個人信息處理者需自查是否適用《辦法》,即是否同時符合下述四項(xiàng)條件:1.非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者;2.處理個人信息不滿100萬人的���;3.自上年1月1日起累計向境外提供個人信息不滿10萬人的;4.自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的。
就第一個條件關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施的判斷�����,主要根據(jù)保護(hù)工作部門的認(rèn)定通知����,其法律依據(jù)為《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》。該條例第二條涉及的重要行業(yè)和領(lǐng)域的主管部門、監(jiān)督管理部門(或稱保護(hù)工作部門)制定認(rèn)定規(guī)則并負(fù)責(zé)組織認(rèn)定本行業(yè)�、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施�。關(guān)鍵信息基礎(chǔ)設(shè)施主要涉及公共通信和信息服務(wù)�、能源、交通、水利、金融����、公共服務(wù)�����、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的���,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全�����、國計民生�����、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等�����。如個人信息處理者被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者�����,則個人信息出境處理活動不適用《辦法》���。
就第二個條件����,從上下文看,該條款應(yīng)理解為個人信息處理者已處理或擬處理的個人信息總量不應(yīng)超過100萬人�。如發(fā)生變化����,處理個人信息超過100萬人的�,如何處理?《辦法》并沒有規(guī)定���,標(biāo)準(zhǔn)合同也沒有約定此類情形的處理方法。但從合同文本附錄一需明確數(shù)據(jù)規(guī)模以及《辦法》禁止數(shù)量拆分等規(guī)定,筆者以為如個人信息處理者處理規(guī)模發(fā)生變化�,其所處理的個人信息滿100萬人的����,應(yīng)當(dāng)停止通過訂立標(biāo)準(zhǔn)合同方式向境外提供個人信息����。
就第三�����、四個條件���,《辦法》明確規(guī)定“個人信息處理者不得采取數(shù)量拆分等手段��,將依法應(yīng)當(dāng)通過出境安全評估的個人信息通過訂立標(biāo)準(zhǔn)合同的方式向境外提供。”筆者認(rèn)為其中之意包含了禁止變相的數(shù)量拆分����。如:個人信息處理者的關(guān)聯(lián)方也擬向境外提供個人數(shù)據(jù)���,需留存證據(jù)以證明數(shù)據(jù)獨(dú)立控制以及決策獨(dú)立��,以免被作出不利認(rèn)定。
另外�,除了《辦法》規(guī)定的四個條件外���,還應(yīng)當(dāng)注意符合《個人信息保護(hù)法》第三章的規(guī)定��,即還有以下不適用《辦法》的情形:1.“境外接收方”不是國家機(jī)關(guān);2.“境外接收方”不是境外司法機(jī)關(guān)�;3.“境外接收方”不是我國根據(jù)對等原則采取的禁止�、限制或者其他類似措施的國家或者地區(qū)的組織�����、個人�����。
