一、导读
中国《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》(下称“《个人信息保护法》”)《网络数据安全管理条例》《促进和规范数据跨境流动规定》为数据跨境流动设定了基本规则。若个人信息处理者因业务等需求,要向境外提供个人信息,需满足以下任一条件:
(1)网信部门安全评估;
(2)获得个人信息保护认证;
(3)签署网信部门制定的标准合同或
(4)满足其他法定条件。
在上位法的整体性要求下,目前前三种路径的实施规范也相继出炉:2022年7月发布的《数据出境安全评估办法》明确了数据处理者向境外提供数据时需要向国家网信部门申报安全评估的情形、内容、流程等;2023年2月24日公布的《个人信息出境标准合同办法》及其附件也确定了以标准合同出境的个人信息出境的规则和标准合同模板。2025年10月17日,国家互联网信息办公室、国家市场监督管理总局联合发布《个人信息出境认证办法》(以下简称“《出境认证办法》”),填补了此前个人信息出境认证机制在操作层面的法律空白,标志着个人信息出境合规体系全面落地。
相比于安全评估和标准合同,个人信息保护出境认证工作虽未正式启动[1],但相关配套制度文件仍在循序渐进地搭建。国家网信办、市场监管总局于2022年11月联合印发《个人信息保护认证实施规则》(下称“《认证规则》”),从认证适用范围、认证依据、认证模式、认证程序、认证标识、认证细则和认证责任这七个方面对个人信息保护认证规则进行了整体构建;而2025年8月29日发布的推荐性国标GB/T 46068—2025《数据安全技术 个人信息跨境处理活动安全认证要求》(下称“《跨境认证标准》”)在此前发布的《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》(下称“《认证规范V2.0》”)基础上进一步细化了个人信息跨境传输认证要求,并首次在国标效力层面,使相关制度的落地有了进一步的规范铺垫。
根据《中华人民共和国认证认可条例》第2条,认证标准包括“相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。”因此,技术规范(尤其是技术规范的强制要求)或者标准(包括国家标准、行业标准、团体标准等)均可成为认证依据。而近期国家互联网信息办公室公布的《数据出境安全管理政策问答(2025年10月)》则进一步将《跨境认证标准》明确为认证机构开展个人信息出境认证所主要参照的标准。由此可合理想见,《出境认证办法》一旦落地,有关部门即可能通过补充或修改《个人信息保护认证实施规则》的方式将《跨境认证标准》正式替代《认证规范V2.0》作为开展个人信息保护认证的认证依据,从而使其产生约束力。
从内容上看,相较于《认证规范V2.0》将适用范围限定在跨国公司之间的数据跨境行为或者《个人信息保护法》第三条第二款的情形,《出境认证办法》和《跨境认证标准》删去对认证主体的限制,明确该认证场景适用于所有“个人信息处理者向中华人民共和国境外提供个人信息”,要求境内个人信息处理者和境外接收方通过签署具有法律约束力的文件、承诺并遵守同一《个人信息跨境处理规则》等方式,在接受规则约束的各方之间建立起符合《个人信息保护法》保护标准的数据流动环境。这与欧盟《通用数据保护条例》(“GDPR”) 第46条第2(f)款所确认跨境路径之一——数据跨境保护认证机制(Approved Certifications,“AC”),在保护逻辑上非常类似。而在该标准的参考文献中同样列出了GDPR和欧盟数据保护委员会(European Data Protection Board,以下简称“EDPB”)发布的《关于认证作为跨境传输工具的07/2022号指南V2.0》(Guidelines 07/2022 on certification as a tool for transfers Version 2.0)[2](以下称“《AC认证指南V2.0》”)认证相关指南和报告。因而本文希望通过对中国近期发布的《出境认证办法》《跨境认证标准》和欧盟的《AC认证指南V2.0》进行比较,更好地理解《个人信息保护法》下有关跨境认证可能探索的方向和可能性,协助具有跨境需求的企业做出更为充分的理解和应对。
二、体系定位:个人信息跨境合规路径之一
个人数据/信息的跨境传输从法律角度而言堪称复杂。《个人信息保护法》第38条到第43条、GDPR第44至50条对此均有规定。前者所指的跨境传输是指向中华人民共和国境外(包括港、澳、台)提供个人信息,后者所指的则是向欧盟及欧洲经济区以外的第三国或国际组织进行的个人数据传输。
(一)个人信息出境认证
“按照国家网信部门的规定经专业机构进行个人信息保护认证”为《个人信息保护法》第38条所规定的个人信息出境几种路径之一,《出境认证办法》和《跨境认证标准》即为支撑该路径落地的具体规定和标准。其中,《跨境认证标准》明确其适用范围为“跨境处理个人信息的相关方规范自身个人信息跨境处理活动,以及主管部门、第三方机构等组织对个人信息处理者跨境处理个人信息的活动进行监督、管理、认证和评估”。但是,并非所有的个人信息处理者都可以适用认证方式。按照《促进和规范数据跨境流动规定》的规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者[3]必须通过安全评估才能跨境提供个人信息,不能仅仅依赖认证这一方式。
概括而言,《跨境认证标准》的目的是要求具有跨境需求的境内个人信息处理者和境外接收方通过签署法律协议、遵循同一个《个人信息跨境处理规则》等方式,在接受规则约束的各方之间建立起符合《个人信息保护法》保护标准的数据流动环境。认证获批后即可在法定/约定范围内进行个人信息跨境传输。
图1 跨境处理认证框架
(二)欧盟数据保护认证机制(AC)
根据GDPR序言第100条,建立认证机制可以提高透明度和遵守法规的程度。GDPR没有强制要求控制者和处理者进行认证,根据GDPR第42条第3款,认证是一个自愿过程,旨在帮助组织证明其符合GDPR的各项要求。换言之,认证的对象包括很多,例如中小企业的数据处理过程、数据跨境传输等都可以作为被认证的对象。这也是为什么GDPR关于认证的条款(第42条和第43条)没有被放在“第V章跨境传输”中的原因。
需要注意的是,根据GDPR第46条,认证和签署标准合同条款(Standard Contractual Clauses)、约束性公司规则(Binding Corporate Rules,以下简称“BCR”)等机制同被作为合法跨境传输的前提和机制之一。
在对个人数据处理活动的一般认证[4]基础上,GDPR第42条第2款特别规定了针对跨境数据传输所需的认证。同《跨境认证标准》确定的个人信息出境认证类似,“GDPR认证”同样是数据保护认证机制的统称,GDPR第46(2)条(f)提出的认证只是“GDPR认证”中针对个人跨境场景的特定认证类型。
2023年2月14日,欧盟数据保护委员会(European Data Protection Board,“EDPB”)更新了《AC认证指南》的2.0版本,并于2月24日公开其文本。该指南由四个部分组成:目的、范围、流程和所涉及的不同参与者;认证机构实施认证要求;用于证明存在适当的保障措施的具体认证标准;应实施的具有约束力和可执行的承诺。相较于《跨境认证标准》,《AC认证指南V2.0》对AC的整体认证框架进行更为细致的规定,对于具有跨境需求的主体如何制定认证标准具有详细的指导作用:
(1)国家认可机构/监管机构(SAs)认可第三方认证机构;
(2)SAs或第三方认证机构形成完整的认证方案(认证标准和具体符合性要求);
(3)EDPB(若认证标准为欧洲数据保护印章)和SAs批准认证标准;
(4)第三国数据接收方自愿申请认证;
(5)SAs或认证机构并根据认证方案中的认证标准和要求进行合规性评估,并持续监测认证对象合规性,有权颁发、更新(认证最长时效为3年)以及撤销认证;
(6)数据传输方遵守GDPR合规义务,对认证进行核实(认证是否有效且未过期,是否涵盖了要进行的具体传输,个人数据的传输是否在认证范围内,以及是否涉及继续传输,并提供了足够的文件)、检查(数据接收方与认证机构之间是否确有具有法律约束力的协议),并评估认证在第三国现行法律和惯例下是否有效。如前述条件无法满足,则应要求数据接收方采取适当补充措施;
(7)数据传输方与接收方作出具有约束力和可执行的承诺;
(8)进行个人信息跨境传输。
总而言之,《AC认证指南V2.0》明确在跨境传输场景下,申请认证的主体是位于欧盟境外的数据接收方。而数据提供方则需要满足其在GDPR下的合规要求,对认证结果的有效性等问题进行验证和核查。根据GDPR第42条,认证证书可由成员国数据保护机构(Supervisory Authority)、成员国认可的认证机构(Certification Body)颁布,认证标准可以由EDPB批准,也可由成员国监管机构批准。认证有效期最长3年,但如果符合认证的条件在届满时未发生变化,认证有效期同样也可延长。
三、两种认证机制的比较
(一)申请程序比较
1. 个人信息出境认证
关于申请认证的主体,《出境认证办法》第七条明确,个人信息处理者通过认证方式向境外提供个人信息的,应当向专业认证机构申请个人信息出境认证。中华人民共和国境外的个人信息处理者申请个人信息出境认证的,应当由其在境内设立的专门机构或者指定代表协助进行申请。
根据《中华人民共和国认证认可条例》第十七条规定,认证基本规范、认证规则由国务院认证认可监督管理部门制定;涉及国务院有关部门职责的,国务院认证认可监督管理部门应当会同国务院有关部门制定。而从《关于实施个人信息保护认证的公告》《出境认证办法》中可以看出,目前中国个人信息出境认证工作是由国家市场监督管理总局(包含国家认证认可监督管理委员会职责)和国家互联网信息办公室共同负责实施监管。
关于认证机构,《出境认证办法》明确专业认证机构应当履行的义务,构建权责清晰、运行透明的认证实施体系。《出境认证办法》第八条、第九条明确,专业认证机构应当按照认证基本规范、个人信息保护认证规则开展个人信息出境认证活动;应当在出具认证证书或者认证证书状态发生变化后5个工作日内,向全国认证认可信息公共服务平台报送相关信息。《出境认证办法》第十条明确,专业认证机构发现获证个人信息处理者存在个人信息出境情况与认证范围不一致等情形,不再符合认证要求的,应当暂停其使用直至撤销相关认证证书。《出境认证办法》第十一条、第十二条明确,专业认证机构发现个人信息出境活动违反法律、行政法规和国家有关规定的,应当及时向国家网信部门和有关部门报告;在取得个人信息保护认证资质之日起10个工作日内向国家网信部门办理备案手续。截至本文发布之日,具有相关资质的认证机构包括中国网络安全审查认证和市场监管大数据中心(China Cybersecurity Review, Certification and Market Regulation Big Data Center, “CCRC”)以及中央网信办(国家网信办)数据与技术保障中心。根据《个人信息出境认证办法》以及《数据出境安全管理政策问答(2025年10月)》,国家互联网信息办公室后续将按程序公示相关专业认证机构,具体公示信息请及时关注中国网信网。
图2 个人信息保护认证(含跨境)证书样本
根据《个人信息保护认证实施规则》以及《出境认证办法》,个人信息出境认证流程包括认证申请、技术验证、现场审核、认证决定、获证后监督5个主要环节。我们理解,个人信息出境认证的核心即在于对后续出台跨境认证标准中所述的同一《个人信息跨境处理规则》的内容进行认证,其余有关跨境协议的签署、组织架构管理及个人信息保护影响评估义务则是《个人信息保护法》原本即对个人信息处理者义务的应有之义。因此,我们认为同一《个人信息跨境处理规则》的内容及执行不发生重大实质性变更的情况之下,认证可作为企业连续性的跨境处理活动的依赖。
图3 个人信息保护认证流程图[5]
2. 欧盟数据保护认证机制(AC)
GDPR第42条和第43条规定了对数据控制者和处理者的数据处理操作进行合规性认证的制度,提出了认证框架、明确了相关角色。第42(1)款规定:“成员国、监管机构欧盟数据保护委员会和欧盟委员会应鼓励建立数据保护认证机制,设立数据保护印章、标识,特别是欧盟级别的印章和标识,以便证明数据控制者和处理者的数据处理操作符合本条例要求,并应考虑中小微型企业的特定需求”。
根据GDPR第42条第5项之规定,认证证书可以由经有权监管机构认可的认证机构颁发,也可由有权监管机构在根据第58条第3项所获授权的基础上所批准的标准,并依照此标准自行颁发。认证机构对发证以及撤销发证的评估工作承担责任,但该责任并不减损数据控制者和处理者自己应当承担的合规义务,也不妨碍有权监管机构根据GDPR第55、56条之规定赋予的任务和权力。认证机构在发证和更新前,应当通知认可其的数据监管机构,以方便该机构行使相应职权。可见,认证机构的作用是基于认证机制和批准的标准颁发、审查、更新和撤销认证。需要注意的是,一个成员国的认证机构根据经该国的监管机构审核通过的认证标准只能在该国发证,除非出现使用欧洲通用级认证(欧洲数据保护印章)的情况。
(二)适用情形比较
由于对于跨国公司及同一实体下的子公司间的处理活动,具有内部性,且各方的关系稳定、公司管理架构一致,容易达成认证所需要的协议、组织设置、同一数据处理规则等要求,比较适合于认证机制。所以在《认证规范V1.0》版本[6]和欧盟BCRs[7]的主要适用情形都是关联企业之间的数据传输,这也是二者在框架设计上高度类同的原因。
然而,《出境认证办法》和《跨境认证标准》均明确个人信息保护认证适用于“个人信息处理者开展个人信息跨境处理活动”, 避免将适用场景限定在关联公司之间的个人信息跨境处理活动。因此我们理解,个人信息出境认证与AC一样均具有广泛适用范围——只要数据处理活动是将欧盟保护的个人信息从欧盟出境传输至欧盟境外的第三国或国际组织,境外接收方(在中国认证申请主体为向境外提供个人信息的个人信息处理者)都可以就该系列数据处理活动或单个数据处理活动申请认证。
(三) 合规要求比较
根据《出境认证办法》和《个人信息保护认证实施规则》,我们理解个人信息出境认证的依据标准是 GB/T 35273《信息安全技术个人信息安全规范》和《跨境认证标准》[8]。从中可见,除《个人信息保护法》外,申请个人信息保护认证的个人信息处理者应符合《个人信息安全规范》的要求,但如果认证结论要用于个人信息出境,还需符合《跨境认证标准》的规定。认证的具体事项包括对以下方面的考察:(a)个人信息处理者和境外接收方在跨境处理个人信息时落实合法、正当、必要和诚信原则,公开、透明原则,同等保护原则,责任明确原则;(b)个人信息处理者和境外接收方签订合同或其他具有法律约束力和可执行的文件,保障个人信息主体权益;(c)个人信息处理者和境外接收方均设有履行个人信息保护职能的机构、指定个人信息保护负责人,约定并遵守共同的个人信息跨境处理规则;(d)个人信息处理者针对跨境处理活动开展个人信息保护影响评估;(e)个人信息处理者和境外接收方承认并落实个人信息主体享有的各项权利,为行使相关权利提供便利条件;(f)个人信息处理者和境外接收方明确各自义务和责任,包括落实告知义务和单独同意,落实境外接收方经营情况变化、所在地法律法规变化或执法要求导致的通知和保护义务,不得超出约定范围处理个人信息,确保密码技术符合相关标准,发生安全事件后的补救措施、通知和报告等。
GDPR从法律层面提出的个人数据保护要求是认证依据的基础,其应包括实质性要求和程序性要求两个方面:实质性要求是依据GDPR规定,对数据处理者或控制者法定义务的细化明确[9],如数据主体权利、数据安全、通过设计和默认实现数据保护等一般性规定以及GDPR第五章的要求(第三国控制者或处理者有约束力且可执行的承诺,并采用适当的保障措施)。同时,《AC认证指南V2.0》在第三部分进一步细化了个人数据跨境认证场景下具体的认证标准,该部分主要参考《关于GDPR第42和第43条有关认证和识别认证标准的第1/2018号指南(3.0版本)》及其附件2《关于根据第42(5)条审查和评估认证标准》,以及《认证标准评估指南》[10]的要求,并提出了一些额外的标准。而程序性要求用于明确认证的具体过程,GDPR认证相关指南中也提出了部分程序性要求,如认证证书有效期最长为3年等。制定认证标准应侧重其可验证性、重要性和适用性,以证明被测的数据处理操作符合GDPR相关项的要求。认证标准应明确易懂,并具有可操作性。
整体上看,中欧个人信息跨境认证机制的核心为确保数据跨境流动采取足够安全措施(以数据出口国保护水平为基线),保障数据主体有效行使个人数据权利,并着重在以下几方面存在共性和呼应:
1. 共同遵守的协议
《跨境认证标准》要求个人信息处理者和境外接收方之间应当签订具有法律约束力和可执行的文件(如数据处理协议或承诺函),至少明确下列内容,确保个人信息主体权益得到充分的保障:
(1)个人信息处理者和境外接收方的基本信息,包括但不限于名称、注册地址、联系人姓名和联系方式等;
(2)个人信息跨境处理的目的、范围、类型、敏感程度、数量和方式,境外接收方处理个人信息的用途和方式等;
(3)个人信息在境外的保存期限、存储地点及达到保存期限、完成约定目的及法律文件终止后的处理措施等;
(4)个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息跨境处理可能带来安全风险所采取的技术和管理措施等;
(5)个人信息主体的权利,以及保障个人信息主体权利的途径和方式;
(6)救济、合同解除、违约责任和争议解决等;
(7)境外接收方承诺遵守与个人信息处理者约定的个人信息跨境处理规则,并确保个人信息保护水平不低于中华人民共和国个人信息保护相关法律、行政法规规定的标准;
(8)境外接收方承诺接受认证机构对个人信息跨境处理活动的持续监督;
(9)境外接收方承诺接受中华人民共和国个人信息保护相关法律和行政法规管辖;
(10)境外接收方应通过合同或其他具有法律效力的文件明确在中华人民共和国境内承担法律责任的组织,并承诺履行个人信息保护义务;
(11)个人信息处理者和境外接收方均承诺对损害个人信息权益行为承担民事法律责任,并明确约定双方的责任承担方式;
(12)其他应遵守的法律和行政法规规定的义务。
同样的,GDPR在其第42条“认证”第(2)款中要求,不受GDPR约束的数据接收方为保障转移至第三国的数据安全而应作出具有约束力和可执行的承诺。相比较于《跨境认证标准》,《AC认证指南V2.0》不仅规定了承诺的内容,还明确了其形式和性质:(1)承诺可采用合同文书或其他形式,只要遵守认证机制的控制者/处理者能够证明这种其他手段的约束力和可执行性即可;(2)承诺可以在现有合同中进行补充(与其他条款明显区分)或单独签订;(3)必须确保欧盟法律对该承诺的约束力和可执行性,且承诺也应该对作为第三方受益人的数据主体具有约束力和可执行性;(4)具有灵活性,根据具体情况选择最合适的方案;(5)该承诺必须涉及以下内容:
(a)持有认证的数据接收方承诺遵守旨在转让的认证中规定的规则;
(b)数据传输方作为第三方受益人执行数据接收方在认证下承担的承诺;
(c)数据主体作为第三方受益人执行数据接收方在认证下承担的承诺;
(d)数据接收方保证其没有理由相信第三国适用的法律和惯例,包括披露个人数据的任何要求或授权公共当局访问个人数据的任何措施,会阻止其履行认证中作出的承诺。如在这方面的立法或实践中发生任何相关变化应通知数据传输方;
(e)第三国数据接收方违反认证规则的情况下的强制执行、责任承担和赔偿事项;
(f)数据接收方有义务将认证机构对违反认证而采取的任何措施通知数据传输方及其监管当局;
(g)当认证机制将用于由数据处理者向子处理者的转移时,还应在处理者与控制者之间签署的数据处理协议中提及认证机制并提供有约束力和可执行承诺的文书。
2. 认证范围明确
《跨境认证标准》要求在有法律约束力的协议和同一个人信息跨境处理规则中明确个人信息跨境活动的细节,这包括:a.跨境处理个人信息的基本情况,包括个人信息数量、范围、种类和敏感程度等;b.跨境处理个人信息的目的、方式和范围;c.个人信息境外存储的起止时间及期满后的处理方式;d.跨境处理个人信息需要中转的国家或地区;e.保障个人信息主体权益所需资源和采取的措施;f.个人信息安全事件的赔偿、处置规则。
AC则要求每种认证标准都必须清晰地描述认证机制的范围和评估目标(ToE),包括数据跨境转移还是数据过境,适用于哪种类型的实体 (控制者和/或处理者)等等。同时,认证标准应充分描述如何具体定义ToE,这至少应该包括:a.个人数据处理活动,包括目的、实体的类型 (控制者和/或处理者)、传输的数据类型以及是否涉及GDPR第9条中定义的特殊类别的个人数据、数据主体的类别、进行数据处理的国家/地区;b.透明度和数据主体的权利;c.安全保护技术和组织措施。
3. 数据保护最低标准
《跨境认证标准》确立的“同等保护原则”要求个人信息处理者和境外接收方在跨境处理个人信息时均需采取必要措施,保护所处理个人信息的安全,个人信息跨境处理活动需达到中华人民共和国个人信息保护相关法律法规规定的个人信息保护标准,这与AC遵循的同等保护标准一致(个人数据不得向欧盟以外的国家或地区转移,除非该国家或地区确保对数据主体有关个人数据处理的权利与自由实行与欧盟等同的保护水平)。
4. 组织管理
《跨境认证标准》和AC均要求企业有义务任命适当人员监督企业数据保护规则的遵守情况。《跨境认证标准》要求个人信息处理者和境外接收方均应指定应具备个人信息保护专业知识和相关管理工作经历的组织决策层成员担任个人信息保护负责人,并设立个人信息保护机构。AC则对GDPR合规要求进行重申:认证标准应该核查组织是否应当根据第 37 条的要求任命数据保护官,以及DPO是否符合GDPR第 37 条至第 39 条规定(DPO委任、角色定位以及职能)的要求。
5. 培训项目
个人信息出境认证和AC均要求企业有义务对员工提供数据保护方面的培训。《个人信息保护法》和《个人信息安全规范》要求企业应定期(至少每年一次)或在个人信息保护政策发生重大变化时,对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核,确保相关人员熟练掌握个人信息保护政策和相关规程。培训职责归属于个人信息保护负责人和个人信息保护工作机构。
而AC则要求企业承诺,向持久或经常访问个人数据的人员,或参与个人数据收集的人员,或开发个人数据处理工具的人员提供有关AC的培训。
6. 数据保护影响评估
《跨境认证标准》第5.4条要求进行个人信息跨境活动前,个人信息处理者要开展个人信息安全影响评估,评估报告和处理情况记录应当至少保存三年,这与《个人信息保护法》第五十五条[11]要求相衔接。GB/T39335—2020《信息安全技术 个人信息安全影响评估指南》所确立的评估方法可以作为借鉴,但考虑到该指南并未重点考虑数据跨境传输场景,在参考该指南的同时,要重点补足跨境风险因素的考量。
GDPR框架下AC的评估要求集中于申请认证的数据接收方。数据接收方应对第三国立法进行评估,评估其经营的第三国在GDPR第46条中的适当保障措施方面的法律情况和监管活动,同时考虑到还需要考虑第三国的适用立法和监管活动是否可能影响认证的目标。此外,数据接收方还应对评估进行记录,并应要求向认证机构和主管数据保护当局提供文件。
值得注意的是,《AC认证指南V2.0》在对跨境认证具体标准的保护水平进行评估时所考虑的“第三国法律环境对履行认证规则的影响”维度和详细评估项与《跨境认证标准》有很多相似之处:
(1)该标准是否要求数据接收方对其经营所在的第三国的法律规则和惯例进行评估并进行记录(提供给认证机构并应要求向欧洲经济区主管数据传输方的国家机构和数据传输方提供),以及这些规则和惯例是否妨碍接收方履行其在认证中的承诺;
(2)该标准是否要求接收方已经确定并实施了组织和技术措施,以提供GDPR第46条规定的适当保障,同时考虑到《关于补充转移工具以确保遵守欧盟个人数据保护水平的措施的第01/2020号建议》,以确保符合欧盟的个人数据保护水平。是否要求接收方对上述有效措施进行记录,并应要求提供给主管数据保护当局和数据传输方;
(3)该标准是否要求向认证机构和数据传输方保证,接收方没有理由相信对其适用的立法和惯例可能妨碍其履行认证义务;
(4)该标准是否要求承诺,当第三国或国际组织的数据接收方有理由相信适用于它的立法和惯例的变化可能会阻止它履行认证义务时,它将及时向认证机构和数据传输方通报,以便后者能够评估是否立即停止传输;
(5)如果数据传输方意识到第三国的立法或做法阻碍了对认证义务的遵守,那么该标准是否要求说明应采取的步骤(包括通知欧洲经济区的传输方并采取适当的额外措施),以及在第三国当局要求提供信息时应采取的措施(包括审查并在必要时质疑要求的合法性以及尽量减少披露的任何信息的义务);
(6)该标准是否要求数据接收方在第三国当局提出访问要求时迅速通知数据传输方,并采取适当的补充措施;
(7)该标准是否要求不应发生因第三国公共当局不相称的访问请求而进行的转移,特别是需要大规模和不加区分地转移个人数据的请求。
7. 个人信息/数据主体权利
个人信息出境认证和AC都充分考虑了个人信息主体权益的保障,要求企业承诺保障数据主体享有数据访问权、更正权、删除权、反对权等数据主体权利;
《跨境认证标准》对个人信息主体的权利进行如下规定:a.要求获得法律文本中涉及个人信息主体权益部分的副本,并向个人信息处理者和境外接收方主张权利;b.知情权、决定权,查阅权、复制权、更正与补充权,删除权、撤回同意,限制或者拒绝处理;c.要求对个人信息跨境处理规则进行解释说明。
关于透明度和数据主体的权利,AC的认证标准应:a.要求数据控制者向数据主体提供有关处理活动的信息,包括有关将个人数据转移到第三国或国际组织的信息,以及有关使用认证作为转移工具的信息;b.要求保证数据主体的访问、纠正、可携、删除、限制、反对处理的权利,以及不受仅基于自动处理(如GDPR第15至19、21和22条规定的分析)所做出影响的决定的权利。
8. 对法律约束力文件的知情权
《跨境认证标准》强调,个人信息主体是个人信息处理者和境外接收方签订具有法律约束力文件中的第三方受益人,有权要求个人信息处理者和境外接收方提供法律文本中涉及个人信息主体权益部分的副本,并向个人信息处理者和境外接收方主张权利。
AC也要求保障数据主体的知情权,但BCRs对此进行进一步要求:集团应承诺,每个数据主体都有权利知晓BCRs,尤其是BCRs中与第三方受益权、赔偿责任、数据保护原则相关的部分。集团可在BCRs中承诺会将BCRs,或至少将BCRs中与数据主体有关的部分公布在互联网上。如果数据主体仅是企业员工,可公布在内联网上。
9. 个人信息主体权益保障机制
两种机制都着重保障了个人信息主体权益保障渠道,并要求企业有义务建立投诉处理机制,为数据主体向企业投诉提供便利渠道。中国《个人信息安全规范》中要求个人信息控制者应建立投诉管理机制和投诉跟踪流程,并在合理的时间内对投诉进行响应。《跨境认证标准》也明确个人信息主体行使权利时可请求个人信息处理者采取适当措施实现,或直接向境外接收方提出请求。个人信息处理者无法实现的,应通知并要求境外接收方协助实现。此外,个人信息处理者和境外接收方应为个人信息主体提供查阅其个人信息的途径,个人信息主体要求查阅、复制、更正、补充或者 删除其个人信息时,应及时予以响应,拒绝其请求的,应说明理由。
《AC认证指南V2.0》则明确认证规制要求持有认证的数据接收方应建立适当的响应和投诉处理程序,以确保数据主体权利的有效实施。此外,AC还充分考虑了这些权利在相关第三国是否以及在多大程度上可以为数据主体所实施,或者是否需要采取任何额外的适当措施来执行这些权利。例如,要求接收方同意在任何旨在确保遵守这些权利的程序中接受传输方主管部门的管辖并与之合作,特别是同意回应查询、接受审计并遵守上述监管部门采取的措施,包括补救和赔偿措施。
10. 法律责任承担
《跨境认证标准》中“责任明确原则”提出,个人信息处理者和境外接收方在跨境处理个人信息时需履行法律法规规定的责任义务,保障个人信息主体权益。境外接收方需指定境内一方、多方代表或在境内设置的机构对境外接收方损害个人信息权益的个人信息处理活动承担民事法律责任。也就是说,把境内个人信息处理者和境外接收方的境内机构作为认证的监管抓手及后续承担法律责任的主体。
欧盟AC和BCRs也是如此。根据GDPR第42条第3、4款,AC认证只是协助证明GDPR标准合规性的自愿程序,不会减少任何本条例下数据控制者或处理者应当遵守的责任。因此数据处理合规性责任仍由境内数据传输方承担。BCRs则要求集团必须指定欧盟境内的一个集团成员,承担集团内其他非欧盟成员的违反BCRs的责任后果,即责任承担将集中到一个实体。若针对特殊的架构,无法指派欧盟境内责任实体的,可以在有效证明的前提下申请其他机构来承担以及其他替代方案。 成员国数据保护机构将根据个案确认是否同意可替代方案。此外,针对数据主体的投诉,欧盟境内的责任承担实体负责承担举证责任,并应为欧盟境外集团成员违反BCRs的行为承担赔偿责任。
对于司法管辖事项,《跨境认证标准》要求境外接收方均承诺接受中华人民共和国个人信息保护相关法律和行政法规管辖。《AC认证指南V2.0》同样明确在任何情况下必须确保欧盟法律的约束力和可执行性。BCRs还进一步规定,如果位于欧盟境外的集团成员有违反BCRs的行为,欧盟境内的法院或监管当局对该行为有管辖权。
11. 监督与审计
《跨境认证标准》遵从《个人信息保护法》规定的定期自主审计和强制外部审计两种方式:双方个人信息保护机构应定期对本组织处理个人信息遵守中华人民共和国个人信息保护相关法律、行政法规的情况进行合规审计。境外接收方承诺接受认证机构对个人信息跨境处理活动的持续监督和监管机构的监督、管理,包括答复询问、配合检查、服从采取的措施或做出的决定等,并提供已采取必要行动的书面证明。
相类似的,在AC和BCRs体系下,欧盟各国的数据保护当局会负责对企业认证规则/BCRs的遵守情况进行监管,监管方式有数据保护审计、审查、对数据主体申诉的处理等,数据接收方应考虑其建议并遵守其决定。对于审计计划,BCRs中同样包含自行审计和监管当局审计两种模式。集团需承诺对BCRs在集团内的遵守情况进行审计:第一,自行审计必须由被集团内部或外部认可的审计员定期进行或根据集团内的隐私官、隐私职能部门、任何其他主管职能部门的要求进行;第二,审计涵盖BCRs的所有方面;第三,所有的审计结果应传达给集团内的隐私官、隐私职能部门、董事会;第四,监管当局一旦要求可获得审计结果,并且监管当局在有需要时可对任何集团成员进行数据保护审计。
12. 数据主体的救济方式
个人信息出境认证和AC都关注于个人信息主体的救济渠道。如果企业个人信息处理活动违法或对数据主体造成损害,《跨境认证标准》明确个人信息主体有权对违法个人信息处理活动向中国履行个人信息保护职责的部门进行投诉、举报;个人信息权益受到损害时有权向个人信息处理者、境外接收方的任何一方提出赔偿要求以及依据《中华人民共和国民事诉讼法》确定的管辖法院提起司法诉讼。
同样,根据《AC认证指南V2.0》也要求跨境认证标准应规定:a)数据主体可以作为第三方受益人在其经常居住地的欧洲经济区法院或向国际组织强制执行其权利;b)数据主体可以向企业投诉、向其所属的成员国或经常居住地/工作地/侵权行为发生地的所属成员国的监管机构提出申诉,或向欧盟成员国的主管法院(数据传输方所在地或数据主体经常居住地的法院)起诉。
四、结语
经过比较后可以发现,《跨境认证标准》中的主要内容可为《个人信息出境标准合同办法》《数据出境安全评估办法》和《信息安全技术 个人信息安全规范》所覆盖。作为个人信息跨境的前提条件,安全评估、标准合同、认证这三项机制具有内在共性:形式上,均要求个人信息处理者事前自行开展评估、并与境外接收方签署具有法律约束力的协议或文件;实质上,均强调境外接收方的同等保护水平、以及个人信息主体的权益保护。因此除了法定的安全评估情形外,企业应综合考虑跨境处理场景的特殊性以及成本而在“标准合同”和“跨境认证”中做出选择。与数据出境安全评估、个人信息出境标准合同等其他数据出境制度相比,个人信息出境认证制度展现出其独特优势:它不是由主管部门对申报材料直接审核,而是将认证活动交由具备资质的专业认证机构组织实施,并由其颁发认证证书;与一次性签约的“标准合同”不同,认证是针对特定处理活动的体系化“打包合规”。我们认为,跨境认证适用于个人信息处理者与境外接收方遵循同一的个人信息跨境处理规则,且个人信息传输的政策和规模应当较为稳定,更适用于频发、常态的数据传输活动,例如跨国集团、关联实体等。
仅就《跨境认证标准》的内容而言,其与GDPR下的AC逐渐趋同,均强调参与个人信息活动的组织在其内部管理时须遵守相应的法律规范并要求组织落实相关措施并承担相应的责任。这意味着今后将有利于和国际数据跨境流动认证制度相接轨,为未来相关认证的国际互认奠定基础。跨国企业可以在参考《跨境认证标准》的同时,以AC规则为补充,准备一套贴合公司需求且具备一定预见性和稳定性的适用于全球集团公司的个人信息跨境流动规则。
相较而言,我国的跨境认证不仅是对个人信息境外处理活动、境外接收方的考察,也包括对境内提供方的个人信息处理活动的全面考察。因此个人信息跨境场景中的各方均应严格遵守认证规则及其他合规要求,并应当重视《跨境认证标准》的特殊之处,例如单独同意、个人信息保护影响评估的要求。值得注意的是,CCRC在其公布的《个人信息保护认证申请书》中明确了其对个人信息跨境提供处理活动所考察的内容, 例如申请方应承诺近12个月内未发生重大个人信息安全事件、提供自评价表、提供业务流程描述、组织机构图、数据流图、数据分类分级目录等等。企业应根据上述认证要求,提前规划和准备该合规工作。
注释 :
[1]截至本文发布之日,全国认证认可信息公共服务平台暂未公开个人信息出境认证通过案例。
[3]自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息,或向境外传输重要数据。
[4]企业如需进行跨境传输,选择GDPR认证机制也是个人数据转移的适当保障措施之一,该认证是由欧盟各国数据监管当局认可的认证机构进行的认证,其意味着:相关个人数据处理活动已经依照一项参照标准被评估,相关标准由各国监管当局或欧洲数据保护委员会事先批准,以证明数据传输方和数据接收方的个人的数据处理行为符合GDPR的要求。如果欧盟以外的控制者和处理者能够通过合同或其他有约束力的法律文书表明愿意实施规定的数据保护保障措施,则可通过一系列申请和评估程序后获得认证。例如,符合GDPR一般规定以及第25条规定(该条规定了隐私设计和默认情况下的数据保护)的认证可以由一个可信的认证机构、“主管监督机关”或欧洲数据保护委员会颁发,进行认证的机构必须进行“适当的评估”,以便授予认证,并在不符合规定的情况下撤销认证。
[5]中国网络安全审查认证和市场监管大数据中心制作,原图见链接 https://www.isccc.gov.cn/xwdt/xwkx/01/908873.shtmlhttps://www.isccc.gov.cn/xwdt/xwkx/01/908873.shtml。
[6]跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动。
[7]“从事联合经济活动的企业团体”,其中可以包括经济联盟实体、特许经营组织以及共同从事经济活动的商业伙伴。
[8]2026年3月1日实施后即代替TC260-PG-20222A《个人信息跨境处理活动安全认证规范》。
[9]尤其是第II章第5条(个人数据处理原则)、第6条(处理合法性)与第9条(特殊类型个人数据/敏感个人数据)的规则。
[11]第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:(四)向境外提供个人信息。
参考文献:
[1]解彦曦,张弛.欧盟《通用数据保护条例》数据保护认证制度研究[J].信息安全研究,2021,7(11):1071-1076.
[2]周杨,梁天翔. 《跨境传输通道的落地尝试,<个人信息跨境处理活动认证技术规范>正式发布》, https://mp.weixin.qq.com/s/gEq-HUdtNqAuwzHGMy_qPQ.
[3]许皖秀,左晓栋.把握我国实施个人信息出境认证的几个要点[J].中国信息安全,2022,No.157(12):36-39.
[4]洪延青.个人信息保护认证:实现个人信息保护共同治理的方案[J].中国信息安全,2022,No.157(12):32-33.
来源:北京市竞天公诚律师事务所
作者:
- 周杨,竞天公诚律师事务所合伙人(北京、深圳),(86-10)5809 1079、zhou.yang@jingtian.com
- 梁天翔,北京竞天公诚律师事务所,(86-10)5809 1450、liang.tianxiang@jingtian.com
声明:竞天公诚律师事务所严格遵守对客户的信息保密义务,本篇所涉客户及项目内容均取自公开信息或征得客户同意。本篇观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的法律意见。如您有任何法律问题或需要法律意见,请与本所联系。