2019.06.14 董潇 袁琼 冯毅捷 刘青宇
2019年6月13日,国家互联网信息办公室(以下简称“网信办”)发布M88 login(以下简称“《新稿》”)公开征求意见。
2017年4月11日,网信办曾发布M88 login和重要数据出境安全评估办法(征求意见稿)》(以下简称“《2017稿》”)向社会公开征求意见;此后《2017稿》也经几次变动。2019年5月28日,网信办发布《数据安全管理办法》征求意见稿,对个人信息和重要数据分别管理,其中对于重要数据的发布、共享和出境作出了原则性审批规定。《新稿》则将与《数据安全管理办法》一起,代替《2017稿》之中未区分个人信息和重要数据审批的模式,对个人信息出境专门进行规范。
与《2017稿》相似,《新稿》适用于所有网络运营者,但在评估程序、评估重点、合同内容、责任主体等多个方面有较大变化。
一、 安全评估对象
《新稿》第二条和第三条明确了安全评估的对象,即网络运营者向境外提供在境内运营中收集的个人信息,网络运营者应当向所在地省级网信部门申报M88 login评估。《2017稿》下特定情形方需要向监管部门申报的监管模式变更为个人信息出境前均需要向网信部门申报安全评估。
《新稿》第20条同时规定,当境外机构在经营中通过互联网等收集境内用户个人信息,应在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。该等规定也将扩宽《2017稿》之中出境审查的适用范围。
二、 安全评估领导机制
《新稿》将省级网信部门作为个人信息出境审查的主要监管部门,其职能包括M88 login评估的申报材料接收、核查和安全评估、定期检查、举报受理和督促整改等。与《2017稿》之中由于涉及重要数据,而需要报行业主管部门不同,涉及个人信息的安全评估仅需要由网信部门进行。
三、 安全评估的程序
安全评估的申报主体是网络运营者,而不是数据的接收者 (第2条)。
安全评估次数取决于个人信息的接收者数量,向不同的接收者提供个人信息应当分别申报安全评估,向同一接收者多次或连续提供个人信息无需多次评估(第3条)。
安全评估的申报材料包括申报书、网络运营者与接收者签订的合同、M88 login风险及安全保障措施分析报告以及其它要求的材料(第4条)。
正常情况下网信部门的评估期限由60个工作日缩短为15个工作日(第5条)。
四、 安全评估的重点内容
《新稿》对重点评估内容做出了明确的规定。第8条列举了六项评估内容:
是否符合国家有关法律法规和政策规定;
合同条款是否能够充分保障个人信息主体合法权益;
合同能否得到有效执行;
网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件;
网络运营者获得个人信息是否合法、正当;
其他应当评估的内容。
由此可见,立法者更关注网络运营者的信息源、信息出境的合同条款以及网络运营者本身是否有违规历史。《新稿》未加入《2017稿》之中对于出境必要性和信息主体同意的出境审查要求。
五、 个人信息出境合同
《新稿》第13条至第16条要求网络运营者与个人信息接收者应当签订合同或其他有法律效力的文件,合同内容应包含以下三个方面:
对个人信息出境本身的约定,
网络运营者、信息接收者的责任和义务,以及
向第三方传输个人信息的限制。
值得注意的是,当个人信息主体合法权益受到损害时,可选择向网络运营者或者接收者索赔,或者选择同时向双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任;同时网络运营者在一定情形下还负有先行赔付责任。
此外,当信息出境后法规发生变化,接收者有义务主动通知网络运营者,以应对境外法律变化后可能对个人信息安全带来的不利影响。
六、 M88 login风险及安全保障措施分析报告
与个人信息出境合同一样,M88 login风险及安全保障措施分析报告是安全评估的申报材料之一。《新稿》第17条列举了报告应当包括的内容:
网络运营者和接收者的基本情况;
个人信息出境计划;以及
风险分析和保护措施。
七、 我们的观察
我们认为《新稿》删除了《2017稿》中评估考虑的一些要点,如对于出境必要性和信息主体同意审查的要求。但《新稿》要求所有个人信息出境均需审批、且纳入了境外机构在境内收集信息也需履行相应义务的要求,监管范围较早先的讨论稿相比有大幅扩大。《新稿》也强调了通过协议方式保护个人信息的要求,并且将境外实体发生安全事件的情形作为审查的基本要素和可以停止传输的基本要素之一。对于《新稿》将具体如何通过和执行,我们将继续观察。