國(guó)家互聯(lián)網(wǎng)信息辦公室就《個(gè)人信息出境個(gè)人信息保護(hù)認(rèn)證辦法》（下稱(chēng)《辦法》）公開(kāi)征求意見(jiàn)，建立個(gè)人信息出境場(chǎng)景下的個(gè)人信息保護(hù)認(rèn)證制度，為后續(xù)具體認(rèn)證工作提供了法律遵循，也為未來(lái)開(kāi)展國(guó)際互認(rèn)提供了堅(jiān)實(shí)的基礎(chǔ)。

　　在個(gè)人信息出境場(chǎng)景下的個(gè)人信息保護(hù)認(rèn)證方面，目前主要三種方案并存：歐盟方案、美國(guó)主導(dǎo)的CBPR方案和中國(guó)方案。歐盟2016年出臺(tái)的GDPR明確個(gè)人信息跨境認(rèn)證作為合法機(jī)制，歐盟數(shù)據(jù)保護(hù)委員會(huì)（EDPB）在2022年和2023年先后發(fā)布兩版《關(guān)于認(rèn)證作為跨境工具的指南》（下稱(chēng)《EDPB指南》），明確了相關(guān)要求，但目前尚無(wú)專(zhuān)業(yè)機(jī)構(gòu)獲得跨境認(rèn)證業(yè)務(wù)資質(zhì)。美國(guó)在2007年通過(guò)《APEC隱私框架》推動(dòng)建立“跨境隱私規(guī)則體系”（CBPR），2011年CBPR開(kāi)始運(yùn)行，目前有9個(gè)APEC成員參與，8家認(rèn)證機(jī)構(gòu)獲得資質(zhì)開(kāi)展CBPR認(rèn)證工作，獲證企業(yè)可在CBPR成員之間就個(gè)人信息進(jìn)行跨境流動(dòng)。

　　我國(guó)2021年制定的《個(gè)人信息保護(hù)法》明確了個(gè)人信息保護(hù)認(rèn)證作為個(gè)人信息出境的合法機(jī)制之一，2022年6月全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書(shū)處制定了《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》。2022年11月18日國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》，主要明確了個(gè)人信息保護(hù)認(rèn)證的一般規(guī)則，同時(shí)也規(guī)定向中華人民共和國(guó)境外提供個(gè)人信息須滿足《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》，但有關(guān)個(gè)人信息出境場(chǎng)景的認(rèn)證機(jī)構(gòu)資質(zhì)要求、認(rèn)證標(biāo)準(zhǔn)、認(rèn)證適用范圍、認(rèn)證程序等規(guī)則，直到《辦法》的出臺(tái)才正式確立。

　　從認(rèn)證的宗旨而言，三種方案都是為了實(shí)現(xiàn)個(gè)人信息在出境后獲得實(shí)質(zhì)等同的個(gè)人信息保護(hù)水平。實(shí)質(zhì)等同保護(hù)指的是個(gè)人信息出境后仍然獲得與出境國(guó)或地區(qū)實(shí)質(zhì)上同等的個(gè)人信息保護(hù)水平，但并不要求獲得完全一樣的保護(hù)水平。例如，我國(guó)《個(gè)人信息保護(hù)法》第38條第3款規(guī)定，個(gè)人信息保護(hù)認(rèn)證的宗旨是“保障境外接收方處理個(gè)人信息的活動(dòng)達(dá)到本法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)”。GDPR第44條則表述為個(gè)人信息在出境時(shí)個(gè)人信息主體根據(jù)GDPR獲得的保護(hù)水平不受影響。CBPR則要求個(gè)人信息處理者在CBPR成員之間對(duì)《APEC隱私框架》的基本原則得到一致的遵守。

　　從認(rèn)證的定性而言，三種方案都將認(rèn)證作為一種市場(chǎng)化的合格評(píng)定機(jī)制。個(gè)人信息跨境通常有多種合法機(jī)制，例如歐盟提供第三國(guó)適當(dāng)性評(píng)估、集團(tuán)企業(yè)有效規(guī)則、標(biāo)準(zhǔn)合同、認(rèn)證等機(jī)制；我國(guó)提供數(shù)據(jù)出境安全評(píng)估、標(biāo)準(zhǔn)合同、保護(hù)認(rèn)證等，APEC成員如日本、新加坡等也規(guī)定了多種機(jī)制。這些機(jī)制在本質(zhì)上都是評(píng)估境外接收方能否為所接收的個(gè)人信息提供同等保護(hù)，不同之處在于第三國(guó)適當(dāng)性評(píng)估、數(shù)據(jù)出境安全評(píng)估等機(jī)制是由監(jiān)管方直接作出評(píng)估決定，而認(rèn)證則將評(píng)估的過(guò)程和決定交給專(zhuān)業(yè)認(rèn)證機(jī)構(gòu)，并允許其開(kāi)展市場(chǎng)化認(rèn)證服務(wù)。例如，《辦法》第6條強(qiáng)調(diào)個(gè)人信息保護(hù)認(rèn)證遵循自愿性、市場(chǎng)化、社會(huì)化服務(wù)原則。GDPR第42條規(guī)定認(rèn)證的自愿性，EDPB鼓勵(lì)認(rèn)證的市場(chǎng)化。CBPR要求認(rèn)證機(jī)構(gòu)原則上應(yīng)當(dāng)是民間第三方機(jī)構(gòu)。

　　從認(rèn)證的標(biāo)準(zhǔn)而言，三種方案都要求專(zhuān)業(yè)認(rèn)證機(jī)構(gòu)的認(rèn)證標(biāo)準(zhǔn)應(yīng)獲得官方審批。鑒于認(rèn)證的宗旨是評(píng)估境外接收方能否提供同等保護(hù)，而認(rèn)證結(jié)論能否獲得官方認(rèn)可，關(guān)鍵在于認(rèn)證的資質(zhì)和認(rèn)證的標(biāo)準(zhǔn)都事先獲得官方的批準(zhǔn)。例如，GDPR第42條規(guī)定，監(jiān)管機(jī)構(gòu)的主要職責(zé)是批準(zhǔn)認(rèn)證標(biāo)準(zhǔn)，不要求自己制定認(rèn)證標(biāo)準(zhǔn)；實(shí)踐中《EDPB指南》列出了認(rèn)證標(biāo)準(zhǔn)必須考慮的因素。CBPR體系除了對(duì)認(rèn)證機(jī)構(gòu)的資質(zhì)作出要求之外，也對(duì)認(rèn)證標(biāo)準(zhǔn)作出明確規(guī)定?！掇k法》第3條要求專(zhuān)業(yè)認(rèn)證機(jī)構(gòu)應(yīng)獲得國(guó)家市場(chǎng)監(jiān)督管理部門(mén)批準(zhǔn)，第7條明確國(guó)家網(wǎng)信部門(mén)會(huì)同有關(guān)部門(mén)組織制定認(rèn)證標(biāo)準(zhǔn)，國(guó)家市場(chǎng)監(jiān)督管理部門(mén)會(huì)同國(guó)家網(wǎng)信部門(mén)組織制定認(rèn)證實(shí)施規(guī)則，第8條允許專(zhuān)業(yè)認(rèn)證機(jī)構(gòu)制定認(rèn)證實(shí)施細(xì)則，但應(yīng)當(dāng)報(bào)國(guó)家網(wǎng)信部門(mén)備案。

　　從認(rèn)證的內(nèi)容而言，三種方案都圍繞個(gè)人信息同等保護(hù)確定認(rèn)證的重點(diǎn)事項(xiàng)。由于個(gè)人信息保護(hù)主要圍繞個(gè)人信息處理基本原則、個(gè)人信息處理者基本義務(wù)、個(gè)人信息主體權(quán)利與救濟(jì)進(jìn)行構(gòu)建，三種方案都對(duì)這些事項(xiàng)作出明確要求。其中，CBPR以《APEC隱私框架》的個(gè)人信息處理基本原則為核心明確具體認(rèn)證要求。相比之下，《EDPB指南》和《辦法》除了對(duì)個(gè)人信息處理基本原則作出要求外，都對(duì)境外接收方所在國(guó)家或地區(qū)的個(gè)人信息保護(hù)法律環(huán)境，個(gè)人信息處理者與境外接收方雙方的組織架構(gòu)、管理體系，雙方之間簽訂的協(xié)議等作出明確要求。

　　從認(rèn)證的作用而言，三種方案都將認(rèn)證定性為一種用于證明獲證個(gè)人信息處理者具備提供同等保護(hù)的合規(guī)證據(jù)。因此，三種方案除了強(qiáng)調(diào)認(rèn)證機(jī)構(gòu)的專(zhuān)業(yè)性、認(rèn)證標(biāo)準(zhǔn)的符合性、認(rèn)證過(guò)程的規(guī)范性和透明性之外，還特別強(qiáng)調(diào)認(rèn)證機(jī)構(gòu)對(duì)獲證個(gè)人信息處理者的持續(xù)監(jiān)督。與《EDPB指南》和CBPR框架下《負(fù)責(zé)任機(jī)構(gòu)認(rèn)可標(biāo)準(zhǔn)》類(lèi)似，《辦法》第3條、第8條、第12條、第13條第1款對(duì)上述事項(xiàng)都進(jìn)行了明確。此外，《辦法》第13條第2款、第14條、第16條還強(qiáng)調(diào)國(guó)家相關(guān)監(jiān)管部門(mén)在認(rèn)證機(jī)構(gòu)之外的監(jiān)督職責(zé)。

　　首先，探索更廣泛的認(rèn)證適用對(duì)象。相較于《EDPB指南》僅適用于境外接收方，CBPR認(rèn)證僅限于從事商業(yè)活動(dòng)的個(gè)人信息處理者，《辦法》探索適用于兩類(lèi)對(duì)象。一類(lèi)是《辦法》第4條規(guī)定的境內(nèi)個(gè)人信息處理者，即非關(guān)鍵信息基礎(chǔ)設(shè)施，且自當(dāng)年1月1日起累積向境外提供10萬(wàn)人以上、不滿100萬(wàn)人個(gè)人信息（不含敏感個(gè)人信息）或者不滿1萬(wàn)人敏感個(gè)人信息的個(gè)人信息處理者；另一類(lèi)是《辦法》第5條規(guī)定的境外處理中國(guó)境內(nèi)個(gè)人信息的個(gè)人信息處理者。

　　其次，對(duì)境外個(gè)人信息處理者探索更務(wù)實(shí)高效的認(rèn)證方式。CBPR認(rèn)證機(jī)構(gòu)主要通過(guò)審核申請(qǐng)企業(yè)提交的《企業(yè)自評(píng)估文件》完成認(rèn)證，不要求現(xiàn)場(chǎng)審核。歐盟《EDPB指南》要求認(rèn)證機(jī)構(gòu)具備到境外開(kāi)展現(xiàn)場(chǎng)審核的能力。相比之下，對(duì)于境外個(gè)人信息處理者的申請(qǐng)，《辦法》第9條第2款探索一種無(wú)須認(rèn)證機(jī)構(gòu)到境外開(kāi)展現(xiàn)場(chǎng)審核但又能有效達(dá)到認(rèn)證目的的方式，即境外個(gè)人信息處理者可以由其在境內(nèi)設(shè)立的專(zhuān)門(mén)機(jī)構(gòu)或者指定代表協(xié)助進(jìn)行申請(qǐng)認(rèn)證，而且由其代為承擔(dān)相應(yīng)的法律責(zé)任，并承諾遵守專(zhuān)業(yè)認(rèn)證機(jī)構(gòu)的持續(xù)監(jiān)督、遵守我國(guó)法律和接受監(jiān)督管理。

　　最后，為未來(lái)探索形式多樣的國(guó)際互認(rèn)預(yù)留充分空間。中國(guó)方案與其他兩種方案在認(rèn)證的宗旨、屬性、標(biāo)準(zhǔn)、內(nèi)容和作用方面具有共通之處，也明確鼓勵(lì)國(guó)際互認(rèn)合作。而且，實(shí)踐中我國(guó)已經(jīng)在粵港澳大灣區(qū)開(kāi)展互認(rèn)的探索。在2024年11月21日，我國(guó)國(guó)家安全標(biāo)準(zhǔn)委員會(huì)秘書(shū)處已經(jīng)聯(lián)合香港私隱公署編制并發(fā)布《粵港澳大灣區(qū)（內(nèi)地、香港）個(gè)人信息跨境處理保護(hù)要求》，除明確大灣區(qū)內(nèi)個(gè)人信息跨境流動(dòng)開(kāi)展認(rèn)證互認(rèn)應(yīng)當(dāng)遵守的基本原則和要求之外，并探索獲證企業(yè)通過(guò)認(rèn)證即可開(kāi)展粵港澳大灣區(qū)（內(nèi)地、香港）個(gè)人信息跨境流動(dòng)，無(wú)須申報(bào)數(shù)據(jù)出境安全評(píng)估或訂立個(gè)人信息出境標(biāo)準(zhǔn)合同；而且在認(rèn)證方式上探索專(zhuān)業(yè)認(rèn)證機(jī)構(gòu)與官方認(rèn)可相結(jié)合的方式，即內(nèi)地采用專(zhuān)業(yè)機(jī)構(gòu)認(rèn)證，香港由香港個(gè)人資料私隱專(zhuān)員公署設(shè)立認(rèn)可名單。因此，《辦法》的出臺(tái)，也預(yù)示著粵港澳大灣區(qū)（內(nèi)地、香港）的個(gè)人信息保護(hù)認(rèn)證互認(rèn)工作可以實(shí)際開(kāi)展，為我國(guó)將來(lái)與其他國(guó)家、國(guó)際組織開(kāi)展相關(guān)互認(rèn)在積累經(jīng)驗(yàn)的同時(shí)，更提供一種互認(rèn)的示范。

　　九游體育 九游體育官網(wǎng)入口

　　總而言之，從全球個(gè)人信息保護(hù)認(rèn)證制度比較視角來(lái)看，《辦法》規(guī)定的個(gè)人信息保護(hù)認(rèn)證方案在尋求廣泛共識(shí)的基礎(chǔ)之上開(kāi)展了積極的創(chuàng)新探索。（作者：張金平，中央財(cái)經(jīng)大學(xué)數(shù)字法務(wù)教研室主任）

　　九游體育 九游體育官網(wǎng)入口