資訊洞見
继2019年5月28日发布《数据安全管理办法(征求意见稿)》1后,2019年6月13日,国家互联网信息办公室针对数据管理的重要组成部分,即 “向境外提供个人信息”2,另行发布了《个人信息出境安全评估办法(征求意见稿)》(简称“《个人信息出境草案》” 或 “草案”)。相对于此前公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》3 与《信息安全技术数据出境安全评估指南(征求意见稿)》4,该草案提出了不同的个人信息出境监管框架。
《个人信息出境草案》的要点包括:
一、 调整安全评估制度
草案不再区分个人信息的不同敏感程度、数量等情况5,而是规定在个人信息出境前,网络运营者均应当向国家互联网信息办公室当地相关部门(简称 “网信部门”)申报安全评估。为避免造成网络运营者的负担过重,草案还规定,向同一接收者多次或连续提供个人信息的,无需多次评估;但作为限定条件,另规定每2年或在个人信息出境目的、类型、境外保存时间发生变化时,该个人信息出境须要重新评估。 |
二、 设立必备合同条款制度
根据草案的规定,安全评估须要提交的文件之一,即为网络运营者与境外接收者签订的个人信息出境合同。草案另规定,出境合同必须具备出境目的与类型、网络运营者的必备义务、接收者的必备义务等条款。经过梳理,我们建议特别留意下述必备条款6: |
(1) | 在个人信息主体(简称 “个人”)合法权益受到损害时,个人可以向网络运营者和/或接收者进行索赔(除非网络运营者和/或接收者可以证明其没有责任);并且,如果个人不能从接收者处获得赔偿的,网络运营者应当先行赔付; |
(2) | 网络运营者根据个人的请求,应提供该出境合同副本; |
(3) | 接收者须为相关个人提供访问其个人信息的途径,并且根据个人的要求,在合理代价和时限内响应、更正或删除个人信息; |
(4) | 接收者不得将接收到的个人信息传输给第三方,除非满足草案规定的条件(包括 “涉及到个人敏感信息时,已征得个人信息主体同意” 等四项条件)。 |
我们理解,设立该合同条款制度的一项重要目的,是通过合同管理的方式,对境外接收者进行间接监管。 |
三、 设立记录保留与年度汇报制度
草案规定了,网络运营者应建立个人信息出境记录(记录内容须要符合草案要求)并至少保存5年;同时,网络运营者须在每年12月31日前,将本年度个人信息出境情况、合同履行情况等向网信部门进行汇报;另外,一旦发生较大数据安全事件,应及时向网信部门汇报。 |
四、 设立其他监管制度
草案引入了若干其他监管制度,包括:(1)网信部门在一些特定情况下(例如,网络运营者或接收者发生较大数据泄漏或滥用等事件),有权要求网络运营者暂停或终止向境外提供个人信息;(2)境外机构在经营中,如果通过互联网等收集中国境内用户个人信息的,应在中国境内通过其法定代表人或机构履行网络运营者的义务;等等。 |
从实践的角度看,草案规定的一些问题可能需要进一步澄清7。尽管如此,与此前的草案8相比,《个人信息出境草案》所体现的监管框架似乎更加合理,并有可能更利于信息的更安全流通。
1 对于《数据安全管理办法(征求意见稿)》的初步解读,可参阅我行文章—“更深入的数据合规与保护要求 – 中国发布《数据安全管理办法(征求意见稿)》”。
2《数据安全管理办法(征求意见稿)》第28条第2段规定了“向境外提供个人信息按有关规定执行”。《个人信息出境安全评估办法(征求意见稿)》即可能属于前述条款中的“有关规定”。
3 2017年4月11日,国家互联网信息办公室发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》。从评估流程层面看,该征求意见稿没有细致区分个人信息(侧重于个人合法权益)与重要数据(侧重于国家安全、社会公共利益)的不同特点,统一采用了“网络运营者自评估”、 “特定情形下政府部门安全评估”的方式,对信息与数据出境进行管理。
4 2017年8月30日,中国国家质量监督检验检疫总局、国家标准化管理委员会联合发布了推荐性国家标准《信息安全技术 数据出境安全评估指南(征求意见稿)》。在安全评估方面,该征求意见稿基本延续了《个人信息和重要数据出境安全评估办法(征求意见稿)》的安排,并根据数据的不同重要程度与敏感程度,提出三种不同的合规出境模式。
5《个人信息和重要数据出境安全评估办法(征求意见稿)》规定了,个人信息的敏感程度、数量、范围、类型,以及个人信息主体是否同意其信息出境等,均属于评估重点。个人信息是否可以出境及合规出境模式,应当根据评估结果及数据特定情况进行确定。
6 我们理解,网络运营者与接收者在遵守必备合同条款内容原则的基础上,有权就相关条款的细节表述、安排等进行约定。
7 例如,本文在 “二、设立必备合同条款制度”项下提到了,根据草案的规定,出境合同中应当约定网络运营者根据个人信息主体的请求,须向个人信息主体提供相关个人信息出境合同的副本。但是,考虑到商业需要(例如保护商业秘密等),所提供的副本是否必须完整,或者是否可以隐去无关商业条款等等,仍然值得进一步在法律文件中澄清。
8 相关草案主要包括《个人信息和重要数据出境安全评估办法(征求意见稿)》与《信息安全技术 数据出境安全评估指南(征求意见稿》)(可另见本文注解3、注解4)。