数字经济的创新发展离不开数据资源的供给与流动,为了进一步解放数据资源在数字市场中的生产要素功能,填补数据合规出境的单一性,国家互联网信息办公室一针见血地点出行业痛点,以标准化合同的制度模式为企业数据出境提供了另一种可能性。与过去强监管模式相比,《办法》体现了我国监管机构在长期的数据安全监管实践活动中所探索出的新型监管理念和监管模式,即将行政监管与企业自主合规相结合。
(一)定底线,留磋商。《办法》看似对企业个人信息出境合同作出了种种限制,甚至还列明了《个人信息出境标准合同》,但这种表现的背后却体现了我国的监管智慧:在私法层面,合同的生命在于意思自治和自主磋商,《办法》并没有事无巨细地限定企业应当怎么订立合同,而是以示范性的标准合同的形式指引企业应当如何完成的个人信息保障义务。《办法》第6条规定标准合同应当按照《办法》附件订立,但同时也允许在与附件内容不冲突的情况下约定其他条款。
(二)填空白,多渠道。《数据出境安全评估办法》的出台解决了大规模个人信息、重要数据的安全出境问题,但是对于出境数据规模不大、不属于关键信息基础设施运营者的其他企业而言,采取同样的数据出境模式又未免存在合规成本过高等问题。《办法》第4条则明确了标准合同机制适用应当同时符合以下情形:一是非关键信息基础设施运营者;二是处理个人信息不满100万人的;三是自上年1月1日起累计向境外提供个人信息不满10万人的;四是自上年1月1日起累计向境外提供敏感个人信息不满1万人的。该条直接说明了《办法》对数据出境安全评估机制适用范围的填补,企业在出境部分个人信息时,可选择的合规模式更加多元。
时至今日,我国数据安全立法经历了从无到有、从有到优的发展历程,随着《网络安全法》《数据安全法》《个人信息保护法》相继颁布,我国的数据立法工作呈现纵深化、专题化和领域化的发展趋势。在数据安全出境领域,前三部法律明确了数据出境的基本原则和基本制度架构,而此次的《办法》和《数据出境安全评估办法》等则构成了数据安全出境体系的具体内容,并且除了适用范围具有相互填补衔接的特点之外,在立法目标和具体条款上同样实现了监管标准的统一化和体系化。
(一)数据出境需进行个人信息保护影响评估。《个人信息保护法》第55条和第56条规定了“向境外提供个人信息”时应当事前进行个人信息保护影响评估,并明确了评估事项主要包括处理目的、处理方式、个人权益影响及安全风险、风险匹配度等。而《办法》第5条则将个人信息保护影响评估事项进一步细化,专门针对个人信息出境之后的潜在风险点作出了一体性评估要求,包括但不限于境外接收方能否履行承诺的个人信息保护法义务、出境后是否存在非法利用、泄露等风险、境外接收方所在国家或地区的相关立法能否保障标准合同的履行。
(二)“安全评估、标准合同、机构认证”出境机制并行。《个人信息保护法》第38条规定了个人信息出境需要满足的法定条件包括“安全评估”“个人信息保护认证”和“标准合同”。《数据出境安全评估办法》公布后不到一年内,国家互联网信息办公室紧锣密鼓地颁布《办法》,意味着我国个人信息出境机制正在逐渐按照上位法《个人信息保护法》的内容逐一补全,企业数据出境业务合规的选择空间更加广阔。
现阶段,网民往往在繁琐冗杂的隐私政策、用户协议等平台规则中“迷失方向”,在一次次点击“同意”按钮时,又在担心自己的个人信息出境之后是否安全,这种社会公众对个人信息出境乃至数据流动安全性的不信任已经成为数据要素市场化配置的关键阻碍。为了保障自然人个人信息权益,同时最大限度地实现个人信息效用,《办法》选择从个人信息出境最直接的风险来源切入——以出境后的个人信息安全保障为重心,以救济方式、违约责任、争议解决机制等方式消解社会公众对个人信息出境的不信任,同时确保境外接收方能够按照合同约定履行义务。这种数据安全风险治理新探索主要体现在以下两个方面。
(一)个人信息主体维权有所依,相互推诿不复在。附件标准合同在“第六条 救济”中明确了境外接收者需要向个人信息主体提供询问或投诉的具体渠道,以网站公告或单独通知的方式告知境外接收方的固定联系人,避免个人信息主体维权时对于境外接收方“可望不可及”。个人信息主体再也不用担心发生争议时个人信息处理者与境外接收方相互“踢皮球”,将争议问题推诿给对方。
(二)违约责任保障合同义务履行,仲裁或诉讼解决先行赔偿问题。附件标准合同以个人信息主体的权利保障为优先事项,规定了违约方需要承担民事责任、行政责任乃至刑事责任,同时提及了双方依法承担连带责任的,个人信息主体完全有权选择其中一方或双方承担责任。一方承担的责任超过其应当承担的责任份额时,有权向另一方追偿。