(二)“安全评估、标准合同、机构认证”出境机制并行。《个人信息保护法》第38条规定了个人信息出境需要满足的法定条件包括“安全评估”“个人信息保护认证”和“标准合同”。《数据出境安全评估办法》公布后不到一年内,国家互联网信息办公室紧锣密鼓地颁布《办法》,意味着我国个人信息出境机制正在逐渐按照上位法《个人信息保护法》的内容逐一补全,企业数据出境业务合规的选择空间更加广阔。
(三)依照上位法确定标准合同内容,并未实际增加企业合规成本。《办法》附件所列明的标准合同条款内容绝大部分均是以《个人信息保护法》所涉及的个人信息主体权利和个人信息处理者义务为基础,企业依据《个人信息保护法》要求落实个人信息保护义务的同时,实际上也在完成个人信息出境标准合同所要求的义务。附件标准合同的“定义”部分与《个人信息保护法》所规定的个人信息主体、个人信息、敏感个人信息等概念保持一致,至于“个人信息处理者的义务”“境外接收方的义务”“个人信息主体权利”等内容则是针对个人信息出境场景的风险特殊性,细化了《个人信息保护法》规定的义务履行方式和权利行使方式,保持了监管标准的一致性。
三、数据安全风险治理新探索:打造可信可控的个人信息出境模式
现阶段,网民往往在繁琐冗杂的隐私政策、用户协议等平台规则中“迷失方向”,在一次次点击“同意”按钮时,又在担心自己的个人信息出境之后是否安全,这种社会公众对个人信息出境乃至数据流动安全性的不信任已经成为数据要素市场化配置的关键阻碍。为了保障自然人个人信息权益,同时最大限度地实现个人信息效用,《办法》选择从个人信息出境最直接的风险来源切入——以出境后的个人信息安全保障为重心,以救济方式、违约责任、争议解决机制等方式消解社会公众对个人信息出境的不信任,同时确保境外接收方能够按照合同约定履行义务。这种数据安全风险治理新探索主要体现在以下两个方面。
(一)个人信息主体维权有所依,相互推诿不复在。附件标准合同在“第六条 救济”中明确了境外接收者需要向个人信息主体提供询问或投诉的具体渠道,以网站公告或单独通知的方式告知境外接收方的固定联系人,避免个人信息主体维权时对于境外接收方“可望不可及”。个人信息主体再也不用担心发生争议时个人信息处理者与境外接收方相互“踢皮球”,将争议问题推诿给对方。
(二)违约责任保障合同义务履行,仲裁或诉讼解决先行赔偿问题。附件标准合同以个人信息主体的权利保障为优先事项,规定了违约方需要承担民事责任、行政责任乃至刑事责任,同时提及了双方依法承担连带责任的,个人信息主体完全有权选择其中一方或双方承担责任。一方承担的责任超过其应当承担的责任份额时,有权向另一方追偿。(作者:赵精武 北京航空航天大学法学院副教授)