2023年2月24日，國家互聯(lián)網(wǎng)信息辦公室公布《個人信息出境標(biāo)準(zhǔn)合同辦法》（以下簡稱《辦法》），《辦法》自2023年6月1日起施行，其明確了個人信息處理者通過訂立標(biāo)準(zhǔn)合同的方式向境外提供個人信息應(yīng)當(dāng)同時符合的情形。

(資料圖片僅供參考)

中國信通院互聯(lián)網(wǎng)法律研究中心主任方禹表示，《辦法》對通過訂立標(biāo)準(zhǔn)合同的方式開展個人信息出境的活動作出具體制度安排，細(xì)化落實了《個人信息保護(hù)法》第三十八條第一款第三項的規(guī)定，對于規(guī)范個人信息跨境流動、完善數(shù)據(jù)跨境管理制度和促進(jìn)數(shù)據(jù)領(lǐng)域國際合作具有重大意義。

奇安信集團(tuán)數(shù)據(jù)安全PBU副總經(jīng)理劉洪亮對新京報貝殼財經(jīng)記者表示，個人信息是數(shù)據(jù)資源中非常重要的組成部分，該《辦法》是繼去年7月《數(shù)據(jù)出境安全評估辦法》正式發(fā)布之后，又一項數(shù)據(jù)出境重要法規(guī)的落地。《辦法》進(jìn)一步完善了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》規(guī)定的數(shù)據(jù)出境安全評估制度，尤其從個人信息方面對數(shù)據(jù)出境監(jiān)管進(jìn)行了細(xì)化和加強(qiáng)。

個人信息出境不再裸奔，《辦法》堵住了哪些漏洞？

方禹表示，《辦法》的出臺，細(xì)化了《個人信息保護(hù)法》“按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利義務(wù)”的要求，是對個人信息出境管理制度的重要補(bǔ)充。

同時，《辦法》要求個人信息處理者不得采取數(shù)量拆分等手段，將依法應(yīng)當(dāng)通過出境安全評估的個人信息通過訂立標(biāo)準(zhǔn)合同的方式向境外提供，從而堵住了可能繞過制度的漏洞。

方禹認(rèn)為，《辦法》豐富個人信息出境方式，通過劃定個人信息出境標(biāo)準(zhǔn)合同的適用范圍和情形，有效實現(xiàn)了標(biāo)準(zhǔn)合同和安全評估、個人信息保護(hù)認(rèn)證的制度銜接，也為后續(xù)出臺有關(guān)認(rèn)證等其他個人信息出境方式的規(guī)則預(yù)留了制度接口。

他表示，《辦法》立足我國立法現(xiàn)狀和實踐情況，對個人信息保護(hù)影響評估、標(biāo)準(zhǔn)合同備案管理、舉報監(jiān)督制度與法律責(zé)任等作出明確規(guī)定。

《辦法》平衡發(fā)展和監(jiān)管雙重需要

劉洪亮認(rèn)為，《辦法》順應(yīng)了個人信息出境快速增長的趨勢，平衡了發(fā)展和監(jiān)管雙重需要，“本次《辦法》發(fā)布的重要目的，是針對具有個人信息出境需求且不滿足數(shù)據(jù)出境安全評估辦法申報條件的企業(yè)，開放了一條出境通道。《辦法》既滿足了日益增長的個人信息出境需要，又通過明確標(biāo)準(zhǔn)合同范本等措施，最大程度保護(hù)個人信息權(quán)益，為向境外提供個人信息提供了具體指引?！?/p>

據(jù)了解，《辦法》對企業(yè)持續(xù)的合規(guī)能力提出更高要求?！掇k法》明確，如果在標(biāo)準(zhǔn)合同有效期內(nèi)出現(xiàn)向境外提供個人信息的目的、方式、范圍、種類、敏感程度、方式、保存地點(diǎn)或者境外接收方處理個人信息的用途、方式發(fā)生變化，或者延長個人信息境外保存期限的需要重新開展個人信息保護(hù)影響評估，補(bǔ)充或者重新訂立標(biāo)準(zhǔn)合同，并向省級網(wǎng)信辦重新進(jìn)行申報備案。

“個人信息出境申報備案僅僅只是開始，持續(xù)合規(guī)才是關(guān)鍵，出境企業(yè)應(yīng)當(dāng)具備數(shù)據(jù)出境持續(xù)監(jiān)測和持續(xù)自運(yùn)營的能力?！眲⒑榱练Q。

根據(jù)公告，《辦法》自2023年6月1日起施行，因此，具有個人信息出境需求的企業(yè)，亟待在實施之日前，完成合規(guī)建設(shè)。劉洪亮認(rèn)為，對于企業(yè)來說，確保個人信息能滿足《數(shù)據(jù)安全法》《個人信息保護(hù)法》《辦法》等法規(guī)的合規(guī)要求，需要能清晰掌握個人信息等敏感數(shù)據(jù)的跨境流動情況——在看清數(shù)據(jù)流向的同時，能清晰、直觀的看到帶有個人信息的敏感數(shù)據(jù)是通過什么人、在什么時間、在什么地點(diǎn)、通過什么方式發(fā)送到哪里。

因此，涉及個人信息出境的企業(yè)，通常需要解決三個難題：第一個難題是如何厘清個人信息資產(chǎn)，明確自己個人信息資產(chǎn)的屬性、量級；第二個難題是如何明晰個人信息流向；第三個難題是對網(wǎng)絡(luò)上流動的個人信息如何持續(xù)監(jiān)測，同時避免個人信息被動出境。

劉洪亮表示，要解決這些問題，確保企業(yè)合規(guī)，無論是風(fēng)險自評估階段，還是持續(xù)監(jiān)督階段，都需要有技術(shù)手段進(jìn)行支撐，否則企業(yè)就無法在事前了解現(xiàn)狀，日常運(yùn)行中由于業(yè)務(wù)變化導(dǎo)致出境數(shù)據(jù)發(fā)生變化也無法及時掌握。

方禹表示，《辦法》以標(biāo)準(zhǔn)合同為抓手規(guī)范我國個人信息出境管理制度，是我國深化開放合作、探索個人信息跨境流動與治理的新舉措。出臺《辦法》不僅補(bǔ)充完善了我國數(shù)據(jù)跨境監(jiān)管制度體系，體現(xiàn)了我國網(wǎng)絡(luò)立法的系統(tǒng)性、整體性、協(xié)同性、時效性，更為數(shù)字經(jīng)濟(jì)浪潮中的中國企業(yè)提供了法治保障和具體指引。