《个人信息跨境流动制度的三重维度.docx》由会员分享,可在线阅读,更多相关《个人信息跨境流动制度的三重维度.docx(19页珍藏版)》请在第一文库网上搜索。
1、个人信息制就动制度的三重维度编者按本文将系统梳理我国多部法律法规与部门规章搭建的个人信息跨境流动的规则体系,并深入讨论个人信息跨境流动制度对我国数字经济国内发展与国际博弈双重面向的影响。目次编者按1目次1前言2?清晰系统的个人信息跨境流动制度规则体系3?三大内容板块3?有机制度架构4?相关配套制度52.全国人大常委会法工委:个人信息保护法规范个人信息跨境流动53.专章立法,为个人信息跨境流动筑牢法治堤坝73.1. 前述73.2. 设立专章规范个人信息跨境流动73.3. 与监管并行构建全面系统的跨境规则83.4. 灵活、对等 确保个人信息跨境流动安全8?个人信息跨境流动中的保护私权维度9?个人信
2、息跨境流动中的企业合规维度11? ?个人信息境内存储的强制要求11? ?个人信息接收方的资质标准12?个人信息跨境流动的选择性条件13?个人信息跨境流动的国际合作与斗争维度15? ?国际合作:数据治理话语体系的中国声音15? ?对外博弈:国外歧视性措施的回应与反制18?结语191.刖百个人信息保护法搭建了清晰系统的个人信息跨境流动制度框架,涵盖了个人信息的私权保护、企业合规以及我国对外合作与博弈三个维度。个人信息跨境流动制度的构建既“风物长宜放眼量为未来构建中国引导的国际数据治理话语体系预留了空间,也完成了近期内迫切需求的个人信息跨境流动的规范体系建设。相关制度设计既以平等互惠的开放怀抱积极参
3、与全球数字经济深度合作,又具备牙齿足够反击我国受到的不公正打压与歧视。2021年8月个人信息保护法公布,首次在法律层面构建了相对全面的个人信息跨境流动制度。同时,个人信息保护法的颁布补全了数据跨境流动制度拼图中最重要的一块,至此我国数据跨境流动制度规则框架与体系基本搭建完成。清晰系统的个人信息跨境流动制度与其他法律法规共同向世界展示了个人信息跨境流动问题的中国方案。个人信息保护法在私益保护、行政监管、国家安全、国际合作等方面提供了全方位立体化的个人信息保护框架,其中个人信息跨境流动制度尤其需兼顾多重面向与利益。一方面,个人信息跨境流动已经成为我国数字经济发展的迫切要求。根据预测,2025年我国
4、数字经济规模有望跃居全球首位,可达人民币60万亿元。个人信息跨境流动成为数字贸易之必需,数字产品或服务的供给、交付均需要清晰的数据跨境制度指引。然而另一方面,地缘政治冲突加剧,世界数字大国间博弈,不同经济体主导的数据流动框架竞争日趋激烈,数字贸易保护主义抬头,导致数字经济发展面临的国际环境更加复杂。在全球数字贸易快速发展、海量数据跨境流动的背景下,个人信息保护法第三章六个条文为中国个人信息跨境流动方案确立了一条原则、两个面向、三重维度的基本框架,即以自由与安全作为个人信息跨境流动的基本原则,搭建对内合规与对外博弈两个面向,涵盖了个人信息保护、促进企业合规、国际合作与斗争三个维度。本文将系统梳理
5、我国多部法律法规与部门规章搭建的个人信息跨境流动的规则体系,并深入讨论个人信息跨境流动制度对我国数字经济国内发展与国际博弈双重面向的影响:在对内面向中,个人信息出境需求下如何保障个人信息安全,如何应对有跨境需求的企业面临的个人信息出境合规体系要求;在对外面向中,在国际合作和博弈维度间,如何保障我国国际话语体系构建与国家数据主权。清晰系统的个人信息跨境流动制度规则体系个人信息保护法建立了我国个人信息跨境流动制度的顶层设计,改变了个人信息跨境流动制度零散无体系且效力位阶较低的情况,构建了清晰系统的制度框架。个人信息跨境流动制度是数据跨境流动中最为重要的内容之一。我国个人信息保护法与民法典网络安全法
6、数据安全法等多部法律,与法规、部门规章、行业和技术标准等共同构成了我国个人信息跨境流动的法律制度有机体系。至此,数据跨境流动制度框架构建基本完成,未来制度构建内容则是具体实施规则的充实。三大内容板块个人信息保护法第三章确定的跨境提供个人信息规则可划分为三个内容板块:第一,明确了跨境提供个人信息的原则与依据。除以我国法律规定为主要依据之外,第38条与第41条还确定,可以在平等互惠原则的基础上,在有规定的情况下,以缔结、参与的国际条约、协定作为个人信息跨境流动的依据。第二,明确了个人信息跨境提供的条件及要求。个人信息跨境提供的条件包括选择性条件和必要性条件。选择性条件具备其中之一即可,即个人信息处
7、理者要通过国家网信部门组织的安全评估,或经过专业机构进行个人信息保护认证,按照标准合同与境外接收方订立合同,或满足法律、行政法规、网信部门规定的其他条件(第38条)。必要性条件是个人信息处理者必须满足的,即要取得个人对于个人信息跨境事项的单独同意(第39条),并且保障境外接收方处理活动达到境内个人信息保护标准(第38条)。第三,明确了个人信息跨境提供的限制条件。限制条件要求国家机关、关键信息基础设施运营者、处理个人信息达到国家网信部门规定数量的个人信息处理者掌握的个人信息原则上在境内存储,确需向境外提供的,需经过安全评估(第36条、第40条)。有机制度架构个人信息保护法与我国现行多部法律联动形
8、成了保护公民个人信息权益的架构。第一,个人信息保护法将民法典中保护平等主体个人信息的规定特别化、具体化。民法典在我国首次明确将个人信息权益作为法律保护的对象,区分保护了隐私与个人信息。而个人信息保护法则进一步明确了个人信息的概念和范畴,以“可识别性”作为判定个人信息范围的标准。在未来的侵害个人信息权益的案件中,如何判定加害人的行为是否侵害个人信息,应本着特别法优于普通法的原则,将“可识别性”作为判定个人信息的标准。个人信息保护法也为未来个人信息范围的划定预留了空间,因“可识别性”是一个随着技术发展而动态革新的概念。随着数据分析范围的扩大、数据分析技术的增强、可对比信息丰富,个人信息被识别的可能
9、性也在不断增加。第二,个人信息保护法与网络安全法中第四章从不同角度强化了个人信息的法律保护。2016年制定的网络安全法将个人信息作为网络安全的重要内容,主要从安全层面上规定了网络运营者的安全保障义务、告知义务、保密义务等。个人信息保护是一个公私联动的重大工程。个人信息保护法属于新法,并且更加具体与细致,接过了我国个人信息保护的“接力棒”。尤其在关键信息基础设施运营者与个人信息处理者的义务中,个人信息保护法做出了覆盖个人信息全生命周期的安排。第三,个人信息保护法与数据安全法互为补充。数据安全法为个人信息跨境流动制度确立了安全与自由的基本原则,规定“国家保护个人、组织与数据有关的权益,鼓励数据依法
10、合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展:随着数字经济的发展,业内逐渐认识到不同数据所蕴含价值和主权属性并不相同。它关系国家安全、公共利益与个人隐私等重要价值,因此需对不同数据进行分级分类的保护,我国数据跨境流动立法也以此作为主导思想。第四,个人信息保护法与电子商务法消费者权益保护法商业银行法等专门性法律形成了一般法与特别法的关系。在涉及电商平台用户跨境流动、消费者个人信息跨境存储、银行用户个人金融等敏感信息跨境流动的具体制度问题上,个人信息保护法提供了一般性规则,可有效为专门法律的未尽事宜提供指导原则。相关配套制度与此同时,近三年来国内密集起草制订了多部法规
11、、规章与规范性文件,为个人信息跨境流动提供不同行业领域与场景的具体制度。第一,规范文件和标准文件对具体制度的规定。信息安全技术个人信息安全规范(2020年)进行个人信息示例及个人敏感信息判定,规范了个人信息流转过程中的合法化要求、最小化要求、授权同意、明示同意和隐私政策内容及发布;个人信息出境安全评估办法(征求意见稿)(2019年)则明确了个人数据出境评估关键要素与评估方法。信息安全技术数据出境安全评估指南(草案)(2017年)进行了术语界定,明确了数据出境安全的总体评估流程,并且列举了评估要点,对数据接收方安全保护能力作出了规定。这都对个人信息出境安全评估以及数据接收方的要求等做出了更为明确
12、和细致的指引。第二,各个行业相关规范对不同场景个人信息流动的细分。保守国家秘密法征信业管理条例等法律法规也对特定行业、特定领域的跨境数据流动作了一些基本规定。中国人民银行对个人金融信息数据,国家卫健委对涉及人口健康信息数据,交通运输部、工信部等六部委颁布的网络预约出租汽车经营服务管理暂行办法(2019年修正)对网约车所采集的个人信息和生成的业务数据等,都要求在中国境内存储。汽车数据安全管理若干规定(试行)在涉及智能驾驶汽车的个人信息和数据跨境流动方面作出规定。可以预见,随着各个行业数字化进程加深,个人信息跨境流动的行业和场景规范将更加丰富。由此可见,个人信息保护法标志着我国数据跨境流动制度基本
13、建立完成。毫无疑问,数据跨境流动的一般条款也适用于个人信息跨境流动。单一的数据本地化和限制性出境管理模式已经不能适应我国数字经济全球化和国内头部企业出海的制度需求。个人信息保护法同多部法律法规与行业规范技术标准,共同建立了我国包含数据本土化、数据出境合理限制、自由流动等多种监管模式和监管机制相结合的个人信息跨境流动法律体系。2.全国人大常委会法工委:个人信息保护法规范个人信息跨境流动十三届全国人大常委会第三十次会议20日表决通过个人信息保护法。全国人大常委会法工委经济法室副主任杨合庆表示,个人信息保护法构建了一套清晰、系统的个人信息跨境流动规则,规范了个人信息跨境流动。当前,个人信息的跨境流动
14、日益频繁,但由于遥远的地理距离以及不同国家法律制度、保护水平之间的差异,个人信息跨境流动风险更加难以控制。杨合庆表示,个人信息保护法构建了一套清晰、系统的个人信息跨境流动规则,以满足保障个人信息权益和安全的客观要求,适应国际经贸往来的现实需要。他具体指出,一是明确:以向境内自然人提供产品或者服务为目的,或者分析、评估境内自然人的行为等,在中国境外处理境内自然人个人信息的活动适用本法,并要求符合上述情形的境外个人信息处理者在中国境内设立专门机构或者指定代表,负责个人信息保护相关事务。二是明确向境外提供个人信息的途径,包括通过国家网信部门组织的安全评估、经专业机构认证、订立标准合同、按照中国缔结或
15、参加的国际条约和协定等。三是要求个人信息处理者采取必要措施保障境外接收方的处理活动达到本法规定的保护标准。四是对跨境提供个人信息的“告知一同意”作出更严格的要求,切实保障个人的知情权、决定权等权利。五是为维护国家主权、安全和发展利益,对跨境提供个人信息的安全评估、向境外司法或执法机构提供个人信息、限制跨境提供个人信息的措施、对外国歧视性措施的反制等作了规定。此外,个人信息保护法还赋予大型网络平台个人信息保护特别义务。杨合庆表示,互联网平台服务是数字经济区别于传统经济的显著特征。在个人信息处理方面,互联网平台为平台内经营者处理个人信息提供基础技术服务、设定基本处理规则,是个人信息保护的关键环节。他指出,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人