网信办就《个人信息出境安全评估办法》公开征求意见

 

作者:曾雯雯 朱宣烨 王伟 王丹阳 董芊

 

2019年6月13日,网信办发布了关于《个人信息出境安全评估办法(征求意见稿)》(“《办法》”)公开征求意见的通知。这份业界期待已久的新规,甫一发布便引发热议。

 

我国对于数据安全和个人信息保护的法律体系由《网络安全法》的概括性规定以及零散见于部门规章中的行业性规范构成,尚无统一适用的可操作性的规定。但是对该领域的监管环境随着监管方式的探索一直在演进。网信办近期发布的一系列数据安全和个人信息保护相关的规范性文件,均引起了业界和学界的广泛关注。迄今为止,涉及数据出境的法规(包括草案)已有如下规定(按草案发布日期或法规实施日期排序):


2017年4月11日《个人信息和重要数据出境安全评估办法(征求意见稿)》

2017年6月1日《中华人民共和国网络安全法》

2017年8月30日《信息安全技术数据出境安全评估指南(征求意见稿)》

2019年2月1日《信息安全技术个人信息安全规范(草案)》

2019年6月13日《个人信息出境安全评估办法(征求意见稿)》

 

此外,各行业监管机构也对本行业的数据出境进行合规监管。特别规定优于一般规定,这也在征求意见稿第二条得以体现。以金融行业为例,关于数据出境的规定包括:


2007年8月1日《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》

2011年5月1日《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》

2013年2月16日《银行业金融机构信息科技外包风险监管指引》

2018年5月21日《银行业金融机构数据治理指引》 

 

总体而言,本《办法》和此前的几个规范性文件的征求意见稿差异较大,具体要点如下:


1、仅针对个人信息,排除重要数据


区别于之前发布的《个人信息和重要数据出境安全评估办法》,本次办法的发布专门针对个人信息的出境,仅适用于“个人信息出境”,而关于重要数据的出境,结合5月28日发布的《数据安全管理办法(征求意见稿)》第38条中提及“重要数据一般不包括企业生产经营和内部管理信息、个人信息等”,监管部门很可能根据重要数据的不同特点,另行制定监管制度。


2、个人信息出境均需进行评估审查


根据《办法》规定的字面理解,网络运营者(指“网络所有者、管理者和网络服务提供者”)进行的任何个人信息出境均需向省级网信部门申报安全评估。不同于《个人信息和重要数据出境安全评估办法》,本《办法》并未规定数据出境安全的自评估程序。如果这确系法规的本意,则该《办法》施加的义务将会大大提高企业的未来合规成本。


3、引入“标准合同条款”


本办法引入类似于欧盟GDPR的“标准合同条款”,规定个人信息跨境流动的保护,合同中必须包含特定输出方和接收方的权利义务安排,如合同应当包含的内容(第十三条)、网络运营者和接收者应当承担的责任和义务(第十四条、第十五条)、以及接收者将其接受到的个人信息传输给第三方的例外情形(第十六条)。此外,网络运营者在向省级网信部门申报个人信息出境安全评估时,应当提交网络运营者和接收者签订的合同(第四条),并将重点审查合同条款是否能够充分保障个人信息主体合法权益,以及合同能否得到有效执行(第六条)。


4、增设民事责任条款


《办法》通过对“标准合同条款”内容的强制性规定,实质增设了民事责任条款。具体而言,《办法》第十三条规定,个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任。即对于个人信息主体主张的责任设定了举证责任倒置。而根据《办法》第十六条规定,信息接收者将接收到的个人信息传输给第三方的前提是,在 “因向第三方传输个人信息对个人信息主体合法权益带来损害时”,网络运营者同意先行承担赔付责任。也即设定了网络运营者需要对数据的二次输出向信息主体承担责任。