《个人信息保护法》将于2021年11月1日起施行

历经十年,数易其稿,广受关注的《个人信息保护法》终于出台,并将于2021年11月1日起施行。

作为规范个人信息保护的专门法律,《个人信息保护法》对于个人信息保护作了较为全面系统的规定。尽管有些规定有待明确或细化,但从立法背景、近年个案频发的现实来看,企业应当在了解该法的基础上,着手进行全面自查,以降低法律风险。

限于篇幅,本文选取《个人信息保护法》中关于个人信息出境问题作一介绍。

个人信息出境问题,涉及到两方主体:提供方和接收方。实务中,前者通常是后者在中国境内的关联公司。

首先,对于提供方而言,需要留意是否具备向境外提供个人信息的前提条件、是否存在禁止出境的情形、以及个人信息出境的程序等等,以下梳理列表如下:

必备条件(择一)

(第38条)

• 按照国家网信部门的规定经专业机构进行个人信息保护认证

• 按照国家网信部门制定的标准合同与境外接收方订立合同

• 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,……确需向境外提供的,应通过国家网信部门组织的安全评估(法律、行政法规和国家网信部门规定可不进行安全评估的除外)

禁止出境

的情形

(第41~43条)

• 非经主管机关批准,不得向外国有关司法、执法机构提供境内个人信息

• 根据前述《个人信息保护法》第42条,列入负面清单的境外主体

• 在个人信息保护方面,我国对其采取对等限制措施的国家和地区

个人信息出境程序

(第39、55、56、38条)

 

• 告知 + 取得个人的单独同意

※ 告知事项包括:境外接收方的名称或姓名、联系方式、处理目的、处理方式、个人信息的种类及个人向境外接收方行使本法规定权利的方式和程序等。

• 事先进行个人信息保护影响评估,并对处理情况进行记录;评估报告和处理情况记录应当至少保存三年

※ 个人信息保护影响评估应当包括的内容:

①个人信息的处理目的、处理方式等是否合法、正当、必要

②对个人权益的影响及安全风险

③采取的保护措施是否合法、有效并与风险程度相适应

• 采取必要措施保障境外处理活动达到个人信息保护标准

其次,根据《个人信息保护法》第3条,境外发生的以下行为也受到该法约束:(1)以向境内自然人提供产品或者服务为目的的行为。(2)分析、评估境内自然人的行为。因此,接收方对于来自中国境内的个人信息处理活动,也受到该法规制。

这种规制主要包括两个方面:

(1)义务。根据《个人信息保护法》第53条,境外接收方“应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门”。

(2)责任。《个人信息保护法》第42条规定,“境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施”。

尽管对于上述规定是否触及“长臂管辖”,存在争议,对于具体如何执法,尚不明了。但从立法意图来看,推测可能是通过第38条对于境内提供方“采取必要措施保障境外处理活动达到个人信息保护标准”这一义务入手,通过对境内相关主体采取措施,间接地达到规制境外主体的目的。