ARTICLES
专业文章
未雨绸缪 | 企业如何提前备战个人信息出境管理?
未雨绸缪 | 企业如何提前备战个人信息出境管理?
二、2019版《评估办法》内容详解
1.个人信息出境应当进行安全评估
根据2019版《评估办法》,个人信息出境应当进行安全评估[1]。经安全评估认定个人信息出境1)可能影响国家安全、2)损害公共利益,或者3)难以有效保障个人信息安全的,不得出境。关于安全评估的具体流程及要求,我们总结了下表供企业参看:
|
向谁申报 |
个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估 |
|
提交什么 |
网络运营者申报个人信息出境安全评估应当提供以下材料,并对材料的真实性、准确性负责:
(1)申报书; (2)网络运营者与接收者签订的合同; (3)个人信息出境安全风险及安全保障措施分析报告; (4)国家网信部门要求提供的其他材料。 |
|
评估什么 |
个人信息出境安全评估重点评估以下内容:
(1)是否符合国家有关法律法规和政策规定; (2)合同条款是否能够充分保障个人信息主体合法权益; (3)合同能否得到有效执行; (4)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件; (5)网络运营者获得个人信息是否合法、正当; (6)其他应当评估的内容。 |
|
评估进程 |
省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后,应当组织专家或技术力量进行安全评估。安全评估应当在15个工作日内完成,情况复杂的可以适当延长。省级网信部门在将个人信息出境安全评估结论通报网络运营者的同时,将个人信息出境安全评估情况报国家网信部门。网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的,可以向国家网信部门提出申诉。 |
|
保存汇报 |
网络运营者应当建立个人信息出境记录并且至少保存5年,记录包括:
(1)向境外提供个人信息的日期时间。 (2)接收者的身份,包括但不限于接收者的名称、地址、联系方式等; (3)向境外提供的个人信息的类型及数量、敏感程度; (4)国家网信部门规定的其他内容。
网络运营者应当于每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。发生较大数据安全事件时,应及时报所在地省级网信部门。 |
|
定期检查 |
省级网信部门应当定期组织检查运营者的个人信息出境记录等个人信息出境情况,重点检查合同规定义务的履行情况、是否存在违反国家规定或损害个人信息主体合法权益的行为等。发现损害个人信息主体合法权益、数据泄露安全事件等情况时,应当及时要求网络运营者整改,通过网络运营者督促接收者整改。 |
2.网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件
在个人信息出境业务中,我们一向建议企业(网络运营者)与个人信息接收者签订相应条款和/或协议,以合同的形式恰当分配各自责任,尽可能降低相应合规风险。从此次2019版《评估办法》的内容来看,我们的建议与监管思路是保持高度一致的。
2019版《评估办法》明确规定网络运营者申报个人信息出境安全评估应当提供与个人信息接收者之间签订的合同或者其它有法律效力的文件(以下统称"合同"),同时规定了合同中应当明确的内容。因此,我们认为如果2019版《评估办法》将来落地实施,企业与个人信息接收者之间签订相应合同内容将成为必不可少的一个环节。至于合同的内容,根据2019版《评估办法》主要从以下4个层次进行了要求:
|
序号 |
不同 层次 |
具体要求 |
|
1 |
应当明确的基本内容: |
1) 个人信息出境的目的、类型、保存时限。
2) 个人信息主体是合同中涉及个人信息主体权益的条款的受益人。
3) 个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任。
4) 接收者所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者重新进行安全评估。
5) 合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务,除非接收者已经销毁了接收到的个人信息或作了匿名化处理。
6) 双方约定的其他内容 |
|
2 |
应当明确的网络运营者承担的责任和义务: |
1) 以电子邮件、即时通信、信函、传真等方式告知个人信息主体网络运营者和接收者的基本情况,以及向境外提供个人信息的目的、类型和保存时间。
2) 应个人信息主体的请求,提供本合同的副本。
3) 应请求向接收者转达个人信息主体诉求,包括向接收者索赔;个人信息主体不能从接收者获得赔偿时,先行赔付。 |
|
3 |
应当明确的接收者承担的责任和义务: |
1) 为个人信息主体提供访问其个人信息的途径,个人信息主体要求更正或者删除其个人信息时,应在合理的代价和时限内予以响应、更正或者删除。
2) 按照合同约定的目的使用个人信息,个人信息的境外保存期限不得超出合同约定的时限。
3) 确认签署合同及履行合同义务不会违背接收者所在国家的法律要求,当接收者所在国家和地区法律环境发生变化可能影响合同执行时,应当及时通知网络运营者,并通过网络运营者报告网络运营者所在地省级网信部门。 |
|
4 |
应当明确接收者不得将接收的个人信息传输给第三方,除非: |
1) 网络运营者已经通过电子邮件、即时通信、信函、传真等方式将个人信息传输给第三方的目的、第三方的身份和国别,以及传输的个人信息类型、第三方保留时限等通知个人信息主体。
2) 接收者承诺在个人信息主体请求停止向第三方传输时,停止传输并要求第三方销毁已经接收到的个人信息。
3) 涉及到个人敏感信息时,已征得个人信息主体同意。
4) 因向第三方传输个人信息对个人信息主体合法权益带来损害时,网络运营者同意先行承担赔付责任。 |
3. 网络运营者关于个人信息出境安全风险及安全保障措施分析报告
除了上述合同外,2019版《评估办法》还要求网络运营者申报个人信息出境安全评估时提供个人信息出境安全风险及安全保障措施分析报告,且该分析报告应当至少包括以下内容:
1) 网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力等。
2) 个人信息出境计划,包括持续时间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等。
3) 个人信息出境风险分析和保障个人信息安全和个人信息主体合法权益的措施。
三、合规点评及建议
1. 个人信息与重要数据分离管理,个人信息本地化要求有待观察
2017版《评估办法》中将个人信息与重要数据并到一起进行监管与规范。但2019版《评估办法》仅关注个人信息出境问题,同时,结合之前出台的《数据安全管理办法(征求意见稿)》相关内容,我们认为从监管趋势来看,个人信息与重要数据分离管理几成定局。
《网络安全法》要求"关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定"。
2017版《评估办法》仍要求将在中华人民共和国境内运营中收集和产生的个人信息和重要数据在境内存储,同时将适用对象由"关键信息基础设施运营者"扩大到了"网络运营者"。
但我们发现,2019版《评估办法》并未提及个人信息存储本地化的要求。当然,从我国数据立法的趋势来看,我们认为不宜理解为2019版《评估办法》不要求个信息存储本地化,毕竟已经生效的《互联网个人信息保护指南》明确规定"在境内运营中收集和产生的个人信息应在境内存储"。但作为将来个人信息出境限制制度的重要法律依据,为何此次征求意见稿中对存储本地化这一重要问题没有回答,我们认为这值得企业日后留意相应监管动态与实践。
建 议
1
企业应当对自己所掌握的数据进行梳理与分类识别,在将来不同类别的数据很可能会适用各自不同的合规要求。
2
从法条内容来看,我们并未见到给予企业过渡期的规定,因此,尽管本地化存储及个人信息出境评估的要求仍待具体落地,但企业应当尽早评估实施相应合规措施的成本与可操作性,尽早准备应对方案。
2. 明确规定合同必备条款,又是喜来又是忧
2019版《评估办法》采取了与GDPR通过标准格式合同条款(Standard Contract Clause, "SCC")进行监管相类似的思路,要求网络运营者与个人信息接收者签订的合同,并明确合同应具备的相应内容(具体要求请见上文)。
一般来说,在数据合规业务中我们多会建议企业将合规责任与风险通过合同的形式进行分配与固定。但在合同草拟过程中,合同条款在横向上应覆盖多广,在纵向上应深入多细,没有明确可以参考的依据,更多的时候是起草人员根据具体项目内容、自己对法律法规的理解以及实践可操作性进行把握。
2019版《评估办法》可以说在这个问题上为企业指出了一个方向。合同中的基本条款、网络运营的责任与义务、个人信息接收者的责任与义务,关于向第三方传输的条件等核心重要内容,均被2019版《评估指南》明确。
我们甚至大胆推测,不排除将来有更加细化的标准条款被推出作为模板供企业参考。因此,从企业是否有明确指导及要求可以遵守的角度来看,这个消息不算太差,毕竟"法律暧昧或不明确,如令遵守,实属苛酷"。
然而,要求网络运营者与个人信息接收者签订合同也会带来一系列问题。
首先,企业的境外合作伙伴在多大程度愿意接受签订该等条款得打上一个大大的问号。如果企业境外合作伙伴不愿接受全部或部分合同内容,企业又不得不遵守相应国内法规,那么阴阳合同等情况可能难免会发生。
其次,根据2019版《评估办法》,"应个人信息主体的请求,提供本合同的副本"是网络运营者的责任与义务。这意味着企业与境外合作伙伴的合同可能会向第三方披露,该等披露以何种形式进行、披露内容是否会涉及企业商业秘密及其它保密责任等问题都是企业接下来需要考虑的问题。
最后,2019版《评估办法》对合同内容的要求更多是从保护个人信息主体权益的角度出发进行规定,但其实个人信息主体本身并不是合同签订主体,实践中个人信息主体如何依据行政法规以及(其非签订主体的)民事合同向第三人主张权利,以及企业如何应对相应情况的发生,有待进一步观察与讨论。
建 议
1
应尽快梳理及重审涉及个人信息出境的合同,并进行合规评估
2
应与境外信息接收者进行沟通,对将来可能采取的合规操作进行讨论。考虑到可能需要披露合同内容的要求,我们建议企业与境外信息接收者签订单独的数据协议作为补充协议,这样在披露时可以平衡商业需求与监管需求。
3
可以考虑聘请专业的数据合规团队针对不同业务情境下的需求拟定不同的符合2019版《评估办法》要求的数据协议模板。
3.征求意见几易其稿,企业合规应立足当下,尽其所能
2019版《评估办法》相较之前的征求意见稿体现了一种全新的的监管思路。尽管监管思路的转变对企业提出了更新、更全、甚至更高的要求,但我们认为这其实是一种积极的信号,反映的是监管机构对实际情况的充分考量与对优秀经验的充分借鉴。
另外,在网络安全与数据保护愈演愈烈的浪潮下,相关法律法规在最终落地之前出现反复与调整的情况并非不可理解,企业不应抱有"既然相关法律法规还没有落地,那就等生效后再说"的懈怠心理。相反,不论法律法规细节最后如何调整与确定,许多贯穿其中的原理及企业可以提前采取的准备措施是共通的。企业完全可以尽早采取数据分类梳理,认真留存各类数据记录,构建数据合规基本框架与组建相应团队/部门等措施,以便从容应对将来可能出现的合规挑战。同时,笔者具备丰富的数据及网安合规项目经验,今后也将持续为企业关注相应监管动态,及时分享业务经验,为企业经营保驾护航。
【注]
[1] 向不同的接收者提供个人信息应当分别申报安全评估,向同一接收者多次或连续提供个人信息无需多次评估。每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。
End
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号"中伦视界"及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
