淺析《個人信息和重要數據出境安全評估辦法(征求意見稿)》
作者:陳哲臻 2017-04-202017年4月11日,國家互聯網信息辦公室(“網信辦”)發布了關于《個人信息和重要數據出境安全評估辦法(征求意見稿)》(“《評估辦法》”)公開征求意見的通知。《評估辦法》是對《中華人民共和國國家安全法》和《中華人民共和國網絡安全法》的細化,為有跨境數據轉移需求的公司提供了一些操作指引。我們希望最終稿的《評估辦法》能在征求意見稿的基礎上對一些模糊不清的問題提供更清晰的指引,但我們預計最終稿《評估辦法》不會對征求意見稿做出重大修改。
一、“網絡運營者”、“數據出境”、“個人信息”和“重要數據”的定義。
《評估辦法》對上述四個名詞的定義如下:
網絡運營者,是指網絡的所有者、管理者和網絡服務提供者;
數據出境,是指網絡運營者將在中華人民共和國境內運營中收集和產生的個人信息 和重要數據,提供給位于境外的機構、組織、個人;
個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然 人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、 個人生物識別信息、住址、電話號碼等;
重要數據,是指與國家安全、經濟發展,以及社會公共利益密切相關的數據,具體 范圍參照國家有關標準和重要數據識別指南。
二、監管機構
第五條明確了網信辦統籌協調數據出境安全評估工作,指導行業主管或監管部門組織開展數據出境安全評估。《評估辦法》第十一條第三款也提及了網信辦、公安部門、安全部門等有關部門有權認定數據是否可以出境。我們理解,將來網信辦將協調各領域監管部門對各自領域內的數據出境監管工作做進一步的分工和細化,包括中國人民銀行、銀監會、證監會、保監會和國家工商總局等機構均有可能出臺相關領域數據出境的配套細則。
三、數據出境安全評估的種類、頻率和重點
《評估辦法》規定了自行評估和監管評估兩種評估程序,除第九條規定的情況需由監管部門進行評估以外,其它情況下網絡運營者可自行評估。
《評估辦法》第十二條要求網絡運營者應每年對數據出境至少進行一次安全評估,當數據接收方出現變更,數據出境目的、范圍、數量、類型等發生較大變化時,數據接收方或出境數據發生重大安全事件時,應及時重新進行安全評估。
《評估辦法》第七條要求網絡運營者應在數據出境前,自行組織對數據出境進行安全評估,并對評估結果負責。同時,在第八條中進一步羅列了數據出境安全評估的重點:
(一) 數據出境的必要性;
(二) 涉及個人信息情況,包括個人信息的數量、范圍、類型、敏感程度,以及個人信息主體是否同意其個人信息出境等;
(三) 涉及重要數據情況,包括重要數據的數量、范圍、類型及其敏感程度等;
(四) 數據接收方的安全保護措施、能力和水平,以及所在國家和地區的網絡安全環境等;
(五) 數據出境及再轉移后被泄露、毀損、篡改、濫用等風險;
(六) 數據出境及出境數據匯聚可能對國家安全、社會公共利益、個人合法利益帶來的風險;
(七) 其他需要評估的重要事項。
對于大部分的跨國企業而言,在中國境內獲取的數據對于其處于境外的實際控制方和管理層研究和決定在中國市場的下一步經營策略有重要意義,因此第一點數據出境的必要性較容易滿足。就第二點中個人信息主體是否同意其個人信息出境的問題,我們建議公司以書面方式與客戶訂立數據采集和使用合同,并在合同明顯位置對數據所有權、數據使用以及數據轉移相關條款進行加粗。對于第八條中羅列的其它評估重點,由于目前暫無更細化的標準,若公司無足夠的人力和知識儲備,我們建議公司將安全評估的工作轉移給專業的第三方機構開展,以降低公司的合規風險。
四、監管機構評估
若有《評估辦法》第九條規定存在以下情況之一的,網絡運營者應報請行業主管或監管部門組織安全評估決定數據是否可以出境:
(一) 含有或累計含有50萬人以上的個人信息;
(二) 數據量超過1000GB;
(三) 包含核設施、化學生物、國防軍工、人口健康等領域數據,大型工程活動、海洋環境以及敏感地理信息數據等;
(四) 包含關鍵信息基礎設施的系統漏洞、安全防護等網絡安全信息;
(五) 關鍵信息基礎設施運營者向境外提供個人信息和重要數據;
(六) 其他可能影響國家安全和社會公共利益,行業主管或監管部門認為應該評估。
(七) 行業主管或監管部門不明確的,由國家網信部門組織評估。
五、不得出境的數據
《評估辦法》第十一條規定了三種數據不得出境的情形:
(一) 個人信息出境未經個人信息主體同意,或可能侵害個人利益;
數據出境給國家政治、經濟、科技、國防等安全帶來風險,可能影響國家安全、
(二) 損害社會公共利益;
(三) 其他經國家網信部門、公安部門、安全部門等有關部門認定不能出境的。
總體而言,《評估辦法》的印發體現了監管部門對于信息數據出境所持有的“有監管的出境”的態度,對于經信息主體同意、信息出境具備必要性、能確保信息安全且不影響國家安全或損害社會公共利益的信息出境是持肯定態度的。但《評估辦法》對重要數據的定義較為模糊,也包含了如“其他可能影響國家安全和社會公共利益”和“其他經國家網信部門、公安部門、安全部門等有關部門認定不能出境的”等模糊不清的條款,給網絡運營者開展信息數據出境工作帶來了一定的不可預測性。我們希望最終稿的《評估辦法》能減少模糊的規定,為網絡運營者的工作提供更清晰的指引。
