个人信息跨境流动法治化取得新成果

第二，织密了数据出境制度。一方面，《办法》与《数据出境安全评估办法》互为补集、互相衔接，为“非关键、小规模”的个人信息出境提供了详细规范，进一步织密了个人信息出境管理制度。另一方面，《办法》附件的标准合规范本在合同双方之外，还对向境外的第三方提供个人信息提出了约束性要求，并对受个人信息处理者委托处理个人信息，转委托第三方处理的情形作出规定，进一步筑牢了个人信息权益保护“防火墙”。

第三，创新了个人信息保护监管机制。《办法》充分体现了依法治理、综合治理的理念，一方面创造性地将合同这一意思自治形式吸收成为新的监管手段，在对个人信息处理者提出管理要求的同时，也留出了充足的创新空间；另一方面充分地把合规要求融入个人信息保护要求，除了将采取的技术措施列为个人信息评估的重点内容，还在附件的合同范本中，为个人信息处理者采取加密、匿名化、去标识化、访问控制等技术和管理措施作出引导。

第四，突出了个人信息主体权益实现。《办法》除了将《个人信息保护法》确立的个人信息主体权益列入合同范本正文，还重视境外接收方所在国家或者地区的个人信息保护政策和法规对我国个人信息主体权益的影响，把相关政策法规发生变化等可能影响个人信息权益的情形，作为触发重新开展个人信息保护影响评估、补充或者重新订立标准合同的重要条件。此外，《办法》也充分体现了对“无救济就无权利”原则的重视，把“救济”作为合同范本的一条，要求境外接收方确定接受询问或投诉的联系人，并载明联系方式；明确境外接收方接受个人信息主体通过向监管机构投诉和提起诉讼等方式维护权利；申明合同双方同意个人信息主体所作的维权选择，不会减损个人信息主体根据其他法律法规寻求救济的权利。

第一，加强个人信息保护监管执法。建议网信部门加大指导、引导、督促力度，推动境内个人信息处理者积极开展评估、备案，监督个人信息处理者业务开展中涉及个人信息出境的合同等法律文件，对未履行备案程序或者提交虚假材料进行备案的、未履行标准合同约定的责任义务并侵害个人信息权益造成损害的依法追究法律责任。

第二，个人信息处理者应对照《办法》要求做好合规。个人信息处理者应当加强对《办法》的学习，对照《办法》要求，用好通过订立标准合同的方式开展个人信息出境活动。首先，应当尽快梳理自身数据资产和出境数据规模，识别是否具备《办法》适用情形。其次，按照《办法》要求，在向境外提供个人信息前严格开展个人信息保护影响自评估，重点评估个人信息出境的目的、范围、方式及其合法性、正当性、必要性，通过出境个人信息的数量、范围、种类、敏感程度来判断其所可能产生的风险，明确境外接收方承诺承担的责任义务、管理能力、技术措施以及境外接收方所在国家或者地区的个人信息保护政策法规。再者，应当按照《办法》附件与境外接收方签署标准合同，并将标准合同与影响评估报告在标准合同生效之日起10个工作日内向所在地省级网信部门备案。

第三，发展应用法律科技，赋能监管与合规。随着人工智能、大数据等技术的进一步发展，利用“法律+科技”的手段实现监管与合规的自动化、智能化，符合数字经济发展和数字政府建设的新方向、新趋势。可以开发快速审查个人信息出境标准合同、影响评估报告的监管工具，助力实现备案监管的智慧化、精准化、全时化，提高监管能力和水平。通过技术对数据收集、存储、加工、使用、传输、删除等全生命周期进行可视化管理，自动分析企业数据资产与合规风险，根据分类分级等规则自动识别个人信息的数量、范围、种类、敏感程度，保障个人信息处理目的、范围、方式等的合法性、正当性、必要性，助力低成本、高效率完成《办法》所要求的个人信息保护影响评估。

原文来源：中国网信网