又是一个美妙的周日,本橘(作者本人)还在暗搓搓地盘算着明天可以去那里搓顿小龙虾时,闺蜜群里七嘴八舌的讨论把我从饕餮美梦中拉回到了屏幕前,看我网路安全从业者的使命感(正气凛然状….)
“这……言外之意是……?” 本橘深深皱起了眉。
打开微博,发现了新华网关于《个人信息出境安全评估办法(征求意见稿)》的一条微博早已被转发了数万次,网友对于这个《评估办法》充满了各类疑惑。看到那些以问,我的科普之魂熊熊燃烧上去。
部分网友意见
橘老师科普时间
橘老师按:在搞清楚哪些是《个人信息出境安全评估办法》(以下简称《评估办法》)之前,我们首先了解一下这个东西的出处在哪。《评估办法》是于2017年6月1日即将生效的《中华人民共和国网络安全法》的支撑细则,主要是对《网络安全法》中对于数据跨境安全的法律要求做了进一步具体化的解析。所以这并不是第一次提出个人信息出境评估要求哦!
这个《评估办法》的适用范围是哪些?我会因而遭到影响吗?
橘老师:敲黑板!跟我一起小声念《评估办法》第二条。“网络运营者向境外提供在中华人民共和国境内营运中搜集的个人信息,应当根据本办法进行安全评估。”
网络运营者这个概念出自于《网络安全法》,指的是网路的所有者、管理者和网路服务提供者。所以,大家个人并不属于网路运营者。由于现今大部分企业就会有网站、app、小程序,所以目前大部分在中国境内的企业(从陌陌、微博、豆瓣到提供线上超市业务的跨国企业中国分公司等等)都是网路运营者,属于《评估办法》的监管范畴内。
把《评估办法》的第二条翻译一下就是:首先,你得是个提供网路服务的企业或机构(像纯线下零售事业,AKA小卖部,咱就不做考虑了);其次,你得要在中中国境内营运搜集个人信息;最后,你这搜集的个人信息还要发往中国境外。如果以上三条,你都回答了YES,那么你就乖乖做个评估,看看你搜集的个人信息究竟能不能出境。
由此可见,若你是个“个人/自然人”,很大程度上你主要是这个办法的被保护对象,这个办法并不会限制你的个人生活,出境旅游、海淘购物、线上交友、追星等个人行为,但是,国家对与此相关的服务提供商的隐私和安全保护工作提出了更高的要求。这对我们个人来说是好事啊,有没有!
如果,我正好是个网路运营者,并且有个人信息要传往中国境外。那如今是不能出境了吗?或者说很难出境吗?
橘老师:我认为,肯定不是啦。按照现今的《评估办法》里的做法,个人信息出境前,需要到所在地的市级网信部门进行申报个人信息出境安全评估,评估通过后方能出境。而网信部门的初审评估重点在于跨境传输的协议条款,是否有过往重大安全风波,以及获得个人信息的合法正当性。所以,只要你的个人信息是正当获取的,并且有相应的协议条款保护个人信息,又无过往重大的个人信息安全风波,我认为应当还是可以正常举办相关业务的。(那么这儿还有个问题是,哪些业务场景下的个人数据境况在哪些条件下是须要评估的,又怎么评估呢?我们以后再做讨论。)
为什么会那么严格?我想离家出走...
橘老师:其实,这个《评估办法》的主旨是为了保护公民个人信息的安全,防范这种信息的恶意借助或传输出境后的不可控、不可管理。目前全球越来越多的国家和地区均加强了网路安全和数据保护方面的立法以及执法力度。《评估办法》不是关于个人信息保护的第一个管理规章制度,也不会是最后一个。
要真说严格,我建议你们读一读令人闻风丧胆的《General Data Protection Regulation》,即欧共体现行的《一般数据保护条例》。他们有一套类似的个人信息出境评估规则叫BCRs,是个人数据从欧共体出口到其他没有被欧共体确认满足充分性保护的国家,而提供的对个人数据足够保护的法律手段,如果企业要传输个人信息到非欧共体地区,需要提供一系列材料,其中须要包括:申请表、BCRs中承诺信息的支持文件,例如数据处理隐私新政(例如用户隐私新政,HR隐私新政);向数据主体(例如用户、雇员)告知公司对于个人数据的保护方法;可得知个人数据的雇员行为手册,指南应简单易懂;数据保护审计计划;培训项目实例及解释;证明成员代表的赔付能力文件;内部申述制度的描述,等等相关文件【为啥不写完?因为真的太多了!太多了!不知道跟法国做生意的企业还好吗?咱也不敢想,咱也不敢问啊!】
呵呵,还是先管管境内数据安全吧!
橘老师:听到这句话,我真想把过去两年内发布的与数据安全、个人信息安全相关的管理办法、专项整治新闻和新颁布的各项数据安全评估手册等等堆他面前。。当然国家层面提高某一领域的保护和建设的确须要耗费大量时间、人力和物力,这不是一件能立竿见影的事情。关于我国数据安全保护的最新动态,大家也可以瞧瞧我们公众号的往期精选(见文末)。
写在最后
数据安全教育任重道远,公民对于个人隐私信息的意识也渐渐觉醒、日益关注,大家一起加油吧!当然啦,以上内容都是我本人的个人意见和剖析啦,我也跟你们一样期盼着官方的即将发布与详尽剖析。
往期精选:
