随着网络化和信息化的不断发展,我国早已成为世界上网民数目最多、网络数据生产量最大的国家之一,在我国数字经济领域高速发展的同时,频发的网路安全和数据泄漏风波也在时刻提醒我们,对个人信息进行保护刻不容缓。
2019年6月13日凌晨,国家互联网信息办公室发布了《个人信息出境安全评估办法(征求意见稿)》(以下简称“办法”),《办法》界定了个人信息出境的行为,明确了网路运营者和个人信息接收者的职责,细化了个人信息出境安全评估的内容。《办法》的颁布对保障个人信息安全、规范个人信息出境依法有序的流动,具有重大的指导意义。
《办法》的颁布,一方面是对我国早已颁布的关于个人信息保护法律法规的进一步细化和延展,如2017年开始施行的《网络安全法》第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内营运中搜集和形成的个人信息和重要数据应该在境内储存。因业务须要,确需向境外提供的,应当根据国家网信部门会同国务院有关部门拟定的办法进行安全评估。”《办法》正是对个人信息出境进行安全评估的重要根据。
另一方面,针对国际范围内的数据流动,部分国家及国际组织颁布了各自的法律和政策文件,来管理以个人信息为代表的跨境数据,如欧共体的《一般数据保护条例》(GDPR)、英国的《数据保护法案》、亚太经合组织的《跨境隐私规则体系》、日本的《个人信息保护法》等,以保障个人信息跨境流动的安全。我国是数据资源产出大国,亟需构建符合我国国情的个人信息出境管理办法,在数据跨境流动中着力保障个人信息安全。
《个人信息出境安全评估办法》作为一项“安全评估”办法,很多人关心的问题是,其安全评估的对象是谁?谁来进行安全评估?如何进行安全评估?《办法》的22个条款围绕这种问题给出了解答。
一是评估对象是谁?有人担忧《办法》一旦施行,需要针对普通个人用户进行安全评估。其实不然,《办法》第二条明晰强调“网络运营者向境外提供在中华人民共和国境内营运中搜集的个人信息,应当依照《办法》进行安全评估”,可以看出,安全评估的对象是网路运营者,而不是个人用户。这里网路运营者,是指网路的所有者、管理者和网路服务提供者,普通的个人不在此范畴。
之所以将评估对象划分为“网络运营者”,是因为我国大量的个人信息,主要是被网路运营者所搜集、持有和使用,管理好了那些拥有大量个人信息的网路运营者,就能在更大范围内保障个人信息安全。
二是谁来进行评估?安全评估工作由各市级网信部门负责,这是因为其肩负着网路安全管理职能。具体来说,网络运营者向所在地市级网信部门申报个人信息出境安全评估,省级网信部门组织专家或技术力量进行安全评估,经安全评估认定个人信息出境不会影响国家安全、损害公共利益,能够有效保障个人信息安全的,可以出境。
为了不影响网路运营者的正常业务,除复杂情况外,安全评估通常在15个工作日内完成。对安全评估推论存在异议的,网络运营者还可以向国家网信部门提出申述。
三是评估内容是哪些?有一种担忧是,安全评估施行过程中,会不会引入个人信息外泄的风险?其实这一担忧是完全不必要的。我们首先来看安全评估时网路运营者所需提供的材料有什么,《办法》第四条强调,提供的材料包括申报书、网络运营者与接收者签署的协议、个人信息出境安全风险及安全保障举措分析报告等;再来看市级网信部门在安全评估时重点评估什么内容,《办法》第六条强调,主要从是否符合法律法规、是否能保障个人信息主体合法权益等方面进行评估。可以看出,安全评估过程中并不需要提供具体的用户个人信息。
也就是说,评估的是网路运营者是否还能对拟出境的个人信息提供充分的安全保障,而非具体的个人信息本身。
四是个人信息出境后安全怎样保障?个人信息流到境外后,由于数据持有者发生了变化,数据的保护能力、适用的法律法规也会发生改变,个人信息主体维护自身合法权益将面临一定的困难,《办法》充分考虑了这一困局,第十三至十五条要求境内网路运营者与境外个人信息接收者签订合同,明确对个人信息主体合法权益的保护,同时第十六条还对接收者将接收到的个人信息传输给第三方的行为进行了限定。
《个人信息出境安全评估办法》明确了网路运营者在个人信息出境方面的责任和义务,对网路运营者做好个人信息出境安全工作提出了更高的要求。这是针对个人信息脱离控制流向境外的情况,如何有效地保障个人信息主体的合法权益,所采取的一项有力的制度设计。