各国个人信息出境实况——兼评《个人信息出境安全评估办法(征求意见稿)》
2019年6月13日凌晨,国家网信办发布《个人信息出境安全评估办法(征求意见稿)》(以下简称“《新评估办法(征求意见稿)》”),在其2017年发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“《旧评估办法(征求意见稿)》”)的基础上进行了很大的变动。本文主要以个人信息安全影响评估的整体步骤为脉络,梳理《新评估办法(征求意见稿)》的相关规定和重要变化。
一、出台背景
随着跨境业务的不断增加,数据在全球范围的流动已成为了企业间经营活动的重要特征之一。早在《网络安全法》出台之时,我国就对数据出境的问题,提出了安全评估的要求,认为关键信息基础设施运营者在境内运营过程中所收集或产生的业务数据,原则上应该在境内进行存储,如果因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。推荐性国家标准 《信息安全技术个人信息安全规范 》 也对个人信息跨境转移做出相关规定:在中华人民共和国境内运营中收集和产生的个人信息向境外提供的,个人信息控制者应符合国家网信部门会同国务院有关部门制定的办法和相关标准的要求。这里的办法,我们认为指的是《旧评估办法(征求意见稿)》,相关标准指的是《信息安全技术数据出境安全评估指南(征求意见稿)》(以下简称“《评估指南(征求意见稿)》”)。2017年,国家发布《旧评估办法(征求意见稿)》,针对个人信息与重要数据的出境评估,做出了较为细致的要求。而此次《新评估办法(征求意见稿)》把《旧评估办法(征求意见稿)》中的个人信息出境部分单独抽出来进行规制,意味着原来将“个人信息”与“重要数据”的统一评估路径,拆分成了两条不同的监管轨道,设定了更加清晰和严格的评估标准,将个人信息的出境传输行为纳入更全面的监管系统中。
如上所述,相较于《旧评估办法(征求意见稿)》同时规定了“个人信息”与“重要数据”的出境评估要求,《新评估办法(征求意见稿)》只针对“个人信息”的出境评估作出了相应规定,其最主要的原因在于, “个人信息”是对公民个人权益的保护,而“重要数据”则更加强调维护国家安全与社会利益。也意味着,未来国家应该还会对“重要数据”的出境评估做出单独的规定。这一趋势也体现在此前出台的《数据安全管理办法(征求意见稿)》中,虽然其第一条仍然强调是保障个人信息和重要数据安全,但在具体的条文中,也对个人信息和重要数据的规定做了一定区分,比如第28条规定重要数据出境需评估风险加报请主管部门同意。
二、评估主体
在《旧评估办法(征求意见稿)》中,规定行业主管或监管部门负责本行业数据出境安全评估工作,行业主管或监管部门不明确的,由国家网信部门组织评估。而在此次《新评估办法(征求意见稿)》中,规定个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后,应当组织专家或技术力量进行安全评估。安全评估原则上需要在15个工作日内完成。此次新规将评估主体直接确定为省级网信部门来对评估事项负责,化解了对监管部门不够明晰的情况。同时,将评估机构统一为网信部门,有利于管理和网络运营者申诉上的统一。这种做法,虽然加强了监管对个人信息出境的审查与把控,但问题是省级网信部门的人力资源是否已经足够充裕到对本省范围内企业所报审的申报材料可以在15日内逐一审查完毕并反馈。如果不能够在规定时间内完成实质性审查的话,要么《新评估办法(征求意见稿)》最后落入空文,要么该条款的思路最终会在征求意见结束后得以改变。
三、评估对象
我国《网络安全法》第三十七条明确规定,对于关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据明确要求应在境内存储。而在《旧评估办法(征求意见稿)》第二条规定,网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。此条规定将数据境内储存的义务从关键信息基础设施的运营者拓展到了所有的网络运营者。而在此次《新评估办法(征求意见稿)》删除了此条内容,对数据的本地化储存没有再作出相应规定。但同时,对于数据出境要进行评估的主体,相较于《网络安全法》,《新评估办法(征求意见稿)》规定的范围则更广。《网络安全法》只将数据出境评估的主体限定为关键信息基础设施运营者,而《新评估办法(征求意见稿)》与《旧评估办法(征求意见稿)》类似,则要求所有涉及个人信息出境的网络运营者,都需要进行安全影响的评估,并且需要报请网信部门做实质性审查。
考虑到将所有网络运营者都纳入审查的范围,势必会加重政府部门的审查成本。有关学者提出建议考虑是否对评估主体增加豁免(即例外)的条件,如对有关数据极少且偶发的个人信息出境行为和跨国企业内部经营管理涉及到的数据等是否可以免于评估。其次,对于网络运营者,学者也建议进行角色的区分,将控制者与处理者相关的评估义务进行一定的区别,这样能使得法规在具体落实时更加合理并且能提升效率。
四、评估流程
1. 自评估流程非唯一要件
《旧评估办法(征求意见稿)》中规定,网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。对于含有或累计含有50万人以上的个人信息,数据量超过1000GB等可能影响国家安全和社会公共利益的网络运营者,要求其必须报请行业主管或监管部门进行评估。也就可以看出,在《旧评估办法(征求意见稿)》中包含了运营者自评估以及符合特定条件情况下方才报请监管部门评估两种模式。而《新评估办法(征求意见稿)》对于所有网络运营者,无论其规模大小,也不论行业类型,只要涉及个人信息出境,都要求其必须在企业自行评估后向所在地省级/市网信部门申报并进行安全评估,即企业在自评估或者委托第三方评估后,都需要报请网信部门批准。可以看出,新规对个人信息出境的评估要求比以前更加严格了。
2. 评估具体流程
根据《新评估办法》规定,网络运营者在个人信息出境前,应当向所在地省级网信部门申报个人信息出境安全评估,同时提交以下材料:
(一)申报书;
(二)网络运营者与接收者签订的合同;
(三)个人信息出境安全风险及安全保障措施分析报告;
(四)国家网信部门要求提供的其他材料。
《新评估办法(征求意见稿)》同时规定,省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后,应当组织专家或技术力量进行安全评估。安全评估应当在15个工作日内完成,情况复杂的可以适当延长。在《旧评估办法》中,规定行业主管或监管部门组织的安全评估,应当于六十个工作日内完成。此次新规将评估的时间在原来的基础上进行了大大缩短。这也是考虑到在具体实践中,许多企业依靠数据的流动创造市场价值,而对其审查评估的时间过长,会对企业经营活动造成很多影响甚至是延误。对评估时间的缩短,将有助于提高数据流转的效率,有利于创造更多价值。但是,因为此次评估的主体扩大,要求所有网络运营者都进行相关评估,评估渠道有出现拥挤的可能。因为法律中规定情况复杂的可以适当延长评估时间,但没有说明情况复杂的具体情形,也没有细化说明可延长的最大期限是几何,对于企业来说仍然存是潜在的不确定性风险。
《新评估办法(征求意见稿)》第七条规定,省级网信部门在将个人信息出境安全评估结论通报网络运营者的同时,将个人信息出境安全评估情况报国家网信部门。网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的,可以向国家网信部门提出申诉。相较于《旧评估办法(征求意见稿)》,《新评估办法(征求意见稿)》对于个人信息出境安全评估情况的流向没有做太大变动,都要求评估的主体将结论通报网络运营者的同时,也将评估情况报国家网信部门。但在《新评估办法(征求意见稿)》中,增加了网络运营对评估结论存在异议时申诉的权利。这样的规定不仅使得网络运营者在面对自己不利的评估结果时多了一种救济措施,也会促使省级网信部门在进行安全影响评估时更加客观公正。
五、评估内容
《新评估办法(征求意见稿)》第六条,规定了在进行个人信息出境安全评估时应当重点评估的内容,包括:
(一)是否符合国家有关法律法规和政策规定;
(二)合同条款是否能够充分保障个人信息主体合法权益;
(三)合同能否得到有效执行;
(四)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件;
(五)网络运营者获得个人信息是否合法、正当;
(六)其他应当评估的内容。
对比《旧评估办法(征求意见稿)》的重点评估内容,《新评估办法(征求意见稿)》对这一部分作了较大的改动。其中最主要的一个变动是在重点评估的内容中,不仅增加了对网络运营者与境外数据接收方之间“合同”的评估,而且首次对网络运营者与境外数据接收者的合同进行了相关要求:如《新评估办法(征求意见稿)》细致地规定了双方签订的合同具体应该包含的具体内容,包括个人信息出境的目的、类型和保存时限等的规定,还包含了网络运营者以及境外接收者各自相应的义务。为了防止合同流于形式或者出现阴阳合同的情况,《新评估办法(征求意见稿)》还在评估的标准中,加入了对双方合同内容和执行的双重审查。
这一点与GDPR下标准合同条款的相关规定也有着类似之处。GDPR规定,如果采用标准合同条款等适当保障措施,监管机关则不需要再对数据的跨境传输进行个案审批,但同时,欧盟委员会需要事先对标准合同条款本身进行批准。虽然标准合同条款针对的是数据传输方与数据接收方之间的合同,但其却主要是对非合同一方的数据主体提供了相应的保护机制。因为数据转移双方则可以通过其他的商务条款约定商务合作的其他权利义务,但标准合同条款机制(SCC)则是通过落实数据转移双方对数据主体的民事赔偿责任来倒逼其切实保护个人信息主体的权利,防止合同的中的标准合同条款流于形式。鉴于此,既可以降低企业评估的成本,也能节省政府部门的评估资源。
对此,相关学者对《新评估办法(征求意见稿)》也提出一些建议,对不同的领域,如金融,医疗等是否可以拟制不同版本的标准合同条款,以应对实践中的不同情形。其次,对于合同能否单方面终止的问题,此次《新评估办法(征求意见稿)》中并没有涉及,这关涉到终止合同后数据出境方是否可以将数据追索回来的问题。
除此之外,《新评估办法(征求意见稿)》还规定了,个人信息主体有权获取合同的副本,这在保障个人信息主体实现相关权利的同时,有利于促进合同条款的透明与合理。但反过来,有些企业也会产生担心,如果出境方与接收方之间的数据转移涉及到商业秘密,那么个人信息主体的副本获取权利是否会使数据出入境企业之间显得有些尴尬?从这个问题引发得出的思考,也许我国的标准制定的组织可以比照欧盟的SCC,制定标准化的数据出境合同。涉及商业秘密的部分,企业可以再拟定其他商务合同做出安排,标准合同一方面方便网信部门快速进行审批,也方便个人信息主体迅速读懂数据出境的主要内容。至于中国与欧盟企业之间的数据转移,究竟应当适用中国版的SCC还是欧盟版的SCC,那就让企业自己去谈吧。
六、评估周期
在《旧评估办法(征求意见稿)》中,规定网络运营者应根据业务发展和网络运营情况,每年对数据出境至少进行一次安全评估,当数据接收方出现变更,数据出境目的、范围、数量、类型等发生较大变化,数据接收方或出境数据发生重大安全事件时应当重新进行评估。而此次《新评估办法(征求意见稿)》规定,网络运营者应当每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。相较于以前的规定,此次新规将数据出境评估的周期延长到了两年,并对应当进行重新评估的场景进行了具体说明,取消了《旧评估办法(征求意见稿)》中用“等”字进行概括的做法,让要求网络运营者进行重新评估的情形更加清晰和明确。
同时,《新评估办法(征求意见稿)》也规定, 向不同的接收者提供个人信息应当分别申报安全评估,向同一接收者多次或连续提供个人信息无需多次评估。也就意味着,接收者的具体情形也成为了影响网络运营者个人信息出境的安全影响评估周期的一个因素。
七、持续监管
《新评估办法(征求意见稿)》规定了,网络运营者应当每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。这意味着网络运营者即使在通过了个人信息出境安全影响评估,也需要每年向所在地省级网信部门汇报出境情况以及合同履行情况,类似一种工商年审的情况。且根据《新评估办法(征求意见稿)》的规定,网络运营者应当建立个人信息出境记录并且至少保存5年。由此可见,出境安全评估并不是一劳永逸的措施,后续企业仍然需要对个人信息的出境情况进行持续监管,并且有义务留存好所有的出境记录,以备核查之需。
八、评估流程图
九、小结
可以看出,此次《新评估办法(征求意见稿)》的出台,无论对评估的主体、评估的内容,以及后续监管的要求,都做出了更严格和细致的规定。这样的规定势必会对相关网络运营者带来较大的影响与压力。综合个人信息出境安全影响评估的成本,以及企业可能面临评估失败后的风险,许多企业可能会由此选择增加个人信息本地化储存的策略。同时,要求所有涉及个人信息出境的网络运营者,无论业务和规模如何,都必须将评估情况向网信部门申请报批,一定程度上也会加大国家对于评估所投入的成本。如何在保障个人信息安全的同时,增加数据流动所带来的发展价值,也是各方对此《新评估办法(征求意见稿)》提出建设性意见的基本落脚点。
十、其他国家对于数据出境评估的相关规定
国外立法实践中也存在关于个人信息跨境数据传输的相关法律或判例。 对于国内所称的“个人信息”,国外也有类似定义。 一般而言,外国当局依靠评估来决定一个组织是否可以进行跨境数据传输。 除此之外,国外也规定了其他替代规则来评估是否允许跨境数据传输。主要内容如下。
(一)GDPR
在欧盟,关于规范数据保护的最重要的法律为《一般数据保护条例》(简称为“GDPR”)。GDPR规定,在转移个人数据时,不应低于GDPR所规定的对自然人的保护水平,即向国外传递的个人信息应由第三国提供“足够的保护”。
根据上述规则,个人信息向第三国或地区的转移将通过以下方式加以规范 。
第三国或地区的评估应由欧盟委员会( 以下简称 “欧委会”)进行。 它将评估数据输入国或地区的法律,确认该国家或地区对于尊重人权和基本自由、个人信息的保护水平是否充分。 欧委会建立了一个“白名单”,列举其认可的国家或地区。 目前,欧委会认可的有12个国家和地区,即美国,加拿大,安道尔共和国,瑞士,法罗群岛,根西岛,不列颠群岛,泽西岛,以色列,新西兰,阿根廷和乌拉圭。
此外,GDPR 允许组织在跨境数据传输实践中使用标准合同条款来证明其数据保护能力。 此外,适用有约束力的公司准则(以下称为“BCR”)也可以满足跨境数据传输期间数据保护的要求。 对于传输数据的组织的BCR的评估应该由主管部门进行。对于BCR的评估内容包括:组织结构,要传输的数据类型,准则对于企业内部和外部的有效性,数据保护的适用原则,赋予个人信息主体的权利及实施,组织的责任,投诉机制,DPO的设置,以及向主管当局汇报的制度等。经过评估后,跨国公司各实体之间传输数据均适用同一标准。
除了评估,GDPR还规定,当且仅当个人信息控制者提供适当的保障措施时,个人信息控制者可以将个人数据传输到第三国。 这些保障措施包括:
(1) 具有公共当局或机构之间具有法律约束力和可执行的文书;
(2) 具有由委员会根据审查程序审核通过的标准数据保护条款,以及监管机构通过并经欧委会批准的标准数据保护条款 ;
(3) 具有经批准的企业行为准则,以及第三国的个人信息控制者或处理者做出的具有约束力和可执行的适当的保障措施的承诺;
(4) 具有相应认证证书,以及第三国个人信息控制者或处理者作出的具有约束力和可执行的适当的保障措施的承诺。
(二)APEC 的CBPR体系
除了对跨境数据转移评估制定统一规定外,各国和各地区还制定双边或多边条约以对评估进行规定。 APEC跨境隐私规则系统(以下简称“CBPR体系”)是此种方式的最佳实践之一。
2012年,CBPR体系投入使用。 它为成员国之间提供跨境数据传输规则,要求在APEC国家内加入CBPR系统的成员国之间传输公民的个人信息应符合CBPR的要求。 到目前为止,美国、日本、墨西哥、加拿大、新加坡和韩国加入了CBPR体系。
CBPR体系由四部分组成:自我评估,合规审查,承认/接受,争议解决和执行。各成员国在将个人信息传输到国外之前,应进行以下两个步骤。
首先,组织应根据APEC认可的CBPR调查问卷进行自我评估。 该问卷将由相应的APEC认可的代理机构提供。问卷主要用于评估组织保护数据的能力。 它所涉及的问题包括以下方面:
(1)通知。 组织是否向个人提供关于其个人信息传输的清晰且易于访问的陈述。
(2)信息收集的限制。 收集个人信息是否仅限于所述目的。
(3)个人信息的使用。个人信息的使用是否仅限于实现收集目的和其他兼容或相关的目的。
(4)选择。 组织是否向个人提供与其个人信息的收集、使用和披露相关的权利。
(5)个人信息的完整性。个人信息控制者是否保持个人信息记录的准确性和完整性。
(6)安全保障。 组织是否以合理的安全措施保护个人信息 。
(7)访问和更正。组织是否为个人提供访问和更正其信息的权利。
(8)责任制。该组织是否有责任遵守实施CBPR体系的措施。
再者,组织应当将完成的问卷和任何相关文件提交给APEC认可的代理机构。代理机构根据CBPR项目中建立的基本标准进行保密审查。
(三) 隐私盾
隐私盾也是关于个人信息跨境转移条约的一种实践做法。 2016年2月2日,美国和欧盟达成了一项名为“隐私盾”的协议。 该条约适用于美国和欧盟之间的跨境数据传输。 它主要规定了组织自我评估规则和美国监管机构的监督,并试图建立一个灵活的区域内数据自由流动的机制。
(四)加拿大
加拿大联邦隐私专员办公室规定,数据转让人在通过合同和其他措施将个人数据转移到国外时应对其安全承担保护责任。 它要求数据传输者:(1)避免未经授权使用或披露任何第三方转移到国外的个人信息; (2)确保转移数据后的第三国有完善的政策或数据保护程序; (3)定期评估第三国境内处理或存储个人信息的行为是否足够安全。
(五)新加坡
在新加坡“个人资料保护法”(以下简称“PDPA”)中,新加坡个人资料保护委员会规定,转让人与受让人之间签订跨境数据转移合同,合同中应该设置条款要求数据收集者所提供的保护数据能力不低于PDPA要求的保护水平。 对于跨国组织,他们可以适用有约束力的公司准则来保护跨境数据传输过程中的数据。
(六)结论
如上所述,对于个人信息的跨境转移 ,常见的做法是对跨境数据传输进行评估。 然而,由于目前各国对于评估的要求各有不同,例如,某些国家或地区要求组织进行自我评估,而其他国家或地区则要求由监管部门进行评估。
此外,除了评估之外的其他规则也适用于监管个人信息的跨境转移。 一般来说,这些规则包括:(1)数据传输合同模板,包括标准合同条款和可变动的合同条款; (2)有约束力的公司准则; (3)认证或审核等监督方法; (4)保证转让人的数据安全。这些,这对于我国而言也都是值得借鉴的。
十一、 新旧评估办法(征求意见稿)的对比
《旧评估办法(征求意见稿)》 | 《新评估办法(征求意见稿)》 | 变动之处 |
第一条 为保障个人信息和重要数据安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法利益,根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,制定本办法。 | 第一条为保障数据跨境流动中的个人信息安全,根据《中华人民共和国网络安全法》等相关法律法规,制定本办法。
| 《新评估办法(征求意见稿)》只针对个人信息进行评估,将保障的内容总结为了跨境流动中的个人信息安全。 |
第二条 网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。 | 第二条网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。 国家关于个人信息出境另有规定的,从其规定。 | 《新评估办法(征求意见稿)》取消了个人信息在境内储存的要求,但同时,将需要进行安全评估的范围扩大为所有的网络运营者。 同时,也新增了对于个人信息不得出境的情形。 |
第三条 数据出境安全评估应遵循公正、客观、有效的原则,保障个人信息和重要数据安全,促进网络信息依法有序自由流动。 | / | 《新评估办法(征求意见稿)》删除了此条规定。 |
/ | 第三条个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。 向不同的接收者提供个人信息应当分别申报安全评估,向同一接收者多次或连续提供个人信息无需多次评估。 每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。 | 《新评估办法(征求意见稿)》对个人信息出境的评估,规定了网络运营者应向省级网信部门申报,且根据接收者的数量为标准来确定评估的次数,并对申报评估的频率进行了规定。 |
第四条 个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意。未成年人个人信息出境须经其监护人同意。 | / | 《新评估办法(征求意见稿)》删除了向个人信息主体说明数据出境相关信息的内容,也删除了未成年人个人信息出境须经其监护人同意的规定。 |
/ | 第四条网络运营者申报个人信息出境安全评估应当提供以下材料,并对材料的真实性、准确性负责: (一)申报书。 (二)网络运营者与接收者签订的合同。 (三)个人信息出境安全风险及安全保障措施分析报告。 (四)国家网信部门要求提供的其他材料。 | 《新评估办法(征求意见稿)》新增了对于网络运营者申报个人信息出境安全评估应当提供的材料。 |
第五条 国家网信部门统筹协调数据出境安全评估工作,指导行业主管或监管部门组织开展数据出境安全评估。 | 第五条省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后,应当组织专家或技术力量进行安全评估。安全评估应当在15个工作日内完成,情况复杂的可以适当延长。 | 《新评估办法(征求意见稿)》将开展数据出境安全评估的部门具体到了省级网信部门,并对将评估的时间规定为了15个工作日。 |
第六条 行业主管或监管部门负责本行业数据出境安全评估工作,定期组织开展本行业数据出境安全检查。 | / | 《新评估办法(征求意见稿)》删除了此条。 |
第七条 网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。 | / | 《新评估办法(征求意见稿)》删除了网络运营者对数据出境自行评估的规定。 |
第八条 数据出境安全评估应重点评估以下内容: (一)数据出境的必要性; (二)涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等; (三)涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等; (四)数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等; (五)数据出境及再转移后被泄露、毁损、篡改、滥用等风险; (六)数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险; (七)其他需要评估的重要事项。 | 第六条个人信息出境安全评估重点评估以下内容: (一)是否符合国家有关法律法规和政策规定。 (二)合同条款是否能够充分保障个人信息主体合法权益。 (三)合同能否得到有效执行。 (四)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件。 (五)网络运营者获得个人信息是否合法、正当。 (六)其他应当评估的内容。 | 《新评估办法(征求意见稿)》对个人信息出境安全评估的重点评估内容做了很大的改动,其中最主要的变动为增加了对个人信息转移双方之间签订的合同的评估。 |
第九条 出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估: (一)含有或累计含有50万人以上的个人信息; (二)数据量超过1000GB; (三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等; (四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息; (五)关键信息基础设施运营者向境外提供个人信息和重要数据; (六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。 行业主管或监管部门不明确的,由国家网信部门组织评估。 | / | 因为《新评估办法(征求意见稿)》中要求所有的网络运营者都应报请省级以上网信部门进行个人信息出境的安全评估,因此删除了对此条的规定。 |
第十条 行业主管或监管部门组织的安全评估,应当于六十个工作日内完成,及时向网络运营者反馈安全评估情况,并报国家网信部门。 | 第七条省级网信部门在将个人信息出境安全评估结论通报网络运营者的同时,将个人信息出境安全评估情况报国家网信部门。 网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的,可以向国家网信部门提出申诉。 | 《新评估办法(征求意见稿)》在第五条将《旧评估办法》此处的评估时间修改为了15天,并且增加了网络运营者对评估结果提出申诉的权利。 |
/ | 第八条网络运营者应当建立个人信息出境记录并且至少保存5年,记录包括: (一)向境外提供个人信息的日期时间。 (二)接收者的身份,包括但不限于接收者的名称、地址、联系方式等。 (三)向境外提供的个人信息的类型及数量、敏感程度。 (四)国家网信部门规定的其他内容。 | 《新评估办法(征求意见稿)》新增对于个人信息出境记录保存的相关规定。 |
/ | 第九条网络运营者应当每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。 发生较大数据安全事件时,应及时报所在地省级网信部门。 | 《新评估办法(征求意见稿)》新增对网络运营者将个人信息出境情况,合同履行情况以及较大数据安全事件进行报告的相关规定 |
/ | 第十条省级网信部门应当定期组织检查运营者的个人信息出境记录等个人信息出境情况,重点检查合同规定义务的履行情况、是否存在违反国家规定或损害个人信息主体合法权益的行为等。 发现损害个人信息主体合法权益、数据泄露安全事件等情况时,应当及时要求网络运营者整改,通过网络运营者督促接收者整改。 | 《新评估办法(征求意见稿)》新增了此条内容。 |
第十一条 存在以下情况之一的,数据不得出境: (一)个人信息出境未经个人信息主体同意,或可能侵害个人利益; (二)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益; (三)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。 | 第十一条出现以下情况之一时,网信部门可以要求网络运营者暂停或终止向境外提供个人信息: (一)网络运营者或接收者发生较大数据泄露、数据滥用等事件。 (二)个人信息主体不能或者难以维护个人合法权益。 (三)网络运营者或接收者无力保障个人信息安全。 | 《新评估办法(征求意见稿)》除了在第二条规定了个人信息不得出境的情形,在此条也规定了要求网络运营者暂停或者终止向境外提供个人信息的情形。 |
第十二条 网络运营者应根据业务发展和网络运营情况,每年对数据出境至少进行一次安全评估,及时将评估情况报行业主管或监管部门。 当数据接收方出现变更,数据出境目的、范围、数量、类型等发生较大变化,数据接收方或出境数据发生重大安全事件时,应及时重新进行安全评估。 | / | 《新评估办法(征求意见稿)》对此条进行了修改,详见《新评估办法(征求意见稿)》第三条。 |
第十三条 对违反相关法律法规和本办法向境外提供数据的行为,任何个人和组织有权向国家网信部门、公安部门等有关部门举报。 | 第十二条任何个人和组织有权对违反本办法规定向境外提供个人信息的行为,向省级以上网信部门或者相关部门举报。 | 《新评估办法(征求意见稿)》将受理举报的部门修改为了省级以上网信部门或者相关部门。 |
/ | 第十三条网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件(统称合同),应当明确: (一)个人信息出境的目的、类型、保存时限。 (二)个人信息主体是合同中涉及个人信息主体权益的条款的受益人。 (三)个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任。 (四)接收者所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者重新进行安全评估。 (五)合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务,除非接收者已经销毁了接收到的个人信息或作了匿名化处理。 (六)双方约定的其他内容。 | 《新评估办法(征求意见稿)》新增对网络运营者与个人信息接收者签订合同的相关内容的规定。 |
/ | 第十四条合同应当明确网络运营者承担以下责任和义务: (一)以电子邮件、即时通信、信函、传真等方式告知个人信息主体网络运营者和接收者的基本情况,以及向境外提供个人信息的目的、类型和保存时间。 (二)应个人信息主体的请求,提供本合同的副本。 (三)应请求向接收者转达个人信息主体诉求,包括向接收者索赔;个人信息主体不能从接收者获得赔偿时,先行赔付。 | 《新评估办法(征求意见稿)》新增此条,同上。 |
/ | 第十五条合同应当明确接收者承担以下责任和义务: (一)为个人信息主体提供访问其个人信息的途径,个人信息主体要求更正或者删除其个人信息时,应在合理的代价和时限内予以响应、更正或者删除。 (二)按照合同约定的目的使用个人信息,个人信息的境外保存期限不得超出合同约定的时限。 (三)确认签署合同及履行合同义务不会违背接收者所在国家的法律要求,当接收者所在国家和地区法律环境发生变化可能影响合同执行时,应当及时通知网络运营者,并通过网络运营者报告网络运营者所在地省级网信部门。 | 《新评估办法(征求意见稿)》新增此条,同上。 |
/ | 第十六条合同应当明确接收者不得将接收到的个人信息传输给第三方,除非满足以下条件: (一)网络运营者已经通过电子邮件、即时通信、信函、传真等方式将个人信息传输给第三方的目的、第三方的身份和国别,以及传输的个人信息类型、第三方保留时限等通知个人信息主体。 (二)接收者承诺在个人信息主体请求停止向第三方传输时,停止传输并要求第三方销毁已经接收到的个人信息。 (三)涉及到个人敏感信息时,已征得个人信息主体同意。 (四)因向第三方传输个人信息对个人信息主体合法权益带来损害时,网络运营者同意先行承担赔付责任。 | 《新评估办法(征求意见稿)》新增此条,同上。 |
/ | 第十七条网络运营者关于个人信息出境安全风险及安全保障措施分析报告应当至少包括: (一)网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力等。 (二)个人信息出境计划,包括持续时间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等。 (三)个人信息出境风险分析和保障个人信息安全和个人信息主体合法权益的措施。 | 《新评估办法(征求意见稿)》新增对网络运营者关于个人信息出境安全风险及安全保障措施分析报告内容的规定。 |
第十四条 违反本办法规定的,依照有关法律法规进行处罚。 | 第十八条网络运营者违反本办法规定向境外提供个人信息的,依照有关法律法规进行处理。 | 《新评估办法(征求意见稿)》明确了网络运营者违反此办法规定会依照有关法律法规进行处理。 |
第十五条 我国政府与其他国家、地区签署的关于数据出境的协议,按照协议的规定执行。 涉及国家秘密信息的按照相关规定执行。 | 第十九条我国参与的或者与其他国家和地区、国际组织缔结的条约、协议等对个人信息出境有明确规定的,适用其规定,我国声明保留的条款除外。 | 《新评估办法(征求意见稿)》对按照其他协议执行的情形中增加了我国参与的或与国际组织缔结的条约、协议,但强调我国声明保留的除外。 |
第十六条 其他个人和组织在中华人民共和国境内收集和产生的个人信息和重要数据出境的安全评估工作参照本办法执行。 | / | 《新评估办法(征求意见稿)》删除了此条内容。 |
/ | 第二十条境外机构经营活动中,通过互联网等收集境内用户个人信息,应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。 | 《新评估办法(征求意见稿)》新增了此条规定。 |
第十七条 本办法下列用语的含义: 网络运营者,是指网络的所有者、管理者和网络服务提供者。 数据出境,是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。 个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。 | 第二十一条本办法下列用语的含义: (一)网络运营者,是指网络的所有者、管理者和网络服务提供者。 (二)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 (三)个人敏感信息,是指一旦被泄露、窃取、篡改、非法使用可能危害个人信息主体人身、财产安全,或导致个人信息主体名誉、身心健康受到损害等的个人信息。 | 《新评估办法(征求意见稿)》删除了对“数据出境”,“重要数据”的含义解释;同时增加了对“个人敏感信息”的含义解释。 |
第十八条 本办法自2017年月日起实施。 | 第二十二条本办法自年月日起实施。 |