專家解讀｜個人資訊出境進入“标準化”法治時代

作者：趙精武（北京航空航天大學法學院副教授）

在資料要素市場化配置的國家戰略導向下，資料安全高效出境順勢成為立法工作的重要内容。《網絡安全法》《資料安全法》《個人資訊保護法》建構起全方位的資料安全和個人資訊保障體系，但是資料安全不等于限制資料流動，而是為了促成資料更高效的流動。在此背景下，大陸出台了《資料出境安全評估辦法》，解決了涉及大量個人資訊、重要資料的出境安全問題。但是，資料出境立法程序并沒有就此止步。為了滿足企業資料出境的業務需求以及迎合不同規模資料出境的行業特征，國家網際網路資訊辦公室又出台了《個人資訊出境标準合同辦法》（下簡稱《辦法》）。這不僅意味着大陸資料出境立法的體系化工作取得巨大成就，也意味着大陸個人資訊出境就此步入“标準化”法治時代。

一、資料安全監管理念更新，合規出境管道多元化

數字經濟的創新發展離不開資料資源的供給與流動，為了進一步解放資料資源在數字市場中的生産要素功能，填補資料合規出境的單一性，國家網際網路資訊辦公室一針見血地點出行業痛點，以标準化合同的制度模式為企業資料出境提供了另一種可能性。與過去強監管模式相比，《辦法》展現了大陸監管機構在長期的資料安全監管實踐活動中所探索出的新型監管理念和監管模式，即将行政監管與企業自主合規相結合。

（一）定底線，留磋商。《辦法》看似對企業個人資訊出境合同作出了種種限制，甚至還列明了《個人資訊出境标準合同》，但這種表現的背後卻展現了大陸的監管智慧：在私法層面，合同的生命在于意思自治和自主磋商，《辦法》并沒有事無巨細地限定企業應當怎麼訂立合同，而是以示範性的标準合同的形式指引企業應當如何完成的個人資訊保障義務。《辦法》第6條規定标準合同應當按照《辦法》附件訂立，但同時也允許在與附件内容不沖突的情況下約定其他條款。

（二）填空白，多管道。《資料出境安全評估辦法》的出台解決了大規模個人資訊、重要資料的安全出境問題，但是對于出境資料規模不大、不屬于關鍵資訊基礎設施營運者的其他企業而言，采取同樣的資料出境模式又未免存在合規成本過高等問題。《辦法》第4條則明确了标準合同機制适用應當同時符合以下情形：一是非關鍵資訊基礎設施營運者；二是處理個人資訊不滿100萬人的；三是自上年1月1日起累計向境外提供個人資訊不滿10萬人的；四是自上年1月1日起累計向境外提供敏感個人資訊不滿1萬人的。該條直接說明了《辦法》對資料出境安全評估機制适用範圍的填補，企業在出境部分個人資訊時，可選擇的合規模式更加多元。

（三）重備案，強保密。《辦法》第3條明确提及了适用原則包括“自主締約與備案管理相結合”“保護權益與防範風險相結合”等。一方面，這裡的“備案”不同于資料安全評估機制所要求的實質性審查，而是強調監管機構僅對送出材料進行形式審查，至于備案材料的真實性則由企業自行負責。另一方面，這裡的“防範風險”除了強調個人資訊處理者需要控制個人資訊出境的安全風險，還強調了備案機構及其從業人員同樣對備案材料負有保密義務，個人資訊處理者不必擔心主動備案出境合同可能會導緻商業秘密等洩露，更不用擔心因洩露而導緻潛在的商業機會喪失。

二、資料出境立法呈體系化趨向，條款内容“承上啟下”

時至今日，大陸資料安全立法經曆了從無到有、從有到優的發展曆程，随着《網絡安全法》《資料安全法》《個人資訊保護法》相繼頒布，大陸的資料立法工作呈現縱深化、專題化和領域化的發展趨勢。在資料安全出境領域，前三部法律明确了資料出境的基本原則和基本制度架構，而此次的《辦法》和《資料出境安全評估辦法》等則構成了資料安全出境體系的具體内容，并且除了适用範圍具有互相填補銜接的特點之外，在立法目标和具體條款上同樣實作了監管标準的統一化和體系化。

（一）資料出境需進行個人資訊保護影響評估。《個人資訊保護法》第55條和第56條規定了“向境外提供個人資訊”時應當事前進行個人資訊保護影響評估，并明确了評估事項主要包括處理目的、處理方式、個人權益影響及安全風險、風險比對度等。而《辦法》第5條則将個人資訊保護影響評估事項進一步細化，專門針對個人資訊出境之後的潛在風險點作出了一體性評估要求，包括但不限于境外接收方能否履行承諾的個人資訊保護法義務、出境後是否存在非法利用、洩露等風險、境外接收方所在國家或地區的相關立法能否保障标準合同的履行。

（二）“安全評估、标準合同、機構認證”出境機制并行。《個人資訊保護法》第38條規定了個人資訊出境需要滿足的法定條件包括“安全評估”“個人資訊保護認證”和“标準合同”。《資料出境安全評估辦法》公布後不到一年内，國家網際網路資訊辦公室緊鑼密鼓地頒布《辦法》，意味着大陸個人資訊出境機制正在逐漸按照上位法《個人資訊保護法》的内容逐一補全，企業資料出境業務合規的選擇空間更加廣闊。

（三）依照上位法确定标準合同内容，并未實際增加企業合規成本。《辦法》附件所列明的标準合同條款内容絕大部分均是以《個人資訊保護法》所涉及的個人資訊主體權利和個人資訊處理者義務為基礎，企業依據《個人資訊保護法》要求落實個人資訊保護義務的同時，實際上也在完成個人資訊出境标準合同所要求的義務。附件标準合同的“定義”部分與《個人資訊保護法》所規定的個人資訊主體、個人資訊、敏感個人資訊等概念保持一緻，至于“個人資訊處理者的義務”“境外接收方的義務”“個人資訊主體權利”等内容則是針對個人資訊出境場景的風險特殊性，細化了《個人資訊保護法》規定的義務履行方式和權利行使方式，保持了監管标準的一緻性。

三、資料安全風險治理新探索：打造可信可控的個人資訊出境模式

現階段，網民往往在繁瑣冗雜的隐私政策、使用者協定等平台規則中“迷失方向”，在一次次點選“同意”按鈕時，又在擔心自己的個人資訊出境之後是否安全，這種社會公衆對個人資訊出境乃至資料流動安全性的不信任已經成為資料要素市場化配置的關鍵阻礙。為了保障自然人個人資訊權益，同時最大限度地實作個人資訊效用，《辦法》選擇從個人資訊出境最直接的風險來源切入——以出境後的個人資訊安全保障為重心，以救濟方式、違約責任、争議解決機制等方式消解社會公衆對個人資訊出境的不信任，同時確定境外接收方能夠按照合同約定履行義務。這種資料安全風險治理新探索主要展現在以下兩個方面。

（一）個人資訊主體維權有所依，互相推诿不複在。附件标準合同在“第六條救濟”中明确了境外接收者需要向個人資訊主體提供詢問或投訴的具體管道，以網站公告或單獨通知的方式告知境外接收方的固定聯系人，避免個人資訊主體維權時對于境外接收方“可望不可及”。個人資訊主體再也不用擔心發生争議時個人資訊處理者與境外接收方互相“踢皮球”，将争議問題推诿給對方。

（二）違約責任保障合同義務履行，仲裁或訴訟解決先行賠償問題。附件标準合同以個人資訊主體的權利保障為優先事項，規定了違約方需要承擔民事責任、行政責任乃至刑事責任，同時提及了雙方依法承擔連帶責任的，個人資訊主體完全有權選擇其中一方或雙方承擔責任。一方承擔的責任超過其應當承擔的責任份額時，有權向另一方追償。

來源： 網信中國