PC版
我的专栏
撰写文章
专栏管理
通知
设置
专栏升级
-
应合理规定评估目的,明确为保障个人信息安全
在个人信息和重要数据出境安全评估分开规定的情况下,需要明确二者评估目的的不同。个人信息出境安全评估的目的是有效保障个人信息安全,而国家安全和公共利益的保护应该是重要数据的主要考量,无需规定与个人信息出境评估。将二者均适用于个人信息出境安全评估的做法,目前已经引起社会的一些误解和舆论反弹,同时如此规定也不利于与国际规则对话,不利于国际合作。
-
安全评估不是安全决策,不应该设计成行政许可
从有效保障个人信息安全的立法目的出发,安全评估不是安全决策,应该遵循科学性而不是政治性。因此,安全评估应该谨慎演变为行政许可...
-
行政评估不作为唯一手段,增加自评估机制
在将个人信息出境场景做不同门槛的区分基础上,合理设置行政评估和企业自评估两个级别。增加企业自评估机制可以将小规模、低频度、低风险的个人信息跨境场景排除出行政评估范畴,合理减轻企业负担,比如跨国企业内部信息交流、个人主动发起等具有强个人信息主体同意的场景下应该留有一定的企业自评估空间。不同的评估方式对应的不同法律责任,以此增加弹性,有利于增加市场活力。
-
改强制性合同为推荐性合同
合同评估作为重要的抓手有其合理性和可操作性,但是部门规章直接规定合同内容属于公法介入私法,有悖合同自由原则,不利于依法治国的国家战略实施。可以在本规章中规定合同的原则性评估标准,由国家网信部门发布示范文本或者国家发布推荐性标准指南,推荐适用。
-
区分数据控制者和数据处理者
评估办法草案应明确,只有承担"数据控制者"角色(即决定个人信息处理途径和目的的机构)的网络运营者有责任符合办法草案中的要求。作为"数据处理者"(即为"数据控制者"处理个人信息的机构)的网络运营者应当只需要负责依据合同条款执行"数据控制者"的指令
-
增加实施过渡时间
可以预计个人信息出境评估的是高量级规模,在没有充分准备的条件下很可能各省级网信部门无法在规定时间内完成本规章要求的评估,企业也无法充分时间准备合规事项,因此规定适当的过渡时间是必要的,比如1年。
草案:第一条 为保障数据跨境流动中的个人信息安全,根据《中华人民共和国网络安全法》等相关法律法规,制定本办法。
草案:第二条 网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。 国家关于个人信息出境另有规定的,从其规定。
意见和建议:删除"影响国家安全、损害公共利益"。个人信息出境的目的在于保护个人信息安全,涉及国家安全和公共利益主要是重要数据出境。在评估个人信息出境时可以考虑国家安全和公共利益,这可以依据其他法律法规,而不需要在本规章中明示规定。因为目前本条规定已经引起社会公众误解,也可能产出不利的国际影响,所以可以多做少说的方式处理。
草案:第三条 个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。 向不同的接收者提供个人信息应当分别申报安全评估,向同一接收者多次或连续提供个人信息无需多次评估。每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。
意见和建议:加入自评估机制,规定在达到一定量级后转为网信部门评估。这样可以把一些低频次的、影响小的场景排除在网信部门评估范围之外,增加可操作性,也可以减轻企业负担。建议本条增加对例外情况和最低标准的规定,比如集团内部传送、员工个人信息、减少重复评估以及少量信息出境等情况。 另针对安全评估,我们还是认为这个安全评估是需要审批的,建议把这个评估制度改成不需审批的备案制。
草案:第四条 网络运营者申报个人信息出境安全评估应当提供以下材料,并对材料的真实性、准确性负责: (一)申报书。 (二)网络运营者与接收者签订的合同。 (三)个人信息出境安全风险及安全保障措施分析报告。 (四)国家网信部门要求提供的其他材料。
意见和建议:建议规定只提交涉及信息出境的条文或者部分合同,因为提交整个合同文本存在商业秘密保护问题,这是企业普遍提出的担心。 建议本条第2项修改为:"(二)网络运营者与接收者签订的与个人信息出境相关的合同。"
草案:第五条 省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后,应当组织专家或技术力量进行安全评估。安全评估应当在15个工作日内完成,情况复杂的可以适当延长。
意见和建议:1. "技术力量"应有更为明确的定义,同时对专家和技术力量做出资质要求。 2. "情况复杂的可以适当延长"应当进一步明确,建议将"情况复杂"分为多种场景,相应给出延长时限。理由是,需要给出相对明确的标准,限制行政执法的任意性,以便企业合理时间安排。 3. 15个工作日的规定可能不具可行性,需要先进行科学测试和评估。
草案:第六条 个人信息出境安全评估重点评估以下内容: (一)是否符合国家有关法律法规和政策规定。 (二)合同条款是否能够充分保障个人信息主体合法权益。 (三)合同能否得到有效执行。 (四)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件。 (五)网络运营者获得个人信息是否合法、正当。 (六)其他应当评估的内容。
意见和建议:1. 第二和第三条比较主观的,无法客观评价是否能充分保障个人信息合法权益,合同是否能够有效执行,建议还是删掉。 2. 本条规定应与第四条规定的评估材料呼应,把第四条第三项的分析报告纳入评估重点。 3. 将六项评估内容表述顺序理顺,将第一项放后面,第六项兜底不需要规定。
草案:第七条 省级网信部门在将个人信息出境安全评估结论通报网络运营者的同时,将个人信息出境安全评估情况报国家网信部门。 网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的,可以向国家网信部门提出申诉。
意见和建议:应对申诉回复时间做出明确规定,建议第二款增加:"国家网信部门于5个工作日内做出书面明确回复"。
草案:第八条 网络运营者应当建立个人信息出境记录并且至少保存5年,记录包括: (一)向境外提供个人信息的日期时间。 (二)接收者的身份,包括但不限于接收者的名称、地址、联系方式等。 (三)向境外提供的个人信息的类型及数量、敏感程度。 (四)国家网信部门规定的其他内容。
草案:第九条 网络运营者应当每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。 发生较大数据安全事件时,应及时报所在地省级网信部门。
意见和建议:建议删除第一款。因为个人信息出境前已经申报过,每年底再次申报属于重复申报,没有必要。 应对"较大数据安全事件"进行明确定义,建议对接网络安全应急事件的规定,将数据安全事件划分等级,方具有可执行性。
草案:第十条 省级网信部门应当定期组织检查运营者的个人信息出境记录等个人信息出境情况,重点检查合同规定义务的履行情况、是否存在违反国家规定或损害个人信息主体合法权益的行为等。 发现损害个人信息主体合法权益、数据泄露安全事件等情况时,应当及时要求网络运营者整改,通过网络运营者督促接收者整改。
意见和建议:定期检查如何实施,希望能具化。
草案:第十一条 出现以下情况之一时,网信部门可以要求网络运营者暂停或终止向境外提供个人信息: (一)网络运营者或接收者发生较大数据泄露、数据滥用等事件。 (二)个人信息主体不能或者难以维护个人合法权益。 (三)网络运营者或接收者无力保障个人信息安全。
意见和建议:"暂停"和"终止"是两种程度不同的惩罚力度,建议分别定义两种处罚的情况。
草案:第十二条 任何个人和组织有权对违反本办法规定向境外提供个人信息的行为,向省级以上网信部门或者相关部门举报。
草案:第十三条 网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件(统称合同),应当明确: (一)个人信息出境的目的、类型、保存时限。 (二)个人信息主体是合同中涉及个人信息主体权益的条款的受益人。 (三)个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任。 (四)接收者所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者重新进行安全评估。 (五)合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务,除非接收者已经销毁了接收到的个人信息或作了匿名化处理。 (六)双方约定的其他内容。
草案:第十四条 合同应当明确网络运营者承担以下责任和义务: (一)以电子邮件、即时通信、信函、传真等方式告知个人信息主体网络运营者和接收者的基本情况,以及向境外提供个人信息的目的、类型和保存时间。 (二)应个人信息主体的请求,提供本合同的副本。 (三)应请求向接收者转达个人信息主体诉求,包括向接收者索赔;个人信息主体不能从接收者获得赔偿时,先行赔付。
草案:第十五条 合同应当明确接收者承担以下责任和义务: (一)为个人信息主体提供访问其个人信息的途径,个人信息主体要求更正或者删除其个人信息时,应在合理的代价和时限内予以响应、更正或者删除。 (二)按照合同约定的目的使用个人信息,个人信息的境外保存期限不得超出合同约定的时限。 (三)确认签署合同及履行合同义务不会违背接收者所在国家的法律要求,当接收者所在国家和地区法律环境发生变化可能影响合同执行时,应当及时通知网络运营者,并通过网络运营者报告网络运营者所在地省级网信部门。
草案:第十六条 合同应当明确接收者不得将接收到的个人信息传输给第三方,除非满足以下条件: (一)网络运营者已经通过电子邮件、即时通信、信函、传真等方式将个人信息传输给第三方的目的、第三方的身份和国别,以及传输的个人信息类型、第三方保留时限等通知个人信息主体。 (二)接收者承诺在个人信息主体请求停止向第三方传输时,停止传输并要求第三方销毁已经接收到的个人信息。 (三)涉及到个人敏感信息时,已征得个人信息主体同意。 (四)因向第三方传输个人信息对个人信息主体合法权益带来损害时,网络运营者同意先行承担赔付责任。
意见和建议:第13-16条修改意见和建议: 1. 总体建议:部门规章不宜直接规定合同内容和效力,合同属于私法自治范畴,公法不能直接介入。建议从审查的角度进行原则性规定,同时规定国家网信部门发布示范文本或者通过国家标准指南推荐适用。 2. 第13条第3项,过错推定违反法律保留原则,与侵权责任法相悖,建议删除"除非证明没有责任"。 3. 第14条第2项,向个人信息主体提供整个合同副本不合理,涉及到企业商业秘密泄露,建议改为"提供与个人信息出境相关的合同副本"。 4. 第15条第1项"合理的代价和时限"过于模糊,留下过多争议空间,可能导致接受者的不正当抗辩,建议修改为"应在及时予以响应、更正或者删除"。 5. 需要在本法区分数据控制者和数据处理者。
第十七条 网络运营者关于个人信息出境安全风险及安全保障措施分析报告应当至少包括: (一)网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力等。 (二)个人信息出境计划,包括持续时间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等。 (三)个人信息出境风险分析和保障个人信息安全和个人信息主体合法权益的措施。
草案:第十八条 网络运营者违反本办法规定向境外提供个人信息的,依照有关法律法规进行处理。
草案:第十九条 我国参与的或者与其他国家和地区、国际组织缔结的条约、协议等对个人信息出境有明确规定的,适用其规定,我国声明保留的条款除外。
草案:第二十条 境外机构经营活动中,通过互联网等收集境内用户个人信息,应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。
意见和建议:需要明确"境外机构经营活动中"指"面向我国境内提供服务的经营活动",不以面向我国境内提供服务的经营活动的境外机构,因个人访问其网站而产生的个人信息出境不属于此场景,否则将产生强长臂管辖效力,但是同时无法操作的尴尬处境。
草案:第二十一条 本办法下列用语的含义: (一)网络运营者,是指网络的所有者、管理者和网络服务提供者。 (二)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 (三)个人敏感信息,是指一旦被泄露、窃取、篡改、非法使用可能危害个人信息主体人身、财产安全,或导致个人信息主体名誉、身心健康受到损害等的个人信息。
意见和建议:建议增加数据控制者和数据处理者的定义。
草案:第二十二条 本办法自 年 月 日起实施。
意见和建议:建议规定设置6-12个月的过渡期。