随着经济全球化深入以及云计算等技术的持续发展，越来越多的中国企业“走出去”，数据在全球范围跨境流动。不同国家、地区之间存在法律、政策等差异，因此，企业在开展数据跨境活动时，既面临数据输出地和输入地的数据跨境流动规则要求不同的问题，也存在合规要求可能带来的安全风险隐患。近年来，境内外对于数据安全、个人信息保护的立法和执法力度在不断增强，对企业而言，前期做好数据合规工作在一定程度上将降低后期承受因数据处理不合规带来重大损失的风险。

《中华人民共和国个人信息保护法》第三十八条规定，“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”。

由此可见，“认证”为个人信息跨境处理活动达到合规要求的方式之一。对此，2022年6月24日，全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》（信安秘字〔2022〕126号），然而，不到半年内，2022年11月8日，再次发布了关于对《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0（征求意见稿）》公开征求意见的通知（信安秘字〔2022〕195号），并做了较大幅度的修订。

总体上，V2.0版本相较于前一版本，体现了两个特征：第一，更加详细完整；第二，更体现在个人信息跨境处理领域的涉外法治思想，如在“个人信息处理者和境外接收方的责任义务”部分，不仅明确“承诺遵守中华人民共和国个人信息保护有关法律、行政法规，接受中华人民共和国司法管辖”，更进一步阐明“承诺与个人信息跨境处理有关的纠纷适用中华人民共和国相关法律法规”。笔者对此进行了比较学习，下文将分述有关的重大变化，以供交流。

一、体例更加标准完整，用语更加准确规范

V2.0版本新增了“术语定义”，明确了“个人信息主体”“个人信息处理者”“境外接收者”三个术语的定义。此外，在个别用语方面更加准确与规范，例如，将“信息质量原则”修改为“信息质量保障原则”等，新增的“保障”二字将范围划分得更为精准。

二、拓宽适用范围

鉴于该规范为自愿性认证，因此，V2.0版本在适用情形方面的表述为“本文件作为认证机构对个人信息跨境处理活动进行个人信息保护认证的认证依据，适用于个人信息处理者开展个人信息跨境处理活动”，而不仅仅局限于前一版本的规定：“a)跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动；b)《中华人民共和国个人信息保护法》第三条第二款适用的个人信息处理活动。”适用范围的拓宽，让个人信息跨境数据的安全得到更大程度的保护。

三、在基本原则方面，境外接收方纳入规范当中

在认证的基本原则方面，前一版本仅仅只是规定了个人信息处理者应当遵循的原则，而V2.0版本新增了境外接收方应当遵循的基本原则。从单方到双方的原则调整，为个人信息的保护认证提供规范化、全面化的保障。

四、丰富与细化“有法律约束力的协议”的主要内容

对于传输方与接收方/处理方的协议内容方面，前一版本规定得较为笼统，V2.0版本对此进行了丰富与完善，对规范的协议内容新增了补充，理应包含以下内容：

1. 个人信息处理者和境外接收方的基本信息，包括但不限于名称、地址、联系人姓名、联系方式等；

2. 个人信息跨境处理的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等；

3. 个人信息处理者和境外接收方保护个人信息的责任与义务，以及为防范个人信息跨境处理可能带来安全风险所采取的技术和管理措施等；

4. 个人信息主体的权利，以及保障个人信息主体权利的途径和方式；

5. 救济、合同解除、违约责任、争议解决等；

6. 承诺履行个人信息保护义务；

7. 个人信息处理者和境外接收方均承诺对侵害个人信息权益行为承担法律责任，法律责任不明确的，由个人信息处理者承担法律责任。

五、补充增加企业“个人信息保护机构”的职责内容

1. 保护个人信息权益；

2. 采取有效措施保证按照约定的处理目的、 范围、 方式处理跨境个人信息，履行个人信息保护义务，保障个人信息安全；

3. 定期对本组织处理个人信息遵守中华人民共和国法律、 行政法规的情况进行合规审计；

4. 接受认证机构对个人信息跨境处理活动的监督， 包括答复询问、 配合检查等。

六、大幅扩充“个人信息保护影响评估”的内容

V2.0版本不仅明确了要提交评估报告，而且规定了评估报告至少要保存3年。对于评估报告的内容，也作出新的要求与扩充，明确表示评估报告应该包含：

1. 个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；

2. 跨境处理个人信息的规模、范围、类型、敏感程度、频率， 个人信息跨境处理可能对个人信息权益带来的风险；

3. 境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障跨境处理个人信息的安全；

4. 个人信息跨境处理后泄露、损毁、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅等；

5. 境外接收方所在国家或者地区的个人信息保护政策法规，对其履行个人信息保护义务和保障个人信息权益的影响，包括但不限于：

（1）境外接收方此前类似的个人信息跨境传输和处理相关经验、 境外接收方是否曾发生数据安全相关事件及是否进行了及时有效地处置、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息请求及境外接收方应对的情况；

（2）该国家或地区现行的个人信息保护法律法规、普遍适用的标准情况， 及与我国个人信息保护相关法律法规、 标准情况的差异；

（3）该国家或地区加入的区域或全球性的个人信息保护方面的组织， 以及所做出的具有约束力的国际承诺；

（4）该国家或地区落实个人信息保护的机制， 如是否具备个人信息保护的监督执法机构和相关司法机构等；

6. 其他可能影响个人信息跨境处理安全的事项。

七、落实“个人信息主体权利”的实现以及求偿权

V2.0版本在明确个人信息主体享有哪些权利方面，更注重对权利实现方式的要求与响应。增加了“个人信息主体行使上述权利时，个人信息主体可请求个人信息处理者采取适当措施实现，或直接向境外接收方提出请求。个人信息处理者无法实现的，应通知并要求境外接收方协助实现”，以及“个人信息权益受到损害时，个人信息主体有权向个人信息处理者、境外接收方的任何一方提出赔偿要求”。在明确个人信息主体权利的同时，清晰表明权利的实现与求偿，充分体现加深了对个人信息保护的执行力度。

八、增加了“个人信息处理者和境外接收方的责任义务”的内容

1. 如果境外接收方所在国家或地区法律或政策发生变化，导致境外接收方无法履行本认证所提出的要求，境外接收方应在知道前述变化后立即通知个人信息处理者及认证机构；

2. 境外接收方承诺不将所接收的个人信息提供给第三方。如确需提供的，应满足中华人民共和国有关法律、 行政法规要求， 并采取必要措施确保第三方个人信息跨境处理活动达到《中华人民共和国个人信息保护法》规定的个人信息保护标准；

3. 客观记录开展的个人信息跨境处理活动，保存记录至少3年；按照相关法律法规要求向中华人民共和国履行个人信息保护职责的部门提供相关记录文件”；

4. 发生安全事件时，报告与通知的内容应当包括：“1)个人信息泄露、篡改、丢失的原因；2)泄露的个人信息种类和可能造成的危害；3)已采取的补救措施；4)个人可以采取的减轻危害的措施；5)负责处理个人信息泄露、篡改、丢失的负责人或负责团队的联系方式”；

5. 验证机构应“配合检查、 服从采取的措施或做出的决定等，并提供已采取必要行动的书面证明”；

6. 承诺与个人信息跨境处理有关的纠纷适用中华人民共和国相关法律法规。

总而言之，个人信息跨境处理活动将更加有规可循。《个人信息跨境处理活动安全认证规范》将同此前发布的《数据出境安全评估办法》《个人信息出境标准合同规定（征求意见稿）》等规范文件共同为企业跨境处理个人信息提供更细致且具操作性的规范指导。

作者介绍

闪涛 高级合伙人

执业证号：14401200810597414

专注领域：“一带一路”与海外投资、跨境争议解决、涉外公司与股权、涉外金融与私募、跨境电商、新兴科技（人工智能、区块链、数据安全与信息保护）等

在海外投资、跨境电商等方面以及在东南亚、南亚、西亚、中东欧、中亚等“一带一路”沿线地区国家开展了大量的具体涉外法律服务，累积了丰富的涉外法律实践经验。同时，致力于数据合规、信息安全保护法律实践研究，特别是在数据合规风险管理、数据产品合规审查、数据合规制度设计等方面，目前闪涛律师已获得国际信息科学考试学会（EXIN）数据保护官（DPO）认证。

*声明：本站对所有原创、转载、分享的内容、陈述、观点判断均保持中立，推送文章仅供读者参考。本站发布的文章、图片等版权归作者享有，如需转载原创文章，或因部分转载作品、图片的作者来源标记有误或涉及侵权，请通过留言方式联系本站运营者。谢谢！