编者按:在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。8月20日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”),将于2021年11月1日起施行。出台个人信息保护法有何意义?如何保障个人信息跨境流动安全?对此,人民网《良法善治大家谈》栏目推出系列报道,邀请法律专家进行解读。
近年来,随着经济全球化和网络科技的高速发展,个人信息的跨境流动日益频繁。但由于不同国家或地区针对个人信息保护的法律制度、保护水平和力度存在差异,使得个人信息跨境风险问题更加复杂。
如何在保护个人信息安全的同时,建立科学合理的个人信息跨境规制体系,适应国际经贸往来的现实需要,促进数字经济发展,是当今各国共同面对的问题。对此,8月20日通过的个人信息保护法,立足国情,借鉴国际经验,构建了一套清晰、系统的个人信息跨境流动规则,为个人信息跨境流动筑牢法治堤坝。
设立专章 规范个人信息跨境流动
随着国际间的交流合作日渐紧密,个人信息数据的跨境流动在全球蓬勃发展的数字经济中发挥着越来越重要的作用。互联网技术的发展缩短了人与人之间的时空距离,同时也带来了一定的安全风险。
个人信息保护法明确,以向境内自然人提供产品或者服务为目的,或者分析、评估境内自然人的行为等,在中国境外处理境内自然人个人信息的活动适用本法。
清华大学法学院副院长程啸在接受人民网记者采访时表示,一方面,个人信息任意的跨境流动将不利于保护本国境内的个人权益,而且个人信息出境后,使得个人在境外也很难行使个人信息权益;另一方面,个人信息与数据中关系到国家安全、国民经济命脉、重要民生、重大公共利益等的信息数据,如果随意出境,一旦为他国组织或个人非法处理和利用,势必给本国的国家主权和国家安全带来很大风险。
为此,个人信息保护法为个人信息跨境流动设立专门章节,确立个人信息处理者向境外提供个人信息所具备的条件和要求,明确关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者应当将在我国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估,从而保障个人信息安全、自由流动,以适应国际经贸往来的现实需要。
保护与监管并行 构建全面系统的跨境规则
个人信息处理者因业务等需要,确需向境外提供个人信息的,个人信息保护法在第三十八条中为信息处理者明确了所应具备的条件。
上海交通大学凯原法学院副教授张陈果解释,考虑到个人信息流通的不可逆性,个人信息保护法对于个人信息跨境传输活动采用的是事前监管模式。其中,第三十八条就个人信息传输活动设置个人信息处理者需要满足的前置性条件,采取的是“列举 兜底”的规定。
同时,为了保护个人信息安全,该法第四十条对关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者也作出了规定。
对此,北京航空航天大学法学院院长龙卫球认为,个人信息保护法,对扩大到一定规模的个人信息处理者进行了严格监管。关键信息基础设施运营者掌握的个人信息属于重要数据,为此采取了更加严格的跨境监管。
龙卫球表示,为了防止个人信息跨境提供损害个人权利和自由,该法第三十九条对跨境输出个人信息确立了更加严格的知情同意要求,对境外提供信息的个人信息处理者履行严格的特定要求的告知义务和获得个人的单独同意,旨在使个人信息跨境传输时能更好的保护个人信息。
由此可以看出,在坚持数据跨境安全、自由流动原则的前提下,个人信息保护法构建了一套全面且系统的个人信息跨境流动规则。
灵活、对等 确保个人信息跨境流动安全
近年来,经济全球化带来的国际合作愈加频繁。为了解决境外组织、个人侵害我国个人信息权益、危害国家安全和公共利益的问题,个人信息保护法在第四十二条中设置了“黑名单规则”。
“这是一条赋予国家网信部门直接掌握的弹性制度,具有显著灵活性。”龙卫球说道。
不止如此,个人信息保护法第四十三条还规定了信息跨境传输的“对等原则”。张陈果解释,如果信息接收国家和地区在个人信息保护方面对我国采取歧视性的禁止、限制或者其他类似措施,我国可以根据实际情况对该国家或者地区对等采取措施,该国的个人信息跨境传输很可能就将受到限制。
“这也是国际条约和对外关系法律中常见的一条原则,是数据国际交往、国家安全方面的重要原则。”张陈果说道。
跨境个人信息的有效保护,已逐渐成为各国面临的时代性议题。权利与义务并重,保护与监管并行。个人信息保护法的出台,为个人信息跨境流动提出了一个风险可控、平等互惠的法治框架,为数字化时代个人信息的跨境流动,提供了坚实的法治保障。
相关阅读:
“个人信息保护法”系列解读之一:升级保护未成年人个人信息,给家长吃上“定心丸”
“个人信息保护法”系列解读之二:数字化时代,如何为个人信息加上一道安全锁?