《个人信息出境安全评估办法》公开征求意见,哪些与你有关?
6月13日零点,国家网信办就《个人信息出境安全评估办法(征求意见稿)》(下称《办法》)向社会公开征求意见。根据该征求意见稿,网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息,应进行安全评估。
南都记者了解到,《办法》的出台是为了保障数据跨境流动中的个人信息安全,受约束的对象是网络运营者,即主要针对企业而非互联网用户。也就是说,你出国旅游交出个人信息,或注册和访问境外网站等个人行为,并不在该《办法》的管理范围内。
那么,什么是个人信息出境?个人信息出境前,网络运营者如何进行安全评估?这部规定将会给个人带来什么影响?南都记者就此采访了多位专家,一一解答。
个人在境外使用网络服务不适用《办法》
什么是个人信息出境?
南都记者注意到,《办法》发布后,一些网友基于“个人信息出境”的字面意思提出疑问:出国旅游刷卡享受当地网络服务,在国内注册和访问境外网站,海淘等,算不算个人信息出境?
《办法》的第二条明确,“个人信息出境”是指网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息的行为。其中网络运营者是指网络的所有者、管理者和网络服务提供者。
“《办法》的目的是为了确保网络运营者和境外个人信息接收者保护个人信息的安全,而不是为了审查个人的对外沟通或者干涉个人隐私,所以你是否访问了哪些境外网站跟这个《办法》没有任何关系。”中央财经大学助理教授张金平解释说,《办法》的管理对象是网络运营者,也就是通过计算机网络来收集和处理个人信息的运营者、服务提供者。
他进一步指出,网络经营者的概念可以类比为欧盟《通用数据保护条例》(GDPR)中的“数据控制者”,即决定个人信息处理的目的和方式的主体。
“比如一家企业开发了一个拥有上千万用户的网站或应用,如果企业想把这些在国内收集的个人信息转移到境外,应当采取怎样的管理办法,如何进行数据跨境流动,是否可以在未经你同意的情况下把信息往外送?”复旦大学网络空间治理研究中心主任沈逸告诉南都记者,这些才是《办法》试图解决的问题。
“这不是一部管理个人上网用户的法律,与你访问国外网站的行为,在网上留下什么数据没有什么关系。”沈逸说。
根据《办法》规定,网络运营者应当建立个人信息出境记录并且至少保存5年,记录包括:向境外提供个人信息的日期时间,接收者的身份(包括但不限于接收者的名称、地址、联系方式),向境外提供的个人信息的类型及数量、敏感程度等。
区分对待个人信息和重要数据是一大变化
南都记者注意到,《办法》对个人信息出境安全评估的流程和频率作出了清晰规定。
个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估,提供申报书、与接收者签订的合同、个人信息出境安全风险及安全保障措施分析报告等材料。安全评估应当在15个工作日内完成,情况复杂的可以适当延长。
如果网络运营者需向不同的接收者提供个人信息,应当分别申报安全评估;每2年或者个人信息出境目的、类型和境外保存时间发生变化时,应当重新评估。此外,网络运营者每年需在年底之前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。
作为监管部门,省级网信部门有权要求网络运营者暂停或终止向境外提供个人信息,比如出现网络运营者或接收者无力保障个人信息安全,发生较大数据泄露、数据滥用等事件,或者个人信息主体不能或者难以维护个人合法权益等情况。
与2017年4月发布的上一稿相比,南都记者注意到,《办法》最大的变化之一是把个人信息和重要数据的安全评估做了区分对待。
张金平分析说,这是因为个人信息和重要数据本身就有区别,个人信息属于单个个人,而重要数据涉及的范围更广,比如医疗上的传染性疾病数据,以及滴滴打车拥有的全国打车主体和交通状况的数据等。
《办法》的出台是为了保障个人信息安全
根据网信办发布的征求意见稿通知,《办法》是根据《网络安全法》等相关法律法规制定的,旨在保障数据跨境流动的个人信息安全。
北京大学法治与发展研究院高级研究员洪延青在一篇解读文章中提到,个人信息在出境场景下的保护,主要目的是在数据脱离了原来的数据控制者且流出国境的情况下,持续保障个人合法权益。
洪延青认为,《办法》的一大亮点是确保个人信息主体能够在数据出境后维护自身合法权益,尤其是赋予了个人信息主体针对数据出境的特殊“查询权”。
个人信息主体可查询的内容包括:网络运营者与接收方之间签署的合同副本、个人信息主体网络运营者和接收者的基本情况,以及向境外提供个人信息的目的、类型和保存时间等内容。
“在保障知情权的前提下,个人信息主体能够更好地行使其权利”,他同时指出,《办法》还专门针对出境后的再次传输进行了规定:针对个人信息的再次传输,实施个人选择退出(opt-out);针对个人敏感信息的再次传输,则要求个人选择同意(opt-in)。
“《办法》确实对个人的利益影响很大,但这是正面的影响,”张金平说,当个人信息被网络经营者提供出境的,个人并不知道境外接收者会如何保存和使用这些个人信息,例如会不会把个人的支付信息泄露、追踪你的行踪,或者把你的个人信息提供给当地有关部门用于身份审查等。
他指出,《办法》审查的重点是向境外提供个人信息的网络运营者和国外接受个人信息的主体是否履行了《办法》规定的义务,确保我国公民个人信息得到安全保障、不会被滥用,目的就是为了保护个人的利益。
采写:南都记者蒋琳 李玲 实习记者:黄莉玲 陈志芳
报料请点击
推荐阅读:
从机器人的两次“出逃”说起:我们可以信赖人工智能吗?
核心专家详细解析《个人信息出境安全评估办法(征求意见稿)》
腾讯安全:黑灰产攻击正在跨界 智能会议系统可被用来实施诈骗