繼承、借鑒及留白—《個人信息保護法(草案)》背景下的跨國企業(yè)若干特殊合規(guī)要點評析
作者:吳衛(wèi)明 趙天驕 2020-12-10《個人信息保護法(草案)》(以下簡稱《草案》)于10月21日公布以來引發(fā)了各方眾多探討,《草案》如順利公布生效,則我國個人信息保護領(lǐng)域由《民法典》、《刑法》、《網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法(草案)》(簡稱“《數(shù)據(jù)安全法(草案)》”)、《個人信息保護法》及其他行業(yè)管理辦法構(gòu)成的多層次立法格局已初步顯現(xiàn)。從目前《草案》公布內(nèi)容看,橫向上一定程度借鑒了歐盟《通用數(shù)據(jù)保護條例》(GDPR)的監(jiān)管方式,縱向上對原有法律、法規(guī)及標準既有內(nèi)容在繼承的基礎(chǔ)上又有許多重大調(diào)整,對企業(yè)的個人信息保護及數(shù)據(jù)合規(guī)工作提出了新的要求并明確了新的路徑。對跨國企業(yè)而言,除需遵守一般合規(guī)要求外,還應滿足《草案》中關(guān)于域外效力及個人信息跨境提供規(guī)則的規(guī)定,并應關(guān)注國內(nèi)個人信息保護領(lǐng)域的標準和認證發(fā)展趨勢。本文側(cè)重圍繞《草案》背景下跨國企業(yè)需注意的以上三方面內(nèi)容,結(jié)合《草案》的原則性規(guī)定、相關(guān)法律法規(guī)及規(guī)范性文件要求,從跨國企業(yè)合規(guī)實務(wù)角度展開探討。
一、《草案》的域外效力及境內(nèi)機構(gòu)設(shè)立要求 在適用范圍上,《草案》借鑒了GDPR及現(xiàn)今多數(shù)國家與地區(qū)同類立法的處理方式,即將本國個人信息保護法律的效力擴展至域外。根據(jù)《草案》第三條規(guī)定,在境內(nèi)處理個人信息的活動應適用本法,在境外處理我國境內(nèi)個人信息的情形下,如滿足以下情形中任一項也應適用本法:(1)以向境內(nèi)自然人提供產(chǎn)品或服務(wù)為目的 (2)為分析、評估境內(nèi)自然人的行為 (3)法律、行政法規(guī)規(guī)定的其他情形。筆者認為,《草案》在適用范圍上采用了屬地原則兼目的原則、效果原則的立法模式,但均以“處理自然人個人信息”的行為成立為前提,該規(guī)定使我國個人信息保護法規(guī)具有了域外效力。 根據(jù)《草案》第三條,對于企業(yè)處理個人信息的法律適用邏輯,可以通過圖示進行表述(見表-1)。 表-1 《個人信息保護法(草案)》域外適用判斷邏輯圖 但是,對于何種情況下,在境外處理境內(nèi)個人信息可以豁免適用中國法律?《草案》并未直接規(guī)定。且《草案》的規(guī)定容易產(chǎn)生理解的歧義,是否不屬于“以向境內(nèi)自然人提供產(chǎn)品或服務(wù)為目的,以及為分析、評估境內(nèi)自然人的行為”可以豁免適用?筆者認為,應結(jié)合《數(shù)據(jù)安全法(草案)》的規(guī)定綜合來看。境外處理中國境內(nèi)個人信息的行為,實際上受到《草案》與《數(shù)據(jù)安全法(草案)》的雙重約束。《數(shù)據(jù)安全法(草案)》第二條規(guī)定:“中華人民共和國境外的組織、個人開展數(shù)據(jù)活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權(quán)益的,依法追究法律責任。”也就是說,境外處理中國境內(nèi)個人信息,即使不構(gòu)成“以向境內(nèi)自然人提供產(chǎn)品或服務(wù)為目的,以及為分析、評估境內(nèi)自然人的行為”,如果有關(guān)機關(guān)認為其處理個人信息行為“損害中華人民共和國國家安全、公共利益或者公民、組織合法權(quán)益的”,依然可以適用中國法律。 關(guān)于實踐中如何判斷境外企業(yè)的個人數(shù)據(jù)處理行為是否屬于“向境內(nèi)自然人提供產(chǎn)品、服務(wù)”或“為分析、評估境內(nèi)自然人的行為”,目前尚無相應配套的認定標準。在GDPR體系下,歐洲數(shù)據(jù)保護委員會于2019年11月發(fā)布的《關(guān)于GDPR的地域適用范圍指南(第三條)》(“EDPB指南”)中指出,判斷非歐盟實體是否具有向歐盟境內(nèi)數(shù)據(jù)主體提供商品或服務(wù)的意圖需結(jié)合境外機構(gòu)是否使用目標國域名、國名、語言和貨幣,是否使用境內(nèi)電話和地址,是否針對境內(nèi)主體開展營銷活動等因素根據(jù)個案情況綜合判斷。 關(guān)于跨國企業(yè)在境內(nèi)設(shè)立機構(gòu)并持續(xù)經(jīng)營行為本身是否可以作為本國(地區(qū))個人信息保護法規(guī)對設(shè)立該境內(nèi)機構(gòu)的母公司可直接適用的依據(jù),《草案》與歐盟GDPR的回答方式略有不同。根據(jù)歐盟GDPR規(guī)定、EDPB指南表述及法院對個案實際情況的認定[1],如在境內(nèi)設(shè)立“實體”(Establishment)且符合存在密不可分聯(lián)系(Inextricable link)及于境內(nèi)產(chǎn)生營業(yè)收入等特征,則設(shè)立該實體的“活動背景下”,境外數(shù)據(jù)控制者或處理者的個人數(shù)據(jù)處理行為應當適用GDPR有關(guān)規(guī)定,不論該“實體”是否在歐盟境內(nèi)實際開展相關(guān)個人信息處理行為。《草案》相比于GDPR作了較為限縮的規(guī)定,目前未將上述內(nèi)容包括在《草案》第三條第二款規(guī)定的三種域外適用情形中。未來《草案》公布后,是否將跨國企業(yè)在我國境內(nèi)的機構(gòu)本身作為評估其存在《草案》第三條第二款規(guī)定的三種域外適用情形的相關(guān)要素之一,需要相關(guān)規(guī)章、解釋、標準或執(zhí)法、司法實踐進一步加以明確。毋需多言,對其目標市場或商業(yè)存在橫跨多個國家和地區(qū)的跨國企業(yè)而言,理解不同法域間法律規(guī)定及執(zhí)法尺度的細微差異,并相應調(diào)整本地業(yè)務(wù)運營方案和合規(guī)內(nèi)控制度是至關(guān)重要的。 另外,對于已被認定為應適用《草案》的“境外個人信息處理者”,《草案》第五十二條規(guī)定與GDPR相關(guān)規(guī)定較為接近,均要求該境外主體應在我國境內(nèi)設(shè)立專門機構(gòu)或指定代表以負責和監(jiān)督個人信息處理活動。 二、《草案》背景下的跨境數(shù)據(jù)提供規(guī)則和政府反制措施分析 《草案》第三章對于個人信息跨境提供的規(guī)定改變了原《個人信息出境安全評估辦法(意見征求稿)》下“一刀切”的處理方式,在第三十七條、三十八條和第四十條中確立了“多元化”的個人信息出境處理模式(見下表)。不同類型的個人信息處理主體應遵守不同的本地存儲要求和跨境提供要求。對不屬于國家機關(guān)和關(guān)鍵信息基礎(chǔ)設(shè)施運營者的個人信息處理者而言,在根據(jù)第三十九條要求明確告知并取得個人單獨同意的基礎(chǔ)上,《草案》根據(jù)其處理個人信息的規(guī)模設(shè)定了差異化合規(guī)要求。達到規(guī)定數(shù)量的個人信息處理者應當通過國家網(wǎng)信部安全評估要求,而未達到規(guī)定數(shù)量的個人信息處理者除了通過國家網(wǎng)信部安全評估外,還可通過取得專業(yè)機構(gòu)認證、訂立合同并監(jiān)督接收方數(shù)據(jù)處理活動及滿足法律法規(guī)及監(jiān)管規(guī)定的其他條件等方式合法向境外提供個人信息。 表-2《個人信息保護法(草案)》下 各類主體的個人信息出境規(guī)則整理 實務(wù)中,跨國企業(yè)如根據(jù)《草案》以上出境要求制定內(nèi)部合規(guī)體系,相關(guān)定義及程序仍待么仍需明確。如第四十條中“規(guī)定數(shù)量”的具體標準,第三十八條(二)有權(quán)合規(guī)開展個人信息保護認證的“專業(yè)機構(gòu)”的資質(zhì)、認證流程及認證標準,第三十八條(三)中所需“訂立合同”中雙方權(quán)利義務(wù)條款的具體內(nèi)容及個人信息處理者履行“監(jiān)督”義務(wù)的具體方式。 以“訂立合同”為例,根據(jù)對《草案》第三十八條(三)的現(xiàn)有表述的一般理解,我們認為在雙方合同條款中應至少應包括所提供的個人信息使用范圍、加密方式、保存期限,是否允許接收方對第三方提供個人信息等內(nèi)容。從境外接收方角度來看,須同時滿足所在國個人信息保護、我國個人信息保護和合同中約定的雙方權(quán)利義務(wù)三個層次的要求。從境內(nèi)個人信息處理者角度來看,履行法定監(jiān)督義務(wù)的技術(shù)實現(xiàn)路徑和證明標準需在實務(wù)中進一步探討,但僅在雙方合同中設(shè)定相關(guān)違約責任顯然不足以免除法定監(jiān)督義務(wù)。 另外,特殊行業(yè)監(jiān)管要求對跨境數(shù)據(jù)傳輸?shù)慕剐曰蛳拗菩砸?guī)定在實務(wù)中應一并納入考量。如《人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》中明確規(guī)定,銀行業(yè)金融機構(gòu)不得向境外提供境內(nèi)個人金融信息。類似要求主要散見于行業(yè)行政法規(guī)和規(guī)范性文件中,覆蓋金融、征信、網(wǎng)約車、網(wǎng)絡(luò)出版等領(lǐng)域。 在政府反制措施方面,《草案》第四十二條、四十三條規(guī)定與《數(shù)據(jù)安全法(草案)》、《出口管制法》等有關(guān)法規(guī)的精神一脈相承,給出了較為原則性的規(guī)定。反制措施既與當前國際政治背景有著密不可分的聯(lián)系,也有其國際法淵源,如國家間對等原則。《草案》項下的反制措施如作為政府行為及常態(tài)化機制,則應有明確的觸發(fā)條件(或?qū)彶橐兀⒅鞴懿块T及執(zhí)行程序等細化措施。《草案》第四十二條提出了“限制或禁止個人信息提供清單”,該清單作為個人信息層面的“出口管制”,是否采取與近期公布的《不可靠實體清單規(guī)定》近似的管理方式,有待進一步明確。鑒于《出口管制法》的管制物項已包括了技術(shù)和服務(wù),如《草案》該規(guī)定正式公布生效,則有可能出現(xiàn)不同清單對部分跨國企業(yè)或其所控制關(guān)聯(lián)主體同時“競合”適用的情況。另外應注意到,《草案》第四十三條其中“歧視性”和“類似措施”存在較大解釋空間,有待明確。對跨國企業(yè)在我國境內(nèi)的子公司和代表處而言,除避免自身出現(xiàn)《草案》第四十二條所列情形外,對于其境外母公司、關(guān)聯(lián)方及供應商的政策風險也應做到提前預判和及時反應。企業(yè)事前應對其業(yè)務(wù)所涉及的境內(nèi)自然人個人信息的收集、使用、加工、傳輸、提供及公開的業(yè)務(wù)模式或場景進行梳理,對所存儲的個人信息數(shù)據(jù)資產(chǎn)應通過分類分級、權(quán)限控制、區(qū)分存儲等方式加強管理,并制定應急預案以盡可能降低各方損失。 三、個人信息保護領(lǐng)域的標準體系整理及展望 在企業(yè)網(wǎng)絡(luò)安全及個人信息保護合規(guī)工作中,除法規(guī)要求外通常需要結(jié)合相關(guān)標準確定操作指引、業(yè)務(wù)流程、系統(tǒng)架構(gòu)和數(shù)據(jù)庫層面細節(jié)。 《草案》第十二條原則性的規(guī)定了國家積極推動我國個人信息保護領(lǐng)域的規(guī)則及標準與國際規(guī)則及標準的互認。根據(jù)制定主體及效力不同,我國的標準可分為國家標準、行業(yè)標準、地方標準和團體標準、企業(yè)標準。目前,我國個人信息保護領(lǐng)域現(xiàn)行有效的國家推薦性標準主要是《信息安全技術(shù) 個人信息安全規(guī)范》,另有行業(yè)標準及指引若干。國際標準層面,涉及多個國際標準化組織,現(xiàn)以國際標準化組織(ISO)、國際電工委員會(IEC)標準為例,對其個人信息保護領(lǐng)域部分國際標準文件整理如下(見表-3)。國際標準可通過同等轉(zhuǎn)化或修改轉(zhuǎn)化的方式成為國內(nèi)標準。 《草案》第五十八條原則性的規(guī)定了有關(guān)部門按照職責權(quán)限組織制定個人信息保護相關(guān)規(guī)則、標準,推進個人信息保護社會化服務(wù)體系建設(shè),支持有關(guān)機構(gòu)開展個人信息保護評估、認證服務(wù)。從社會治理角度,一個健全的個人信息保護體系應包括法律、法規(guī)、標準、判例、第三方認證、企業(yè)管理制度和公民個人意識等諸多要素。從《草案》第十二條和五十八條表述來看,由第三方社會服務(wù)機構(gòu)為企業(yè)提供個人信息保護的評估、認證等服務(wù),并將相關(guān)認證資質(zhì)作為特定企業(yè)滿足合規(guī)要求的證明途徑將有可能成為一種趨勢。在涉及個人信息保護的標準領(lǐng)域,政府將主要以組織國家層面標準的制定和國際互認以及監(jiān)督管理認證機構(gòu)等第三方社會服務(wù)機構(gòu)作為抓手。標準和認證作為一項國際通行的行業(yè)管理工具,也可以有效彌補法律法規(guī)在個人信息保護領(lǐng)域過度剛性和技術(shù)滯后的不足。 從跨國企業(yè)角度,《外商投資法》第十五條明確規(guī)定外商投資企業(yè)有權(quán)依法平等參與標準制定工作。《外商投資企業(yè)參與我國標準化工作的指導意見》明確鼓勵外商投資企業(yè)參與國家標準的起草和翻譯,鼓勵外商投資企業(yè)開展標準化服務(wù),提供標準咨詢、標準信息交流、標準比對分析、標準跟蹤研究等方面服務(wù),鼓勵外商投資企業(yè)在國際標準化雙(多)邊活動中發(fā)揮橋梁作用,開展標準化合作交流,提高中國標準國際化水平。據(jù)此,跨國企業(yè)a.應積極利用自身國際化優(yōu)勢,結(jié)合自身商業(yè)模式和技術(shù)方案特征參與到個人信息保護領(lǐng)域的國家標準、地方標準、行業(yè)標準及團體標準的制定過程中 b.境內(nèi)外業(yè)務(wù)有較強關(guān)聯(lián)的,應積極研究比對其個人信息保護領(lǐng)域原采用的國際標準及歐盟、美國、澳大利亞、新西蘭、新加坡、日本等其他國家標準與我國標準的技術(shù)要求異同 c.應積極熟悉了解相關(guān)部門指定認證機構(gòu)的認證規(guī)則。通過以上措施不僅可以證明跨國企業(yè)產(chǎn)品和服務(wù)的合規(guī)性,也可以體現(xiàn)跨國企業(yè)社會責任感,并提升企業(yè)在行業(yè)內(nèi)的綜合競爭力和影響力。 小結(jié) 本次公布《草案》體現(xiàn)出對相關(guān)法律法規(guī)及標準的繼承,對該領(lǐng)域國際主流立法模式也有一定程度的借鑒。在明確的原則性框架的同時,在重要概念的認定標準和具體操作要求層面留有較大細化和調(diào)整空間,給執(zhí)法、司法部門和行業(yè)實踐留有的一定空間。跨國企業(yè)本地合規(guī)實務(wù)中,如何根據(jù)自身商業(yè)模式制定符合《草案》及其行業(yè)監(jiān)管要求的合規(guī)內(nèi)控體系并有效的落地執(zhí)行,需要政府、企業(yè)、個人和第三方社會服務(wù)機構(gòu)共同展開更深入的探索。一個健全的個人信息保護體系應包括包括多個層級、多方主體、多種手段,并能結(jié)合技術(shù)演進和行業(yè)實踐不斷生長和自我完善。 注釋: [1] 可參見GDPR第三條第一款及歐盟法院在“Google被遺忘權(quán)案”中的裁判觀點。
