个人信息出境安全评估办法征求意见稿19版和17版对比解读

编者按：2017年4月11日，国家网信办发布了《个人信息和重要数据出境安全评估办法（征求意见稿）》，时隔两年，2019年6月13日，又发布了《个人信息出境安全评估办法（征求意见稿）》。这次征求意见稿仅针对个人信息出境。在概念上，明确了个人信息和个人敏感信息，但未对出境作出解释。

我们发现，2017版中规定，网络运营者应在数据出境前，自行对数据出境进行安全评估，并对评估结果负责。另外，自行评估之外，出境数据存在含有或累计含有50万人以上的个人信息、数据量超过1000GB等六种情况之一的，网络运营者应报请行业主管或监管部门组织安全评估。在这次的2019版中，不再区分自行和应当的情形。

2017版中规定，网络运营者应每年对数据出境至少进行一次安全评估。2019版中，改为：每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。

同时，我们发现，2017版和2019版对比，2019版最大的亮点或者说变化内容就是网络运营者与接收者签订的合同。评估的对象中，网络运营者与接收者签订的合同占据了重要地位。与合同直接有关的条文共有7条，占据全部条文的几乎三分之一。

关于网络运营者与接收者签订的合同，主要有以下内容。

根据2019版，网络运营者申报个人信息出境安全评估应当提供四类材料：（一）申报书。（二）网络运营者与接收者签订的合同。（三）个人信息出境安全风险及安全保障措施分析报告。（四）国家网信部门要求提供的其他材料。
第六条规定，个人信息出境安全评估重点评估的内容中，有两项涉及到合同：（二）合同条款是否能够充分保障个人信息主体合法权益。（三）合同能否得到有效执行。
第十条，网信部门检查的内容之一是：重点检查合同规定义务的履行情况。
第十三条则规定，网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件（统称合同），应当明确六个方面的内容。
第十四条、十五条规定了合同应当明确网络运营者、接收者承担的责任和义务。第十六条规定，合同应当明确接收者不得将接收到的个人信息传输给第三方的条件。

以下为2017版、2019版详细对比：