新闻资讯 首页>新闻资讯>专业文章

《个人信息出境安全评估办法(征求意见稿)》:对企业运营的可能影响分析

作者:中伦文德   丨  时间:2019.08.12   丨  浏览:111




为保障数据跨境流动中的个人信息安全,国家互联网信息办公室(“网信办”)于2019年6月13日发布《个人信息出境安全评估办法(征求意见稿)》( “本次征求意见稿”),向社会公开征求意见。此前,网信办曾就个人信息和重要数据出境问题于2017年4月11日发布《个人信息和重要数据出境安全评估办法(征求意见稿)》(“2017年征求意见稿”),历时两年后出台的本次征求意见稿在监管思路和监管措施上发生了显著变化。结合网信办于2019年5月28日发布《数据安全管理办法(征求意见稿)》的举动,我们理解,未来有关主管机关将对个人信息出境和重要数据出境可能会区别管理,适用不同的监管体系。


本次征求意见稿从安全评估的角度对个人信息出境问题做出了较为详细的制度性安排,涉及企业范围广泛,一旦正式生效将产生重大影响。因此,这一问题值得管理层、企业法务和数据安全管理专业人士的持续关注!现从监管思路、监管措施、实务争议点等角度就本次征求意见稿简要解读及分析如下。


一、监管思路


从监管思路上看,2017年征求意见稿采用了一般情况下企业自评估与特定条件下主管机关评估相结合的方式,但本次征求意见稿中监管思路被修改为一律向主管机关申报评估。从监管尺度上看,本次征求意见稿更为严格,无论对主管机关还是需要个人信息出境的网络运营者来说,操作起来都具有一定难度。

(一)评估双轨制


根据接收者的异同,本次征求意见稿也规定了不同的评估口径:


1、针对不同接收者的“逐案评估”制


本次征求意见稿要求,每次向不同的境外接收者提供个人信息的,网络运营者应当分别申报安全评估。此项要求是强制的,并且不区分个人信息的性质、数量等。即使是同一境内企业、将同一个人信息内容出境,如果接收者不同,即需要重新评估。


2、针对同一接收者的“定期评估+特定情形下的重新评估”制


向同一接收者多次或连续提供个人信息的,不需要每次都评估,但应每2年重新进行评估,或者在个人信息出境目的、类型和境外保存时间发生变化时重新评估。


(二)准标准合同制


本次征求意见稿明确要求,个人信息出境时,网络运营者应与境外接收者签订合同,并规定了合同的主要内容,且合同及其条款将成为个人信息出境评估的重点内容(具体分析见下)。此项要求可能参考了欧盟《通用数据保护条例》(“GDPR”)标准协议条款的安排,但GDPR标准协议条款有官方发布的合同模板,本次征求意见稿并未发布合同模板,因此我们称本次征求意见稿的此项安排为准标准合同制。我们理解,监管机关试图以明确规定网络运营者和境外接收者之间合同内容的方式,使境外接收者承担合同义务,从而尽可能地达到个人信息出境前后维持相同或类似保护水平的目的,尽可能地解决对境外接收者难以监管的问题。


二、监管措施


本次征求意见稿的各项条款也主要围绕着评估制度和合同制度展开,主要内容如下:


(一)主体


本次征求意见稿项下的监管主体和主要义务主体如下:


1、监管主体


本次征求意见稿要求,个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估,即本次征求意见稿项下的监管主体为省级网信部门,而2017年征求意见稿中的监管主体还包括行业主管或监管部门。


2、主要义务主体


《网络安全法》关于个人信息和重要数据出境的合规要求仅适用于关键信息基础设施运营者(“CIIO”),但2017年征求意见稿将个人信息出境安全评估义务主体从CIIO扩大至所有网络运营者,本次征求意见稿维持了此项规定,即本次征求意见稿项下的主要义务主体仍为网络运营者,并且由于本次征求意见稿要求境外网络运营者收集境内用户个人信息也应履行网络运营者的责任和义务,因此相当于进一步扩大了本次征求意见稿项下的义务主体。


目前根据《网络安全法》和两版征求意见稿对网络运营者的界定,网络运营者是指网络的所有者、管理者和网络服务提供者。如果依照较宽泛的理解,所有具有自己官方网站的公司,都应包括在这个范围内。因此,如果最终本次征求意见稿通过,其中体现的宽泛而微观的监管思路将影响范围深远。

 

(二)评估主要制度


1、评估材料和重点评估内容


省级网信部门应组织专家或技术力量围绕申报书、网络运营者与接收者签订的合同、个人信息出境安全风险及安全保障措施分析报告(“分析报告”)等材料进行安全评估。


个人信息出境的重点评估内容包括个人信息出境的合法性、合同条款是否能够充分保障个人信息主体合法权益、合同可执行性、网络运营者和接收者的既往安全史以及个人信息来源的合法性等。


此外,本次征求意见稿还详细规定了分析报告的要点,包括网络运营者和接收者的财务、信誉、网络安全能力等相关情况、个人信息出境计划以及个人信息出境风险分析和保障个人信息安全和个人信息主体合法权益的措施等。


2、评估期限


本次征求意见稿规定安全评估应在15个工作日内完成,与2017年征求意见稿规定的60个工作日相比,时间大大缩短。


3、存储期间及年度报告


为持续监管之目的,本次征求意见稿要求网络运营者建立个人信息出境记录并且至少保存5年,且应于每年年末及发生较大安全事件时,向省级网信部门报告详情。


4、申诉制度


网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的,可以向国家网信部门提出申诉。


5、暂停或中止出境制度


本次征求意见稿要求,在发生较大数据泄露或滥用等事件、个人信息主体维权存在障碍、网络运营者或接收者无力保障个人信息安全等特定情况下,网信部门可以要求网络运营者暂停或终止向境外提供个人信息,但就具体如何认定“较大”“无力保障”等,目前尚无具体标准。


(三)合同主要制度


本次征求意见稿虽未发布合同模板,但还是对合同内容做出了详细规定,主要包括合同基本条款、网络运营者义务、接收者义务以及境外再传输约定等。


1、合同基本条款


本次征求意见稿规定,合同应当明确如下内容:个人信息出境的目的、类型、保存时限;个人信息主体是合同中涉及个人信息主体权益的条款的受益人;网络运营者或接收者在过错推定责任下承担的连带赔偿责任;信息接收者在合同难以履行时应当终止合同或重新进行安全评估;合同终止但网络运营者和接收者的责任和义务不终止等。


2、网络运营者义务


本次征求意见稿规定,合同应当明确网络运营者承担下述义务:


1)告知义务

网络运营者应将合同各方的基本情况及出境安排等书面告知个人信息主体。


2)提供合同副本的义务

在个人信息主体请求时向其提供合同副本。


3)响应个人信息主体诉求的义务

向接收者转达个人信息主体的诉求或代为向接收者索赔乃至先行赔付。


3、接收者义务


本次征求意见稿规定,合同应当明确接收者承担以下义务:


1)提供访问途径及响应个人信息主体要求的义务

接收者应为个人信息主体提供访问其个人信息的途径,个人信息主体要求更正或者删除其个人信息时,应在合理的代价和时限内予以响应、更正或者删除的义务。


2)按约定使用个人信息的义务

接收者应按照合同约定的目的使用个人信息,个人信息的境外保存期限不得超出合同约定的时限。


3)充分性认定义务

接收者应确认签署及履行合同不违背接收者所在国家的法律要求,并在法律环境发生变化可能影响合同执行时及时通知网络运营者,并通过网络运营者报告网络运营者所在地省级网信部门。


4、境外再传输


本次征求意见稿规定,合同应当明确不得进行境外再传输,除非满足特定条件:


1)已履行书面通知义务

网络运营者已经以书面方式将再传输的目的、再传输接收人的身份和国别以及再传输的个人信息类型、再传输接收人保留时限等通知个人信息主体。


2)已取得接收方如下承诺

接收者承诺在个人信息主体请求停止向第三方传输时,停止传输并要求第三方销毁已经接收到的个人信息。


3)涉及到个人敏感信息时,已征得个人信息主体同意


4)网络运营者承诺先行赔付

 

三、实务争议点


本次征求意见稿基于新的监管思路明确了个人信息出境评估的具体制度,但就其中的部分内容,从实务的观点,我们理解仍然需要进一步商榷。


1、主要义务主体范围扩大有待商榷


《立法法》规定,没有法律或者国务院的行政法规、决定、命令的依据,部门规章不得设定减损公民、法人和其他组织权利或者增加其义务的规范,不得增加本部门的权力或者减少本部门的法定职责。如前所述,《网络安全法》关于个人信息和重要数据出境的评估要求仅适用于CIIO,而2017年征求意见稿和本次征求意见稿均为部门规章。从法律法规层级上看,通过下位法扩大了上位法的范围,即将个人信息出境安全评估的义务主体从CIIO扩大至所有网络运营者,增加了企业法人的义务,限制了企业法人的权利,已成为学术界和实务界评论的一个重要问题。


2、所有个人信息出境一律由主管机关评估的监管思路实操性受到质疑


2017年征求意见稿采取了企业自评估以及特定条件下主管部门评估结合的监管 方式,而本次征求意见稿改为所有网络运营者均需向主管机关申请安全评估。此项规定不仅加重了企业负担,而且从主管机关的角度也存在监管任务过重的问题。是否可以考虑针对不同的个人信息出境情景采用阶梯式的立法方案:无需评估仅需个人信息主体同意的情形,例如偶发性的少量个人信息出境等;需要备案的情形,例如对跨国公司集团内部的个人信息共享,可向主管机关备案其内部有约束力的公司准则;需要主管机关评估的情形,上述情形以外的其他情形适用主管机关评估。


3、“先行赔付”制度可能受到质疑


“先行赔付”的制度原理是在主管机关管辖范围下的境内网络运营者兜底,此项制度强化了境内网络运营者的责任,有助于督促网络运营者主动加强对个人信息及接收者的监督。但以规章的形式确定归责原则是否适当有待商榷,实务中也存在质疑的声音。


除上述问题外,本次征求意见稿另存在一些其他问题待进一步讨论,例如“安全评估应在15个工作日完成”对于有巨量数据出境的网络运营者来说可能难以完成,要求对“合同能否得到有效执行”作出评估不是非常合理等,此处不再继续讨论。



特别声明:

  • 中伦文德合规团队版权所有。本文仅供一般性参考,不应视为法律意见,也不应认为可代替个案中的具体法律建议。

  • 本文系中伦文德合规团队原创,如需转载,请注明来源。