数据跨境新边界,《个人信息出境安全评估办法(征求意见稿)》解读
为保障数据跨境流动中的个人信息安全,国家互联网信息办公室于2019年6月13日发布《个人信息出境安全评估办法(征求意见稿)》(以下简称“《征求意见稿》”),向社会公开征求意见,意见反馈截止时间为2019年7月13日。
相较于2017年4月11日发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》以及2017年8月25日发布的《信息安全技术 数据出境安全评估指南(征求意见稿)》(以下简称“《指南》”),《征求意见稿》不仅将适用范围限制在个人信息出境,并显著更新了《个人信息和重要数据出境安全评估办法(征求意见稿)》及《指南》的制度设计。
一、安全评估的主体与客体
(一)安全评估主管部门
根据《个人信息和重要数据出境安全评估办法(征求意见稿)》,国家网信部门负责统筹协调数据出境安全评估工作,具体数据出境安全评估工作由各行业主管或监管部门负责,而《征求意见稿》则将组织开展个人信息出境安全评估工作的职责统一归于省级网信部门。
《征求意见稿》第五条要求省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后组织专家或技术力量进行安全评估。安全评估应当在十五个工作日内完成,情况复杂的可以适当延长。相较于《个人信息和重要数据出境安全评估办法(征求意见稿)》所规定的六十个工作日,该稿大幅缩短了安全评估时间,有利于提高评估效率,符合市场经济的需要。但安全评估的起算时间、情况复杂的认定标准以及延长时限等规定还有待进一步明确。
(二)安全评估义务主体
《网络安全法》(以下简称“《网安法》”)第三十七条明确了关键信息基础设施运营者因业务需要向境外提供个人信息或重要数据的安全评估义务,《个人信息和重要数据出境安全评估办法(征求意见稿)》将义务主体范围扩大到了所有网络运营者,《征求意见稿》则沿袭了《个人信息和重要数据出境安全评估办法(征求意见稿)》的规定,要求全部网络运营者在进行个人信息出境活动之前必须承担安全评估义务。
同时,该稿第二十条还将收集境内用户个人信息并出境的境外机构纳入规制范围,要求境外机构应在境内通过法定代表人或机构履行网络运营者的责任和义务。
因此,《征求意见稿》不仅适用于网络运营者和境外接收者分属不同主体的场合,也适用于两者同属一个主体(例如同一跨国集团公司)的场合。
此外,《征求意见稿》还明确了网络运营者的救济渠道:网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的,可以向国家网信部门提出申诉。
(三)安全评估客体
《征求意见稿》是针对个人信息出境的专门性规定,将安全评估客体限定在个人信息出境活动。《征求意见稿》未明示《个人信息和重要数据出境安全评估办法(征求意见稿)》第二条的“境内存储为原则,跨境传输为例外”要求,看似放松了对个人信息出境的规制。但该稿同时取消了《个人信息和重要数据出境安全评估办法(征求意见稿)》第七条的网络运营者自评估程序以及第九条向有关部门申报安全评估的前置条件,将所有个人信息出境活动纳入需要向省级网信部门申报安全评估的范围之内,无疑是提高了网络运营者的合规要求。
同时,《征求意见稿》规定向不同的接收者提供个人信息应当分别申报安全评估,向同一接收者多次或连续提供个人信息无需多次评估。对有固定合作接收者的网络运营者的安全评估义务要求有所减轻。
二、安全评估内容
(一)提交材料
根据《征求意见稿》第四条,网络运营者申报个人信息出境安全评估应当提供以下材料,并对材料的真实性、准确性负责:
① 申报书;
② 网络运营者与接收者签订的合同;
③ 个人信息出境安全风险及安全保障措施分析报告;
④ 国家网信部门要求提供的其他材料。
结合《征求意见稿》第十七条,上述要求的“个人信息出境安全风险及安全保障措施分析报告”应当至少包括以下内容:
① 网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力等;
② 个人信息出境计划,包括持续时间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等;
③ 个人信息出境风险分析和保障个人信息安全和个人信息主体合法权益的措施。
(二)重点评估内容
根据《征求意见稿》第六条,以下内容需要进行重点评估:
① 是否符合国家有关法律法规和政策规定;
② 合同条款是否能够充分保障个人信息主体合法权益;
③ 合同能否得到有效执行;
④ 网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件;
⑤ 网络运营者获得个人信息是否合法、正当;
⑥ 其他应当评估的内容。
相较于《个人信息和重要数据出境安全评估办法(征求意见稿)》要求的重点评估内容,《征求意见稿》对数据传输双方的安全保护能力都提出了要求,且更侧重于对个人信息出境合同的内容和可执行性的审核,关注个人信息来源的合法正当性,而不再要求对数据出境必要性和个人信息情况(比如个人信息的数量、范围、类型和敏感程度)进行评估。《征求意见稿》第十一条中的“暂停或终止”向境外提供个人信息的三种情况也体现了上述重点评估内容的价值取向:当网络运营者或接收者①发生较大数据泄露、数据滥用等事件或②无力保障个人信息安全时,网信部门可以要求网络运营者暂停或终止向境外提供个人信息,此即体现了对数据传输双方安全保护能力的关注;当③个人信息主体不能或者难以维护个人合法权益时,网信部门也可以要求终止或暂停个人信息的境外传输,这亦体现了《征求意见稿》对保障个人信息主体合法权益的重视。
此外,《指南》对数据传输双方的安全保护能力提出了详细的要求,需要申报安全评估的网络运营者可以将其作为自查和选择信息接收方的参考。
三、个人信息出境合同双方的义务要求
(一)对合同内容的要求
在申报安全评估时,网络运营者需要提交其与接收者之间签订的合同。根据《征求意见稿》第十三条,该稿所提及的“合同”还应包括网络运营者与个人信息接收者签订的其他具有法律效力的文件。
《征求意见稿》第十三条至第十六条从合同的基本条款、网络运营者的义务条款、接收者的义务条款以及接收者的再次传输条件四个方面详细地列明了合同的必备条款。这些必备条款的设置充分反映了《征求意见稿》第六条第二项的“合同条款能够充分保障个人信息主体合法权益”要求。
合同必备条款涉及个人信息主体保护的内容如下:
网络运营者 | 接收者 | |
综合规定 | 个人信息主体是合同中涉及个人信息主体权益的条款的受益人 | |
合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务,除非接收者已经销毁了接收到的个人信息或作了匿名化处理 | ||
保障个人信息主体的权利 | 应个人信息主体的请求,提供本合同的副本(知情权) | 为个人信息主体提供访问其个人信息的途径(知情权) 个人信息主体要求更正或者删除其个人信息时,应在合理的代价和时限内予以响应、更正或者删除(更正、删除权) |
响应个人信息主体的索赔诉求 | 应请求向接收者转达个人信息主体诉求,包括向接收者索赔; 个人信息主体不能从接收者获得赔偿时,先行赔付 | / |
个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任 | ||
个人信息的使用和保存 | / | 按照合同约定的目的使用个人信息,个人信息的境外保存期限不得超出合同约定的时限 |
接收者向第三方传输个人信息条件 | 网络运营者已经通过电子邮件、即时通信、信函、传真等方式将个人信息传输给第三方的目的、第三方的身份和国别,以及传输的个人信息类型、第三方保留时限等通知个人信息主体 | 接收者承诺在个人信息主体请求停止向第三方传输时,停止传输并要求第三方销毁已经接收到的个人信息 |
涉及到个人敏感信息时,已征得个人信息主体同意 (未对征求同意的主体作出明确规定,可由双方在合同中进行约定) | ||
因向第三方传输个人信息对个人信息主体合法权益带来损害时,网络运营者同意先行承担赔付责任 | ||
(二)接收者的义务要求
由于难以对位于境外的接收者进行监管,《征求意见稿》亦希望通过网络运营者以及两者签订的合同对接收者构成间接约束。
《征求意见稿》第十五条规定了需要在合同中明确的接收者义务。除上文提到的应在合同中约定的接收者对个人信息主体应负有的责任和义务条款外,《征求意见稿》还要求接收者在合同中确认签署合同及履行合同义务不会违背接收者所在国家的法律要求,当接收者所在国家和地区法律环境发生变化可能影响合同执行时,应当及时通知网络运营者,并通过网络运营者报告网络运营者所在地省级网信部门。
根据《征求意见稿》第十条,省级网信部门应当定期组织检查运营者的个人信息出境记录等个人信息出境情况,重点检查合同规定义务的履行情况、是否存在违反国家规定或损害个人信息主体合法权益的行为等。当发现损害个人信息主体合法权益、数据泄露安全事件等情况时,应当及时要求网络运营者整改,通过网络运营者督促接收者整改。
因此,网络运营者即使通过安全评估,在进行个人信息传输的过程中仍不能放松要求,需要定期自查运营者内部进行个人信息出境的合规情况,并督促接收方履行合同义务。
(三)网络运营者的后续义务要求
申报安全评估是网络运营者在进行个人信息出境之前所应承担的义务,《征求意见稿》同时为网络运营者设定了数项后续义务,尽可能全面地保障个人信息主体在数据跨境流动过程中的合法权益。
主要后续义务如下表所示:
后续义务 | 主要内容 | 对应条款 |
重新评估义务 | 每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估 | 第三条第三款 |
接收者所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者重新进行安全评估 | 第十三条第四项 | |
出境记录保存义务 | 网络运营者应当建立个人信息出境记录并且至少保存5年,记录包括: ①向境外提供个人信息的日期时间; ②接收者的身份,包括但不限于接收者的名称、地址、联系方式等; ③向境外提供的个人信息的类型及数量、敏感程度; ④国家网信部门规定的其他内容 | 第八条 |
年度报告义务 | 网络运营者应当每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门 | 第九条第一款 |
安全事件报告义务 | 发生较大数据安全事件时,应及时报所在地省级网信部门 | 第九条第二款 |
(四)网络运营者的法律责任
《征求意见稿》第十八条规定,网络运营者违反本办法规定向境外提供个人信息的,依照有关法律法规进行处理。目前,违法向境外提供个人信息的法律责任主要有:
①《网安法》第六十六条:关键信息基础设施的运营者违法在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
②《刑法》第二百五十三条之一:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
③《人类遗传资源管理条例》第三十八条:违反本条例规定,未经批准将我国人类遗传资源材料运送、邮寄、携带出境的,由海关依照法律、行政法规的规定处罚。
结语
《征求意见稿》变自主评估原则为申报评估原则,并从重点评估内容、合同条款设计以及后续义务设置等方面覆盖了个人信息出境活动全过程的相关要求,全面提高了网络运营者的安全评估义务。对于存在个人信息出境需求的网络运营者而言,需要保持对该稿立法动态的关注,及时采取相应对策提供自身安全保护能力,设计符合要求的个人信息出境合同,并筛选合适的个人信息接收者,为通过安全评估做好准备。在安全评估后进行个人信息出境活动时,也需要对接收者的安全保护能力和合同履行情况进行追踪,尽可能降低发生数据泄露、数据滥用等安全事件的风险。
本文仅为我们对相关法律法规的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。
吴丹君
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com
