逐条精解:《个人信息保护法》38条-43条
“
随着云计算、大数据、区块链等信息技术的迭代发展,全球经济数字化进程日新月异,数据跨境流动的需求也变得日趋迫切。《个人信息保护法》较好的衔接了《民法典》《数据安全法》《网络安全法》等相关法律法规,就个人信息权益的保护而言,形成了较为完善的法律体系。在坚持数据跨境安全、自由流动原则的前提下,《个人信息保护法》构建了一套全面且系统的个人信息跨境流动规则。
本文就《个人信息保护法》个人信息跨境规则专章展开法律解读,以期分析我国个人信息跨境流动机制的新动向。
”
文 | 夏海波 郑泽爽 上海格联律师事务所
校对 | 古锐 王军华 上海格联律师事务所
本文由作者向新则独家供稿
第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
条文精讲:本条重点在于第一款规定了向境外提供个人信息的基本条件。
第(一)项是通过安全评估。安全评估机制在本法第36条“国家机关处理的个人信息向境外提供”、第38条“个人信息处理者因业务等需要,需要向境外提供个人信息”、以及第40条“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,将境内收集和产生的个人信息向境外提供的”的三种情形中均有所规定。
第(二)项是通过专业机构认证。目前《个人信息保护法》尚未生效,网信部门也尚未出台关于专业机构对个人信息保护认证的相关规定,有待网信部门后续对专业机构、认证内容及认证程序等相关事项出台更细致完善的规则。
第(三)项是设置标准合同。本条第三款意味着国家网信部门可以通过标准化合同条款来规范、引导个人信息跨境提供的权利和义务,从而更好地约束各方行为,统一管理个人信息跨境合同的签订,加强对个人信息权益的保护。
第(四)项是兜底条款,法律、行政法规或者国家网信部门有其它规定的,依照其规定。和前面三款是一个有机结合,整体明确了较为完善的个人信息处理者向中华人民共和国境外提供个人信息的条件。
延申思考:个人信息出境是否全部需要评估?
答:并不是全部的个人信息出境都需要进行评估。
就一般个人信息处理者而言,根据《个人信息保护法》第38条规定,个人信息处理者满足四个条件(网信部安全评估、网信部规定的专业机构认证、与境外信息接收方签订网信部制定的标准合同、法律法规及网信部规定其他条件)之一就可以进行出境。无论是否以何种方式出境,个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
就特殊的个人信息处理者而言,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,确需向境外提供的,应当通过国家网信部门组织的安全评估。法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。但截至目前相关法律、行政法规和国家网信部门还没有出台关于“豁免”这类特殊个人信息处理者的相关规定。
就国家机关等具有管理公共事务职能的组织而言,国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。
第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
条文精讲:本条规定了跨境提供个人信息应严格采用“告知+单独同意”模式。
为了防止个人信息的跨境提供损害我国公民的权利和自由,本条对跨境输出个人信息确立了更加严格的知情同意要求。对境外提供信息的个人信息处理者履行严格的特定要求告知义务和获得个人的单独同意,旨在使个人信息跨境传输能更好的保护个人信息。
延申思考:个人信息处理者在何种情况下应采取“告知+单独同意”模式处理个人信息?
答:除本条约定的信息出境外,《个人信息保护法》第23条、第25条、第29条都约定了个人信息处理者在处理敏感个人信息、向其他处理者提供个人信息、公开个人信息、为公共安全收集信息后转变信息使用目的的,都需要采取“告知+单独同意”模式处理个人信息。
第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
条文精讲:本条明确了重要个人信息处理者向境外提供个人信息的专门要求。
本条规制的个人信息处理者包括关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者。《网络安全法》第31条第1款和《关键信息基础设施安全保护条例》(2021年7月30日发布)第2条均对关键信息基础设施规定了较为一致的定义,即关键信息基础设施是公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
关键信息基础设施运营者即为对于上述重要网络设施、信息系统的所有者、管理者、服务提供者。对于上述关键信息基础设施的运营者若需向境外提供个人信息的,除其他法律法规规定的例外情形外,均应当通过国家网信部门组织的安全评估。
此外,本条还规定了法律、行政法规和国家网信部门规定可以不进行安全评估的例外情形,为后续立法规定例外情形留下了法律依据。
第四十一条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
条文精讲:本条明确了国际司法协助或行政执法协助情形下向境外提供个人信息需报批的原则性要求。
在境外司法或执法机构要求我国提供境内个人信息时需要经过我国主管机关的批准,这一规定在一定程度上制约了境外机构的长臂管辖,维护国家主权和安全及境内个人的合法权益。本条也明确规定了例外情形,即“我国缔结或参加的国际条约、协定对此有规定的,依照其规定”,协调了法律与国际条约、协定的统一衔接适用问题。
第四十二条 境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。
条文精讲:本条规定了限制或者禁止个人信息提供清单制度。
确立限制或者禁止个人信息提供清单制度,限制、禁止向境外从事损害我国公民的个人信息权益,或者危害我国国家安全、公共利益的个人信息处理活动的组织、个人提供个人信息,有助于一定程度上降低个人信息出境环节中危害国家安全、公共利益或损害个人信息权益的风险,亦可以起到一定的威慑和警示作用。
近年来,经济全球化带来的国际合作愈加频繁,个人信息出境往往意味着境内监管机构的监管难度及个人维权难度的跨越式的增长,设置“黑名单规则”,有利于缓解境外组织、个人侵害我国个人信息权益、危害国家安全和公共利益的状态。
第四十三条 任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
条文精讲:本条明确了个人信息保护领域的对等反制措施。
采取正当且必要的对等反制措施,是维护国家利益的重要手段。就个人信息保护领域而言,本条规定的对等反制措施基于国际法上的“对等原则”,亦同《出口管制法》第48条、《数据安全法》第26条所体现的立法精神相协同,有助于维护我国国家利益、公共利益及我国个人的合法权益。
相关文章链接:
# 直播预告 #
10月30日下午2点,著名战略咨询专家刘润将发布『进化的力量·刘润年度演讲2021』,解读2021年的重要节点,探寻2022年的无限可能。新则作为法律行业独家深度支持媒体,将同步直播本次演讲全程内容,欢迎预约收看。
↓↓↓
# 推荐阅读 #