新闻中心

新闻中心

关注安百最新动态,掌握新鲜安全资讯

《个人信息出境安全评估办法》解读
2019-06-19 17:36:58

随着网络化和信息化的不断发展,我国已经成为世界上网民数量最多、网络数据生产量最大的国家之一,在我国数字经济领域高速发展的同时,频发的网络安全和数据泄露事件也在时刻提醒我们,对个人信息进行保护刻不容缓。


  2019年6月13日凌晨,国家互联网信息办公室发布了《个人信息出境安全评估办法(征求意见稿)》(以下简称“办法”),《办法》界定了个人信息出境的行为,明确了网络运营者和个人信息接收者的职责,细化了个人信息出境安全评估的内容。《办法》的出台对保障个人信息安全、规范个人信息出境依法有序的流动,具有重大的指导意义。


  《办法》的出台,一方面是对我国已经出台的关于个人信息保护法律法规的进一步细化和延伸,如2017年开始实施的《网络安全法》第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”《办法》正是对个人信息出境进行安全评估的重要依据。


  另一方面,针对国际范围内的数据流动,部分国家及国际组织出台了各自的法律和政策文件,来管理以个人信息为代表的跨境数据,如欧盟的《一般数据保护条例》(GDPR)、英国的《数据保护法案》、亚太经合组织的《跨境隐私规则体系》、日本的《个人信息保护法》等,以保障个人信息跨境流动的安全。我国是数据资源产出大国,亟需建立符合我国国情的个人信息出境管理办法,在数据跨境流动中切实保障个人信息安全。


  《个人信息出境安全评估办法》作为一项“安全评估”办法,很多人关心的问题是,其安全评估的对象是谁?谁来进行安全评估?如何进行安全评估?《办法》的22个条款围绕这些问题给出了解答。


  一是评估对象是谁?有人担心《办法》一旦实施,需要针对普通个人用户进行安全评估。其实不然,《办法》第二条明确指出“网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息,应当按照《办法》进行安全评估”,可以看出,安全评估的对象是网络运营者,而不是个人用户。这里网络运营者,是指网络的所有者、管理者和网络服务提供者,普通的个人不在此范畴。


  之所以将评估对象界定为“网络运营者”,是因为我国大量的个人信息,主要是被网络运营者所收集、持有和使用,管理好了这些拥有大量个人信息的网络运营者,就能在更大范围内保障个人信息安全。


  二是谁来进行评估?安全评估工作由各省级网信部门负责,这是因为其担负着网络安全管理职能。具体来说,网络运营者向所在地省级网信部门申报个人信息出境安全评估,省级网信部门组织专家或技术力量进行安全评估,经安全评估认定个人信息出境不会影响国家安全、损害公共利益,能够有效保障个人信息安全的,可以出境。


  为了不影响网络运营者的正常业务,除复杂情况外,安全评估一般在15个工作日内完成。对安全评估结论存在异议的,网络运营者还可以向国家网信部门提出申诉。


  三是评估内容是什么?有一种担心是,安全评估实施过程中,会不会引入个人信息泄露的风险?其实这一担心是完全不必要的。我们首先来看安全评估时网络运营者所需提供的材料有哪些,《办法》第四条指出,提供的材料包括申报书、网络运营者与接收者签订的合同、个人信息出境安全风险及安全保障措施分析报告等;再来看省级网信部门在安全评估时重点评估哪些内容,《办法》第六条指出,主要从是否符合法律法规、是否能保障个人信息主体合法权益等方面进行评估。可以看出,安全评估过程中并不需要提供具体的用户个人信息。


  也就是说,评估的是网络运营者是否能够对拟出境的个人信息提供充分的安全保障,而非具体的个人信息本身。


  四是个人信息出境后安全如何保障?个人信息流到境外后,由于数据持有者发生了变化,数据的保护能力、适用的法律法规也会发生改变,个人信息主体维护自身合法权益将面临一定的困难,《办法》充分考虑了这一难题,第十三至十五条要求境内网络运营者与境外个人信息接收者签订合同,明确对个人信息主体合法权益的保护,同时第十六条还对接收者将接收到的个人信息传输给第三方的行为进行了限定。


  《个人信息出境安全评估办法》明确了网络运营者在个人信息出境方面的责任和义务,对网络运营者做好个人信息出境安全工作提出了更高的要求。这是针对个人信息脱离控制流向境外的情况,如何有效地保障个人信息主体的合法权益,所采取的一项有力的制度设计。


  • 个人信息安全
  • 信息出境安全
  • 个人信息安全
  • 信息出境安全