《个人信息和重要数据出境安全评估办法》解读
一次性付费进群,长期免费索取教程,没有付费教程。
教程列表见微信公众号底部菜单
进微信群回复公众号:微信群;QQ群:460500587
微信公众号:计算机与网络安全
ID:Computer-network
《网络安全法》第三十七条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”国家高度重视数据出境引发的流动性安全问题,已经将数据出境安全作为一项核心内容,纳入国家网络安全整体框架中予以考虑,并通过立法的形式为数据出境管理奠定了坚实的法律基础。
2017年4月11日,国家互联网信息办公室颁布了《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称《办法》)。考虑到中国立法程序的基本规律,意见稿的结构和大部分内容将会在正式法案中得以保留。《办法》是与法律条文相配套的数据出境安全评估办法,既是对网络安全法的一种延伸,又对网络安全法进行了相应的补充。
一、基本概念
《办法》明确规定,网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当进行安全评估。也就是说,如果办法实施,交通导航、电子商务、社交网络等各类涉及数据收集与跨境传输的企业,都将受到监管。
那么,什么是个人信息?什么是重要数据?怎么理解数据出境?
数据出境,是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。
个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。
重要数据是从影响因子的权重来区分数据,而不是从用途和归属的角度去分类的。重要数据不仅仅包括业务数据、运营数据、服务数据、个人数据、企业数据、国家数据等,哪些具体数据属于重要数据,国家主管部门后继会出台相关指导性文件。
二、立法目的
《办法》第一条就表明立法目的,为保障个人信息和重要数据安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法利益,根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,制定本办法。
目前,国际上已形成了成熟、系统的跨境数据流动管理制度框架,如欧盟与美国达成的隐私盾协议(EU-U.S.Privacy Shield)、世界经合组织的《隐私保护和个人数据跨境流通的指南》、亚太经合组织的《跨境隐私规则》等,有效地保障了个人信息和一些重要数据的跨境安全。
我国作为全球数据资源大国,也是数据资源流出大国,迫切需要建立符合自身国情的数据出境监管办法,在确保安全的情况下享受数据红利带来的高效发展。同时,随着国际经济贸易的不断加深,我国优秀的信息服务企业(如跨境金融、跨境电商等)及境外大型跨国公司的数据出境活动日益频繁,其中可能存在涉及我国公民个人隐私甚至涉及我国国家安全、经济发展和社会公共利益相关的重要数据,国家迫切需要对这些企业数据出境行为进行规范和指引。
三、哪些出境数据需要评估
《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条明确规定,出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:
(一)含有或累计含有50万人以上的个人信息;
(二)数据量超过1000 GB;
(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
(五)关键信息基础设施运营者向境外提供个人信息和重要数据;
(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。
国家网信部门统筹协调数据出境安全评估工作,指导行业主管或监管部门组织开展数据出境安全评估。行业主管或监管部门负责本行业数据出境安全评估工作,定期组织开展本行业数据出境安全检查。行业主管或监管部门不明确的,由国家网信部门组织评估。
数据出境安全评估应重点评估以下内容:
(一)数据出境的必要性;
(二)涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;
(三)涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;
(四)数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;
(五)数据出境及再转移后被泄露、毁损、篡改、滥用等风险;
(六)数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;
(七)其他需要评估的重要事项。
四、哪些数据禁止出境
《个人信息和重要数据出境安全评估办法(征求意见稿)》第十一条明确规定,存在以下情况之一的,数据不得出境:
(一)个人信息出境未经个人信息主体同意,或可能侵害个人利益;
(二)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;
(三)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
五、评估频率和责任主体
1、评估频率
网络运营者应根据业务发展和网络运营情况,每年对数据出境至少进行一次安全评估,及时将评估情况报行业主管或监管部门。当数据接收方出现变更,数据出境目的、范围、数量、类型等发生较大变化,数据接收方或出境数据发生重大安全事件时,应及时重新进行安全评估。
年度评估为强制性评估义务,其时间的起算应从上次评估的日期计算。对于网络运营者,需要把握年度评估的时间和流程,以免对正常运营造成不利影响。而对于重新评估事项,新规并未明确何为“较大变化”情形,会对企业评估造成模糊和困扰,因此只能等待进一步的细则或规定出台。
2、评估机构
网信办统筹协调数据出境安全评估工作,指导行业主管或监管部门组织开展数据出境安全评估。《评估办法》第十一条第三款也提及了网信办、公安部门、安全部门等有关部门有权认定数据是否可以出境。可以理解为,将来网信办将协调各领域监管部门对各自领域内的数据出境监管工作做进一步的分工和细化,包括中国人民银行、银监会、证监会、保监会和国家工商总局等机构均有可能出台相关领域数据出境的配套细则。
行业主管或监管部门组织的安全评估,应当于 60 个工作日内完成,及时向网络运营者反馈安全评估情况,并报国家网信部门。
3、自我评估
征求意见稿指出,网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。数据出境安全评估应遵循公正、客观、有效的原则,保障个人信息和重要数据安全,促进网络信息依法有序自由流动。个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意。未成年人个人信息出境须经其监护人同意。
六、网络运营者需要关注什么
1、境内数据存储分析
存储标准采用属地原则,仅针对境内运营中收集和产生的数据。所有的网络运营者,而非仅仅关键信息基础设施,都是境内存储义务所涵盖的主体。按照《网络安全法》的规定,网络运营者是指网络的所有者、管理者和网络服务提供者。因此,所有涉及网络运营的企业均有新规设定的合规义务。
并不是所有信息都必须在境内存储。个人信息的定义与《网络安全法》所规定的一致,指的是以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。根据《网络安全法》的规定,经过处理无法识别特定个人且不能复原的信息,不属于个人信息之列。
重要数据在此次立法中仅作概括式的表述,确定了重要数据是与国家安全、经济发展以及社会公共利益密切相关的数据,但是其具体范围需参照国家有关标准和重要数据识别指南。可以看出,重要数据的轮廓已日渐清晰,趋向于国计民生、公共利益相关的重大数据资料。但网络运营者仍需要等待指南的出现,才能进一步明确其具体的合规义务。
2、出台数据出境管理办法
数据出境是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。可以看出,“境外”是物理边界,而“提供”的含义较广,不仅包括境内向境外以任何方式提供,也指境外通过相关方式读取、获取规制数据。
细化数据出境的数据内容,并开展自评估。根据新规的规定,安全评估中必须论述规制数据出境的必要性。如基于公司管理的要求、上市公司披露和申报的要求、开展正当业务的要求等,都可以被视为具有必要性。
出台个人信息管理规范。评估不仅包含个人信息的数量、范围、类型、敏感程度,还包括个人信息主体是否同意其个人信息出境等,如书面同意或者任何能够证明其作出同意之意思表示的合法证据。
3、密切配合监督管理机构的工作
新规设定的评估机制是以自我评估为主。在数据出境之前,网络运营者须对自己的评估结果负责。对于缺乏独立自我评估能力的网络运营者,建议聘请专业、有经验的第三方服务机构,按照法规要求对企业进行相应评估。
构成新规第九条规定的特别评估数据的,需要向行业主管和监管部门申请安全评估。如主管或监管部门不明确的,应当向网信办申请评估。值得注意的是,法定安全评估的时限为60个工作日,考虑到主管或监管部门一般为政府机构,如商务部、银监会、保监会等,网络运营者在数据合规机制设定时需考虑特别规制数据出境前法定机构评估的时间跨度和难度。
4、法律责任
新规并未就法律责任进行具体规定,但规定了定期安全检查和举报制度。一旦主管机关查实网络运营者未按照规定履行评估义务,违规者将按照《网络安全法》及有关法律的规定承担行政法律责任和民事责任。
《刑法修正案(九)》专章列明了两项相关罪名:“拒不履行信息网络安全管理义务罪”和“出售、非法提供公民个人信息罪”。特别是“拒不履行信息网络安全管理义务罪”,只要网络信息服务提供者不履行相关安全管理义务,经监管部门责令措施拒不改正,具有法定情形的,即构成本罪。
微信公众号:计算机与网络安全
ID:Computer-network
相关内容
微信扫码咨询专知VIP会员