当下我国数字经济蓬勃发展,在RCEP的大潮下,电子商务走出去已是必然之趋势,但作为数字资产的重要部分,个人信息的保护问题也随着近期《个人信息保护法(草案)》的出台而变得愈加重要,本文将就个人信息出境的合规与RCEP的规定进行初步探析。
2020年11月16日,在全世界仍为新冠疫情袭扰的一个日子,历经8年谈判、由15国领导人共同见证的一份协定——区域全面经济伙伴关系协定(简称RCEP)正式签署,世界最大自由贸易区正式启航。
当下我国数字经济蓬勃发展,在RCEP的大潮下,电子商务走出去已是必然之趋势,但作为数字资产的重要部分,个人信息的保护问题也随着近期《个人信息保护法(草案)》的出台而变得愈加重要,本文将就个人信息出境的合规与RCEP的规定进行初步探析。
我国已经通过多部法律法规、规章标准初步建立起了的个人信息保护的法律体系,对于个人信息出境,在《网络安全法》要求安全评估的基础上,《个人信息保护法(草案)》又进行了扩展,于第三章专门规定了个人信息跨境提供的规则。
首先,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当至少具备下列一项条件:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准;(四)法律、行政法规或者国家网信部门规定的其他条件。由此可见,个人信息出境的条件目前主要是三选一:
1
安全评估
对于安全评估,我国于2019年6月13日出台了《个人信息出境安全评估办法(征求意见稿)》,该办法主要规定了个人信息出境申报及评估的范围、内容、程序及相关主体的义务和责任,该办法虽尚未正式颁布,但对于实践操作还是具有指导意义的。
2
个人信息保护认证
目前国内外已有多个组织建立了个人信息保护的标准与认证,但草案的规定是需要具有国家网信部门认定的机构,因此,该方案的落实还有待于国家网信办出台相应规定,进一步落实认证机构的资质问题。
3
专门合同与监督体系
境内外双方订立的合同成为选项之一,可以看到政府利用市场手段调节市场行为的决心,当然对于该类合同的要素也将是有一定要求的。同样,在《个人信息出境安全评估办法(征求意见稿)》中对于网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件有着明确的规定要求,如:个人信息出境的目的、类型、保存时限、救济途径、匿名化处理等问题。同时,相关主体应当要建立起相应配套系统,以便于监督合同履行过程中对于个人信息的保护状况。
其次,个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项,并取得个人的单独同意。
再次,对于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,信息以境内储存为原则。确需向境外提供的,以安全评估为原则,法律法规另有规定的,从其规定。
最后,从国家层面,草案对国际司法或行政协助、缔约执行、打击限制危害国家安全和公共利益行为、对等政策等各方面作了规定。
RCEP第十二章电子商务,专章对缔约方通过电子方式改善贸易、为电子商务创造有利环境等内容作出了相关规定,其中对于个人信息跨境的规定主要如下:
第七条 线上消费者的保护规定:
一、缔约方认识到采取和维持透明及有效的电子商务消费者保护措施以及其他有利于发展消费者信心的措施的重要性。
二、每一缔约方应当采取或维持法律或者法规,以保护使用电子商务的消费者免受欺诈和误导行为的损害或潜在损害。
三、缔约方认识到各自负责消费者保护的主管部门间在电子商务相关活动中开展合作,以增强消费者保护的重要性。
四、每一缔约方应当发布其向电子商务用户提供消费者保护的相关信息,包括:
(一)消费者如何寻求救济;以及
(二)企业如何遵守任何法律要求。
第八条 线上个人信息保护规定:
一、每一缔约方应当采取或维持保证电子商务用户个人信息受到保护的法律框架。
二、在制定保护个人信息的法律框架时,每一缔约方应当考虑相关国际组织或机构的国际标准、原则、指南和准则。
三、每一缔约方应当公布其向电子商务用户提供个人信息保护的相关信息,包括:
(一)个人如何寻求救济;以及
(二)企业如何遵守任何法律要求。
四、缔约方应当鼓励法人通过互联网等方式公布其与个人信息保护相关的政策和程序。
五、缔约方应当在可能的范围内合作,以保护从一缔约方转移来的个人信息。
第九条 非应邀商业电子信息规定:
一、每一缔约方应当对非应邀商业电子信息采取或维持下列措施:
(一)要求非应邀商业电子信息提供者为接收人提升阻止接收此类信息的能力提供便利;
(二)根据其法律和法规规定,要求获得接收人对于接收商业电子信息的同意;或者
(三)将非应邀商业电子信息减少到最低程度。
二、每一缔约方应当针对未遵守根据第一款规定而实施措施的非应邀电子信息提供者,提供相关追索权。
三、缔约方应当努力就非应邀商业电子信息的监管,在共同关切的适当案件中进行合作。
由上可见,RCEP对于个人信息保护其主要内容是:
1. 要求缔约方(国家政府)参考相关国际组织或机构的国际准则,建立保护电子商务用户个人信息的法律体系,并公布个人如何寻求救济以及企业如何遵守法律要求的相关信息;
2. 对于企业鼓励其通过互联网等方式公布其与个人信息保护相关的政策和程序;
3. 对于成员国应当保护他国转移来的个人信息;
4. 对于非应邀商业电子信息(类似国内的垃圾短信)应当严格限制。
作者介绍
王兴华
道朋律师事务所 合伙人
王兴华,上海道朋律师事务所合伙人。曾在某中外合资网络公司从事法务工作,2006年起从事专职律师工作,现任上海市律师协会企业法律顾问业务委员会委员。王兴华律师在民商事诉讼及企业非诉事务,包括但不限于:公司法、合同法、劳动法、物权法、电子商务、房产物业等领域耕耘多年,有着丰富的代理经验。现任多家企业常年法律顾问、参与多个政府部门购买法律服务项目。
END
招聘职位:律师 (若干)
工作地点:上海市
职位描述:
1. 持有中华人民共和国律师执业证书。
2. 为人正直、品行端正、热爱律师职业,有较强的责任心和团队合作意识,工作认真细致,务实勤奋。
3. 良好的文字处理、口头表达能力以及沟通协调能力,能够独立办案。
有意者请将简历按照以(附件)形式,发送至邮箱:
service@daopenglawyer.com
长按二维码了解更多详情
