個人信息出境安全評估辦法解讀——《個人信息評估辦法》和《信息數據評估辦法》的比較分析
作者:吳衛明、李榮榮 2019-06-14《網絡安全法》正式實施前,國家互聯網信息辦公室(以下簡稱“國家網信辦”)于2017年4月11日發布了《個人信息和重要數據出境安全評估辦法(征求意見稿)》(以下簡稱“《信息數據評估辦法》”),主要內容包括個人信息和重要數據出境需進行安全評估的適用范圍、重點內容、流程、重新評估機制等,是《網絡安全法》第三十五條關于數據(包括個人信息和重要數據)出境安全評估制度的配套部門規章。
時隔兩年,2019年6月13日,國家網信辦發布了《個人信息出境安全評估辦法(征求意見稿)》(以下簡稱“《個人信息評估辦法》)”,是《網絡安全法》專門關于個人信息出境安全評估方面的配套部門規章,與《信息數據評估辦法》相比,這一辦法并未包括重要數據安全評估的規定。
在我國經濟日益融入全球經濟一體化的時代大背景下,境內跨國企業向海外關聯公司或者內資企業向境外合作伙伴提供用戶個人信息,已成為越來越多企業無法回避的現實問題,本文將《個人信息評估辦法》和《信息數據評估辦法》關于個人信息出境安全評估的相關規定進行了對比,以幫助企業更好地把握個人信息出境的合規要點。
一、需進行安全評估的適用范圍
《個人信息評估辦法》第二條 | 《信息數據評估辦法》第二條 |
網絡運營者向境外提供在中華人民共和國境內運營中收集的個人信息(以下稱個人信息出境),應當按照本辦法進行安全評估…… | 網絡運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據,應當在境內存儲。因業務需要,確需向境外提供的,應當按照本辦法進行安全評估。 |
相較于《信息數據評估辦法》,《個人信息評估辦法》中對外提供個人信息而需進行安全評估的限定條件刪除了“產生”兩字,雖有兩字之差,將大大影響實務中判定是否應當進行安全評估。從文意上理解,“收集”帶有將信息納入收集者控制范圍內的含義,而“產生”則是一個對于狀態的描述,可能包括自動化程序及信息系統在運行所產生的信息,由于此類信息在產生同時即被系統自動獲取和保存,并且是網絡運營者提供服務同時必然產生且必須保存的信息,所以,對于兩類信息的法律的規制進行區分具有一定的必要性。所以,如何理解《個人信息評估辦法》第二條規定的“收集”兩字則至關重要,該問題尚待有關主管機構進一步出臺細則,或者有賴于其管理職權進行認定。
二、個人信息出境的評估流程
1、是否應當取得信息主體的同意
《個人信息評估辦法》第三條第一款 | 《信息數據評估辦法》第四條 |
個人信息出境前,網絡運營者應當向所在地省級網信部門申報個人信息出境安全評估。 | 個人信息出境,應向個人信息主體說明數據出境的目的、范圍、內容、接收方及接收方所在的國家或地區,并經其同意。未成年人個人信息出境須經其監護人同意。 |
《個人信息評估辦法》刪除了個人信息出境前應經個人信息主體同意的規定,似乎對企業而言是“重大利好”消息,可以不必經過個人信息主體同意的環節。但是,該辦法第六條明確規定,個人信息出境安全評估重點評估的內容之一為“是否符合國家有關法律法規和政策規定”,根據該辦法的上位法《網絡安全法》第四十二條第一款規定:“……未經被收集者同意,不得向他人提供個人信息……”因此,如果個人信息出境涉及向第三方提供信息,則還應符合《網絡安全法》前述關于向他人提供個人信息經被收集者同意的一般性規定。
2、安全評估機構
《個人信息評估辦法》第三條第一款 | 《信息數據評估辦法》第九條 |
個人信息出境前,網絡運營者應當向所在地省級網信部門申報個人信息出境安全評估。 | 出境數據存在以下情況之一的,網絡運營者應報請行業主管或監管部門組織安全評估:(一)含有或累計含有50萬人以上的個人信息;(二)數據量超過1000GB;(三)包含核設施、化學生物、國防軍工、人口健康等領域數據,大型工程活動、海洋環境以及敏感地理信息數據等;(四)包含關鍵信息基礎設施的系統漏洞、安全防護等網絡安全信息;(五)關鍵信息基礎設施運營者向境外提供個人信息和重要數據;(六)其他可能影響國家安全和社會公共利益,行業主管或監管部門認為應該評估。行業主管或監管部門不明確的,由國家網信部門組織評估。 |
《信息數據評估辦法》規定的確定安全評估機構機制采取“兩步走”方式,首先由“行業主管或監管部門”組織安全評估,在行業主管或監管部門不明確的特殊情況下才由“國家網信部門”組織評估。《個人信息評估辦法》規定的安全評估機構統一是網絡運營者“所在地省級網信部門”,未區分不同情形下的不同安全評估機構。對于企業而言,無論出境個人信息涉及的主體人數、數量大小、企業是否為關鍵信息基礎設施運營者等不同情形,一律應上報所在地省級網信部門進行安全評估,實質上擴大了個人信息出境進行安全評估的情形。
3、自評估環節
《個人信息評估辦法》第三條第一款 | 《信息數據評估辦法》第七條 |
個人信息出境前,網絡運營者應當向所在地省級網信部門申報個人信息出境安全評估。 | 網絡運營者應在數據出境前,自行組織對數據出境進行安全評估,并對評估結果負責。 |
《個人信息評估辦法》刪除了個人信息出境進行自評估的環節。需要企業注意的是,去除個人信息出境的強制自評估要求可能并未減輕企業開展自評估的“工作量”,根據《個人信息評估辦法》第四條規定:“網絡運營者申報個人信息出境安全評估應當提供以下材料,并對材料的真實性、準確性負責……(三)個人信息出境安全風險及安全保障措施分析報告……”,向所在地省級網信部門申報個人信息出行安全評估的材料之一包括“個人信息出境安全風險及安全保障措施分析報告”,該等報告材料的起草責任主體在企業,企業在申報前應對其自身個人信息出境事宜的風險和安全保障措施予以充分評估。
根據《個人信息評估辦法》第十七條規定,該等報告材料的內容至少包括如下內容:(一)網絡運營者和接收者的背景、規模、業務、財務、信譽、網絡安全能力等;(二)個人信息出境計劃,包括持續時間、涉及的個人信息主體數量、向境外提供的個人信息規模、個人信息出境后是否會再向第三方傳輸等;(三)個人信息出境風險分析和保障個人信息安全和個人信息主體合法權益的措施。
4、整體評估流程
除了評估流程中的前述合規要點外,為方便讀者了解《個人信息評估辦法》規定的整體評估流程,現總結如下圖所示:
三、不得出境的情形
《個人信息評估辦法》第二條 | 《信息數據評估辦法》第十一條 |
……經安全評估認定個人信息出境可能影響國家安全、損害公共利益,或者難以有效保障個人信息安全的,不得出境。 | 存在以下情況之一的,數據不得出境:(一)個人信息出境未經個人信息主體同意,或可能侵害個人利益;(二)數據出境給國家政治、經濟、科技、國防等安全帶來風險,可能影響國家安全、損害社會公共利益;(三)其他經國家網信部門、公安部門、安全部門等有關部門認定不能出境的。 |
《個人信息評估辦法》關于不得出境情形的重大變化之處為刪除了個人信息出境未經個人信息主體同意的規定以及有關部門認定不能出境的兜底性條款,將安全評估的否定性認定結論(可能影響國家安全、損害公共利益或難以有效保障個人信息安全)直接認定為不得出境的依據,企業能夠更加清晰判斷個人信息出境的邊界。
四、重新評估的情形
《個人信息評估辦法》第三條第三款 | 《信息數據評估辦法》第十二條 |
每2年或者個人信息出境目的、類型和境外保存時間發生變化時應當重新評估。 | 網絡運營者應根據業務發展和網絡運營情況,每年對數據出境至少進行一次安全評估,及時將評估情況報行業主管或監管部門。 當數據接收方出現變更,數據出境目的、范圍、數量、類型等發生較大變化,數據接收方或出境數據發生重大安全事件時,應及時重新進行安全評估。 |
相較于《信息數據評估辦法》,《個人信息評估辦法》關于個人信息出境重新進行安全評估的情形變化之處包括:(1)延長了評估時限:由“每年至少一次”修訂為“每2年”;(2)出境個人信息發生變化的認定范圍縮小但認定程度降低:認定范圍由“出境目的、范圍、數量、類型等”修訂為“出境目的、類型和境外保存時間”,并刪除了變化的認定程度“較大”兩字;(3)形式上刪除了“數據接收方出現變更”的情形,根據《個人信息評估辦法》第三條二款規定:“向不同的接收者提供個人信息應當分別申報安全評估……”,當數據接收方發生變更時,網絡運營者實際上仍應按照《個人信息評估辦法》另行申報安全評估;(4)刪除“數據接收方或出境數據發生重大安全評估”的情形,根據《個人信息評估辦法》第十一條規定,如網絡運營者或接收者發生較大(將安全事件的認定程度標準由“重大”降低為“較大”)數據泄露、數據濫用等事件,主管網信部門可以要求網絡運營者暫停或終止向境外提供個人信息,不再重新進行安全評估流程,未給予網絡運營者“改過自新”的機會,意味著對網絡運營者的處罰措施更為嚴厲。
五、添加接收者將接收到的個人信息傳輸給第三方的條件
《個人信息評估辦法》第十六條 | 《信息數據評估辦法》第八條第(五)項 |
合同應當明確接收者不得將接收到的個人信息傳輸給第三方,除非滿足以下條件:(一)網絡運營者已經通過電子郵件、即時通信、信函、傳真等方式將個人信息傳輸給第三方的目的、第三方的身份和國別,以及傳輸的個人信息類型、第三方保留時限等通知個人信息主體。(二)接收者承諾在個人信息主體請求停止向第三方傳輸時,停止傳輸并要求第三方銷毀已經接收到的個人信息。(三)涉及到個人敏感信息時,已征得個人信息主體同意。(四)因向第三方傳輸個人信息對個人信息主體合法權益帶來損害時,網絡運營者同意先行承擔賠付責任。 | 數據出境安全評估應重點評估以下內容:(五)數據出境及再轉移后被泄露、毀損、篡改、濫用等風險; |
《信息數據評估辦法》第八條第(五)項只提及數據出境再轉移后的風險屬于數據出境安全評估的重點評估內容,未明確規定數據出境后再轉移的限定條件,《個人信息評估辦法》第十六條則進一步規定了境外接收者可以將接收到的個人信息傳輸給第三方的例外情形,從合同角度,為企業約束境外接收者任意轉移個人信息提供了可操作性的做法。
總之,《個人信息評估辦法》如果最終能夠通過,無疑將成為企業向境外提供個人信息的重要法律依據,極大促進《網絡安全法》關于個人信息出境安全評估制度的落地執行。
