Expert Interpretation: Constructing a Personal Information Outbound Certification System to Improve the Compliance Framework for Personal Information Outbound Transfer

《个人信息保护法》规定个人信息处理者因业务等需要，确需向境外提供个人信息，需通过安全评估、订立标准合同或进行个人信息保护认证。此前，通过《网络数据安全管理条例》《数据出境安全评估办法》《个人信息出境标准合同办法》以及《促进和规范数据跨境流动规定》，个人信息出境制度已经具有较为完整的规定。《个人信息出境认证办法》（以下简称《办法》）则在法律法规规定基础上，衔接《关于实施个人信息保护认证的公告》的规定，细化了个人信息出境认证的具体实施规则，标志着我国三种个人信息出境制度的全面落地。<br> 从国际视角看，认证机制在个人信息出境中发挥重要作用。早在2011年，亚太经济合作组织（APEC）推出了跨境隐私规则（CBPR）认证机制。目前，日本、新加坡等国采用了全球CBPR认证作为跨境数据传输的手段，获得CBPR认证的全球公司可以直接在这些国家之间跨境传输个人信息。获得认证的企业可在CBPR成员之间直接进行个人信息跨境传输。2016年欧盟《通用数据保护条例》则是首次将认证机制规定为数据出境的机制之一，并发布了对应指南。韩国等其他国家也引入认证机制作为个人信息出境的一种途径。但总体上，现有的个人信息出境认证主要停留在规定层面，实践中由于具备认证资质的认证机构比较缺乏、认证细则不明确等原因，企业较少采用此种机制进行个人信息跨境传输。《办法》立足中国个人信息保护规定和监管经验，在以下方面给出了中国方案，切实推动个人信息出境认证制度落地。<br> 其一，明确适用个人信息出境认证的条件，衔接相关规定内容。《办法》延续了《促进和规范数据跨境流动规定》相关内容，从三方面规定了适用认证机制的条件：一是主体方面，明确不适用于关键信息基础设施运营者。二是信息类型方面，明确不适用于重要数据。三是处理信息数量方面，规定自当年1月1日起累计向境外提供的个人信息需满足在10万人至100万人之间，或如果含敏感个人信息，则敏感个人信息需不满1万人。<br> 其二，彰显个人信息保护认证的自愿性和市场化，明确个人信息保护认证的定位。《办法》体现了个人信息出境认证的四个特性。一是自愿性，认证申请系由个人信息处理者自愿向专业认证机构提出，认证不是强制性的出境手续，不会给企业带来合规负担。二是市场化，认证主体是市场化的专业认证机构而非国家监管部门，这在很大程度上有助于激发认证活动的活力，增强认证制度的适用性。三是社会化，认证活动以需求为导向，由政府、专业认证机构、申请人以及社会公众共同合作实现。四是统一性，主管部门制定个人信息出境认证相关标准、技术规范、认证规则，统一认证证书和标志，专业认证机构按照认证基本规范、个人信息保护认证规则开展个人信息出境认证活动，能够保证认证门槛的一致性，避免申请人为了提升认证通过率，选择采用标准更低的认证机构。<br> 其三，明确专业认证机构认证重点要求，规范个人信息出境认证程序。首先，明确规定认证机构评定依据，规定专业认证机构应当按照认证基本规范、个人信息保护认证规则开展个人信息出境认证活动。其次，规范认证证书管理，明确认证证书出具、有效期及延期申请、信息报送等内容。最后，规定专业认证机构对认证证书的暂停与撤销，以及重大情况报告制度。《办法》同时规定投诉举报机制，明确任何组织和个人发现获证个人信息处理者违反本办法规定向境外提供个人信息的，都可向专业认证机构、网信部门和有关部门投诉、举报，强调社会各主体在监督方面的作用，以期最大程度保障个人信息跨境安全。此外，《办法》还规定中国境外的个人信息处理者通过其在境内设立的专门机构或指定代表协助，同样可以申请个人信息出境认证，为个人信息保护认证申请提出了具有针对性、操作性的指引。<br> 《办法》的出台是我国个人信息出境领域立法和监管体系的重要完善，标志着我国个人信息出境制度体系已构建完成。《办法》结合我国认证制度与个人信息保护的相关法律规定，形成了一套契合中国国情、具有较强针对性和可操作性的个人信息出境认证制度。未来，随着《办法》的实施，我国个人信息跨境治理将迈向更高水平，在保障安全的基础上促进个人信息高效跨境流动，进一步激发我国数据要素活力，为我国数字经济发展提供坚实基础。（作者：丁晓东，中国人民大学法学院副院长、教授）