促进个人信息跨境安全、自由流动 　　 　　——兼谈《个人信息出境标准合同规定（征求意见稿）》 　　 　　近日，国家互联网信息办公室发布《个人信息出境标准合同规定（征求意见稿）》（以下简称《规定》），进一步规范个人信息出境活动，保护个人信息权益，促进个人信息跨境安全、自由流动。《规定》要求，依据标准合同开展个人信息出境活动，应坚持自主缔约与备案管理相结合，防范个人信息出境安全风险，保障个人信息依法有序自由流动，并提出，个人信息处理者向境外提供个人信息前，应当事前开展个人信息保护影响评估，重点评估六项内容。 　　 　　《中华人民共和国个人信息保护法》第三十八条规定：“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。”因此，个人信息处理者向境外提供个人信息时，应当满足通过安全评估、进行个人信息保护认证、签订标准合同等，《规定》针对签订标准合同条件而制定，对个人信息出境标准合同的适用范围、适用条件、程序、主要内容等进行了明确，有助于个人信息跨境安全、自由流动。 　　 　　建议完善重新签订标准合同的程序 　　 　　《规定》第八条提出：“在标准合同有效期内出现下列情况之一的，个人信息处理者应当重新签订标准合同并备案：（一）向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；（二）境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的；（三）可能影响个人信息权益的其他情况。”这明确了重新签订标准合同的情形。从条文内容看，该条文规定了较多的重新签订标准合同情形，如境外接收方政策法规的变化等，这将会在实践中带来大量的重新签订标准合同情形。为提高标准合同履行的效率，可进一步完善重新签订标准合同的程序。 　　 　　建议将“重新签订标准合同”区分为“重新签订标准合同或签订补充合同”等情形。从《规定》第八条看，并非是所有的合同履行变动均应当重新签订标准合同，只有第八条规定的情形才应当重新签订标准合同并备案。该规定涉及的内容在个人信息保护法中也属于个人信息处理者向境外提供个人信息时应征得个人同意的内容。值得注意的是，这类信息的变化有可能会构成标准合同条款的实质变更，而有些变化则可能并不会构成标准合同的实质变更，也不会对个人信息权益保护造成实质影响。对于那些并未造成标准合同条款实质变更以及并未实质影响个人信息权益保护的合同内容变化，要求其重新签订标准合同实际上并无必要。在日常合同履行过程中，通过补充合同变更原合同的情形也十分常见。因此，建议进行相应修改。 　　 　　建议增加个人信息在标准合同内容发生变化至重新签订标准合同生效期间暂时停止出境的规定。《规定》并未直接明确重新签订标准合同期间个人数据能否出境的问题，但结合相关条款看，标准合同内容发生变化至重新签订标准合同生效期间应当不允许个人数据出境。依据《规定》第八条关于重新签订标准合同的表述可推断，当出现标准合同特定内容变化时，原标准合同效力是自动终止的。再依据《规定》第七条第二款，标准合同生效后个人信息处理者即可开展个人信息出境活动。因此，这期间应当不允许个人数据继续出境。故建议在第八条中增加关于“在重新签订的标准合同生效之前，应暂时停止个人信息出境活动”的内容。 　　 　　明确违反出境安全管理要求时的处理机制 　　 　　《规定》第十一条明确了个人信息出境活动不再符合个人信息出境安全管理要求时的通知终止规定。即，省级以上网信监管部门发现通过签订标准合同的个人信息出境活动不再符合出境安全管理要求的，应当书面通知个人信息处理者终止个人信息出境活动。个人信息处理者应当在收到通知后立即终止个人信息出境活动。 　　 　　建议将“通知终止出境活动”修改为分级分类处理方式，如增加约谈、合规管理等多元化处理方式。赋予监管机关及时终止个人信息出境活动的权力，有利于从根本上切断侵犯个人信息保护权益的危险源，最大限度保障数据出境的安全性。但该《规定》第十一条仅设计了一种处理方式，这可能会影响个人数据的出境活动，且这种单一处理规定也与个人信息保护法相关规定不自洽。如个人信息保护法第六十四条规定，相关履职部门在发现“个人信息处理活动存在较大风险或者发生个人信息安全事件”时，可进行约谈或要求进行合规审计；第六十六条仅将行政处罚措施设置为“责令暂停或者终止提供服务”，未完全剥夺应用程序继续提供服务。因此，建议吸收个人信息保护法分类分层级监管措施的规定，对于个人信息出境活动中不符合出境安全管理要求的行为采取多元化处理方式。 　　 　　建议增加个人信息处理者等利害关系人对“通知终止出境活动”的申诉救济程序。《规定》第十条提出，个人信息处理者在收到监管机关终止个人信息出境活动通知时，应当立即终止个人信息出境活动。该条款并未规定例外情形，也未规定救济机制，这可能会侵犯行政相对人的合法权益。建议增加包括个人信息处理者在内的利害关系人的救济机制，允许个人信息处理者以及其他利害关系人向监管机构提出申诉。 　　 　　罚则体系可进一步完善 　　 　　《规定》第十二条明确了违反该规定时的罚则体系。从条文内容看，《规定》第十二条进一步细化了个人信息保护法第六十四条和第六十六条的内容，建立了“限期整改-行政处罚-刑事责任”的递进式法律责任体系，将是否发生实际损害后果作为区分限期整改与行政处罚和刑事处罚的标准，如规定“拒不改正或者损害个人信息权益的，责令停止个人信息出境活动，依法予以处罚”。但从后面条文表述看，其混淆了风险与实际损害的表述。如本条第（二）项和（三）项分别为“未履行标准合同约定的责任义务，侵害个人信息权益造成损害的”和“出现影响个人信息权益的其他情形”，这意味着与该条题干中的“损害个人信息权益”实际上是没有区分价值的。建议可以借鉴个人信息保护法第六十四和第六十六条的做法，将第（二）项“未履行标准合同约定的责任义务，侵害个人信息权益造成损害的”修改为“未履行标准合同约定的责任义务，存在侵害个人信息权益风险的”，并将第（三）项中“出现影响个人信息权益的其他情形”修改为“出现影响个人信息权益风险的其他情形”。 　　 　　此外，《规定》中还有一些内容值得进一步深入探讨。如在标准合同适用条件中以“人”作为评价数据单位是否合理，如何确立重新签订标准合同的情形范围，以及是否有必要对数据出境方与境外接收方所形成的数据处理法律关系做进一步划分等。 　　 　　（作者单位：南开大学·中国社会科学院大学21世纪马克思主义研究院）伊志律师事务所位于北京市朝阳区朝外大街乙6号朝外SOHO-C座1209，优越的地理位置，便利的交通条件，安静、专业的办公环境为需求提供方便。 电话：010-84493343 微信：18401228075 电话：18401228075