前言

2022年4月，全國信息安全標準化技術委員會發布《網絡安全標準實踐指南——個人信息跨境處理活動認證技術規范》（征求意見稿）（以下簡稱“規范”）。規范系為落實《個人信息保護法》第38條[1]建立個人信息保護認證制度提供認證依據。本文擬對其進行簡析，以期對需進行個人信息跨境處理的機構提供有益參考。規范共分為五個部分，具體而言：

1.適用情形

規范適用于以下三種情形（需通過國家網信部門安全評估的，以及中國締結或參加的國際條約/協定另有規定的除外）：

（1）跨國公司跨境處理個人信息；

（2）同一經濟、事業實體內部跨境處理個人信息；以及，

（3）境外個人信息處理者在向境內自然人提供產品或者服務過程中，或為了分析、評估境內自然人的行為，或因法律法規規定的其它情形，而需在境外處理境內自然人個人信息。

簡析：我們認為，適用情形概括起來分為“機構內部”和“機構外部”兩種。前兩種情形可歸為在“機構內部”進行跨境個人信息處理活動，更多的是針對企事業單位內部的人員和員工；而第（3）情形則屬于處理“機構外部”的個人信息，而境內機構處理“機構外部”的個人信息并不涉及跨境信息處理，因此，第（3）種情形僅適用于境外機構處理境內個人信息。

2.認證方式

根據規范，上述適用情形中的第（1）和第（2）種情形，可由境內一方申請認證，并承擔法律責任。而上述適用情形中的第（3）種情形，可由境外組織機構在境內設置的專門機構或指定代表申請認證，并承擔法律責任。

簡析：我們認為，第（1）和第（2）種適用情形的認證方式可操作性較強，因為該等情形中必然存在境內主體，而第（3）種適用情形卻存在無法操作的可能性。因為境外個人信息處理者很可能在境內并未設置任何機構（包括但不限于子公司、代表處等），也不存在任何指定代表，若如此，該等境外個人信息處理者在客觀上便無法申請認證。因此，如果境外個人信息處理者希望開展境內個人信息處理業務，就必須在境內設置專門機構（如設立子公司或者代表處），或與境內機構建立合作關系，并由該等境內專門機構或者境內合作方代其申請認證，并承擔法律責任。

3.基本原則

根據規范，個人信息跨境處理活動應遵循以下原則：

合法、正當、必要和誠信原則；公開、透明原則；信息質量原則；同等保護原則；責任明確原則；自愿認證原則。

簡析：我們理解，上述原則的主要法條依據是《個人信息保護法》第五條至第九條的規定[2]。值得一提的是，除依據《個人信息保護法》第四十條的規定[3]必須通過國家網信部門安全評估的情形之外，其它個人信息跨境處理活動的當事人，可自愿（而非強制）聘請專業機構對個人信息保護進行認證。

4.基本要求

這部分包括法律約束、組織管理、個人信息跨境處理規則，以及個人信息保護影響評估四個方面的內容。其中，法律約束是指參與個人信息跨境處理的相關方之間應簽訂具有法律約束力和執行力的文件；組織管理包括指定個人信息保護負責人和設立個人信息保護機構；個人信息跨境處理規則包括個人信息的基本情況，處理目的、方式、范圍，境外存儲事宜，信息中轉國家/地區，保障信息主體權益的資源和措施，以及發生信息安全事件的賠償與處置；個人信息保護影響評估的內容包括合法合規性，對信息主體權益的影響，以及其它維護信息主體權益所必需的事項。

簡析：我們認為，該第4部分內容系整個規范的核心，是對《個人信息保護法》第38條的進一步說明和補充。例如，基本要求的第一條“法律約束”中所稱的“具有法律約束力和執行力的文件”就是對《個人信息保護法》第38條第（三）項要求中的“網信部門制定的標準合同”的細化，根據規范，個人信息跨境處理各方簽署的文件應至少包括以下內容：個人信息跨境處理各方，跨境處理的目的以及個人信息的類別、范圍，信息主體權益保護措施，各方對遵守統一的處理規則、個人信息保護水平不低于境內相關標準、接受認證機構監督、接受境內相關法律法規約束的承諾，境內擔責主體等。而基本要求的第二條“組織管理”，我們認為可能更適用于“機構內部”的跨境個人信息處理活動，以楊春寶律師團隊服務的A客戶為例，這是一個總部位于英國，并在全球多個國家和地區擁有分支機構的跨國公司，有為數不少的員工會被委派至全球各地工作，其中也包括中國區員工被委派至境外工作的情形，這就會不可避免地涉及到跨境處理該等員工個人信息的問題。我們理解，境內有眾多諸如A客戶這樣的跨國公司，建議該等企業在企業內部設立個人信息保護機構（根據我們的實務經驗，通?？鐕镜暮弦幉炕蛉肆Y源部會承擔員工個人信息保護的工作職責），指定相應的負責人（可以是合規部或人力資源部負責人或其指定的下屬），并嚴格按照規范的要求落實該機構和負責人在跨境處理員工個人信息事項上的工作職責。我們理解，基本要求的第三條“個人信息跨境處理規則”則應在個人信息跨境處理各方簽署的有法律約束力的文件中予以明確約定。而基本要求的第四條“個人信息保護影響評估”則要求個人信息跨境處理各方事先對向境外提供個人信息的合法性、正當性和必要性，以及采取的保護措施是否有效及適合進行評估，我們認為，從某種意義上來說，這種“事先”進行的“自評估”是個人信息跨境處理各方進行風險控制的重要措施，能夠在一定程度上降低發生個人信息跨境處理安全事件的可能，并盡量減少安全事件所導致的影響和損失。

5.個人信息主體權益保障

個人信息主體權益保障包括個人信息主體權利和相關方的責任義務兩方面的內容。個人信息主體權利包括個人信息主體對其個人信息處理的知情權、決定權、投訴權和起訴權等。而相關方的責任義務則基本與個人信息主體的權益相對應。

簡析：在對規范進行研讀之后，我們將個人信息主體的知情權歸納為：有權要求取得相關法律文件中與其個人信息權益相關的內容的副本，查閱、復制其個人信息，以及了解其個人信息處理規則。而個人信息主體的決定權包括則有權限制、拒絕對其個人信息進行處理，更正、補充、刪除其個人信息，拒絕僅以系統自動方式作出決定，向境內監管機構投訴、舉報，以及向個人信息跨境處理各方起訴等。而相關方的責任義務中，除了與個人信息主體的權利相對應的內容，即保障個人信息主體的知情權、決定權之外，還包括就個人信息跨境處理相關事項征得個人信息主體的單獨同意，在拒絕個人信息主體行使相關知情權和決定權時告知其理由和救濟途徑，在發現難以保障個人信息安全時及時終止個人信息跨境處理，以及承諾接受境內認證機構的監管、遵守境內相關規定并接受境內司法管轄。

結語

雖然，出臺規范的主要目的系對跨境處理個人信息活動提供認證依據，但我們認為，該文件對于需進行跨境個人信息處理的境內和境外機構（尤其是跨國公司）而言也具有較強的指導意義。強烈建議該等機構按照規范的內容設立跨境個人信息處理相關制度，在合法合規的框架下從事跨境信息處理活動，以避免因違法違規而收到監管機構的行政處罰，并導致經濟和商譽受損。

作者簡介

楊春寶，一級律師，北京大成（上海）律師事務所高級合伙人、私募股權與投資基金專業組牽頭人、TMT行業組牽頭人，大成中國區科技文化休閑娛樂專業委員會副主任，上海涉外法律人才庫成員。復旦大學法學學士（1992）、悉尼科技大學法學碩士（2001）、華東政法大學法律碩士（2001）。

楊律師執業27年，2004年起多次受到The Legal 500和Asia Law Profiles的特別推薦或點評，2016年起連續入選國際知名法律媒體China Business Law Journal“100位中國業務優秀律師”，榮獲Leaders in Law - 2021 Global Awards“中國年度公司法專家”稱號，多次榮獲Lawyer Monthly及Finance Monthly“中國TMT律師大獎"和“中國并購律師大獎"等獎項。具有上市公司獨立董事任職資格，系華東理工大學法學院兼職教授、復旦大學法學院兼職導師、華東政法大學兼職研究生導師、上海交通大學私募總裁班講師、上海市商務委跨國經營人才培訓班講師。出版《企業全程法律風險防控實務操作與案例評析》《完勝資本2：公司投融資模式流程完全操作指南》《私募股權投資基金風險防控操作實務》等16本專著。楊律師執業領域為：公司、投資并購和私募基金，資本市場，TMT，房地產和建筑工程，以及上述領域的爭議解決。電郵：chambers.yang@dentons.cn

孫瑱，北京大成（上海）律師事務所合伙人。孫律師在執業前先后在美國沃茨、英格索蘭和阿爾卡特朗訊等全球500強企業擔任全球、亞太區或中國區總裁或副總裁執行助理，積累了豐富的企業運營管理經驗，并具備非常優秀的中英文雙語溝通和協調能力。孫律師出版《私募股權投資基金風險防控操作實務》并發表數十篇并購、基金、電商領域的文章。孫律師擅長領域為：私募股權投資、企業并購、電商和勞動法律事務。電郵：sun.zhen@dentons.cn

[1] 《個人信息保護法》第38條 個人信息處理者因業務等需要，確需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：

……

（二）按照國家網信部門的規定經專業機構進行個人信息保護認證；……

[2] 《個人信息保護法》

第五條 處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。

第六條 處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。

收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息。

第七條 處理個人信息應當遵循公開、透明原則，公開個人信息處理規則，明示處理的目的、方式和范圍。

第八條 處理個人信息應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響。

第九條 個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。

[3] 《個人信息保護法》

第四十條 關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估；法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定。