《个人信息保护法》下如何跨境传输个人信息

《个人信息保护法》(以下简称“个保法”)将在2021年11月1日生效实施,其遵循了中华人民共和国(“中国”)《网络安全法》和《民法典》确立的个人信息保护基本规则。

下文我们归纳总结了个保法中有关在境内外处理个人信息及跨境提供个人信息的要点,对于在中国境内外开展业务具有影响。

1.

定义

个保法规定了以下定义:

个人信息,是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

个人信息的处理,包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

2. 

个人信息处理的基本规则

  • 域外适用

个保法适用于在中国境内处理个人信息的活动。在以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为的情形下,个保法还具有域外适用效力。目前尚未出台针对中国的具体要求,个保法可能因此适用于境外公司在并非特别针对中国公民的非中国网站上接收来自中国境内个人的在线订单。预计关于域外适用的范围将进一步厘清。

  • 最小范围和最短保存期限

个保法规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息应当限于实现处理目的的最小范围,不得过度收集个人信息。个人信息的保存期限应当为实现处理目的所必要的最短时间,法律、行政法规另有规定的除外。

  • 自愿和明确的同意

个保法沿用了《网络安全法》和《信息安全技术-个人信息安全规范》中“告知+同意”的个人信息处理原则,要求处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。在向第三方披露个人信息,公开个人信息,或者向境外提供个人信息的情形下,需要取得个人的单独同意。单独同意的具体内容可能在将来进一步厘清,但我们预计该单独同意将是非捆绑式和可选择的形式。

  • 撤回同意

个人有权撤回其同意。个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务, 除非处理个人信息属于提供产品或者服务所必需的。

  • 敏感个人信息处理

敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

个保法对处理敏感个人信息作出了更严格的限制,规定只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。之前就处理非敏感个人信息提供的同意并不足够,处理敏感个人信息应当取得个人的单独同意。除此之外,个人信息处理者还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响,个保法规定可以不向个人告知的除外。

  • 无需同意

另外,个保法还规定了以下5种无需取得个人同意的例外情形,实质性地扩大了允许处理个人信息情形的范围:

 

1.

为订立或者履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

 

2.

为履行法定职责或者法定义务所必需;

 

3.

为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

 

4.

为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

 

5.

依照个保法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;

 

6. 

法律、行政法规规定的其他情形。

  • 个人信息保护负责人

与《网络安全法》和《数据安全法》的规定类似,处理个人信息达到中国国家互联网信息办公室(“国家网信办”)规定数量(目前尚未公布)的,个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。显然《网络安全法》下的网络安全负责人、《数据安全法》下的数据安全负责人和个保法下的个人信息保护负责人的职责将存在一定的重叠交叉,而且法律并未禁止不同类型的安全/保护负责人由同一人担任。个人信息处理者能否聘请第三方(而非委任其雇员)任职个人信息保护负责人尚未明确。

3. 

个人信息跨境提供

个保法中明确,个人信息处理者向中华人民共和国境外提供个人信息的,应当至少具备下列一项条件:

1.

通过国家网信办组织的安全评估;

2.

按照国家网信办的规定经专业机构进行个人信息保护认证;

3.

按照国家网信办制定的标准合同与境外接收方订立合同,约定双方的权利和义务;

4.

法律、行政法规或者国家网信办规定的其他条件。

请注意,个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到个保法规定的个人信息保护标准。但是,目前尚未明确个人信息处理者应当采取哪些具体措施/行动以满足国家网信办的要求。

采用标准合同看起来是最容易满足的出境条件。但是标准合同的文本仍未公布。

此外,个人信息处理者还需向个人告知以下信息,并取得个人的单独同意:

a. 

境外接收方的名称或姓名、联系方式、处理目的、处理方式;

b. 

个人信息的种类;及

c.

个人向境外接收方行使本法规定权利的方式和程序等事项。

请注意,关键信息基础设施运营者和处理个人信息达到规定数量(目前尚未公布)的个人信息处理者,应当将在中国境内收集和产生的个人信息存储在境内,确需向境外提供的,应当通过国家网信办组织的安全评估。与此相关的是,根据《网络安全法》制定的《个人信息出境安全评估办法》仍然在制定过程中。在2019年6月公布的草案规定,经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。

不仅如此,与《数据安全法》具有一致性的是,个保法规定,未经中国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中国境内的个人信息。该限制可能使跨国企业或中方在海外诉讼中处于两难境地。目前尚未明确申请该批准的程序和时限。

另一方面,外国司法或者执法机构请求提供存储于境内个人信息的,中国主管机关将根据有关法律和中国缔结或者参加的国际条约、协定,或者按照平等互惠原则处理。

在中国境外处理个人信息的外国机构有可能被要求在中国境内设立专门机构或者指定代表负责处理个人信息保护相关事宜,并向有关政府部门办理登记。

4. 

法律责任

个保法设定了严苛的违法责任,将情节严重时的罚款上限提升至人民币五千万元(或者上一年度营业额的百分之五),并沿袭《网络安全法》中规定的行政处罚,比如责令改正,没收违法所得,警告,对直接负责的主管人员和其他直接责任人员处人民币一百万元以下罚款,暂停相关业务、停业整顿、吊销相关业务许可或者吊销营业执照。

除行政处罚外,个保法确立了侵犯个人信息权益的民事赔偿。因个人信息处理活动侵害个人信息权益的,赔偿责任应按照个人因此受到的损失或者个人信息处理者因此获得的利益确定。

境外的组织、个人从事损害中国公民个人信息权益或者危害国家安全、公共利益的个人信息处理活动的,国家网信办可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。

如果任何国家和地区在个人信息保护方面对中国采取歧视性的禁止、限制或者其他类似措施的,中国可以根据实际情况对该国家或者该地区采取相应措施。

5. 

结论

作为个人信息保护领域的专门立法,个保法的出台标志着中国在个人信息保护领域进入了一个新阶段。在信息时代,个人信息权益将受到越来越广泛的关注,随着法律法规持续完善,企业在未来也将面临更严格的信息合规要求。我们预期在美国和欧盟的诉讼之后,将出现中国政府对数据违法处以巨额罚款的新闻。

的近律师行将密切关注中国个人信息保护的立法状态,并对可能影响您的业务的要点提供更新。如想了解个人信息处理风险管理的具体建议,请与我们联络。