查看原文
其他

《个人信息出境安全评估办法》的流程改进建议:DPO社群的现场讨论

洪延青 网安寻路人 2020-02-26

对近期公开征求意见的《个人信息出境安全评估办法(征求意见稿)》,数据保护官(DPO)社群与阿里巴巴数据安全研究中心于6月28日联合举办了一次沙龙集中讨论。

以下是沙龙的现场情况:




以下是DPO社群在现场讨论中的部分认识:


《个人信息出境安全评估办法(征求意见稿)》(以下简称“征求意见稿”)针对网络运营者提出了个人信息出境安全评估要求。“征求意见稿”文本内容按照安全评估的全流程逐步展开,如下图。

“征求意见稿”的制度设计,无论是对合同、个人信息出境安全风险及安全保障措施分析报告、还是省级网信部门开展评估的重点等,均强调了个人信息流出国境后持续对个人合法合法权益的保护。【具体分析见:解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路】对此监管目标,DPO社群十分认同。


DPO社群同时认为:国家动用公权力来保护不同类型数据,其核心诉求肯定有所不同:



DPO社群认为:个人信息出境安全,主要是避免出于“经济目的”为导向的数据泄露和滥用事件;重要数据出境,主要是避免出于“政治和安全目的”为导向的数据泄露和滥用事件。


既然个人信息和重要数据出境安全评估所要防范的风险事件有着本质上的不同,出境安全评估的设计也应体现不同的理念、重点、强调。防范性质不同的数据安全事件,采取的手段自然也就不同。对个人信息出境监管来说,制度核心应当是通过安全评估,反向激励企业在个人信息出境时,真正地承担起责任(accountability原则),管控数据出境链条中各合作方的行为。而对重要数据出境来说,因为面对的是以“政治和安全目的”的攻击,就算企业承担了责任,也经常无济于事。


目前的“征求意见稿”中,作出了“网络运营者申报”==>“省级网信部门评估合格后批准”的设计,在实践中很可能无法起到上述激励作用。相反,企业中负责数据安全和合规的部门,事实上可以将“锅”甩给省级网信部门:原本面对业务部门开展经营的诉求,企业中的数据安全和合规部门本来是站在他们“对立面”,时常要踩刹车;但现在的申报批准制,相当于政府部门承担了原本企业中数据安全和合规的部门“踩刹车”的责任,原本企业中不同部门之间的“制衡”就不复存在;在这样的制度设计中,企业中数据安全和合规的部门的最佳策略肯定是和业务部门站在一起,对业务诉求一律开绿灯,事事申报。申请不过,是监管的责任;申请过了,如果最终出了任何数据安全问题,也是监管的责任。




DPO社群认为:企业天然就具有开展业务获得经济利益的诉求。当下,在全球都开始重视数据安全保护的情况下,正规运营的企业无论高层到一线,均认识到企业加强数据安全和个人信息保护工作,已经是不可逆转的趋势。因此,政府开展包括出境安全评估在内的数据安全保护制度设计,最重要的是让企业意识到:“没有这个金刚钻,就别揽这个瓷器活”。


从这个角度出发,公号君在DPO社群的讨论基础上,提出了符合“权责一致原则”的个人信息出境安全评估的制度设计。该设计不代表任何组织的官方立场,仅供各界参考:


首先,综合实际情况,存在以下几种无需备案的情形:


  • 出于维护个人信息主体或其他个人的生命、财产等重大合法权益所必需;

  • 履行境内法律法规规定的义务相关的;

  • 由个人主动发起,且境外数据接收方为数据实际出境过程中唯一或主要的数据控制者的;


    重点说明1:此种情形主要包括个人直接登录境外网站或应用以购买商品或服务,例如买机票、订酒店等;但不包括以下情形:境内网络运营者平台作为中介,个人通过该中介服务购买了境外的商品或服务。在此情形中,境内网络运营者平台和境外数据接收方同为数据控制者。因此,境内平台与境外数据接收方的商业合作模式和数据流动模式应进行备案


    重点说明2:同样起到上述目的的另外一种可能的表述是:由个人主动发起的数据出境活动的必需的,无需备案;但在数据出境过程中为提供该数据出境提供技术支持和协助的第三方平台,应就数据出境技术支持和协助的安全性进行自评估并备案。


  • 个人主动拨打电话,以及发送短信、传真、电子邮件等;

  • 涉及已经合法公开的个人信息或个人自行公开的个人信息;


其次,境内的数据发送方在其自行决定的具体数据跨境业务启动日期,提前二十日向省级网信部门提交材料,进行备案。提交的材料包括:


  • 备案表;

  • 数据出境相关的合同条款,或专门的数据出境合同;【重点说明:业务合作合同中涉及企业大量的商业秘密。建议向仅仅备案与数据出境相关的具体合同条款;或者作为业务合作合同附件的专门就数据出境作出约定的协议文本。业务合作中会对数据出境安全造成影响的因素,企业会在“个人信息出境安全风险及安全保障措施分析报告”作出披露并开展风险分析。

  • 个人信息出境安全风险及安全保障措施分析报告;


随后,数据发送方备案后二十日内未接到省级网信部门的通知,可自行启动数据跨境业务。如果省级网信部门收到备案材料二十日内,发现特定企业所开展的数据出境业务有可能存在以下情形的,省级网信部门通知该数据发送方,并组织专家或技术力量进行安全评估。安全评估启动情形如下:


  • 存在个人合法权益无法保障的风险;

  • 存在损害国家安全、社会公共利益的风险;

  • 国家有关部门认定的其他风险;


重点说明:


从企业的角度来看


如此制度设计的好处在于给了企业非常强的数据安全和合规激励。即,如果企业在选择境外业务合作伙伴、设计相关合同或条款等方面做出足够的努力,提供了足够的安全水平,并且就准备了一目了然、令人信服的个人信息出境安全风险及安全保障措施分析报告,那业务开展就能有比较大的确定性和可控性,特别是业务部门不用等待政府部门的“绿灯”,才能开展业务——只要在具体业务启动提前二十日提交备案材料,随后就能如期开展与境外的合作相反如果某个企业对数据出境的安全“漫不经心”,随意选择合作伙伴,且准备的材料不充分,自然政府部门将启动评估,合作将不得不作出显著调整,甚至于中止


从省级网信部门的角度来看


如此的制度设计,避免了省级网信部门可能需要承担原本由企业内部数据安全和合规部门所应该承担的职责。企业有非常强的动力去选择合作伙伴以及进行相关的条款设计。并且,企业在提供“个人信息出境安全风险及安全保障措施分析报告”时,有动力做到详细、周全,免去了省级网信部门开展调查、问询等大量的获取信息的成本。更重要的是,这样的制度设计给了省级网信部门“能进能退”的自主空间。且根据外部形势变化和风险的演进,省级网信部门能够灵活地“拧紧”或者“放松”数据出境的“闸口”。


对于备案系统的设计


对于备案系统及在备案系统中提交的文件,可进一步参考《具有舆论属性或社会动员能力的互联网信息服务的安全评估报告(模板)》,主要包含以下事项:


  • 开展数据出境评估的情形【例如:新数据出境安全评估、两年后的再评估、重大变更后的重新评估等】;

  • 数据发送方和接收方安全负责人及安全管理机构设立情况;

  • 数据出境安全风险分析及采取的控制措施情况分析;

  • 数据出境评估合同的情况【例如,使用的是标准合同,或者使用的是其他类型合同。DPO社群期待:全国性网络安全标准化组织或者行业协会能够制定符合本办法要求的“数据出境示范合同”,并获得国家网信部门的同意】

  • 数据出境自评估记录保存情况。


以上仅反映了DPO沙龙现场讨论的部分内容,同时限于篇幅原因,公号君没有提供具体条文的修改建议。




数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  11. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  12. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益

  13. 第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“

  12. 德国最高数据保护官员就美国“云法案”提出警告


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

  20. 数据保护岗位需求与能力发展(DPO社群成员观点)

  21. DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

  22. 对网络安全负责人岗位的思考(DPO社群成员观点)

  23. 结合良好实践,细说APP自评估指南之一(DPO社群成员观点)

  24. 《个人信息安全规范》的效力与功能

  25. 结合良好实践,细说APP自评估指南之二(DPO社群成员观点)

  26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  27. 实施已满三月,区块链新规“回头看”(DPO社群成员观点)

  28. 从“布拉格提案”看美国政府的策略

  29. 《欧盟GDPR合规指引》前言:从一个损毁的雕像说起

  30. 对《网络安全审查办法(征求意见稿)》的几点观察

  31. 使命与界限:近期个人信息和数据安全新规的一些思考(DPO社群成员观点)

  32. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路

  33. “惟危惟微,允执厥中”:对《数据安全管理办法》中“定向推送”部分的思考

  34. 《儿童个人信息网络保护规定(征求意见稿)》评析:与美国COPPA对比的视角

  35. 网安法中的“范围”如何理解和落地:从头条案说起

  36. 《数据安全管理办法》的监管诉求及文本改进建议:DPO社群的现场讨论

  37. 数据安全的内部和外部视角初探


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存