Feature网事焦点40/2022.12论个人信息出境认证与安全评估、标准合同的关系个人信息跨境流动是当今数字经济全球化的常态,同时个人信息保护也是国际共识,《全面与进步跨太平洋全面伙伴关系协定》(CPTPP)、《区域全面经济伙伴关系协定》(RCEP)和《数字经济伙伴关系协定》(DEPA)等多边条约都对成员的个人信息保护作出明确要求。我国《个人信息保护法》在设计个人信息跨境提供(简称“出境”)监管制度时,结合国内监管需求和国际监管经验,在第38条第1款规定了个人信息出境安全评估、认证和标准合同的三种主要合法出境的方式。目前,国家互联网信息办公室已经出台《数据出境安全评估办法》,并公布《个人信息出境标准合同规定(征求意见稿)》。同时,全国信息安全标准化技术委员会秘书处也发布TC260-PG-20222A《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》(征求意见稿2.0)(简称“《认证规范》”)。那么,个人信息跨境处理活动安全认证(简称“出境认证”)与安全评估、标准合同之间的关系亟需明确,便于出境认证制度的推广和执行。一、出境认证与安全评估、标准合同具有共通之处出境认证与安全评估、标准合同在目的、理论基础、事后监督方面具有相同之处。首先,在目的方面,三者的规制目的都是落实《个人信息保护法》第38条第3款,即判断个人信息处理者是否能够确保境外接收方对所接收个人信息提供了符合该法所规定的保护水平(下称“同等保护”)。换言之,个人信息处理者通过了出境认证、安全评估,或者与境外接收方签订标准合同,都能确认境外接收方提供了同等保护,依法可以将个人信息跨境提供。同时,三者实施的理论基础也是相同的,即个人信息处理者必须遵守公认的责任原则。从《OECD指南》《108号公约》到《APEC隐私框架》,国际上普遍认可的个人信息保护都以个人信息处理基本原则为框架,并以其中的责任原则驱动其他原则的落实。责任原则的核心要求是个人信息处理者要为自己的个人信息处理行为负责,包括将个人信息跨境提供给境外接收方。类似地,我国《个人信息保护法》第九条规定个人信息处理者应当对其个人信息处理活动负责。因此,出境认证、安全评估和标准合同都是以责任原则为理论基础,审查和评估个人信息处理者是否采取了合理措施、履行其在个人信息向境外提供情形下应当尽到的法律责任。最后,个人信息处理者通过安全评估、出境认证或者签订标准合同之后,仅仅完成出境前的合规要求,都仍要根据责任原则...
