專家解讀｜個人信息出境進入“標準化”法治時代

在數(shù)據(jù)要素市場化配置的國家戰(zhàn)略導向下，數(shù)據(jù)安全高效出境順勢成為立法工作的重要內(nèi)容?！毒W(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》建構(gòu)起全方位的數(shù)據(jù)安全和個人信息保障體系，但是數(shù)據(jù)安全不等于限制數(shù)據(jù)流動，而是為了促成數(shù)據(jù)更高效的流動。在此背景下，我國出臺了《數(shù)據(jù)出境安全評估辦法》，解決了涉及大量個人信息、重要數(shù)據(jù)的出境安全問題。但是，數(shù)據(jù)出境立法進程并沒有就此止步。為了滿足企業(yè)數(shù)據(jù)出境的業(yè)務(wù)需求以及迎合不同規(guī)模數(shù)據(jù)出境的行業(yè)特征，國家互聯(lián)網(wǎng)信息辦公室又出臺了《個人信息出境標準合同辦法》（下簡稱《辦法》）。這不僅意味著我國數(shù)據(jù)出境立法的體系化工作取得巨大成就，也意味著我國個人信息出境就此步入“標準化”法治時代。

一、數(shù)據(jù)安全監(jiān)管理念升級，合規(guī)出境渠道多元化

數(shù)字經(jīng)濟的創(chuàng)新發(fā)展離不開數(shù)據(jù)資源的供給與流動，為了進一步解放數(shù)據(jù)資源在數(shù)字市場中的生產(chǎn)要素功能，填補數(shù)據(jù)合規(guī)出境的單一性，國家互聯(lián)網(wǎng)信息辦公室一針見血地點出行業(yè)痛點，以標準化合同的制度模式為企業(yè)數(shù)據(jù)出境提供了另一種可能性。與過去強監(jiān)管模式相比，《辦法》體現(xiàn)了我國監(jiān)管機構(gòu)在長期的數(shù)據(jù)安全監(jiān)管實踐活動中所探索出的新型監(jiān)管理念和監(jiān)管模式，即將行政監(jiān)管與企業(yè)自主合規(guī)相結(jié)合。

（一）定底線，留磋商。《辦法》看似對企業(yè)個人信息出境合同作出了種種限制，甚至還列明了《個人信息出境標準合同》，但這種表現(xiàn)的背后卻體現(xiàn)了我國的監(jiān)管智慧：在私法層面，合同的生命在于意思自治和自主磋商，《辦法》并沒有事無巨細地限定企業(yè)應(yīng)當怎么訂立合同，而是以示范性的標準合同的形式指引企業(yè)應(yīng)當如何完成的個人信息保障義務(wù)?！掇k法》第6條規(guī)定標準合同應(yīng)當按照《辦法》附件訂立，但同時也允許在與附件內(nèi)容不沖突的情況下約定其他條款。

（二）填空白，多渠道。《數(shù)據(jù)出境安全評估辦法》的出臺解決了大規(guī)模個人信息、重要數(shù)據(jù)的安全出境問題，但是對于出境數(shù)據(jù)規(guī)模不大、不屬于關(guān)鍵信息基礎(chǔ)設(shè)施運營者的其他企業(yè)而言，采取同樣的數(shù)據(jù)出境模式又未免存在合規(guī)成本過高等問題?！掇k法》第4條則明確了標準合同機制適用應(yīng)當同時符合以下情形：一是非關(guān)鍵信息基礎(chǔ)設(shè)施運營者；二是處理個人信息不滿100萬人的；三是自上年1月1日起累計向境外提供個人信息不滿10萬人的；四是自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的。該條直接說明了《辦法》對數(shù)據(jù)出境安全評估機制適用范圍的填補，企業(yè)在出境部分個人信息時，可選擇的合規(guī)模式更加多元。

（三）重備案，強保密。《辦法》第3條明確提及了適用原則包括“自主締約與備案管理相結(jié)合”“保護權(quán)益與防范風險相結(jié)合”等。一方面，這里的“備案”不同于數(shù)據(jù)安全評估機制所要求的實質(zhì)性審查，而是強調(diào)監(jiān)管機構(gòu)僅對提交材料進行形式審查，至于備案材料的真實性則由企業(yè)自行負責。另一方面，這里的“防范風險”除了強調(diào)個人信息處理者需要控制個人信息出境的安全風險，還強調(diào)了備案機構(gòu)及其工作人員同樣對備案材料負有保密義務(wù)，個人信息處理者不必擔心主動備案出境合同可能會導致商業(yè)秘密等泄露，更不用擔心因泄露而導致潛在的商業(yè)機會喪失。

二、數(shù)據(jù)出境立法呈體系化趨向，條款內(nèi)容“承上啟下”

時至今日，我國數(shù)據(jù)安全立法經(jīng)歷了從無到有、從有到優(yōu)的發(fā)展歷程，隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》相繼頒布，我國的數(shù)據(jù)立法工作呈現(xiàn)縱深化、專題化和領(lǐng)域化的發(fā)展趨勢。在數(shù)據(jù)安全出境領(lǐng)域，前三部法律明確了數(shù)據(jù)出境的基本原則和基本制度架構(gòu)，而此次的《辦法》和《數(shù)據(jù)出境安全評估辦法》等則構(gòu)成了數(shù)據(jù)安全出境體系的具體內(nèi)容，并且除了適用范圍具有相互填補銜接的特點之外，在立法目標和具體條款上同樣實現(xiàn)了監(jiān)管標準的統(tǒng)一化和體系化。

（一）數(shù)據(jù)出境需進行個人信息保護影響評估。《個人信息保護法》第55條和第56條規(guī)定了“向境外提供個人信息”時應(yīng)當事前進行個人信息保護影響評估，并明確了評估事項主要包括處理目的、處理方式、個人權(quán)益影響及安全風險、風險匹配度等。而《辦法》第5條則將個人信息保護影響評估事項進一步細化，專門針對個人信息出境之后的潛在風險點作出了一體性評估要求，包括但不限于境外接收方能否履行承諾的個人信息保護法義務(wù)、出境后是否存在非法利用、泄露等風險、境外接收方所在國家或地區(qū)的相關(guān)立法能否保障標準合同的履行。

（二）“安全評估、標準合同、機構(gòu)認證”出境機制并行。《個人信息保護法》第38條規(guī)定了個人信息出境需要滿足的法定條件包括“安全評估”“個人信息保護認證”和“標準合同”?！稊?shù)據(jù)出境安全評估辦法》公布后不到一年內(nèi)，國家互聯(lián)網(wǎng)信息辦公室緊鑼密鼓地頒布《辦法》，意味著我國個人信息出境機制正在逐漸按照上位法《個人信息保護法》的內(nèi)容逐一補全，企業(yè)數(shù)據(jù)出境業(yè)務(wù)合規(guī)的選擇空間更加廣闊。

（三）依照上位法確定標準合同內(nèi)容，并未實際增加企業(yè)合規(guī)成本。《辦法》附件所列明的標準合同條款內(nèi)容絕大部分均是以《個人信息保護法》所涉及的個人信息主體權(quán)利和個人信息處理者義務(wù)為基礎(chǔ)，企業(yè)依據(jù)《個人信息保護法》要求落實個人信息保護義務(wù)的同時，實際上也在完成個人信息出境標準合同所要求的義務(wù)。附件標準合同的“定義”部分與《個人信息保護法》所規(guī)定的個人信息主體、個人信息、敏感個人信息等概念保持一致，至于“個人信息處理者的義務(wù)”“境外接收方的義務(wù)”“個人信息主體權(quán)利”等內(nèi)容則是針對個人信息出境場景的風險特殊性，細化了《個人信息保護法》規(guī)定的義務(wù)履行方式和權(quán)利行使方式，保持了監(jiān)管標準的一致性。

三、數(shù)據(jù)安全風險治理新探索：打造可信可控的個人信息出境模式

現(xiàn)階段，網(wǎng)民往往在繁瑣冗雜的隱私政策、用戶協(xié)議等平臺規(guī)則中“迷失方向”，在一次次點擊“同意”按鈕時，又在擔心自己的個人信息出境之后是否安全，這種社會公眾對個人信息出境乃至數(shù)據(jù)流動安全性的不信任已經(jīng)成為數(shù)據(jù)要素市場化配置的關(guān)鍵阻礙。為了保障自然人個人信息權(quán)益，同時最大限度地實現(xiàn)個人信息效用，《辦法》選擇從個人信息出境最直接的風險來源切入——以出境后的個人信息安全保障為重心，以救濟方式、違約責任、爭議解決機制等方式消解社會公眾對個人信息出境的不信任，同時確保境外接收方能夠按照合同約定履行義務(wù)。這種數(shù)據(jù)安全風險治理新探索主要體現(xiàn)在以下兩個方面。

（一）個人信息主體維權(quán)有所依，相互推諉不復在。附件標準合同在“第六條 救濟”中明確了境外接收者需要向個人信息主體提供詢問或投訴的具體渠道，以網(wǎng)站公告或單獨通知的方式告知境外接收方的固定聯(lián)系人，避免個人信息主體維權(quán)時對于境外接收方“可望不可及”。個人信息主體再也不用擔心發(fā)生爭議時個人信息處理者與境外接收方相互“踢皮球”，將爭議問題推諉給對方。

（二）違約責任保障合同義務(wù)履行，仲裁或訴訟解決先行賠償問題。附件標準合同以個人信息主體的權(quán)利保障為優(yōu)先事項，規(guī)定了違約方需要承擔民事責任、行政責任乃至刑事責任，同時提及了雙方依法承擔連帶責任的，個人信息主體完全有權(quán)選擇其中一方或雙方承擔責任。一方承擔的責任超過其應(yīng)當承擔的責任份額時，有權(quán)向另一方追償。（作者：趙精武 北京航空航天大學法學院副教授）