答:现在很多企业都与境外客户、供应商或母公司有密切沟通联系。公司的经理可能会跟母公司谈到某个员工患病请病假,也可能报告一个客户个人的事情。这就潜在地可能涉及到个人信息的跨境提供问题。《个人信息保护法》要求在中国的企业向境外提供个人信息时应当遵循三种路径之一。
第一种数据出境的方式是安全评估路径。这是大型个人信息处理者的路径。根据根据《数据出境安全评估办法》,这个办法适用于向境外提供重要数据(涉及国家安全的数据)12022年国家互联网信息办公室令 第11号 《数据出境安全评估办法》,第十九条 本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。的信息处理者、关键信息基础设施运营者、处理100万以上个人信息的信息处理者、或从2021年开始至今累计向境外提供了10万人以上个人信息或1万人以上敏感个人信息的信息处理者。2《 数据出境安全评估办法》第四条 数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估: (一)数据处理者向境外提供重要数据; (二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息; (三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息; (四)国家网信部门规定的其他需要申报数据出境安全评估的情形。这些信息处理者必须向中国网络安全部门申报信息安全评估。具体申请办法和审查标准见《数据出境安全评估办法》。
根据《数据出境安全评估办法》第二十条,这个路径的合规必须在2023年2月底以前完成。
第二种办法是个人信息标准合同路径。这是适合绝大多数中小企业的路径。根据2022年国家互联网信息办公室令 第13号 《个人信息出境标准合同办法》适用于绝大部分的在中国的外国公司以及内资公司。这些公司是除了第一种安全评估路径以外的所有个人信息处理者,也就是说所有向境外提供非重要数据的信息处理者、非关键信息基础设施运营者、处理100万以下个人信息的信息处理者、从2021年开始至今累计向境外提供了10万人个人信息以下或1万人敏感个人信息以下的信息处理者。
《个人信息出境标准合同办法》的第三条规定“应当坚持自主缔约与备案管理相结合”的原则,但第六条却明确规定“标准合同生效后方可开展个人信息出境活动”。因此,所有公司包括外国公司如果需要向境外提供个人信息,似乎必须与外国数据接收人签订中国政府提供的标准格式合同或根据该标准合同修改的合同。具体的做法见我们是一家与国外有生意往来的企业,我们应当如何办理个人信息标准合同的签订和备案?
第三种路径是个人信息保护认证路径。根据国家市场监督管理总局与国家互联网信息办公室发布2022年第37号《关于实施个人信息保护认证的公告》所附《个人信息保护认证实施规则》,政府鼓励所有个人信息处理者(也就是所有外资企业和内资企业)办理个人信息保护认证。这种认证管理模式包括技术验证、现场审核以及发证后监督。这个路径是显然是自愿性质的。
目前这个法律刚刚开始实施,有一些问题仍然需要通过进一步制定规则或具体实施来澄清。例如,现在不清楚的是这个第三路径是否可以替代第二路径?《个人信息保护法》第三十八条显然认为有这个路径和第一第二路径并行的可选路径,但第二路径的《个人信息出境标准合同办法》却规定了签订出境标准合同是必须的。这需要后续观察。3 张金平,《论个人信息出境认证与安全评估、标准合同的关系》,中央财经大学副教授,《中国信息安全》杂志2022年第12期,个人信息跨境处理活动安全认证(简称“出境认证”)与安全评估、标准合同之间的关系亟需明确,便于出境认证制度的推广和执行。
王东律师执业20余年,是科讯律所创办人,主要从事商法,包括劳动法、商法、公司法、知识产权法等,能以流利英语沟通。王东律师以其专业、细心和善良赢得了客户的尊重和信任。