《个人信息出境安全评估办法(征求意见稿)》(以下简称《办法》)修改建议汇总由上海交通大学法学院何渊副教授及上海交通大学法学院的嵇若琳、潘瑜婧及魏雪颖等三位同学一起整理,感谢大家的辛苦劳动!
引言:近期,国家网信办发布了《数据安全管理办法》及《个人信息出境安全评估办法》等草案,标志着我国数据法律制度的建设进入一个新的阶段,引起了法学界和企业界的广泛关注。为此,数据法盟(DataLaws)联合上海交通大学法学院合规研究中心举行了第四期“数据合规沙龙”,针对国家网信办四新规征求意见稿召开了闭门研讨会,同时还通过组织专题座谈会、书面征求意见、头部企业调研等多种形式,广泛征求了企业法务、合规专员、信息安全官、数据保护官、高校学者等来自全国60多名行业内专家的意见,形成了本《办法》的修改建议汇总。
以下是《个人信息出境安全评估办法》修改建议汇总:
*对出境的定义?
数据如果未转移至本国以外的地方,但被境外机构查看可以算是数据出境,建议在这个评估办法对出境做一个定义,或者增加一些列举情形。
第3条
原文
个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。
向不同的接收者提供个人信息应当分别申报安全评估,向同一接收者多次或连续提供个人信息无需多次评估。
每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。
修改意见:
建议增加豁免的情形。
无论是否有一个上位法的授权,评估本身会极大增加企业合规成本。
而且可以预见到,如果没有如期通过评估,会影响数据出境,对企业运营会产生很大影响。
第一款
所有数据都需要省级网络部门的批准,执行性不强。
每个数据都需要拿到省级评估?原来有一个50万或是更高数量,现在没有量级的限制,假如只出去一条数据也需要批准吗?
建议:评估更接近于备案而不是许可?有问题的才会细致评估。
第二款
根据不同的接收者,来区分是不是要做一个安全评估。
在实务上,即使数据给到同一个接收者,但可能背后的目的不一样。不同的目的带来的不同的数据,风险、类型,都不一样。
建议除了要根据不同的接收者以外,也可以根据不同的数据处理目的来申报。
第三款
对于在实操上有大量数据处理的公司。两年太长。一般每两周、两个月,数据处理目的、数据的范围就会发生变化。
如果每两个月,需要做一次新的评估,合规成本也比较高。
出境目的、类型和境外保存时间发生变化,怎么来认定?
任何形式的变化都算是变化?还是偏向于实质性的变化,才需要重新评估?这个尺度怎么来把握?
第三条是否属于第九条,还是两件事分别都做?如果是后者,增加很多合规成本。
第九条 网络运营者应当每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。
发生较大数据安全事件时,应及时报所在地省级网信部门。
第4条
原文
网络运营者申报个人信息出境安全评估应当提供以下材料,并对材料的真实性、准确性负责:
(一)申报书。
(二)网络运营者与接收者签订的合同。
(三)个人信息出境安全风险及安全保障措施分析报告。
(四)国家网信部门要求提供的其他材料。
修改意见
如果经营者和接收者属于同一家公司的话,对于跨国企业来说,数据在企业内部流动,建议通过一些直接容易的认证方式处理,简化重复操作。
第5条
原文
省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后,应当组织专家或技术力量进行安全评估。安全评估应当在15个工作日内完成,情况复杂的可以适当延长。
修改意见
15个工作日从什么时间点起算?前面提到说收到材料并且核查其完备性后,是从收到材料算,还是说从核查其完备性来算?
适当延长是多久?适当的定义不确定。
第7条
原文
省级网信部门在将个人信息出境安全评估结论通报网络运营者的同时,将个人信息出境安全评估情况报国家网信部门。
网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的,可以向国家网信部门提出申诉。
修改意见
申诉的期间是不是应该有相应的明确。比如说收到这个异议之后,国家网信办需要在多少个工作日内给一个回复。
第11条
原文
出现以下情况之一时,网信部门可以要求网络运营者暂停或终止向境外提供个人信息:
(一)网络运营者或接收者发生较大数据泄露、数据滥用等事件。
(二)个人信息主体不能或者难以维护个人合法权益。
(三)网络运营者或接收者无力保障个人信息安全。
修改意见
实质上构成一种行政处罚,定义过于宽泛。一旦实施的话,对企业生产运营影响比较大。
建议先确认面上位法执法依据,明确实施条件和程序。
第13-16条
原文
第13条
网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件(统称合同),应当明确:
(一)个人信息出境的目的、类型、保存时限。
(二)个人信息主体是合同中涉及个人信息主体权益的条款的受益人。
(三)个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任。
(四)接收者所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者重新进行安全评估。
(五)合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务,除非接收者已经销毁了接收到的个人信息或作了匿名化处理。
(六)双方约定的其他内容。
第14条
合同应当明确网络运营者承担以下责任和义务:
(一)以电子邮件、即时通信、信函、传真等方式告知个人信息主体网络运营者和接收者的基本情况,以及向境外提供个人信息的目的、类型和保存时间。
(二)应个人信息主体的请求,提供本合同的副本。
(三)应请求向接收者转达个人信息主体诉求,包括向接收者索赔;个人信息主体不能从接收者获得赔偿时,先行赔付。
第15条
合同应当明确接收者承担以下责任和义务:
(一)为个人信息主体提供访问其个人信息的途径,个人信息主体要求更正或者删除其个人信息时,应在合理的代价和时限内予以响应、更正或者删除。
(二)按照合同约定的目的使用个人信息,个人信息的境外保存期限不得超出合同约定的时限。
(三)确认签署合同及履行合同义务不会违背接收者所在国家的法律要求,当接收者所在国家和地区法律环境发生变化可能影响合同执行时,应当及时通知网络运营者,并通过网络运营者报告网络运营者所在地省级网信部门。
第16条
合同应当明确接收者不得将接收到的个人信息传输给第三方,除非满足以下条件:
(一)网络运营者已经通过电子邮件、即时通信、信函、传真等方式将个人信息传输给第三方的目的、第三方的身份和国别,以及传输的个人信息类型、第三方保留时限等通知个人信息主体。
(二)接收者承诺在个人信息主体请求停止向第三方传输时,停止传输并要求第三方销毁已经接收到的个人信息。
(三)涉及到个人敏感信息时,已征得个人信息主体同意。
(四)因向第三方传输个人信息对个人信息主体合法权益带来损害时,网络运营者同意先行承担赔付责任。
修改意见(综合13-16条):
肯定:借鉴了GDPR的scc的思路。
问题:衔接不够顺畅。
建议:仿照欧盟制定数据出境标准合同,包括网络运营者具体责任、接收方责任都通过标准合同的模板确定下来,方便企业实务操作。强制要求双方把这个条款纳入合同里边,然后以合同作为桥梁,使当事人的权利能够落实,落实了以后通过当事人主张权利的方法来倒逼双方履行数据安全的责任。这样才能实现一个完整的法律机制。
13-2:
能不能依据这个条款来起诉运营者?
以及在我们国家起诉境外接收方,依据我国合同法,不能直接起诉网络运营者,也不能起诉境外接收方的话,本款会落空。
14-1:
告知方式没有把隐私政策包含在里面,比如说电子邮件即时通信,如果更新需要以什么频率告知网络运营者。
14-2:
从文义上看,所有境外接收人签收的合同副本,只要跟我数据相关,只要是个人信息主体请求,就得给他。看不出有限制。
提供这个这么多个人信息,企业收集的数据海量,如果大家都要求提供,不管纸质版还是电子版,这个提供会对企业造成很繁重的负担。
合同不仅仅是关于数据保护,还有一些涉及到纯商业利益的合作条款,提供副本的时候也应该直接给吗?可不可以对这些条款做一个脱敏?
16-3:
敏感信息和非敏感信息的双重标准?
国内传输、跨境传输,以及境外再传输应该统一标准。
第18条
原文
网络运营者违反本办法规定向境外提供个人信息的,依照有关法律法规进行处理。
修改意见
具体责任难衡量,企业需要评估风险、收益、业务开展必要性,没有明确责任,评估很困难。
声明:本文来自数据法盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
