個人信息跨境流動是當今數字經濟全球化的常態，同時個人信息保護也是國際共識，《全面與進步跨太平洋全面伙伴關系協定》(CPTPP)、《區域全面經濟伙伴關系協定》（RCEP）和《數字經濟伙伴關系協定》（DEPA）等多邊條約都對成員的個人信息保護作出明確要求。我國《個人信息保護法》在設計個人信息跨境提供（簡稱“出境”）監管制度時，結合國內監管需求和國際監管經驗，在第 38 條第 1 款規定了個人信息出境安全評估、認證和標準合同的三種主要合法出境的方式。目前，國家互聯網信息辦公室已經出臺《數據出境安全評估辦法》，并公布《個人信息出境標準合同規定（征求意見稿）》。同時，全國信息安全標準化技術委員會秘書處也發布 TC260-PG-20222A《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范》（征求意見稿 2.0）（簡稱“《認證規范》”）。那么，個人信息跨境處理活動安全認證（簡稱“出境認證”）與安全評估、標準合同之間的關系亟需明確，便于出境認證制度的推廣和執行。

一、出境認證與安全評估、標準合同具有共通之處

出境認證與安全評估、標準合同在目的、理論基礎、事后監督方面具有相同之處。首先，在目的方面，三者的規制目的都是落實《個人信息保護法》第 38 條第 3 款，即判斷個人信息處理者是否能夠確保境外接收方對所接收個人信息提供了符合該法所規定的保護水平（下稱“同等保護”）。換言之，個人信息處理者通過了出境認證、安全評估，或者與境外接收方簽訂標準合同，都能確認境外接收方提供了同等保護，依法可以將個人信息跨境提供。

同時，三者實施的理論基礎也是相同的，即個人信息處理者必須遵守公認的責任原則。從《OECD 指南》《108 號公約》到《APEC 隱私框架》，國際上普遍認可的個人信息保護都以個人信息處理基本原則為框架，并以其中的責任原則驅動其他原則的落實。責任原則的核心要求是個人信息處理者要為自己的個人信息處理行為負責，包括將個人信息跨境提供給境外接收方。類似地，我國《個人信息保護法》第九條規定個人信息處理者應當對其個人信息處理活動負責。因此，出境認證、安全評估和標準合同都是以責任原則為理論基礎，審查和評估個人信息處理者是否采取了合理措施、履行其在個人信息向境外提供情形下應當盡到的法律責任。

最后，個人信息處理者通過安全評估、出境認證或者簽訂標準合同之后，僅僅完成出境前的合規要求，都仍要根據責任原則持續采取措施，監督境外接收方是否對所接收個人信息持續提供同等保護。在具體監督方式上，《個人信息保護法》第五十四條規定，個人信息處理者應當定期合規審計其處理個人信息遵守法律、行政法規的情況。因此，個人信息處理者這里所要持續采取的監督措施主要就是對境外接收方的后續個人信息處理進行合規審計。

二、出境認證與安全評估、標準合同在具體實施方面有所不同

首先，適用的范圍不同。《個人信息保護法》第三十八條僅列舉安全評估、出境認證和標準合同是個人信息合法出境的條件之一，并未明確三者適用范圍的關系，三者似乎是平等適用關系。不過，該法第四十條規定，關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者的個人信息出境原則上應當通過安全評估。其中，“國家網信部門規定數量的個人信息處理者”已通過《數據出境安全評估辦法》第四條加以明確。目前，《個人信息出境標準合同規定（征求意見稿）》第四條規定了未達到安全評估的個人信息出境情形都可以通過簽訂標準合同的形式進行合法出境。相比之下，《認證規范》將出境認證的范圍擴展至所有個人信息處理者開展個人信息跨境處理活動。換言之，只要企業開展個人信息出境活動都可以申請出境認證。這樣的定位實際上是回歸認證的原本功能，即體現企業對個人信息的高水平保護，因此任何有個人信息出境需求的企業都可以通過該認證體現其在個人信息處理尤其是跨境處理方面的高水平保護。

其次，審查的主體不同。雖然三者都是在審查或評估個人信息處理者是否履行個人信息出境方面的責任原則要求，但具體審查的主體有所不同。安全評估的審查主體是網信部門，其中省級網信部門對申請材料進行形式審查，國家網信部門對申請材料進行實質審查并作出是否可以出境的決定。出境認證的審查主體是國家網信部門認可的專業機構，該專業機構不是政府機構，而是市場化運營的組織。相比之下，標準合同機制下的審查主體是向境外提供個人信息的個人信息處理者自己。值得注意的是，這三種審查都是相應主體在個人信息出境前進行的審查或評估，與事后的國家監督（或安全評估中的國家事后持續監督）并不沖突。

再者，審查的依據和側重點有所不同。雖然三者最根本的審查依據是《個人信息保護法》，但三者都要遵守各自細化的審查依據。安全評估的審查依據是《數據出境安全評估辦法》，側重審查個人信息出境風險、個人信息處理者和境外接收方有關個人信息保護責任分配的約定、境外接收方所在國法律環境對境外接收方遵守約定的影響。相比之下，出境認證的審查目前而言依據的是全國信息安全標準化技術委員會發布的《認證規范》，主要考察的是個人信息處理者個人信息處理的內部管理體系（包括組織管理、個人信息處理基本規則、個人信息跨境出境規則等），個人信息處理者與境外接收方存在的關聯關系以及該關系對個人信息處理者對境外接收方進行監督和責任承擔方面的便利安排。值得注意的是，今年 11 月 4 日，國家市場監管總局、國家互聯網信息辦聯合發布了《個人信息保護認證實施規則》，明確了個人信息出境認證的依據、模式、實施程序、認證證書有效期等規則。在標準合同機制下，個人信息處理者的審查依據并非自己確定，而是由國家網信部門通過標準合同具體條款加以明確，如第三方受益人條款要求個人信息處理者審查境外接收方是否同意個人信息主體可以作為第三方受益人向其主張權利。

最后，審查決定的性質不同。根據《數據出境安全評估辦法》第三條的“風險自評估和安全評估相結合”原則，安全評估的法律屬性是行政確認，是行政主體（國家網信部門）依法對行政相對人（個人信息處理者）是否采取合理措施確保境外接收方提供同等保護進行甄別，給予確定、認定、證明并予以宣告的具體行政行為。相比之下，認證機構作出的個人信息處理者滿足認證要求的決定不是行政確認，而是由認證機構證明該個人信息處理者在個人信息處理尤其是個人信息跨境保護方面所采取的技術、管理和制度措施等方面符合相關技術規范或者標準的合格評定活動。在標準合同機制下，個人信息處理者按照標準合同要求審查境外接收方能否提供同等保護要求后與其簽訂標準合同，并依法進行標準合同備案時，也就相當于做出了自我審查決定。該自我審查決定在性質上屬于自我提供了個人信息出境合規的證據，其證明力要比認證機構的認證決定和國家網信部門的安全評估決定相對要弱，但仍符合我國個人信息出境制度的合規要求。

三、出境認證與安全評估和標準合同的內在協調關系

在全球數字經濟當中，個人信息跨境流動頻繁而多樣，包括了跨國企業為統一人力資源管理而進行的員工個人信息跨境流動，也包括了企業為因服務客戶而進行的消費者個人信息跨境流動。因此，為了有效平衡不同個人信息跨境需求下的個人信息安全和經濟發展的兩大利益，多元互補的個人信息出境合法機制更為科學、合理。

首先，三者的適用范圍在現有制度下仍有可能存在交叉和重疊。在判斷三者適用范圍的關系時，我們容易忽略《個人信息保護法》第四十條的但書規定，從而誤認為達到安全評估門檻的都必須申報安全評估。然而，該但書規定為豁免安全評估預留了制度空間，“法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定”。盡管國家網信部門在制定《數據出境安全評估辦法》時未同步明確安全評估的豁免情形，但仍有權在未來通過其他規定設定豁免情形。目前而言，全國信息安全標準化技術委員會秘書處在《認證規范》中對出境認證的適用范圍未做限制，但個人信息出境的情形達到安全評估門檻時是否僅通過出境認證即可合法出境，目前《個人信息保護認證實施規則》尚未明確，仍有待國家網信部門綜合《數據出境安全評估辦法》和《個人信息保護法》第四十條的但書規定作出最終決定，例如符合安全評估的特定情形通過出境認證即可合法出境，從而在效果上創設安全評估的豁免情形。同理，依據《個人信息保護法》第四十條但書規定，國家網信部門在出臺正式的《個人信息出境標準合同規定》時，也可以考慮將符合安全評估的特定情形規定為簽訂標準合同即可合法出境。

其次，出境認證屬于第三方專業認證，任何個人信息處理者都可以自愿委托依法設立的個人信息出境認證機構進行出境認證。按照我國《認證認可條例》第十八條的規定，認證遵循自愿原則，任何法人、組織和個人可以自愿委托依法設立的認證機構進行產品、服務、管理體系認證。出境認證也應當遵循《認證認可條例》的自愿原則，只要個人信息處理者自愿申請出境認證，認證機構都應當依法依規對其認證申請進行受理和評審。值得注意的是，當出境個人信息達到一定數量或者境外接收方所在國家或地區的法律環境變化時，個人信息出境風險可能會發生質變，以至于個人信息處理者通過自身內部的管理和技術措施調整和優化仍未能有效控制該出境風險。此時個人信息處理者通過出境認證后，可能還會被要求申報個人信息出境安全評估。

最后，個人信息處理者在申請出境認證時，必須和境外接收方簽訂合同明確各自的權利與義務，但并不排除當事人可以直接選擇用標準合同。標準合同是國家為了便利中小企業個人信息出境而制定的個人信息出境機制。具體而言，國家網信部門在制定標準合同具體條款時，綜合個人信息出境的風險、個人信息處理者和境外接收方的個人信息安全保障能力、個人信息主體維權困難等，事先擬定了個人信息處理者和境外接收方對出境個人信息的權利和義務的分配機制。一旦個人信息處理者和境外接收方在個人信息出境時自愿選擇簽訂標準合同，則國家網信部門事先擬定的標準合同具體條款自動轉化為雙方的自愿約定，進而成為約束雙方的有效法律機制。至于雙方簽訂標準合同是否可以直接合法開展個人信息出境，仍然需要根據標準合同規定來確定。因此，個人信息處理者在申請出境認證時，也可自愿與境外接收方簽訂標準合同，并以此作為雙方在個人信息出境方面的權利和義務安排。應當強調的是，個人信息處理者申請認證時選擇簽訂標準合同作為約束境外接收方的法律機制，應當全面審查和明確其個人信息出境評價要求與標準合同條款有關要求相沖突時的解決方案，而認證機構則需要重點評判該解決方案是否能夠確保境外接收方提供同等保護。

總而言之，在《個人信息保護法》的制度框架和責任原則的理論框架下，出境認證與安全評估、標準合同可以形成多元互補的關系，從而在整體上構建起寬嚴相濟的個人信息出境監管制度。

本文來自中國信息安全，如有侵權聯系刪除