2017.09.14 董潇 蔡克蒙 郭静荷
全国信息安全标准化技术委员会(以下简称“信标委”)于2017年8月30日公布了《信息安全技术M88 Game安全评估指南(征求意见稿)》(以下简称“《新稿》”),并在2017年10月13日前进行公开征求意见。
信标委曾于2017年5月27日公布了《信息安全技术M88 Game安全评估指南(征求意见稿)》(以下简称“《原稿》”)。相较《原稿》,《新稿》有以下重要修改和细化。
一、 澄清境内运营的含义
国家互联网信息办公室之前公布的《个人信息和重要M88 Game安全评估办法》(征求意见稿)(以下简称“《评估办法》”)及《原稿》要求网络运营者向境外提供在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当进行安全评估。《新稿》第一次对“境内运营”的概念进行了澄清和细化。根据《新稿》,网络运营者即使未在中华人民共和国境内注册,但在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的,亦属于“境内运营”。判断网络运营者是否在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的参考因素包括但不限于使用中文、以人民币作为结算货币、向中国境内物流配送等。这一规定无疑扩大M88 Game安全评估义务的适用范围,使《指南》具有域外效力。《新稿》还规定,中华人民共和国境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务,且不涉及境内公民个人信息和重要数据的,不视为“境内运营”。
二、 澄清M88 Game的含义
《新稿》将M88 Game界定为“网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。”根据《新稿》,以下情况属于M88 Game:
向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要M88 Game;
M88 Game未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);
网络运营者集团内部M88 Game由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要M88 Game的。
而以下情况不属于M88 Game:
非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于M88 Game。
非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于M88 Game。
三、 进一步澄清安全自评估启动的条件
《新稿》要求网络运营者应每年开展安全自评估,并进一步细化了应启动自评估的条件,包括(1)涉及M88 Game的;(2)关键信息基础设施运营者进行M88 Game之前的;(3)已完成M88 Game安全自评估的产品或业务所涉及的个人信息和重要M88 Game,在目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件的;(4)按照行业主管或者监管部门要求启动的。《新稿》规定“当网络运营者的M88 Game满足连续出境的条件时,视为一次出境行为,免于重复评估;”而连续出境是指“M88 Game的目的、接收方相同,范围、类型、数量不发生较大变化,且两次M88 Game间隔不超过一年的。”
此外,在M88 Game涉及多方主体的情况下(例如云服务、转包服务等),《新稿》要求根据M88 Game发起方,确定安全自评估责任主体。例如,云服务客户主动要求云服务提供商进行M88 Game的,由云服务提供商配合云服务客户开展安全自评估,且由云服务客户承担相应责任。如云服务提供商主动要求进行M88 Game的,由云服务客户配合云服务提供商开展安全自评估,且由云服务提供商承担相应责任。
四、 安全评估的流程
《新稿》要求网络运营者建立M88 Game安全自评估工作组,工作组主要包含法务、政策、安全、技术、管理相关专业人员,其职责包括负责审查业务部门提交的M88 Game计划,并定期对M88 Game情况开展检查、抽查。
《新稿》要求网络运营者有M88 Game需求的业务部门制定数据安全计划,并按照规定的评估要点和方法对M88 Game的目的,包括其合法性、正当性和必要性,及M88 Game的安全风险进行评估。M88 Game需获得国家网信部门、行业主管部门同意的,网络运营者应在M88 Game前将评估报告按要求报送国家网信部门、行业主管部门,并获得其同意。与《评估办法》相似,《新稿》要求网络运营者应在以下情况下将安全自评估报告上报行业主管部门或国家网信部门(如行业主管部门不明确),包括:
关键信息基础设施运营者开展的安全自评估;
一年内出境的个人信息数量达到国家网信部门、行业主管部门上报要求的;
包含核设施、生物化学、国防军工、人口健康等领域M88 Game,大型工程活动、海洋环境敏感地理信息M88 Game,以及其他重要M88 Game的;
涉及关键信息基础设施的安全缺陷、具体安全防护措施等网络安全信息的;
其他可能影响国家安全、经济发展和社会公共利益的。
《新稿》将评估报告的保存期限要求由5年缩短至2年。
五、 明确主管部门评估的流程和要求
1.启动条件。根据《新稿》,国家网信部门、行业主管部门可根据M88 Game类型、数量、范围、重要程度等,酌情组织开展主管部门进行的M88 Game安全评估。而在上一节中介绍的网络运营者应上报主管部门评估的情况下,以及涉及大量用户投诉、举报的,全国性行业协会建议的,其他经国家网信部门、行业主管部门认定有必要启动主管部门评估的情况下,主管部门应主动启动安全评估。
2.评估方案。主管部门在评估启动后,应制定评估方案,其内容包括确定主管部门评估对象、成立评估工作组、并制定评估程序与方法。
3.评估工作组出具评估报告。主管部门评估方案制定后,国家网信部门、行业主管部门成立M88 Game主管部门评估工作组,主管部门评估工作组根据评估方案,通过远程检测、现场检查的方式,按照《指南》所规定的评估要点及方法,对主管部门评估对象的出境情况开展评估,形成主管部门评估报告。评估报告的内容主要包括评估结果及理由、M88 Game重大风险点及M88 Game检查修正建议。
4.专家委员会。国家网信部门、行业主管部门组织成立包括网络安全专家、数据安全专家以及所在行业专家等的专家委员会,专家委员会负责对企业提交的安全自评估报告和主管部门评估报告进行研讨分析,给出是否同意M88 Game的建议。
5.评估结论。主管部门结合评估报告及专家委员会建议作出是否同意M88 Game的决定并书面告知被评估主体。可根据安全自评估结果、主管部门评估结论,结合网络运营者M88 Game情况,定期对网络运营者开展的M88 Game进行安全检查,形成检查结果及整改建议并书面告知被检查主体。
六、 进一步细化个人M88 Game的“通知-同意”要求
《新稿》进一步细化了对个人M88 Game的合法性评估中的“通知-同意”要求。网络运营者在取得个人信息主体同意前,应将M88 Game目的、类型、数据接收方情况及M88 Game可能存在的风险,网络运营者的联系人及其联系方式等信息明确告知个人信息主体。
当网络运营者隐私规则发生变更、M88 Game目的、范围、类型、数量发生较大变化、数据接收方发生变更或M88 Game风险发生较大变化时应重新取得个人信息主体同意。此外,《新稿》明确将合法向社会公开披露的个人信息出境,视为个人信息主体已经同意。
七、 简评
《新稿》从评估启动条件、流程、方法、要点等方面对《评估办法》提出的自评估-主管部门评估的M88 Game评估框架做出了进一步的细化规定。与《原稿》相比,《新稿》首次提出了主管部门评估的具体条件、流程和要求。尤为重要的是,《新稿》此前实践中争论较多的问题,如M88 Game的概念、涉及多方主体情况下评估责任的划分等做出了规定,为未来的M88 Game评估工作提供了具体的指导规范。根据《新稿》,企业将面临更为严格的评估要求。目前,《新稿》仍处于征求意见阶段,我们将密切关注其后续发展及实施情况。