个人信息出境安全评估办法解读——《个人信息评估办法》和《信息数据评估办法》的比较分析
作者:吴卫明、李荣荣 2019-06-14《网络安全法》正式实施前,国家互联网信息办公室(以下简称“国家网信办”)于2017年4月11日发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“《信息数据评估办法》”),主要内容包括个人信息和重要数据出境需进行安全评估的适用范围、重点内容、流程、重新评估机制等,是《网络安全法》第三十五条关于数据(包括个人信息和重要数据)出境安全评估制度的配套部门规章。
时隔两年,2019年6月13日,国家网信办发布了《个人信息出境安全评估办法(征求意见稿)》(以下简称“《个人信息评估办法》)”,是《网络安全法》专门关于个人信息出境安全评估方面的配套部门规章,与《信息数据评估办法》相比,这一办法并未包括重要数据安全评估的规定。
在我国经济日益融入全球经济一体化的时代大背景下,境内跨国企业向海外关联公司或者内资企业向境外合作伙伴提供用户个人信息,已成为越来越多企业无法回避的现实问题,本文将《个人信息评估办法》和《信息数据评估办法》关于个人信息出境安全评估的相关规定进行了对比,以帮助企业更好地把握个人信息出境的合规要点。
一、需进行安全评估的适用范围
《个人信息评估办法》第二条 | 《信息数据评估办法》第二条 |
网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估…… | 网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。 |
相较于《信息数据评估办法》,《个人信息评估办法》中对外提供个人信息而需进行安全评估的限定条件删除了“产生”两字,虽有两字之差,将大大影响实务中判定是否应当进行安全评估。从文意上理解,“收集”带有将信息纳入收集者控制范围内的含义,而“产生”则是一个对于状态的描述,可能包括自动化程序及信息系统在运行所产生的信息,由于此类信息在产生同时即被系统自动获取和保存,并且是网络运营者提供服务同时必然产生且必须保存的信息,所以,对于两类信息的法律的规制进行区分具有一定的必要性。所以,如何理解《个人信息评估办法》第二条规定的“收集”两字则至关重要,该问题尚待有关主管机构进一步出台细则,或者有赖于其管理职权进行认定。
二、个人信息出境的评估流程
1、是否应当取得信息主体的同意
《个人信息评估办法》第三条第一款 | 《信息数据评估办法》第四条 |
个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。 | 个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意。未成年人个人信息出境须经其监护人同意。 |
《个人信息评估办法》删除了个人信息出境前应经个人信息主体同意的规定,似乎对企业而言是“重大利好”消息,可以不必经过个人信息主体同意的环节。但是,该办法第六条明确规定,个人信息出境安全评估重点评估的内容之一为“是否符合国家有关法律法规和政策规定”,根据该办法的上位法《网络安全法》第四十二条第一款规定:“……未经被收集者同意,不得向他人提供个人信息……”因此,如果个人信息出境涉及向第三方提供信息,则还应符合《网络安全法》前述关于向他人提供个人信息经被收集者同意的一般性规定。
2、安全评估机构
《个人信息评估办法》第三条第一款 | 《信息数据评估办法》第九条 |
个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。 | 出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:(一)含有或累计含有50万人以上的个人信息;(二)数据量超过1000GB;(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;(五)关键信息基础设施运营者向境外提供个人信息和重要数据;(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。行业主管或监管部门不明确的,由国家网信部门组织评估。 |
《信息数据评估办法》规定的确定安全评估机构机制采取“两步走”方式,首先由“行业主管或监管部门”组织安全评估,在行业主管或监管部门不明确的特殊情况下才由“国家网信部门”组织评估。《个人信息评估办法》规定的安全评估机构统一是网络运营者“所在地省级网信部门”,未区分不同情形下的不同安全评估机构。对于企业而言,无论出境个人信息涉及的主体人数、数量大小、企业是否为关键信息基础设施运营者等不同情形,一律应上报所在地省级网信部门进行安全评估,实质上扩大了个人信息出境进行安全评估的情形。
3、自评估环节
《个人信息评估办法》第三条第一款 | 《信息数据评估办法》第七条 |
个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。 | 网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。 |
《个人信息评估办法》删除了个人信息出境进行自评估的环节。需要企业注意的是,去除个人信息出境的强制自评估要求可能并未减轻企业开展自评估的“工作量”,根据《个人信息评估办法》第四条规定:“网络运营者申报个人信息出境安全评估应当提供以下材料,并对材料的真实性、准确性负责……(三)个人信息出境安全风险及安全保障措施分析报告……”,向所在地省级网信部门申报个人信息出行安全评估的材料之一包括“个人信息出境安全风险及安全保障措施分析报告”,该等报告材料的起草责任主体在企业,企业在申报前应对其自身个人信息出境事宜的风险和安全保障措施予以充分评估。
根据《个人信息评估办法》第十七条规定,该等报告材料的内容至少包括如下内容:(一)网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力等;(二)个人信息出境计划,包括持续时间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等;(三)个人信息出境风险分析和保障个人信息安全和个人信息主体合法权益的措施。
4、整体评估流程
除了评估流程中的前述合规要点外,为方便读者了解《个人信息评估办法》规定的整体评估流程,现总结如下图所示:
三、不得出境的情形
《个人信息评估办法》第二条 | 《信息数据评估办法》第十一条 |
……经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。 | 存在以下情况之一的,数据不得出境:(一)个人信息出境未经个人信息主体同意,或可能侵害个人利益;(二)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;(三)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。 |
《个人信息评估办法》关于不得出境情形的重大变化之处为删除了个人信息出境未经个人信息主体同意的规定以及有关部门认定不能出境的兜底性条款,将安全评估的否定性认定结论(可能影响国家安全、损害公共利益或难以有效保障个人信息安全)直接认定为不得出境的依据,企业能够更加清晰判断个人信息出境的边界。
四、重新评估的情形
《个人信息评估办法》第三条第三款 | 《信息数据评估办法》第十二条 |
每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。 | 网络运营者应根据业务发展和网络运营情况,每年对数据出境至少进行一次安全评估,及时将评估情况报行业主管或监管部门。 当数据接收方出现变更,数据出境目的、范围、数量、类型等发生较大变化,数据接收方或出境数据发生重大安全事件时,应及时重新进行安全评估。 |
相较于《信息数据评估办法》,《个人信息评估办法》关于个人信息出境重新进行安全评估的情形变化之处包括:(1)延长了评估时限:由“每年至少一次”修订为“每2年”;(2)出境个人信息发生变化的认定范围缩小但认定程度降低:认定范围由“出境目的、范围、数量、类型等”修订为“出境目的、类型和境外保存时间”,并删除了变化的认定程度“较大”两字;(3)形式上删除了“数据接收方出现变更”的情形,根据《个人信息评估办法》第三条二款规定:“向不同的接收者提供个人信息应当分别申报安全评估……”,当数据接收方发生变更时,网络运营者实际上仍应按照《个人信息评估办法》另行申报安全评估;(4)删除“数据接收方或出境数据发生重大安全评估”的情形,根据《个人信息评估办法》第十一条规定,如网络运营者或接收者发生较大(将安全事件的认定程度标准由“重大”降低为“较大”)数据泄露、数据滥用等事件,主管网信部门可以要求网络运营者暂停或终止向境外提供个人信息,不再重新进行安全评估流程,未给予网络运营者“改过自新”的机会,意味着对网络运营者的处罚措施更为严厉。
五、添加接收者将接收到的个人信息传输给第三方的条件
《个人信息评估办法》第十六条 | 《信息数据评估办法》第八条第(五)项 |
合同应当明确接收者不得将接收到的个人信息传输给第三方,除非满足以下条件:(一)网络运营者已经通过电子邮件、即时通信、信函、传真等方式将个人信息传输给第三方的目的、第三方的身份和国别,以及传输的个人信息类型、第三方保留时限等通知个人信息主体。(二)接收者承诺在个人信息主体请求停止向第三方传输时,停止传输并要求第三方销毁已经接收到的个人信息。(三)涉及到个人敏感信息时,已征得个人信息主体同意。(四)因向第三方传输个人信息对个人信息主体合法权益带来损害时,网络运营者同意先行承担赔付责任。 | 数据出境安全评估应重点评估以下内容:(五)数据出境及再转移后被泄露、毁损、篡改、滥用等风险; |
《信息数据评估办法》第八条第(五)项只提及数据出境再转移后的风险属于数据出境安全评估的重点评估内容,未明确规定数据出境后再转移的限定条件,《个人信息评估办法》第十六条则进一步规定了境外接收者可以将接收到的个人信息传输给第三方的例外情形,从合同角度,为企业约束境外接收者任意转移个人信息提供了可操作性的做法。
总之,《个人信息评估办法》如果最终能够通过,无疑将成为企业向境外提供个人信息的重要法律依据,极大促进《网络安全法》关于个人信息出境安全评估制度的落地执行。
