第一时间 | 一文读懂《个人信息出境安全评估办法(征求意见稿)》
2019年06月13日,国家互联网信息办公室发布《关于<个人信息出境安全评估办法(征求意见稿)>公开征求意见的通知》,对《个人信息出境安全评估办法(征求意见稿)》(以下简称“《个人信息出境办法》(征求意见稿)”、“本办法”)公开征求意见。
相较于国家互联网信息办公室于2017年04月11日发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“《个人信息和重要数据出境办法》(征求意见稿)”),《个人信息出境办法》(征求意见稿)最显著的变化之一就在于将个人信息与重要数据涉及出境的安全评估区分对待,明确了个人信息出境的安全评估要求。
《个人信息出境办法》(征求意见稿)全文共二十二条,明确了个人信息出境申报评估要求、申报材料、重点评估内容、个人信息出境记录、出境合同内容及权利义务要求、安全风险及安全保障措施分析报告内容要求等要求。以下将对《个人信息出境办法》(征求意见稿)进行拎重点和逐条解读,以方便快速和详细地理解本办法的内容。
要点一
网络运营者但凡进行个人信息出境均需报请评估
同《个人信息和重要数据出境办法》(征求意见稿)规定的自行评估和六种情形下需要报请评估相比,《个人信息出境办法》(征求意见稿)第三条则明确了“个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估”,意味着只要网络运营者需要将个人信息出境,均需报请所在地省级网信部门进行安全评估。
要点二
明确个人信息出境安全评估的重点评估内容
不同于《个人信息和重要数据出境办法》(征求意见稿),《个人信息出境办法》(征求意见稿)在将个人信息和重要数据区别开后,其第六条在规定安全评估内容时,更侧重于对网络运营者与个人信息接收者之间签订的合同内容审核和执行性要求以及过往个人信息保护和网络安全履行情况要求,强调了个人信息来源的合法正当性和个人信息主体权益保障,不再强调出境的必要性审核。
要点三
全面规定了网络运营者与个人信息接收者签订的合同的具体内容
由于不同法域间个人信息保护立法存在较大差异,如何确保个人信息出境后其获得的保护水平同在境内相匹配便成为了规范数据出境问题的重点和难点之一。《个人信息和重要数据出境办法》(征求意见稿)并未对合同的内容作出具体的规定,《个人信息出境办法》(征求意见稿)仿效欧盟采用标准合同条款(Standard Contractual Clauses, SCC)的规制方式,通过对网络运营者与个人信息接收者签订的合同内容进行全面、细致规定的方式,实现对个人信息接收者保护出境个人信息的要求。
《个人信息出境办法》(征求意见稿)对合同内容的具体规定,包括个人信息出境的目的、类型、保存时限、接收者责任义务、个人信息主体权利等内容。其中涉及许多为网络运营者和接收者新增义务的条款,包括“网络运营者代接收者先行赔付”、“应个人信息主体请求提供合同副本”等特殊的制度安排。
要点四
通过系列设计加强对境外接收者的监督
实践中,对于境外的接收者,因管辖问题,网信部门往往难以履行其监管职责,不利于监管规则的执行和落实。《个人信息出境办法》(征求意见稿)通过系列设计,加强了对境外接收者的监管方式。
首先,本办法要求网络运营者和接收者须在合同中明确个人信息主体在合法权益受到损害时可以自行向一方或者双方索赔,且个人信息主体不能从接收者获得赔偿时,网络运营者须先行赔付,既从合同的层面为网络运营者和接收者设定了相应的义务,其不履行则要承担相应的违约责任,又通过“先行赔付”客观上促使网络运营者主动、积极履行对接收者的监督义务。
其次,本办法规定了在某些同信息安全相关的情况下,网信部门可以要求网络运营者暂停或终止向境外提供个人信息,监管部门可以据此通过对网络运营者的控制间接部分实现对接收者的控制。
最后,本办法明确了境外的网络运营者应在境内通过法定代表人或机构履行网络运营者的责任和义务,确保境外网络运营者通过其境内实体承担相应的责任和义务,使对个人信息的保护落到了实处。
要点五
明确了个人信息主体在出境场景下知情权等权利履行的保障
个人信息出境会影响个人信息主体对其个人信息的控制,因而规定个人信息主体在个人信息出境场景下享有的权利,既可以缓解由于出境引发的个人信息主体对其个人信息安全的担忧,也是实现个人信息出境安全的重要手段。
《个人信息和重要数据出境办法》(征求意见稿)并未涉及这方面的内容,《个人信息出境办法》(征求意见稿)则从多个层次保障了个人信息主体对于其个人信息出境情况的知情权、访问更正删除个人信息权利,并设置了索赔保障机制。
从知情权的保障角度,网络运营者应当告知个人信息主体网络运营者和接收者的基本情况、个人信息主体可以要求网络运营者提供其同接收者签订的合同副本等。由此,亦有利于个人信息主体了解其个人信息所受到的保护程度,并便于后续发生信息安全事件时行使相应的权利。
从访问更正删除个人信息权利角度,要求在合同中明确接收者为个人信息主体提供访问其个人信息的途径,个人信息主体要求更正或者删除其个人信息时,应在合理的代价和时限内予以响应、更正或者删除,能够有效保障个人信息主体访问、更正、删除个人信息权利的行使。
从索赔保障机制看,通过明确个人信息主体作为涉及个人信息主体权益的条款的受益人,有权自行或者委托代理人向网络运营者或者接收者或者双方索赔,并明确过错推定的举证责任分配机制,再加上要求个人信息主体不能从接收者获得赔偿时网络运营者应先行赔付,有利于最大程度上确保个人信息主体索赔的便捷性和及时收到索赔金额的结果。
《个人信息出境安全评估办法(征求意见稿)》逐条解读
第一条
为保障数据跨境流动中的个人信息安全,根据《中华人民共和国网络安全法》等相关法律法规,制定本办法。
解读
本条明确了《个人信息出境办法》(征求意见稿)的立法目的和制定依据。
相较于《个人信息和重要数据出境办法》(征求意见稿),本办法可喜的变化在于将个人信息和重要数据出境区别对待。相较于重要数据出境主要影响国家安全、网络空间主权和社会公共利益,个人信息出境更多地影响个人信息的安全。因此,从立法目的的对比看,本办法重点在于保障出境的个人信息的安全;从制定依据的对比看,本办法主要上位法在于《网络安全法》,不再强调《国家安全法》同时作为上位法。
第二条
网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。
国家关于个人信息出境另有规定的,从其规定。
解读
本条明确了个人信息的出境安全评估要求和不得出境的情形。
从出境安全评估要求看,主要包括三个要点:第一个要点,适用主体,网络运营者。关于网络运营者的定义,本办法第二十一条第一项进行了规定,此处不再赘述;第二个要点,地域和行为要求,中华人民共和国境内运营中收集个人信息;第三个要点,不同规定的适用关系,国家关于个人信息出境另有规定的,从其规定。对于特殊行业收集的个人信息出境有特殊规定的,应按照其特殊规定适用。
从不得出境的情形看,主要包括三种情形:第一种情形,可能影响国家安全、损害公共利益的,不得出境。大数据时代,个人信息的跨境流通和共享有助于充分挖掘数据的价值,但个人信息出境的最底线要求,就在于不得影响国家安全和损害公共利益。第二种情形,难以有效保障个人信息安全的,不得出境。个人信息的利用和保护需要平衡,个人信息使用的基本要求就在于保护个人信息的安全。应用到个人信息出境的场景,最基本的要求同样在于保障个人信息安全。第三种情形,国家关于个人信息出境另有规定的,从其规定。对于特殊行业有其他不得出境的情形要求的,按照其规定执行。
第三条
个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。
向不同的接收者提供个人信息应当分别申报安全评估,向同一接收者多次或连续提供个人信息无需多次评估。
每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。
解读
本条明确了个人信息出境的报请评估要求、评估次数要求和重新评估情形要求。
从报请评估要求看,相较于《个人信息和重要数据出境办法》(征求意见稿)规定的自行评估和六种情形下报请评估要求不同,本办法直接明确只要涉及个人信息出境均应报请所在地省级网信部门评估。值得探讨的是,网络运营者所在地分布在不同的省或直辖市且均涉及个人信息出境的情况下,所在地以网络运营者住所地认定集中进行报请评估还是按照不同所在地分别报请评估?实践中大量企业涉及个人信息的出境,全部需要报请评估且集中在省级网信部门评估,即使本办法第五条明确省级网信部门组织专家或技术力量进行具体评估,省级网信部门现有的人员配置能否满足评估的组织需要?
从评估次数要求看,区分的点在于接收者是否相同,主要包括两种情形:第一种情形,向不同的接收者提供个人信息应当分别申报安全评估。该等情形背后的考虑因素主要在于不同的接收者接受个人信息的目的、类型和保存时间不同,个人信息保护能力和采取的措施不同,是否存在损害个人信息主体合法权益的历史、是否发生过重大网络安全事件不同,适用的法律法规也可能有所不同。第二种情形,向同一接收者多次或连续提供个人信息无需多次评估。该等情形主要考虑实践中普遍存在向同一接收者多次或连续提供个人信息的情形,如果每次提供个人信息均需报请评估,将增加网络运营者的负担、降低商业合作的效率和提高省级网信部门的评估负担。但需要指出的是,向同一接收者多次或连续提供个人信息并非评估一次就“一劳永逸”,需要遵循本条第三款规定的重新评估情形要求。
从重新评估情形要求看,主要包括常规频率要求和特殊情形要求。常规频率要求即每2年重新评估;特殊情形要求即个人信息出境目的、类型和境外保存时间发生变化,该等情形对个人信息的安全风险、对国家安全和社会公共利益的影响可能产生重要变化,因此需要重新评估。但值得商榷的是,如何认定出境目的、类型和境外保存时间发生变化?只要发生任何变化均需重新评估还是需要发生实质变化才需重新评估?如何把握变化的尺度?网络运营者自行判断还是网信部门判断?前述问题,有待进一步明确。
第四条
网络运营者申报个人信息出境安全评估应当提供以下材料,并对材料的真实性、准确性负责:
(一)申报书。
(二)网络运营者与接收者签订的合同。
(三)个人信息出境安全风险及安全保障措施分析报告。
(四)国家网信部门要求提供的其他材料。
解读
本条明确了个人信息出境评估需提交的申请材料要求。
申请材料要求主要包括申请材料具体内容和材料真实性、准确性要求两个要点。
第一个要点,申请材料具体内容要求。本条明确了四项内容,其中需要指出的是第二项和第三项材料。第二项,网络运营者与接收者签订的合同,本办法第十三条-第十六条明确了对合同的要求;第三项,个人信息出境安全风险及安全保障措施分析报告,本办法第十七条明确了对分析报告的要求。
第二个要点,申请材料真实性、准确性要求。主要强调网络运营者对申报材料的责任,不得提交虚假、片面、有瑕疵的申请材料。
第五条
省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后,应当组织专家或技术力量进行安全评估。安全评估应当在15个工作日内完成,情况复杂的可以适当延长。
解读
本条明确了个人信息出境评估的程序要求和时间要求。
从程序要求看,省级网信部门负责收取申报材料、核查材料完备性和组织专家或技术力量进行安全评估,具体评估工作由专家或技术力量进行。
从时间要求看,原则上应在15个工作日内完成,情况复杂的可以适当延长。需要探讨的问题在于,15个工作日的起算时间,是从收到申报材料起算还是从核查完毕材料的完备性起算?如果从核查完毕材料的完备性起算,核查材料完备性的时间要求?情况复杂如何认定?适当延长的期限为多久?前述问题,有待进一步明确。
第六条
个人信息出境安全评估重点评估以下内容:
(一)是否符合国家有关法律法规和政策规定。
(二)合同条款是否能够充分保障个人信息主体合法权益。
(三)合同能否得到有效执行。
(四)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件。
(五)网络运营者获得个人信息是否合法、正当。
(六)其他应当评估的内容。
解读
本条明确了个人信息出境评估的重点评估内容。
重点评估内容涵盖了国家规定的遵守、合同条款内容、合同执行、网络运营者和接收者的“黑历史”情况、个人信息来源的合法正当性和其他内容。其中第四项和第五项的要求需要重点关注。
第四项,即网络运营者和接收者的“黑历史”情况,意味着如果网络运营者和接收者历史上存在过损害个人信息主体合法权益的历史和重大网络安全事件,将会影响其后续的个人信息出境的开展。对于网络运营者而言,不仅需要注意自身落实好网络安全要求和个人信息保护要求,还需要关注接收者的网络安全要求和个人信息保护落实情况。对于接收者存在“黑历史”的情况,审慎考虑是否开展或者继续进行个人信息传输的合作。
第五项,即个人信息来源的合法正当性,意味着网络运营者需要遵循《网络安全法》第四十一条等相关法律法规和参照《个人信息安全规范》等国家标准的规定,不论是直接获取个人信息还是间接获取个人信息,均需获得用户的同意,通过正当途径获取。
第七条
省级网信部门在将个人信息出境安全评估结论通报网络运营者的同时,将个人信息出境安全评估情况报国家网信部门。
网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的,可以向国家网信部门提出申诉。
解读
本条明确了个人信息出境评估结论的通报要求和异议申诉规定。
省级网信部门负责出境安全评估,其评估结论通报网络运营者的同时报国家网信部门,有助于国家网信部门及时了解并统筹把握出境安全评估事宜。对于网络运营者而言,对省级网信部门的安全评估结论存在异议的,可以向国家网信部门申诉,为网络运营者的权益增加了程序保障。但本条并未明确提出申诉的时间要求和申诉处理的时间要求,需要进一步明确。
第八条
网络运营者应当建立个人信息出境记录并且至少保存5年,记录包括:
(一)向境外提供个人信息的日期时间。
(二)接收者的身份,包括但不限于接收者的名称、地址、联系方式等。
(三)向境外提供的个人信息的类型及数量、敏感程度。
(四)国家网信部门规定的其他内容。
解读
本条明确了个人信息出境记录要求。
出境记录包括两个要点,内容要求和时间要求。
第一个要点,内容要求,日期时间、接收者的身份、个人信息类型及数量、敏感程度等。主要强调个人信息出境的有迹可循,方便网络运营者自主统计查询出境情况,也有利于网信部门等主管部门更好地检查个人信息出境情况。
第二个要点,时间要求,至少保存5年。5年是最低保存期限,也是个人信息出境后比较可能出现风险和安全事件的期限,因此本条提出了个人信息出境记录至少保存5年的要求。
第九条
网络运营者应当每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。
发生较大数据安全事件时,应及时报所在地省级网信部门。
解读
本条明确了个人信息出境年度报告要求和较大数据安全事件报告要求。
从个人信息出境年度报告要求看,具体包括三个要点:第一个要点,报告时间,每年12月31日前;第二个要点,报告内容,本年度个人信息出境情况、合同履行情况等;第三个要点,所在地省级网信部门。年度报告的实行将有助于网信部门有效掌握单个网络运营者年度的整体数据出境情况和合同的执行情况,以便开展后续的监督检查等工作。
从较大数据安全事件报告要求看,主要强调报告的及时性和报告部门为所在地省级网信部门。
第十条
省级网信部门应当定期组织检查运营者的个人信息出境记录等个人信息出境情况,重点检查合同规定义务的履行情况、是否存在违反国家规定或损害个人信息主体合法权益的行为等。
发现损害个人信息主体合法权益、数据泄露安全事件等情况时,应当及时要求网络运营者整改,通过网络运营者督促接收者整改。
解读
本条明确了个人信息出境的事中事后监督规定。
申报评估作为个人信息出境的事前监管要求,能够从源头上把控个人信息出境的安全风险;事中事后的监督检查要求,能够及时发现个人信息出境实际履行中和履行后的风险和安全事件,采取有效措施处置风险和安全事件,最大程度上降低损失。需要指出的是,本条明确了通过网络运营者督促接收者整改的要求,旨在应对网信部门无法管辖接收者的影响。
第十一条
出现以下情况之一时,网信部门可以要求网络运营者暂停或终止向境外提供个人信息:
(一)网络运营者或接收者发生较大数据泄露、数据滥用等事件。
(二)个人信息主体不能或者难以维护个人合法权益。
(三)网络运营者或接收者无力保障个人信息安全。
解读
本条明确了暂停或终止个人信息出境的情形。
三种暂停或终止个人信息出境的情形,能够有效督促网络运营者和接收者加强个人信息安全保障,确保个人信息主体在数据出境后能够维护个人合法权益。更为重要的是,能够增强对境外接收者的监督,如果境外接收者基于境内网信部门无权管辖而拒不履行个人信息安全保护和维护个人信息主体合法权益的责任,网信部门有权基于本条规定要求暂停或终止个人信息出境。
第十二条
任何个人和组织有权对违反本办法规定向境外提供个人信息的行为,向省级以上网信部门或者相关部门举报。
解读
本条明确了举报违规个人信息出境的规定。
举报规定具体包括两个要点。第一个要点,举报人,任何个人和组织,意味着举报主体没有设置限制。第二个要点,举报部门,省级以上网信部门或者相关部门。这里的相关部门,宜理解为行业主管部门、公安部门、国安部门等。
第十三条
网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件(统称合同),应当明确:
(一)个人信息出境的目的、类型、保存时限。
(二)个人信息主体是合同中涉及个人信息主体权益的条款的受益人。
(三)个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任。
(四)接收者所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者重新进行安全评估。
(五)合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务,除非接收者已经销毁了接收到的个人信息或作了匿名化处理。
(六)双方约定的其他内容。
解读
本条明确了个人信息出境合同内容的要求。
合同主要内容包括六项,其中五项为必备内容,一项为网络运营者和接收者的自主决定内容。对于五项必备内容,主要规定了个人信息出境的重要内容、个人信息主体权益损害救济保障、个人信息出境后法律环境变化的应对措施和合同终止后个人信息主体权益的保障。
从个人信息主体权益损害救济保障看,规定了个人信息主体救济损害的基础、救济方式、索赔责任主体和证明责任划分四个要点。第一个要点,个人信息主体救济损害的基础,个人信息主体是合同中涉及个人信息主体权益的条款的受益人,保障个人信息主体有权在合同的相对性之外基于合同的约定提起损害救济的主张;第二个要点,救济方式,自行或者委托代理人,意味着个人信息主体可以自行或委托律师等代理人提起救济主张;第三个要点,索赔责任主体,向网络运营者或者接收者或者双方索赔,意味着个人信息主体的索赔主体由其自行选择,可以根据索赔便利程度、索赔效果等进行选择。对于网络运营者而言,即使是接收者的过错其也可能面临个人信息主体的索赔,督促其更好地通过合同等督促接收者履行个人保护义务;第四个要点,证明责任划分,除非证明没有责任。这里采用了过错推定的责任划分,意味着网络运营者或接收者要想免于承担索赔责任,需要提供个人信息出境记录、个人信息安全保护措施、督促对方履行保护义务的证据等充分证明其已按照法律法规和合同约定履行个人信息安全保护义务等职责。
从个人信息出境后法律环境变化的应对措施看,主要在于防止境外法律法规政策等变化导致个人信息出境和个人信息保护的不确定性造成的不利影响。从境内法律环境看,个人信息保护的基本方向在可预见的短期内不会发生变化,但境外的法律环境,存在政党变更、贸易摩擦等诸多不确定性,因此,变化的可能性随时存在。基于此,本条要求在个人信息出境后法律环境发生变化导致合同难以履行的情况下,网络运营者有权选择是否终止合同或者重新进行安全评估,将主动权掌握在了网络运营者的手中,也能够为网信部门加强监管提供便利条件。
从合同终止后个人信息主体权益的保障看,合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务具有独立性,不因合同的终止而终止,能够确保合同终止后个人信息的安全保护,避免在合同终止后已经出境的个人信息失去应有的保护而加大个人信息安全风险。这里也明确了例外要求,即接收者已经销毁了接收到的个人信息或作了匿名化处理,该等情形下,无法再识别到个人信息主体,有效降低了个人信息的安全风险。
第十四条
合同应当明确网络运营者承担以下责任和义务:
(一)以电子邮件、即时通信、信函、传真等方式告知个人信息主体网络运营者和接收者的基本情况,以及向境外提供个人信息的目的、类型和保存时间。
(二)应个人信息主体的请求,提供本合同的副本。
(三)应请求向接收者转达个人信息主体诉求,包括向接收者索赔;个人信息主体不能从接收者获得赔偿时,先行赔付。
解读
本条明确了合同中网络运营者的责任和义务。
网络运营者的责任和义务包括三项:
第一项,对个人信息主体的告知义务。具体包括两个要点:第一个要点,告知的方式,电子邮件、即时通信、信函、传真等方式。这里并未明确将隐私政策列入在内,如果从狭义的角度理解,隐私政策和电子邮件、即时通信、信函、传真并非同类告知途径,至少其时效性和针对性存在区别。从可操作性看,对于用户量大、个人信息出境涉及的用户量大的网络运营者,电子邮件、即时通信似乎更易于操作。这里的“即时通信”,宜理解为群发消息、站内信等。
第二项,应请求提供合同副本的义务。从可执行性角度,该项义务要求值得进一步探讨。很多企业个人信息主体众多,大量请求提供合同副本会给网络运营者造成繁重的负担。而且,从提供副本的形式看,是提供扫描件还是需要纸质复印件?此外,合同除了必备内容外,会涉及网络运营者的商业合作条款,该等条款一般不宜对外公开,网络运营者提供副本时是否可以对商业条款等非个人信息主体权益保护条款进行脱敏?
第三项,转达个人信息主体诉求和先行赔付义务。从便利性角度,网络运营者联系接收者更为便利,个人信息主体的诉求通过网络运营者能够更快速的到达接收者。先行赔付的要求,保障了个人信息主体索赔的有效实施,加重了网络运营者的责任承担。因接收者抗辩、资金紧张、外汇管制等原因,个人信息主体不能从接收者获得赔偿的情形应该会经常发生。当然,为了保护网络运营者的权益,网络运营者应该在合同内明确约定,如果因接收者的责任导致个人信息主体索赔且网络运营者进行了先行赔付,网络运营者有权向接收者索赔。
第十五条
合同应当明确接收者承担以下责任和义务:
(一)为个人信息主体提供访问其个人信息的途径,个人信息主体要求更正或者删除其个人信息时,应在合理的代价和时限内予以响应、更正或者删除。
(二)按照合同约定的目的使用个人信息,个人信息的境外保存期限不得超出合同约定的时限。
(三)确认签署合同及履行合同义务不会违背接收者所在国家的法律要求,当接收者所在国家和地区法律环境发生变化可能影响合同执行时,应当及时通知网络运营者,并通过网络运营者报告网络运营者所在地省级网信部门。
解读
本条明确了合同中接收者的责任和义务。
接收者的责任和义务包括三项:
第一项,个人信息主体权利保障,具体指向访问、变更或删除的权利。《网络安全法》等法律法规和相关规定明确了网络运营者应保障个人信息主体行使访问、变更或删除个人信息的权利。个人信息出境后,为了保障个人信息主体权利的行使不因出境而受到影响,本项提出了该等保障要求。当然,本项也规定了权利行使的限制,即合理的代价和时限,如果响应个人信息主体的权利主张需要花费较大代价,可以不予响应或合理收取费用等。
第二项,个人信息使用和保存期限要求。按照约定的目的使用个人信息,按照约定的期限保存个人信息,能够有效保障个人信息的安全可控,降低发生个人信息安全事件的风险。
第三项,法律环境发生变化的及时通知义务。本项与第十三条第四项结合,能够确保网络运营者和网信部门及时掌握接收者所在国家和地区法律环境发生变化的情况,及时评估该等变化对合同履行的影响。
第十六条
合同应当明确接收者不得将接收到的个人信息传输给第三方,除非满足以下条件:
(一)网络运营者已经通过电子邮件、即时通信、信函、传真等方式将个人信息传输给第三方的目的、第三方的身份和国别,以及传输的个人信息类型、第三方保留时限等通知个人信息主体。
(二)接收者承诺在个人信息主体请求停止向第三方传输时,停止传输并要求第三方销毁已经接收到的个人信息。
(三)涉及到个人敏感信息时,已征得个人信息主体同意。
(四)因向第三方传输个人信息对个人信息主体合法权益带来损害时,网络运营者同意先行承担赔付责任。
解读
本条明确了接收者将接收到的个人信息传输给第三方的限制。
本办法原则上要求接收者不得将接收到的个人信息传输给第三方,但同时设置了可以传输给第三方的四项要求,涉及网络运营者的义务要求、接收者的义务要求和网络运营者的责任承担。
第一项,网络运营者的告知义务,告知内容为将个人信息传输给第三方的目的、第三方的身份和国别,以及传输的个人信息类型、第三方保留时限等,告知方式为电子邮件、即时通信、信函、传真等方式。
第二项,接收者的义务要求,包括响应个人信息主体请求停止传输请求义务和要求第三方销毁已经接收到的个人信息义务。从操作难度看,后者的难度更高,如何确保第三方销毁也是需要解决的问题。
第三项,个人敏感信息传输第三方的明确同意要求。因个人敏感信息一旦泄露等造成的损失更严重,因此本项要求对个人敏感信息提出了明确同意的要求。
第四项,网络运营者的责任承担。因向第三方传输个人信息对个人信息主体合法权益带来损害,网络运营者同意先行承担赔付责任,意味着网络运营者对于个人信息出境不仅需要承担接收者可能造成的损失,如果同意向第三方传输还需先行承担第三方可能造成的损失。从实践角度,网络运营者向第三方追偿损失的难度会比较高,且对第三方的监督控制措施更加有限,导致的结果可能就是出于网络运营者的阻力,向第三方传输会受到限制。
第十七条
网络运营者关于个人信息出境安全风险及安全保障措施分析报告应当至少包括:
(一)网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力等。
(二)个人信息出境计划,包括持续时间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等。
(三)个人信息出境风险分析和保障个人信息安全和个人信息主体合法权益的措施。
解读
本条明确了个人信息出境安全风险及安全保障措施分析报告的内容要求。
分析报告的内容包括三项:
第一项,网络运营者和接收者的基本情况,重点围绕背景、规模、业务、财务、信誉、网络安全能力,从主体角度评估出境安全风险。
第二项,个人信息出境计划,包括持续时间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等,主要涉及出境的重点情况。
第三项,风险分析和保障措施,主要在于从事前角度预判可能出现的风险,对于可能出现的风险能够采取的措施,并需审慎判断该等措施能否有效防范可能出现的风险。
第十八条
网络运营者违反本办法规定向境外提供个人信息的,依照有关法律法规进行处理。
解读
本条明确了违规个人信息出境的法律责任。
本条并未直接规定违规个人信息出境的具体法律责任,而是指向了有关法律法规。这里的法律法规,主要指向《网络安全法》、《国家安全法》等法律法规。
第十九条
我国参与的或者与其他国家和地区、国际组织缔结的条约、协议等对个人信息出境有明确规定的,适用其规定,我国声明保留的条款除外。
解读
本条明确了本办法与缔结的条约、协议等的适用关系。
我国参与的或者与其他国家和地区、国际组织缔结的条约、协议等对个人信息出境有明确规定的,考虑到对已有规定的信守,适用已有的规定。但我国声明保留的条款除外。
第二十条
境外机构经营活动中,通过互联网等收集境内用户个人信息,应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。
解读
本条明确了境外网络运营者承担责任和义务的方式。
本条具体包括三个要点。第一个要点,适用对象为通过互联网等收集用户个人信息的境外机构;第二个要点,其收集的个人信息来源于境内用户;第三个要点,其承担责任和义务方式为通过境内法定代表人或者机构履行网络运营者的责任和义务。本条规定通过境外机构的境内法定代表人或境内机构间接实现了监管部门对通过互联网等收集境内个人信息的境外机构的管辖。但本条中所提及的境外机构的境内机构,所指向的对象是其境内主体、子公司还是办事处等其他机构,有待进一步明确。
第二十一条
本办法下列用语的含义:
(一)网络运营者,是指网络的所有者、管理者和网络服务提供者。
(二)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
(三)个人敏感信息,是指一旦被泄露、窃取、篡改、非法使用可能危害个人信息主体人身、财产安全,或导致个人信息主体名誉、身心健康受到损害等的个人信息。
解读
本条明确了本办法下“网络运营者”、“个人信息”、“个人敏感信息”的定义。
从网络运营者的定义看,作为《网络安全法》的配套办法,网络运营者的定义延用了《网络安全法》、《个人信息和重要数据出境办法》(征求意见稿)的有关规定,将几乎涉及网络产品服务的所有主体都纳入了网络运营者的范畴。
从个人信息的定义看,本办法中个人信息的定义亦沿用了《网络安全法》和《数据安全管理办法(征求意见稿)》的有关规定,基本覆盖了实践中网络运营者可能收集的个人信息范畴。
从个人敏感信息看,在《网络安全法》和《个人信息和重要数据出境办法》(征求意见稿)未对个人敏感信息进行定义的情况下,本办法中个人敏感信息的定义则并未完全沿用《信息安全技术个人信息安全规范》(草案)的相关规定。一旦被泄露、窃取、篡改、非法使用可能危害个人信息主体人身、财产安全,或导致个人信息主体名誉、身心健康受到损害等的个人信息都属于本办法所称的“个人敏感信息”。
第二十二条
本办法自 年 月 日起实施。
解读
本条明确了《个人信息出境办法(征求意见稿)》正式生效的具体时间。考虑到目前本规定仅处于征求意见稿阶段,具体实施时间有待正式稿出台时进一步明确。
结 语
继《网络安全审查办法(征求意见稿)》、《数据安全管理办法(征求意见稿)》在凌晨发布之后,国家网信办继续选择在凌晨发布《个人信息出境安全评估办法(征求意见稿)》,背后用意值得深思。《个人信息出境安全评估办法(征求意见稿)》的发布,对于个人信息出境的评估要求、评估程序、合同内容要求、合同各方责任义务要求、个人信息主体权利保障等具有重要意义。如其加以完善并得以正式出台,将能够有效规范个人信息出境和保障数据跨境流动中的个人信息安全。
End
作者简介
刘新宇 律师
上海办公室 合伙人
业务领域:银行与金融, 收购兼并, 诉讼仲裁
宋海新 律师
上海办公室 金融部
作者往期文章推荐:
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。