第一,《办法》的出台有利于推动《个人信息保护法》更好实施。《个人信息保护法》第三十八条规定了个人信息处理者向境外提供个人信息的三个途径,即安全评估、个人信息保护认证、标准合同以及其他条件。《办法》正文对“标准合同”途径下的个人信息出境要求作了详细规定,明确了个人信息出境标准合同的适用范围、订立条件和备案要求;附件列出了标准合同的基本条款,将法律规范转化为合同规则。
第二,《办法》的出台有利于促进数字经济发展和数据有序跨境流动。《办法》要求符合条件的个人信息处理者与境外接收方按照本办法订立个人信息出境标准合同并生效后即可出境个人信息,简化了个人信息出境的流程与环节,为个人信息处理者提供了多元化的个人信息出境方式。《办法》附件提供了标准合同的范本,境内个人信息处理者仅需要结合实际情况进行填充完善,极大降低了境内个人信息处理者的成本,解决了部分中小规模个人信息处理者专业人员不足的难题,便于其健康有序发展。
第一,平衡了安全与发展。个人信息跨境流动对于引领数字经济全球化发展具有重要作用,有利于做大、做强、做优我国数字经济。《办法》坚持自主缔约与备案管理相结合,防范个人信息出境后因泄露、损毁、篡改、滥用等可能对个人信息权益带来的风险,落实多元化个人信息出境模式,丰富个人信息保护监管方式和手段,保障个人信息跨境安全、自由流动,有利于充分发挥数据要素对于高质量发展的重要推动作用,引领数字经济全球化发展。
第二,织密了数据出境制度。一方面,《办法》与《数据出境安全评估办法》互为补集、互相衔接,为“非关键、小规模”的个人信息出境提供了详细规范,进一步织密了个人信息出境管理制度。另一方面,《办法》附件的标准合规范本在合同双方之外,还对向境外的第三方提供个人信息提出了约束性要求,并对受个人信息处理者委托处理个人信息,转委托第三方处理的情形作出规定,进一步筑牢了个人信息权益保护“防火墙”。
第三,创新了个人信息保护监管机制。《办法》充分体现了依法治理、综合治理的理念,一方面创造性地将合同这一意思自治形式吸收成为新的监管手段,在对个人信息处理者提出管理要求的同时,也留出了充足的创新空间;另一方面充分地把合规要求融入个人信息保护要求,除了将采取的技术措施列为个人信息评估的重点内容,还在附件的合同范本中,为个人信息处理者采取加密、匿名化、去标识化、访问控制等技术和管理措施作出引导。
第一,加强个人信息保护监管执法。建议网信部门加大指导、引导、督促力度,推动境内个人信息处理者积极开展评估、备案,监督个人信息处理者业务开展中涉及个人信息出境的合同等法律文件,对未履行备案程序或者提交虚假材料进行备案的、未履行标准合同约定的责任义务并侵害个人信息权益造成损害的依法追究法律责任。
第二,个人信息处理者应对照《办法》要求做好合规。个人信息处理者应当加强对《办法》的学习,对照《办法》要求,用好通过订立标准合同的方式开展个人信息出境活动。首先,应当尽快梳理自身数据资产和出境数据规模,识别是否具备《办法》适用情形。其次,按照《办法》要求,在向境外提供个人信息前严格开展个人信息保护影响自评估,重点评估个人信息出境的目的、范围、方式及其合法性、正当性、必要性,通过出境个人信息的数量、范围、种类、敏感程度来判断其所可能产生的风险,明确境外接收方承诺承担的责任义务、管理能力、技术措施以及境外接收方所在国家或者地区的个人信息保护政策法规。再者,应当按照《办法》附件与境外接收方签署标准合同,并将标准合同与影响评估报告在标准合同生效之日起10个工作日内向所在地省级网信部门备案。
第三,发展应用法律科技,赋能监管与合规。随着人工智能、大数据等技术的进一步发展,利用“法律+科技”的手段实现监管与合规的自动化、智能化,符合数字经济发展和数字政府建设的新方向、新趋势。可以开发快速审查个人信息出境标准合同、影响评估报告的监管工具,助力实现备案监管的智慧化、精准化、全时化,提高监管能力和水平。通过技术对数据收集、存储、加工、使用、传输、删除等全生命周期进行可视化管理,自动分析企业数据资产与合规风险,根据分类分级等规则自动识别个人信息的数量、范围、种类、敏感程度,保障个人信息处理目的、范围、方式等的合法性、正当性、必要性,助力低成本、高效率完成《办法》所要求的个人信息保护影响评估。