BCRs体系,数据主体可以向企业投诉、向其所属的成员国或经常居住地/工作地/侵权行为发生地的所属成员国的监管机构提出申诉,或向欧盟成员国的主管法院(数据传输方所在地或数据主体经常居住地的法院)起诉。
(四) GDPR框架下数据跨境转移的独特机制
由于BCRs相关制度体系成型较早、配套文件完善、实践经验丰富。欧盟数据保护委员会通过各种工作文件完善了BCRs的制定、申请与审批环节,使得BCRs具有一系列独特的个人数据安全保障措施。而EDPB在考虑到欧洲法院的Schrems II裁决后,也通过《AC指南》增加了特定的认证标准。我们认为,这些措施具有被立法机关参照借鉴因而在后续的认证规则中予以落实的可能:
1. 数据再转移
BCRs中,集团只有事先告知数据控制者并经数据控制者的事先书面授权,数据才能传输给不受BCRs约束的数据处理分包者。而在AC中,认证标准可以对数据再转移进行具体要求,但至少需要数据接收方根据GDPR第五章的要求对数据再转移实施认证标准中的保障措施,以确保在再转移的情况下也能达到与欧盟同保护水平,并应要求向认证机构和主管数据保护当局提供适当的文件。
2. 记录并保留遵守规则的证明
集团应对BCRs的遵守负责,并能证明其对BCRs的遵守。证明方式应为对所有种类的数据处理活动留存一份书面记录,并应监管当局要求向其提供。申请AC的数据接收方也需要对第三国立法评估以及有效实施的组织和技术措施等进行记录,并应要求向认证机构和主管数据保护当局提供文件。
3. 向公共机构传输限制
BCRs下的集团成员向任何公共机构传输个人数据不能大规模、不成比例、不加选择,超过一个民主国家的必要限度。AC的数据接收方也同样不应因第三国公共当局的访问请求而进行大规模和不加选择的转移。
4. 配合监管当局工作
所有的集团成员都应与监管当局合作,同意接受监管当局的审计,遵循监管当提出的与BCRs有关的建议。而AC标准也要求数据接收方与数据传输方所在的监管机构合作,接受由审计和检查,考虑其的建议并遵守其的决定。
18. 跨境情况重大变更的记录和通知义务
考虑到监管环境和企业结构的变化而需要对BCRs进行修改时,集团应向所有集团成员和相关的监管当局及时报告BCRs的变化。在AC中,当跨境情况重大变更或数据安全事件发生时,数据接收方应通知数据传输方。而当数据接收方属于控制者,则还应向主管当局报告,并将其传达给可能对其权利和自由造成高风险的数据主体。
6. 当国家立法阻止企业遵守规则和承诺时采取的行动
当集团成员有理由相信其适用的国家法律阻止它履行BCRs下的义务并对在BCRs中所作的保证产生实质影响时,应迅速告知集团欧盟总部或被委以数据保护责任的欧盟境内集团成员或集团相关隐私官、隐私职能部门,并报告给主管监管当局。如果告知被执法当局所禁止,集团成员会尽最大努力获得禁止的豁免,从而尽快并尽可能多地与主管监管当局沟通。如果在上述情况下,尽管尽了最大努力,集团成员还是不能告知监管当局,集团成员必须承诺每年将其收到的要求的基本信息提供给主管监管当局。
AC认证标准要求,如果数据接收方有理由相信适用于它的立法和监管实践的变化可能会阻止它履行认证规定的义务,它将立即通知认证机构和数据接收方,以便后者评估是否应该立即停止转移。如果第三国控制者/处理者意识到第三国存在禁止遵守认证义务的立法,则应采取包括通知数据传输方在内的适当措施。如果第三国当局要求提供信息的情况下,数据接收方应采取包括审查请求合法性和尽量减少披露的信息的义务等。
7. BCRs特别要求:除法律另有规定,特殊类型个人数据跨境禁止转移
四、小结
通过本文的比较分析,我们认为,《跨境认证规范》的尝试只是《个保法》规定的个人信息跨境保护认证的一种类型,《跨境认证规范》并非个人信息跨境保护认证的唯一认证种类,跨境保护认证还有可能存在类似于AC的适用范围更为广泛的、赋予认证机构更多标准创新空间的认证类型,或者其他可供借鉴的更有利于应用在中小企业跨境数据活动中的其他类型模式。
仅就《跨境认证规范》的内容而言,其非常类同于BCRs规则,这意味着跨国企业可以在参考《跨境认证规范》的同时,以BCRs为补充,准备贴合公司需求且具备一定预见性和稳定性的个人信息跨境流动规则。同时,跨国企业应当重视《跨境认证规范》的特殊之处,例如个人信息安全影响保护影响评估的要求,提前规划和准备该合规工作。
注释
参考文献:
