2019年6月13日,国家互联网信息办公室(“国家网信办”)发布《个人信息出境安全评估办法(征求意见稿)》(“《2019版征求意见稿》”),面向社会征求意见。这是2017年4月《个人信息和重要数据出境安全评估办法(征求意见稿)》(“《2017版征求意见稿》”)之后,有关数据跨境流动管理的又一重要举动。
《2019版征求意见稿》沿袭了《2017版征求意见稿》中的部分思路,但对个人信息出境安全评估(“安全评估”)的标准、程序和操作规范有了更加具体和细化的要求。我们对《2019版征求意见稿》的主要条款加以梳理和解读,供各方参考。
一、《2019版征求意见稿》的适用范围
1. 适用主体
与《网络安全法》关于“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,……进行安全评估”的规定相比,《2019版征求意见稿》(第二条)规定的安全评估的适用主体为一般网络运营者,而不是关键信息基础设施运营者。
对于适用主体,《2019版征求意见稿》第二十条并规定,“境外机构经营活动中,通过互联网等收集境内用户个人信息,应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。”对此,境外主体及其境内关联方需要予以关注。
2. 适用对象
《2019版征求意见稿》规定安全评估适用的对象为网络运营者在中国境内运营中收集的个人信息;而《2017版征求意见稿》的适用对象包括运营中收集和产生的个人信息以及重要数据。
关于重要数据出境的安全评估,国家网信办日前发布的《数据安全管理办法(征求意见稿)》第二十八条规定,“网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准。”关于重要数据的范围及其安全评估事项,后续是否会有更为细化的专项规定,需要关注。
二、安全评估程序
1. 安全评估主体
《2017版征求意见稿》以数据数量、性质等为标准,划分了由网络运营者自行评估和由监管部门评估的事项。《2019版征求意见稿》则不再作此区分,个人信息出境的安全评估均由网信部门进行。
第三条 个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。
向不同的接收者提供个人信息应当分别申报安全评估,向同一接收者多次或连续提供个人信息无需多次评估。
每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。
2. 安全评估申报材料
《2019版征求意见稿》对于网络运营者申报安全评估的材料提出要求。
第四条 网络运营者申报个人信息出境安全评估应当提供以下材料,并对材料的真实性、准确性负责:
(一)申报书。
(二)网络运营者与接收者签订的合同。
(三)个人信息出境安全风险及安全保障措施分析报告。
(四)国家网信部门要求提供的其他材料。
除上述外,第十三条至第十七条还规定了网络运营者与接受者签订的合同、个人信息出境安全风险及安全保障措施分析报告所应当包括的具体内容。
3. 安全评估期限
《2019版征求意见稿》对于评估期限也作出规定。
第五条 省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后,应当组织专家或技术力量进行安全评估。安全评估应当在15个工作日内完成,情况复杂的可以适当延长。
上述15个工作日的评估期限较《2017版征求意见稿》中的60个工作日已大大缩短。但“情况复杂”所对应的情形、“适当延长”所对应的期限不尽明确,安全评估的周期具有一定不确定性。
4. 安全评估标准
《2019版征求意见稿》列出了安全评估的内容和标准:
第六条 个人信息出境安全评估重点评估以下内容:
(一)是否符合国家有关法律法规和政策规定。
(二)合同条款是否能够充分保障个人信息主体合法权益。
(三)合同能否得到有效执行。
(四)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件。
(五)网络运营者获得个人信息是否合法、正当。
(六)其他应当评估的内容。
上述规定体现出将网络运营者既往的个人信息违法历史、网络安全事件作为安全评估标准的监管思路。
5. 异议和申诉程序
《2019版征求意见稿》设置了申诉救济途径,对于省级网信部门出具的安全评估结论,网络运营者可以向国家网信部门提出申诉。
第七条 省级网信部门在将个人信息出境安全评估结论通报网络运营者的同时,将个人信息出境安全评估情况报国家网信部门。
网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的,可以向国家网信部门提出申诉。
6. 网络运营者的后续义务
《2019版征求意见稿》第八条至第十条等规定了网络运营者在安全评估通过后需要履行的后续义务,包括但不限于应当建立个人信息出境记录并且至少保存5年,每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门等。网信部门会定期对个人信息出境情况进行检查。网络运营者并需要关注每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新进行安全评估。
三、我们的建议
正如我们在《<网络安全法>两年:数据安全与个人信息保护》中所言,《2017版征求意见稿》发布时受到高度关注,部分内容也引发了各行业的广泛讨论和争议,始终未能正式出台;但是数据出境安全评估属于《网络安全法》的核心配套制度,在经过了长期的讨论和研究后,可能会在今年有新的动向。
此次发布的《2019版征求意见稿》在适用范围和内容上较《2017版征求意见稿》均有较大变化,其中部分内容有待进一步讨论和厘清,并需要考虑其与《网络安全法》等上位法、《数据安全管理办法(征求意见稿)》等其他正在征求意见的配套制度之间的协调和衔接。
尽管尚在征求意见阶段,但《2019版征求意见稿》所体现的监管思路可以为企业现阶段数据安全和个人信息保护合规工作提供一些思路和方向。我们建议相关企业关注以下问题:
第一,做好个人信息出境安全评估申报的前期准备工作。《2019版征求意见稿》对安全评估的申报程序、所需申报材料(合同、分析报告等)及其内容均有具体规定,一旦实施,企业需要据此进行安全评估申报。届时,企业等网络运营者可以考虑自行或委托专业机构(例如有专长的律师事务所)准备申报文件。
第二,将安全评估纳入业务方案和计划予以考虑。相关企业在业务运营涉及个人信息出境时,结合安全评估要求考虑与商业伙伴的合作模式,在确定业务安排时间表时将安全评估的期限纳入考虑。同时需要考虑相关合同等文件的制定和调整、完善工作。
第三,在数据安全和个人信息合规管理中一并考虑个人信息出境安全评估管理要求。《2019版征求意见稿》提出更多、更细化的要求,将企业既往个人信息违法历史、网络安全事件作为安全评估标准,并明确了网信部门的定期检查、监管。如果上述要求最终落地实施,安全评估以及网信部门的日常监管将会成为常态,企业需要做好准备和应对。建议相关企业从现阶段开始着手,逐步搭建和完善相关内部制度、规范、流程,加强数据合规管理,避免发生个人信息违法行为和网络安全事件。
