一刀切、强评估:《个人信息出境安全评估办法》解读
发布时间:2019-06-13
文 | 黄春林 合伙人 冯莉 律师 汇业律师事务所
2019年6月13日凌晨,国家网信办发布《个人信息出境安全评估办法(征求意见稿)》(下称“新办法”),规定所有个人信息出境均应当依法向网信办申报并由网信办组织开展安全评估,这几乎完全推翻了其2017年4月11日发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》(下称“老办法”)的制度设计,也突破了《网络安全法》第37条的主体限定,完全出乎业界预料。
结合近期立法趋势及国际环境,汇业黄春林律师简要解读《新办法》下的个人信息出境安全评估的适用范围、申报/评估程序及对企业的影响等。
一、 一刀切:个人信息出境申报及评估的范围
作为数据出境限制制度的基本法律渊源,《网络安全法》第37条将数据出境限制的主体限定为CIIO,而数据出境的客体为个人信息和重要数据。而《老办法》沿袭了《网络安全法》的客体范畴,但是将主体限定拓宽到全部网络运营者。
本次《新办法》采取简单化、一刀切的处理方式,规定所有网络运营者(不论行业类型),只要在境内收集个人信息(不论数量多少)需要出境的,按照接受者为单位,一律需要每2年(或出境目的、类型和境外保存时间发生变化时)一次向所在地省级/市网信部门申报并安全评估。
《新办法》还规定,即便在境内没有商业实体的境外主体在境内收集个人信息要出境的,亦应当在境内通过法定代表人或者其他关联机构履行申报及评估义务。只是不知道,未来这一条如何落地及有效执行。
二、 强评估:个人信息出境申报及评估实务
根据《老办法》规定,只有当网络运营者符合一定的行业条件或个人信息满足一定的数量要求时,才需要行业主管部门强制安全评估,其他情形仅需要自行评估。但《新办法》规定个人信息出境一律要求必须申报,且只能由网信办组织专家或技术力量进行安全评估。
根据《新办法》规定,网络运营者应当每年12月31日前申报当年个人信息出境的如下材料:(1)申报书;(2)网络运营者与接收者签订的合同;(3)个人信息出境安全风险及安全保障措施分析报告;(4)其他必要材料。
此外,根据《新办法》规定,网信办应当在15日内完成如下评估:(1)是否符合国家有关法律法规和政策规定;(2)合同条款是否能够充分保障个人信息主体合法权益;(3)合同能否得到有效执行;(4)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件;(5)网络运营者获得个人信息是否合法、正当;(6)其他应当评估的内容。其中,第(2)、(3)项是《新办法》中新增的评估项,只是不知道,未来实际评估中如何消除本条认定的主观性。
其中,经网信办安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。
三、 申报实务:《个人信息出境安全风险及安全保障措施分析报告》
参照信安标委此前发布的《信息安全技术 数据出境安全评估指南(草案)》、《信息安全技术 个人信息安全影响评估指南(征求意见稿)》以及欧盟DPIA等文件,企业可以自行或委托专业机构制作的《个人信息出境安全风险及安全保障措施分析报告》应当至少包括如下内容:
(1) 出境方、接收方的基本背景情况及历史记录。
(2) 出境的个人信息的类型、范围及数量级别。
(3) 个人信息出境的必要性、正当性及合法性。
(4) 个人信息出境的安全风险识别,包括但不限于发送方数据是否脱敏;数据出境方的技术和管理能力;数据接收方的安全保护能力;数据接收方所在国家或区域的政治法律环境;双方合同的主要内容及履行能力;等等。
(5) 个人信息出境的安全保障措施,包括但不限于双方的人员设置、制度建设、技术措施、应急预案、审计机制,等等。
(6) 保障个人信息主体查询、修改及删除等权利实现的能力及渠道。
(7) 个人信息出境记录及档案保留机制。
(8) 以及,较上一次申报发生的主要变更事项。
四、 合规要点:个人信息出境合同/协议
本次《新办法》首次规定,出境方应当与接收方签订具有法律效力的合同或协议。且该协议应当向网信办申报,并应当供个人信息主体备查。只是不知道,未来这一要求如何实质落地并避免阴阳合同。
根据《新办法》,关于合同内容,立法者非常贴心的保姆式罗列了必要的合规条款。
针对出境方而言,合同应当包括如下内容:(1)以电子邮件、即时通信、信函、传真等方式,另行单独告知个人信息主体网络运营者和接收者的基本情况,以及向境外提供个人信息的目的、类型和保存时间;(2)承诺提供本合同的副本;(3)承诺协助索赔,并先行赔付。
针对接收方而言,合同应当包括如下内容:(1)承诺保障个人信息主体访问、更正或者删除其个人信息的权利;(2)承诺按照合同约定的目的、期限使用、存储个人信息;(3)确认签署合同及履行合同义务不会违背所在国家的法律要求;(4)除非符合特定的条件,承诺不得将接收到的个人信息传输给第三方。
五、 影响解读:数据本土化是大势所趋
除《新办法》外,此前征求意见的《数据安全管理办法》、《网络安全等级保护条例》等规定无不透露出数据本土化的立法趋势。此外,此前已经正式生效的《互联网个人信息安全保护指南》以及即将生效的等保2.0标准等亦明确要求,“在境内运营中收集和产生的个人信息应在境内存储”。
考虑到网信办近期“雷厉风行”的立法风格及国际局势,我们美好的期望,以《新办法》为代表的近期立法动作仅仅是“应急、应景”之作。但尽管如此,汇业黄春林律师仍然提醒企业,近期一系列立法动态显示,数据本土化似乎已是大势所趋。
或许,对于抗争在“抢钱抢人抢地”战线的跨国公司本土IT部门来说,倒也未必是个坏事。毕竟在巨大的中国市场蛋糕面前,在“数据本土化”和“几乎不可能完成的评估任务”之间,总部的选择似乎也就没有了选择。
因此,《新办法》中最重要的一条就成了“第二十二条”。何时,靴子才能落地?