第十四期DPO沙龙纪实:梳理《个人信息出境安全评估办法(征求意见稿)》的评估流程
6月28日,第十四期数据保护官(DPO)沙龙举行。DPO社群成员围绕本期沙龙主题——《个人信息出境安全评估办法(征求意见稿)》(下称(《办法》)中的重点条款,提出了创新性的意见和建议。关于建议和意见的详细情况,见【《个人信息出境安全评估办法》的流程改进建议:DPO社群的现场讨论】
要在企业和监管部门之间找到折中的路
据了解,6月13日,国家互联网信息办公室就《办法》公开征求意见。《办法》规定,个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。
早在2017年4月,国家互联网信息办公室曾就《个人信息和重要数据出境安全评估办法(征求意见稿)》公开征求意见。但两者不同的地方在于,《办法》仅明确了个人信息出境的安全评估要求,这意味着,个人信息和重要数据被区分对待。
曾有专家表示,这是因为个人信息和重要数据本身就有区别:个人信息属于单个个人,而重要数据涉及的范围更广——比如医疗上的传染性疾病数据,以及滴滴打车拥有的全国打车主体和交通状况的数据等。
在来自某头部企业的DPO社群成员看来,两种数据出境的风险也有显著不同。个人信息出境安全,主要是避免以“经济目的”为导向的数据泄露和滥用;重要数据出境,则主要是避免以“政治和安全目的”为导向的数据泄露和滥用事件。因此,出境安全的评估办法也应体现不同的理念、重点等,采取的办法自然也应有差异。
此外,在《办法》中,评估办法由《个人信息和重要数据出境安全评估办法(征求意见稿)》中的企业自评估、监管部门偶尔抽查、特定条件下报请监管部门评估相结合,变为“凡涉及个人信息出境的网络经营者,都要向监管部门申报评估”。
有DPO社群成员指出,监管部门和企业的关注点是不同的。监管部门更多关注的是国家安全和公共利益,对市场的微观行为、企业行为的观察和了解不如企业,在设置制度时、考虑比较宏观;而企业更多关注的是市场效应和经济效益,以及市场行为、商业行为等细节,比较少从国家层面考虑问题。
所以,他认为,应该在企业和监管部门之间搭一个桥梁。作为企业,要考虑监管部门为什么会设定这样的条款;作为监管部门,要考虑企业为什么会反对这样的条款。“只有这两个都满足了,找到折中的路,《办法》才能真正执行下去。”
建议:个人信息出境采取自评估加备案的机制
针对如何让《办法》真正落地执行,多位DPO社群成员提出了修改建议。
有DPO社群成员分析表示,目前,《办法》只保留了网络运营者涉及个人信息出境时,需向监管部门申报评估的方法,这难免出现企业扎堆申报、造成拥堵的情况。并且,《办法》规定安全评估应当在15个工作日内完成,情况复杂的可以适当延长。该DPO成员表示,这也给企业带来担心,如果评估无限期地推迟下去,企业将失去出境的机会。
还有DPO成员说,《办法》应实现数据有序自由流动的目标。个人信息与国家安全、重要公共利益并不直接相关,更偏向于市场行为。个人信息能否出境,应该是市场性的决策,而不是行政决策,属于市场的决策,应由企业来决定。“《办法》把决策权交给省级网信部门,这相当于政府替企业做决定。”
“数据出境不是符合性审查,而是风险的决策。比如数据接收方所在国家的政策法规、合同条款的签订等都偏向风险决策,不是确定性决策”,他说,“让政府对风险决策的结果进行确定性审批,这也是不合适的。”其认为,如果企业能有效保障个人信息的安全,应交由企业来做决定。
因此,多位DPO成员建议,在涉及个人信息出境时,可通过行业组织和企业自评的方式,再加上必要时的备案机制,以及与日常监督执法相结合,确保企业能履行数据安全的评估要求。
比如由个人主动发起,且境外数据接收方为唯一或主要数据控制者(个人直接登录境外网站或应用订机票、酒店)的情形,企业可以无需备案。另外,境内数据发送方可在其自行决定的具体数据跨境业务启动日期,提前二十日向省级网信部门提交材料,进行备案;若备案后二十日内未接到通知,可自行启动数据跨境业务。(完)
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点