浅析《个人信息和重要数据出境安全评估办法(征求意见稿)》
作者:陈哲臻 2017-04-202017年4月11日,国家互联网信息办公室(“网信办”)发布了关于《个人信息和重要数据出境安全评估办法(征求意见稿)》(“《评估办法》”)公开征求意见的通知。《评估办法》是对《中华人民共和国国家安全法》和《中华人民共和国网络安全法》的细化,为有跨境数据转移需求的公司提供了一些操作指引。我们希望最终稿的《评估办法》能在征求意见稿的基础上对一些模糊不清的问题提供更清晰的指引,但我们预计最终稿《评估办法》不会对征求意见稿做出重大修改。
一、“网络运营者”、“数据出境”、“个人信息”和“重要数据”的定义。
《评估办法》对上述四个名词的定义如下:
网络运营者,是指网络的所有者、管理者和网络服务提供者;
数据出境,是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息 和重要数据,提供给位于境外的机构、组织、个人;
个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然 人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、 个人生物识别信息、住址、电话号码等;
重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体 范围参照国家有关标准和重要数据识别指南。
二、监管机构
第五条明确了网信办统筹协调数据出境安全评估工作,指导行业主管或监管部门组织开展数据出境安全评估。《评估办法》第十一条第三款也提及了网信办、公安部门、安全部门等有关部门有权认定数据是否可以出境。我们理解,将来网信办将协调各领域监管部门对各自领域内的数据出境监管工作做进一步的分工和细化,包括中国人民银行、银监会、证监会、保监会和国家工商总局等机构均有可能出台相关领域数据出境的配套细则。
三、数据出境安全评估的种类、频率和重点
《评估办法》规定了自行评估和监管评估两种评估程序,除第九条规定的情况需由监管部门进行评估以外,其它情况下网络运营者可自行评估。
《评估办法》第十二条要求网络运营者应每年对数据出境至少进行一次安全评估,当数据接收方出现变更,数据出境目的、范围、数量、类型等发生较大变化时,数据接收方或出境数据发生重大安全事件时,应及时重新进行安全评估。
《评估办法》第七条要求网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。同时,在第八条中进一步罗列了数据出境安全评估的重点:
(一) 数据出境的必要性;
(二) 涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;
(三) 涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;
(四) 数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;
(五) 数据出境及再转移后被泄露、毁损、篡改、滥用等风险;
(六) 数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;
(七) 其他需要评估的重要事项。
对于大部分的跨国企业而言,在中国境内获取的数据对于其处于境外的实际控制方和管理层研究和决定在中国市场的下一步经营策略有重要意义,因此第一点数据出境的必要性较容易满足。就第二点中个人信息主体是否同意其个人信息出境的问题,我们建议公司以书面方式与客户订立数据采集和使用合同,并在合同明显位置对数据所有权、数据使用以及数据转移相关条款进行加粗。对于第八条中罗列的其它评估重点,由于目前暂无更细化的标准,若公司无足够的人力和知识储备,我们建议公司将安全评估的工作转移给专业的第三方机构开展,以降低公司的合规风险。
四、监管机构评估
若有《评估办法》第九条规定存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估决定数据是否可以出境:
(一) 含有或累计含有50万人以上的个人信息;
(二) 数据量超过1000GB;
(三) 包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
(四) 包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
(五) 关键信息基础设施运营者向境外提供个人信息和重要数据;
(六) 其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。
(七) 行业主管或监管部门不明确的,由国家网信部门组织评估。
五、不得出境的数据
《评估办法》第十一条规定了三种数据不得出境的情形:
(一) 个人信息出境未经个人信息主体同意,或可能侵害个人利益;
数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、
(二) 损害社会公共利益;
(三) 其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
总体而言,《评估办法》的印发体现了监管部门对于信息数据出境所持有的“有监管的出境”的态度,对于经信息主体同意、信息出境具备必要性、能确保信息安全且不影响国家安全或损害社会公共利益的信息出境是持肯定态度的。但《评估办法》对重要数据的定义较为模糊,也包含了如“其他可能影响国家安全和社会公共利益”和“其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的”等模糊不清的条款,给网络运营者开展信息数据出境工作带来了一定的不可预测性。我们希望最终稿的《评估办法》能减少模糊的规定,为网络运营者的工作提供更清晰的指引。