广东
近日,全国信息安全标准化技术委员会发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(以下简称《规范》)。专家认为,《规范》是企业在个人信息出境上可以遵循的重要合规方式,对完善个人信息跨境认证制度提出了具体要求。
个人信息保护法第三十八条规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备四个条件之一。其中第二个条件是“按照国家网信部门的规定经专业机构进行个人信息保护认证”。
南都记者梳理发现,目前《个人信息出境安全评估办法》尚未出台,个人信息处理者规范个人信息跨境处理活动缺乏参考依据。而《规范》在摘要中提到,其正是为了落实个人信息保护法中的建立个人信息保护认证制度提供认证依据。
据悉,《规范》从基本原则、个人信息处理者和境外接收方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面提出了要求,为认证机构实施个人信息保护认证提供跨境处理活动认证依据,也为个人信息处理者规范信息跨境处理活动提供参考。
世辉律师事务所合伙人王新锐指出,目前企业最主要的困惑集中在监管机构的强制性要求方面,“有时只能采取观望态度”。北京师范大学互联网研究院院长助理、中国互联网协会研究中心副主任吴沈括认为,企业的困惑在于如何选择个人信息出境的合规方式,合规有哪些基准要求,以及监管部门有哪些职能。
作为认证机构对个人信息跨境处理活动进行个人信息保护认证的基本要求,《规范》适用于1)跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动;2)在中华人民共和国境内分析、评估境内自然人的行为。
在组织管理方面,《规范》要求开展个人信息跨境处理活动的个人信息处理者和境外接收方指定决策层成员为个人信息保护负责人,并设立个人信息保护机构,组织开展个人信息影响评估、受理请求和投诉等。
个人信息保护法规定,个人信息处理者向境外提供个人信息前应进行个人信息保护影响评估。《规范》对此提出了更具体的要求:至少包括向境外提供个人信息是否符合法律、行政法规,对个人信息主体权益产生的影响,以及其他维护个人信息主体权益所必需的事项。
对个人来说,其有权撤回对其个人信息跨境处理的同意,有权限制或者拒绝他人对其个人信息进行处理,或向境外接收方查阅、复制、更正、补充、删除其个人信息。此外,个人信息主体还有权要求个人信息处理者和境外接收方对其个人信息跨境处理规则进行解释说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
值得注意的是,《规范》提出,个人信息主体有权在其经常居住地所在法院向开展个人信息跨境处理活动的处理者和境外接收方提起司法诉讼。
针对《规范》的效力,对外经贸大学数字经济与法律创新研究中心主任许可指出,推荐性国家标准属于国家鼓励企业自愿遵循的“软法”——当“硬法”缺乏具体落地实效,“软法”将是对“硬法”的有益补充。
采写:实习生程雨祺 南都记者蒋琳
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
