上个月,安数网络刚刚盘点了“资料出境”相关的所有法律法规,深度解析了各个法规之间的差异,并解读了“资料出境第一案”。请戳↓
重磅解读 | 资料出境如何“安检”6月13日,国家网信办又释出《个人资讯出境安全评估办法(征求意见稿)》(下称“意见稿”),并向社会公开征求意见。看来,“资料出境”的配套法规又向前迈进了一步,为个人资讯保安打造了一层保护盾,是资料出境规范演进史上一个颇具意义的里程碑。安数网络在时间轴上标记下这重要的一步:
“个人资讯出境”被带偏节奏?
谁也想不到,这一人心所向、普大喜奔的好讯息却被带偏节奏。很多网民习惯于望文生义,一听“个人资讯”就以为要查户口,一听“安全评估”就以为要关小黑屋,对于白字黑字的正文选择性失明,只看个标题就以讹传讹,添油加醋,一时间社交平台上关于“个人资讯出境”的担忧此起彼伏。
图源:共青团中央图源:共青团中央图源:共青团中央更有网民把“个人资讯出境”理解成“你去美国登陆个微博要报备”或者“我在国内登陆个境外网站要报备”,这阅读理解简直负分!
关注安数网络的朋友们肯定不会犯这样的低阶错误,“个人资讯”和“资料出境”的定义,安数网络已经在文章里阐释过很多遍,这里复习一下:
个人资讯,是指以电子或者其他方式记录的能够单独或者与其他资讯结合识别自然人个人身份的各种资讯,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别资讯、住址、电话号码等。资料出境,是指网络运营者将在中华人民共和国境内运营中收集和产生的个人资讯和重要资料,提供给位于境外的机构、组织、个人。那么“个人资讯出境”是指什么?意见稿在第二条解释得清清楚楚:
网络运营者向境外提供在中华人民共和国境内运营中收集的个人资讯(以下称个人资讯出境),应当按照本办法进行安全评估。
评估物件不是你个人,而是网络运营者
你的个人资讯能够进入网络进行传输,前提是你的个人资讯被网络运营者收集了,然后被网络运营者通过服务器储存起来,最后才有可能被传输出去。决定你个人资讯出境的关键并不是你提供个人资讯的行为本身,而是收集、储存和传输有关你的个人资讯的网络运营者。你在哪里并不重要,重要的是收集和处理你个人资讯的网络运营者的服务器在哪里。
如果个人资讯出境了,那只有两种可能:一种是网络运营者的服务器在境外;另一种可能是网络运营者的服务器虽然在境内,但该网络运营者将其传输给境外第三方。你的个人资讯出境了安不安全,关键就在于网络运营者和接收你个人资讯的境外第三方是否采取了必要措施保护你的个人资讯保安。
所以,草案对于网络运营者和接收你个人资讯的境外第三方都设定了义务,而安全评估就是要评估他们是否履行了义务,而不是你个人。
由此看出,网信办制定该办法的目的是为了最大可能地降低我国公民个人资讯出境带来的安全风险,保障公民合法权益。
意见稿是如何保障个人资讯出境安全?
简要来说,主要从以下几个方面进行保障:根据意见稿,个人资讯出境应进行安全评估。经安全评估认定个人资讯出境可能影响国家安全、损害公共利益,或者难以有效保障个人资讯保安的,不得出境。
个人资讯出境前,网络运营者应当向所在地省级网信部门申报个人资讯出境安全评估。个人资讯出境安全评估重点评估是否符合国家有关法律法规和政策规定;合同条款是否能够充分保障个人资讯主体合法权益;网络运营者或接收者是否有损害个人资讯主体合法权益的历史、是否发生过重大网络安全事件等内容。网络运营者应当建立个人资讯出境记录并且至少储存5年。
出现网络运营者或接收者发生较大资料泄露、资料滥用等事件;个人资讯主体不能或者难以维护个人合法权益;网络运营者或接收者无力保障个人资讯保安等情况之一时,网信部门可以要求网络运营者暂停或终止向境外提供个人资讯。此外,对违反规定向境外提供个人资讯的行为,任何个人和组织有权向省级以上网信部门或者相关部门。
详细内容请参见《个人资讯出境安全评估办法(征求意见稿)》全文。
国家互联网资讯办公室关于《个人资讯出境安全评估办法(征求意见稿)》公开征求意见的通知
为保障个人资讯保安,维护网络空间主权、国家安全、社会公共利益,保护公民、法人的合法权益,依据《中华人民共和国网络安全法》等法律法规,国家互联网资讯办公室会同有关部门起草了《个人资讯出境安全评估办法(征求意见稿)》,现向社会公开征求意见。有关单位和各界人士可以在2019年7月13日前,通过以下方式提出意见:1.登入中国-法制资讯网(网址:http://www.chinalaw.gov.cn),进入首页的“立法意见征集”提出意见。
2.通过电子邮件方式传送至:[email protected]
3.通过信函方式将意见寄至:北京市西城区车公庄大街11号国家互联网资讯办公室网络安全协调局,邮编100044,并在信封上注明“个人资讯出境安全评估办法征求意见”。
附件:个人资讯出境安全评估办法(征求意见稿)
国家互联网资讯办公室
2019年6月13日
个人资讯出境安全评估办法
(征求意见稿)
第一条 为保障资料跨境流动中的个人资讯保安,根据《中华人民共和国网络安全法》等相关法律法规,制定本办法。
第二条 网络运营者向境外提供在中华人民共和国境内运营中收集的个人资讯(以下称个人资讯出境),应当按照本办法进行安全评估。经安全评估认定个人资讯出境可能影响国家安全、损害公共利益,或者难以有效保障个人资讯保安的,不得出境。
国家关于个人资讯出境另有规定的,从其规定。
第三条 个人资讯出境前,网络运营者应当向所在地省级网信部门申报个人资讯出境安全评估。
向不同的接收者提供个人资讯应当分别申报安全评估,向同一接收者多次或连续提供个人资讯无需多次评估。
每2年或者个人资讯出境目的、型别和境外储存时间发生变化时应当重新评估。
第四条 网络运营者申报个人资讯出境安全评估应当提供以下材料,并对材料的真实性、准确性负责:
(一)申报书。
(二)网络运营者与接收者签订的合同。
(三)个人资讯出境安全风险及安全保障措施分析报告。
(四)国家网信部门要求提供的其他材料。
第五条 省级网信部门在收到个人资讯出境安全评估申报材料并核查其完备性后,应当组织专家或技术力量进行安全评估。安全评估应当在15个工作日内完成,情况复杂的可以适当延长。
第六条 个人资讯出境安全评估重点评估以下内容:
(一)是否符合国家有关法律法规和政策规定。
(二)合同条款是否能够充分保障个人资讯主体合法权益。
(三)合同能否得到有效执行。
(四)网络运营者或接收者是否有损害个人资讯主体合法权益的历史、是否发生过重大网络安全事件。
(五)网络运营者获得个人资讯是否合法、正当。
(六)其他应当评估的内容。
第七条 省级网信部门在将个人资讯出境安全评估结论通报网络运营者的同时,将个人资讯出境安全评估情况报国家网信部门。
网络运营者对省级网信部门的个人资讯出境安全评估结论存在异议的,可以向国家网信部门提出申诉。
第八条 网络运营者应当建立个人资讯出境记录并且至少储存5年,记录包括:
(一)向境外提供个人资讯的日期时间。
(二)接收者的身份,包括但不限于接收者的名称、地址、联络方式等。
(三)向境外提供的个人资讯的型别及数量、敏感程度。
(四)国家网信部门规定的其他内容。
第九条 网络运营者应当每年12月31日前将本年度个人资讯出境情况、合同履行情况等报所在地省级网信部门。
发生较大资料安全事件时,应及时报所在地省级网信部门。
第十条 省级网信部门应当定期组织检查运营者的个人资讯出境记录等个人资讯出境情况,重点检查合同规定义务的履行情况、是否存在违反国家规定或损害个人资讯主体合法权益的行为等。
发现损害个人资讯主体合法权益、资料泄露安全事件等情况时,应当及时要求网络运营者整改,通过网络运营者督促接收者整改。
第十一条 出现以下情况之一时,网信部门可以要求网络运营者暂停或终止向境外提供个人资讯:
(一)网络运营者或接收者发生较大资料泄露、资料滥用等事件。
(二)个人资讯主体不能或者难以维护个人合法权益。
(三)网络运营者或接收者无力保障个人资讯保安。
第十二条 任何个人和组织有权对违反本办法规定向境外提供个人资讯的行为,向省级以上网信部门或者相关部门。
第十三条 网络运营者与个人资讯接收者签订的合同或者其他有法律效力的档案(统称合同),应当明确:
(一)个人资讯出境的目的、型别、储存时限。
(二)个人资讯主体是合同中涉及个人资讯主体权益的条款的受益人。
(三)个人资讯主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任。
(四)接收者所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者重新进行安全评估。
(五)合同的终止不能免除合同中涉及个人资讯主体合法权益有关条款规定的网络运营者和接收者的责任和义务,除非接收者已经销毁了接收到的个人资讯或作了匿名化处理。
(六)双方约定的其他内容。
第十四条 合同应当明确网络运营者承担以下责任和义务:
(一)以电子邮件、即时通讯、信函、传真等方式告知个人资讯主体网络运营者和接收者的基本情况,以及向境外提供个人资讯的目的、型别和储存时间。
(二)应个人资讯主体的请求,提供本合同的副本。
(三)应请求向接收者转达个人资讯主体诉求,包括向接收者索赔;个人资讯主体不能从接收者获得赔偿时,先行赔付。
第十五条 合同应当明确接收者承担以下责任和义务:
(一)为个人资讯主体提供访问其个人资讯的途径,个人资讯主体要求更正或者删除其个人资讯时,应在合理的代价和时限内予以响应、更正或者删除。
(二)按照合同约定的目的使用个人资讯,个人资讯的境外储存期限不得超出合同约定的时限。
(三)确认签署合同及履行合同义务不会违背接收者所在国家的法律要求,当接收者所在国家和地区法律环境发生变化可能影响合同执行时,应当及时通知网络运营者,并通过网络运营者报告网络运营者所在地省级网信部门。
第十六条 合同应当明确接收者不得将接收到的个人资讯传输给第三方,除非满足以下条件:
(一)网络运营者已经通过电子邮件、即时通讯、信函、传真等方式将个人资讯传输给第三方的目的、第三方的身份和国别,以及传输的个人资讯型别、第三方保留时限等通知个人资讯主体。
(二)接收者承诺在个人资讯主体请求停止向第三方传输时,停止传输并要求第三方销毁已经接收到的个人资讯。
(三)涉及到个人敏感资讯时,已征得个人资讯主体同意。
(四)因向第三方传输个人资讯对个人资讯主体合法权益带来损害时,网络运营者同意先行承担赔付责任。
第十七条 网络运营者关于个人资讯出境安全风险及安全保障措施分析报告应当至少包括:
(一)网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力等。
(二)个人资讯出境计划,包括持续时间、涉及的个人资讯主体数量、向境外提供的个人资讯规模、个人资讯出境后是否会再向第三方传输等。
(三)个人资讯出境风险分析和保障个人资讯保安和个人资讯主体合法权益的措施。
第十八条 网络运营者违反本办法规定向境外提供个人资讯的,依照有关法律法规进行处理。
第十九条 我国参与的或者与其他国家和地区、国际组织缔结的条约、协议等对个人资讯出境有明确规定的,适用其规定,我国宣告保留的条款除外。
第二十条 境外机构经营活动中,通过互联网等收集境内使用者个人资讯,应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。
第二十一条 本办法下列用语的含义:
(一)网络运营者,是指网络的所有者、管理者和网络服务提供者。
(二)个人资讯,是指以电子或者其他方式记录的能够单独或者与其他资讯结合识别自然人个人身份的各种资讯,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别资讯、住址、电话号码等。
(三)个人敏感资讯,是指一旦被泄露、窃取、篡改、非法使用可能危害个人资讯主体人身、财产安全,或导致个人资讯主体名誉、身心健康受到损害等的个人资讯。
第二十二条 本办法自 年 月 日起实施。
部分文字、图片来自网络,如涉及侵权,请及时与我们联络,我们会在第一时间删除或处理侵权内容。
及时掌握网络安全态势 尽在傻蛋联网装置搜寻系统
【网络安全监管部门】免费试用→→关注微信公众号:安数网络
本文为一点号作者原创,未经授权不得转载