關于借鑒歐盟政策加強個人信息跨境傳輸安全認證制度建設的建議

許皖秀，左曉棟

(中國科學技術大學 公共事務學院，安徽 合肥 230026)

0 引言

我國《個人信息保護法》第38條明確了個人信息跨境傳輸的幾種不同方式，認證為其中之一。2022年11月8日，全國信安標委秘書處發布了《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規范v2.0(征求意見稿)》，并正在組織制定國家標準《信息安全技術 個人信息跨境傳輸認證要求》。此外，國家網信部門已經發布關于開展個人信息保護認證工作的公告文件。這意味著，我國個人信息跨境傳輸安全認證制度已進入實質性建設階段。

個人信息跨境傳輸安全認證制度是新生事物，面臨大量嶄新問題[1]。歐盟2018年實施《通用數據保護條例》(GDPR)[2]時，已經提出了數據跨境傳輸的認證模式，但歷經四年仍在探索具體方法。至2022年6月，歐盟數據保護委員會(EDPB)發布2022年第7號指南《將認證用作傳輸工具的指南》[3](以下簡稱《指南》)，相關制度設計方告完成。本文對該指南進行了研究，提出了加強我國個人信息跨境傳輸安全認證制度的建議。

1 全球跨境傳輸安全認證制度建設的整體情況

1.1 認證制度發展起源

將認證作為數據跨境傳輸的方式之一是由歐盟GDPR首創的[4]，我國《個人信息保護法》作了借鑒[5]。但GDPR引入認證制度時并非僅面向數據出境，而是為了證明個人信息保護水平。其第42條和第43條指出，可對數據控制者或處理者的數據處理行為進行認證，并為此規定了各參與方的作用和要求，以及認證和認可過程的總體原則。

最初，歐盟在這方面的主要是探索個人信息保護認證制度的頂層設計，未專門針對數據跨境傳輸場 景[6]。2018年5月，EDPB發 布 當 年 的1號 指 南《關于GDPR第42、43條的認證和識別認證準則的指南》[7]，并于2019年6月更新至第三版，對認證制度的可重復性原則、問責工具作用、關鍵概念和認證范圍等進行了詳細闡釋。該文件不是根據GDPR進行認證的程序手冊，其主要目的是確定GDPR第42、43條所述各類認證機制的總體要求和認證標準。2018年12月，EDPB發布當年的4號指南《對認證機構的認可》[8]，2019年6月更新至第三版。2019年2月，EDPB發布2018年1號指南的附錄2《對認證準則的審查和評估》[9]。2021年4月，EDPB發布2018年1號指南的補充附錄《認證準則評估》[10]。除上述指南文件外，歐盟委員會還于2019年5月發布了研究報告《數據保護認證機制——對GDPR第42、43條的研究》，對歐盟個人信息保護認證制度作了系統性研究。但該研究報告不諱言，這一領域還有很多問題尚未有答案。

1.2 認證制度建設最新進展

今年以來，歐盟成員國逐漸開始實施具體的個人信息保護認證制度。2022年6月，EDPB宣布，盧森堡的國家數據保護委員會(CNPD)已于5月13日批準其數據安全認證機制GDPR-CARPA，成為GDPR下第一個在國家層面實施的認證。但該制度不適用于數據跨境傳輸活動，只是數據保護的通用認證。2022年9月，EDPB對德國北威州數據保護當局提交的EuroPrise認證方案草案發表了評論，這是EDPB在歷史上發表的第二份認證評論。但在該評論中，EDPB表示沒有批準該申請，認為其認證方案會導致GDPR應用的不協調，需做較大修改。由此可見，EDPB對個人信息保護認證制度的建設持十分謹慎的態度。

直到最近，歐盟才在個人信息保護認證制度框架下明確了將該制度用于數據跨境傳輸時的基本規則。GDPR第42條(2)款和46條(2)款提出可將個人信息保護認證用作數據跨境傳輸的合法依據。即，位于未獲得充分性認定的第三國的數據處理者或控制者申請并獲得認證，并向數據傳輸方或認證機構做出有約束力和可執行力的承諾（如合同條款等），即可實施數據跨境傳輸。2022年6月，EDPB發布的《指南》，從一般性規定、實施認可要求、具體的認證準則、有約束力和可執行力的承諾四個方面首次明確了個人信息出境安全認證制度的具體要求。但需要指出，現階段，歐盟尚未將認證制度實際應用到數據出境中，目前并沒有實際獲得批準的數據跨境傳輸認證機制，相關工作進展僅限于制度設計。

2 《指南》的要點和重要結論

《指南》著重提出了以下重要觀點和要求，而這些觀點和要求值得高度關注與借鑒。

2.1 “兩步走”模型

GDPR第44條規定，任何向第三國或國際組織傳輸個人數據的行為應在符合GDPR其他條款要求的基礎上，遵守GDPR第五章(向第三國或國際組織傳輸個人數據)規定。為此，《指南》給出了一個“兩步走”測試模型，如圖1所示：第一步，數據傳輸須符合GDPR的一般性要求，包括條例第5條規定的數據保護原則、第6條規定的合法性要求，對特定類別數據(如敏感個人信息)還應符合條例第9條要求；第二步，數據傳輸必須遵守GDPR第五章的規定。

圖1 “兩步走”測試模型

2.2 認證基本框架

認證持有者及認證對象。《指南》進一步明確了在使用認證機制進行跨境傳輸的場景下，應由位于第三國或作為國際組織的數據進口方取得認證，證明其能夠為來自歐盟的個人數據提供GDPR要求的保護水平。數據出口方和進口方的具體角色(數據控制者或數據處理者)并無限制，不同角色將對應不同的責任，具體如圖2所示。

圖2 數據出口方和進口方具體角色

認證對象則是第三國數據進口商對歐盟個人數據的所有處理操作。數據進口商在申報認證時，應說明涉及的數據處理操作(包括可能的數據再轉移)、數據類型及數據主體類型、傳輸目的、傳輸雙方角色(控制者和/或處理者)，以及發生數據處理操作的國家。

認證機構的定位。歐盟對數據安全認證提出了總體要求，但不指定具體的認證機制。認證機構自身可以開展認證；也可以僅作為合格評定的執行者，根據授權使用其他實體的認證機制開展認證。《指南》首次明確，出于監管機構有效行使矯正權等考慮，認證機構必須位于歐盟境內，其可將合格評定的部分或全部過程外包給數據進口方所在第三國的機構或專業人員執行，但認證決定不允許外包。在允許外包的范疇內，認證機構必須根據國際標準ISO 17065中對外部資源的要求以及數據安全監管機構制定的額外認可要求對境外相關承包機構和專業人員進行評估。

證書發放權限。監管部門和獲得認可的認證機構均有權執行合格評定并發放認證證書。認證機構在頒發或續簽證書時不需要獲得監管部門的單獨批準，但有責任提前告知監管部門，以便其在必要時行使矯正權，還應向監管部門報告頒發或撤銷所申請認證的理由。監管部門的矯正權是指有權撤銷本部門頒發的認證、要求認證機構撤銷其頒發的認證，或在持證者不再滿足認證要求的情況下要求認證機構不頒發認證。

2.3 數據出口方對認證證書的查驗過程

根據GDPR，位于歐盟境內的數據出口方承擔數據跨境傳輸的總體責任，其有義務根據傳輸和所涉數據的特點核驗數據接收方所持認證是否有效且適用，包括：證書是否真實有效且未過期，認證范圍是否覆蓋了傳輸活動的具體情形、是否覆蓋了個人數據的過境，是否涉及了數據的再轉移，相關證明文檔是否充分，數據接收方是否與認證機構簽訂了認證協議等。發送方還應結合雙方具體角色(控制者或處理者)，評估第三國現行法律和監管實踐是否會影響認證的有效性。如數據進口方根據認證要求提出應實施補充性措施，出口方還有義務驗證這些措施的有效性和可行性。

2.4 數據過境問題

用作傳輸工具的認證機制針對歐盟數據傳輸到第三國以及進口商后續進行的數據操作，但也應明確寫出其是否覆蓋數據過境的情況(如海底光纜通過其他國家)。如覆蓋，則由持證的數據進口方負責其安全；如不覆蓋，則由對傳輸活動承擔總體責任的數據出口方負責其安全。《指南》附錄針對這兩種情況分別給出了補充性措施的示例，如圖3所示。可以看出，在過境階段，EDPB的主要顧慮也是第三國政府強行獲取數據。

圖3 補充性措施示例

2.5 保障個人信息主體權利的行使

保障數據主體權利是GDPR數據認證的重點考慮之一，包括訪問權、更正刪除權、限制(使用)權等。為確保數據主體能夠獲得有效的司法救濟并在必要時強制行權(包括提出索賠等主張)，《指南》規定，認證準則應要求數據進口方充分說明在相關第三國，數據主體能否以及能在多大程度上行使這些權利，是否需要采取補充性措施來保障其行權，還應要求其建立用于個人行權的投訴處理程序。進出口雙方應在約定傳輸活動的合同(如數據共享合同、服務合同等)明確寫出數據主體享有第三方受益人權利，且應為其提供行權機制。即，數據主體有權通過向進口方或主管監管機構投訴等途徑，要求進口方執行其在認證下的承諾；在進口方違反認證規定時，數據主體有權援引第三方受益人權利，通過主管機構或主管法院向數據進口方和/或出口方提出索償等主張；數據主體還可委托非營利機構、組織或協會代表其行使權利。

此外，為保障相關方有效行權，《指南》提出，認證準則應要求數據進口方配合數據出口方的主管監管部門并接受其審計和檢查，遵守其決定。

2.6 針對可能影響數據跨境傳輸安全采取的舉措

對第三國法律環境進行評估。《指南》指出，EDPB對于數據傳輸至歐盟外的主要顧慮在于第三國政府可能通過對數據進口商的管轄權強行獲取數據，或因第三國法律與監管實踐的阻礙使數據保護措施失效，以及相關方(特別是歐盟數據主體)難以有效行使其權益。為應對此類風險，《指南》通篇從不同角度多次強調了相關評估要求：數據進口方有義務采用適當、正確的方式對所在國立法情況和監管實踐進行評估，還應向認證機構和數據出口方書面承諾，所在第三國法律或實踐(包括政府的數據訪問要求)不會阻礙其履行認證下的義務，且一旦影響到其履行承諾，將立即通知出口方和認證機構并采取應對措施。

認證機構在開展合格評定時應檢查進口方履行評估義務的情況，必要時進行現場審核。為此，認證機構應具備必要的資源，包括與“適當的保護措施”相關的專業知識、對第三國相關法律框架的深入了解以及足夠的第三國語言技能等。頒發認證后，認證機構應跟蹤關注可能對數據處理活動造成影響的第三國立法和/或判例法變化。數據出口方在對進口方的認證證書進行查驗時，應根據雙方具體角色(數據控制者或處理者)，考慮第三國現行法律和實踐下該證書是否有效。如其收到進口方關于法律環境變更可能造成影響的通知，應研判是否即刻終止數據傳輸。

防止第三國政府部門獲取數據。除對第三國法律環境進行評估時應考慮當地政府是否可能強行要求獲取數據訪問權限外，認證準則還應要求進口方制定應對第三國當局數據訪問要求的措施，包括立即通知數據出口方、審查訪問要求的合法性等，還應要求不得因第三國當局的數據訪問要求而導致大規模、恣意的數據傳輸情況。

2.7 數據進口方的監督和追責

為防止數據傳輸到境外后失控，歐盟要求實施有約束力、可強制執行的承諾。形式上主要是兩份合同——進口方與認證機構簽訂的認證合同，以及進出口雙方簽訂的包含進口方所作承諾的合同。在數據傳輸認證下，數據進口方必須在認證合同中承諾會遵守認證準則(包括關于數據主體權利的準則)，且數據出口商和傳輸所涉數據主體均應作為該合同的第三方受益人。《指南》進一步明確，認證機構應對數據進口方的可追責性進行充分評估，并在簽發認證后負責持續監督其客戶對認證準則的遵守情況。監管部門可在必要時行使其矯正權。

關于出口商與進口商的合同，《指南》提出，進出口雙方可在現有的合同中加入承諾，也可以另外簽訂單獨合同，認證機制可以提供合同模板。不論何種形式，文書中必須寫明，數據進口方承諾在處理歐盟個人數據時將遵守認證規則，且第三國法律或實踐不會阻礙其承諾的履行。合同中還應寫明傳輸涉及的數據主體享有第三方受益人權利，并提供承諾履行機制。如認證機制覆蓋數據再轉移情形，也應在合同中說明。

3 對我國的啟示

一是將跨國公司分支機構間的數據跨境傳輸情形與認證相剝離。“約束性企業規則”是歐盟提出的適用于跨國公司分支機構間實施數據跨境傳輸的機制，但我國《個人信息保護法》未采用這一機制。然而，《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規范》1.0版在“適用范圍”中實質性納入了這一工具。從原理看，“約束性企業規則”與認證無必然聯系。從歐盟數據出境安全認證制度的設計看，也沒有針對跨國公司跨境傳輸數據場景的特殊考慮。為此，建議將“約束性企業規則”作為《個人信息保護法》第三十八條第一款第四項中“國家網信部門規定的其他條件”，與認證制度分別建立。

二是盡快明確個人信息跨境傳輸認證制度的整體框架，包括認證范圍、參與方及其主要作用、認證過程等。關于認證范圍，建議借鑒歐盟方案，廣泛定義為境外的數據接收方對我國《個人信息保護法》規范范圍內個人信息的全部處理活動。關于認證主體，建議基于我國《個人信息保護法》對“域外效力”的制度設計(法律要求境外數據處理者在境內設立機構或指定代表)，明確境外數據接收方是第一認證對象，對境內數據發送方的認證為輔。應在制度層面進行規定，境外數據接收方需接受認證機構的持續監督，必要時接受中方數據安全監管機構的審計或檢查。

三是強化對認證機構以及數據進出口雙方的監督管理。對認證機構，建議根據國情在現階段僅明確一家，并加快制定對數據安全評估實驗室的認可要求及認證合同模板。關于認證機構職責，可要求其關注對數據接收方所在國法律環境和數據接收方可追責性的評估(傳統上認為這不屬于認證機構的責任，但歐盟已經作出先例)。考慮到數據接收方所在國的機構更便于對接收方進行監督檢查，建議適當允許將部分合格評定和后續監督活動進行外包(可由中檢集團等中資機構的境外分支機構負責)，并明確允許外包的范圍、條件及相關要求。此外，可結合數據分級分類制度，根據擬傳輸個人信息的敏感程度或數量，對其認證執行不同力度的監管。對數據接收方，建議抓緊制定適用于數據出境安全認證的合同模板及約束性承諾的基本內容，并明確追責機制和相關罰則。對數據發送方，建議進一步明確其對數據跨境傳輸及可能的數據再轉移承擔總體責任，在其出境前的自評估過程中納入對接收方認證證書的核驗要求。

4 結論

歐盟《指南》在個人信息跨境傳輸認證制度的建設方面具有諸多亮點，而我國作為個人信息跨境傳輸大國，借鑒國外先行經驗構建并完善個人信息跨境傳輸制度具有重要意義。尤其是在《個人信息跨境傳輸認證規則》已經發布的背景下，做好個人信息跨境傳輸認證制度的整體框架建設、明確認證適用情形、強化對認證機構與數據進出口雙方的監管工作尤為重要，而本文內容對于個人信息跨境認證工作的開展具有實踐層面的意義。