热烈祝贺11seba.com服务器升级完毕,全固态硬盘,50G超大带宽,满足你的 一切数据查看需求!

公告:郑重承诺:资源永久免费,资源不含任何联盟富媒体弹窗广告,只有三次走马灯水印广告(承诺绝不影响用户体验)


当前位置
首页  »  安杰律师事务所  »  数据出境安全评估制度进一步明晰 —— 评《信息安全技术数据出境安全评估指南(征求意见稿)》

摘要: 继全国信息安全标准化技术委员会于2017年5月27日发布(《信息安全技术数据出境安全评估指南(草案)》向社会公开征集意见后,信安标委又于2017年8月30日发布了《信息安全技术数据出境安全评估指南(征求意见稿)》。

前言

继全国信息安全标准化技术委员会(下文简称“信安标委”)于2017年5月27日发布(《信息安全技术数据出境安全评估指南(草案)》(下文简称“《第一稿》”)向社会公开征集意见后,信安标委又于2017年8月30日发布了《信息安全技术数据出境安全评估指南(征求意见稿)》(下文简称“《第二稿》”),再次向社会公开征求意见,本次征求意见的截止日期为2017年10月13日。


第二稿和第一稿相比有较大改动,本文分析了第二稿中的这些重要变化,并结合《网络安全法》和《个人信息和重要数据出境安全评估办法(征求意见稿)》对个人信息和重要数据出境制度框架进行梳理。


“网络运营者”仍需对数据出境进行评估


《网络安全法》第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。上述《网络安全法》对数据出境的限制仅限于“关键信息基础设施”的运营者。而国家互联网信息办公室(“网信办”)于2017年5月发布的《个人信息和重要数据出境安全评估办法(修改稿)》(下称“《数据出境办法》”)中将数据出境安全评估要求的适用主体由《网络安全法》下的“关键信息基础设施”运营者扩展到含义更广泛的“网络运营者”[ⅰ] 。这意味着几乎所有的互联网服务商、网络新媒体企业以及利用网络处理个人信息和重要数据的传统企业(例如银行、保险公司公司等)都将被要求对数据出境进行安全评估。


《第一稿》和《第二稿》在此问题上均采取了《数据出境办法》中的扩大化解释,《第二稿》规定:“本标准适用于网络运营者开展的个人信息和重要数据出境安全自评估,以及国家网信部门、行业主管部门组织开展的个人信息和重要数据出境安全评估。”严格来看,《数据出境办法》和《第二稿》在此问题上均不符合《网络安全法》规定,但从最近几个重要法规和国家标准的立法趋势来看,这种扩大化解释将极有可能最终通过,“网络运营者”仍需遵守《数据出境办法》和《第二稿》中要求的数据出境安全评估要求。


境外网络运营者也需要进行数据出境安全评估


《网络安全法》第三十七条规定,关键信息基础设施运营者在中国“境内运营”中收集和产生的个人信息和重要数据确需向境外提供的,应当进行安全评估。《第二稿》首次定义了“境内运营”的含义,即“网络运营者在中华人民共和国境内开展业务,提供产品或服务的活动”。值得注意的是,《第二稿》规定:“未在中华人民共和国境内注册的网络运营者,但在中华人民共和国境内开展业务,或向中华人民共和国境内提供产品或服务的,属于境内运营”、“判断网络运营者是否在中国境内开展业务,或向中国境内提供产品或服务的参考因素包括但不限于使用中文、以人民币作为结算货币、向中国境内配送物流等”。这意味着,注册于境外的企业如果在中国境内开展业务、或向中国境内提供产品或服务,且在此过程中收集来源于中国境内个人信息和重要数据并传输至境外的,也需要按照《第二稿》中的规定进行数据出境安全评估。


《第二稿》还规定:“中国境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务,且不涉及境内公民个人信息和重要数据的,不视为境内运营”。


“数据出境”概念进一步细化


《数据出境办法》里仅将“数据出境”规定为“向境外提供在中华人民共和国境内运营中收集和产生的个人信息和重要数据”的行为。但实践中数据出境的场景较为复杂,为更好地指引企业实践,有必要对何谓“数据出境”进一步解释。《第二稿》对“数据出境”定义为“网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动”,并列举了几类数据出境的认定情形[ⅱ] 。


结合《第二稿》中对“境内运营”和“数据出境”的定义,我们认为如下情形均须根据《第二稿》规定进行数据出境安全评估:


1) 境外网络运营者在中国境内开展业务、或向中国境内提供产品或服务过程中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的;


2) 境内网络运营者向位于中国境内的,但不属于本国司法管辖或未在境内注册的主体(如境外企业的代表处)提供中国境内收集和产生的个人信息和重要数据的;


3) 个人信息和重要数据存储在境内,但接触该数据的权限也开放给境外的机构、组织、个人的行为(即境内数据在境外下载或可访问查看的),但公开信息及公开的网页访问除外;


4) 网络运营者集团内部涉及将中国境内开展业务,或向中国境内提供产品或服务过程中收集和产生的个人信息和重要数据,由境内主体转移至境外主体的。


根据《第二稿》的规定,我们认为如下情形不需要进行数据出境安全评估:


1) 境内网络运营者将在境外收集或由境外主体在境外收集和产生的个人信息和重要数据,未经任何变动或加工处理,再传输至境外的;


2) 境内网络运营者在中国境内存储、加工处理在境外收集或由境外主体在境外收集和产生的个人信息和重要数据,再传输至境外的;


3) 仅向境外机构、组织或个人开展业务、提供商品或服务的境内网络运营者收集和产生不涉及境内公民个人信息和重要数据的其他数据,向境外提供的,不视为境内运营亦不属于数据出境。


个人信息主体对个人信息出境的明示同意


《数据出境办法》规定,涉及个人信息出境时应征得个人信息主体的同意,但并未明确该同意究竟应该是明示同意还是默示同意。《第二稿》对此种同意明确定义为“个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息出境做出明确授权的行为。”由此可见,根据《第二稿》的要求,企业如需将个人信息提供至境外,则必须获得个人信息主体主动、明确的书面授权或确认(即明示同意);仅在网站或平台公示相应隐私政策及数据出境的条款、而不要求个人信息主体予以点击确认的做法(即默示同意)将不再符合上述要求。


《第二稿》规定了以上规则的几种例外情况,这些情况下虽无个人信息主体的明示同意,但应视为个人信息主体已经同意:拨打国际及漫游电话、发送国际电子邮件、进行国际即时通信、通过互联网进行跨境交易以及其他个人主动行为,视为个人信息主体已经同意;将合法向社会公开披露的个人信息出境,视为个人信息主体已经同意。《第二稿》还规定“当网络运营者隐私规则发生变更、数据出境目的、范围、类型、数量发生较大变化、数据接收方发生变更或数据出境风险发生较大变化时应重新取得个人信息主体同意。”


数据出境评估流程指引进一步细化


《第二稿》规定,数据出境安全评估首先评估数据出境目的;数据出境目的不具有合法性、正当性和必要性,不得出境。在此基础上评估数据出境安全风险,将数据出境及再转移后被泄露、损毁、篡改、滥用等风险有效地降至最低限度。具体流程如下图:

在此基础上,《第二稿》对两种不同类型的评估提供了较为详细的指引:



1)网络运营者的安全自评估


a)《第二稿》规定网络运营者应每年开展安全自评估。在满足以下条件之一时应启动安全自评估:“涉及数据出境的;关键信息基础设施运营者进行数据出境之前的;已完成数据出境安全自评估的产品或业务所涉及的个人信息和重要数据出境,在目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件的;按照行业主管或者监管部门要求启动的。”


b)《第二稿》明确了连续出境的情形,即“数据出境的目的、接收方相同,范围、类型、数量不发生较大变化,且两次数据出境间隔不超过一年”。当网络运营者的数据出境满足连续出境的条件时,视为一次出境行为,无需重复评估。


c)《第二稿》规定,当数据出境涉及多方主体时,应以数据出境发起方作为安全自评估责任主体。例如:云服务客户主动要求云服务提供商进行数据出境的,由云服务提供商配合云服务客户开展安全自评估,且由云服务客户承担相应责任。如云服务提供商主动要求进行数据出境的,由云服务客户配合云服务提供商开展安全自评估,且由云服务提供商承担相应责任。


d) 网络运营者在完成数据出境安全自评估后,应当形成包含安全自评估对象基本情况、安全自评估组织实施情况、安全自评估结果、数据出境安全风险点、检查修正建议等内容的安全自评估报告。相较《第一稿》,本次《第二稿》将安全自评估报告的保存期限由5年缩短为2年,一定程度上减轻了企业的负担;此外还规定了应当将安全自评估报告上报行业主管部门或国家网信部门的几类情况 [ⅲ] 。


e) 根据《第二稿》,网络运营者经安全自评估后,“评估结果为可以出境的,依照出境计划进行出境,对评估结果禁止出境的,提出出境计划修改建议,业务部门修改出境计划,降低数据出境安全风险后,重新进行评估。”


2)主管部门评估


本次《第二稿》新增了主管部门评估的流程和方法,明确了主管部门启动评估的条件:

具有下列情形之一的,国家网信部门、行业主管部门可启动主管部门评估:


a) 一年内出境的个人信息数量达到国家网信部门、行业主管部门上报要求的;


b) 包含核设施、生物化学、国防军工、人口健康等领域数据,大型工程活动、海洋环境、敏感地理信息数据,以及其他重要数据的;


c) 涉及关键信息基础设施的安全缺陷、具体安全防护措施等网络安全信息的;


d) 关键基础设施运营者数据出境的;


e) 其他可能影响国家安全、经济发展和社会公共利益的;


f) 大量用户投诉、举报的;


g) 全国性行业协会建议的;


h) 其他经国家网信部门、行业主管部门认定有必要启动主管部门评估的。


根据《第二稿》规定,如经主管部门评估“数据出境计划不满足出境目的评估中合法性、正当性和必要性要求的或数据出境安全风险评估中的出境安全风险为高或极高的”,个人信息和重要数据不得出境。

结语

《网络安全法》已明确数据本地化及数据安全评估制度,企业急需政府部门公布更为细化的法规和指南,以便指引企业管理其数据本地化和数据出境实践。《第二稿》在《网络安全法》和《个人信息和重要数据出境安全评估办法(修改稿)》的基础上进一步明确了个人信息和重要数据出境安全评估的要求和评估流程,对企业进行数据出境管理提供了比较有操作性的指引。我们认为,《第二稿》与最终公布的版本的内容差异可能较小,相关企业应尽快建立个人信息保护和重要数据内部管理制度、数据出境安全评估制度和流程,并妥善保存安全评估涉及的技术、管理、法律等方面的分析报告和评估结论。该工作一方面是满足企业内部数据运营管理的需要,另一方面也是满足日益严格的数据出境合规和监管部门数据出境安全检查的需要。


我们将继续关注这一领域的进展并及时进行解读。


批注

ⅰ《个人信息和重要数据出境安全评估办法(修改稿)》第二条:网络运营者向境外提供在中华人民共和国境内运营中收集和产生的个人信息和重要数据(以下称数据出境),应当按照本办法进行安全评估。法律、行政法规另有规定的,依照其规定。”

ⅱ《第二稿》规定:

注1:以下情形属于数据出境:

a)向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;

b)数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);

c)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。

注2:非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境。

注3:非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。

ⅲ 网络运营者在完成数据出境安全自评估后,应形成安全自评估报告。安全自评估报告内容应包括但不限于:安全自评估对象基本情况、安全自评估组织实施情况、安全自评估结果、数据出境安全风险点、检查修正建议。安全自评估报告应至少保存2年,并在如下情况下将安全自评估报告上报行业主管部门,行业主管部门不明确的,报国家网信部门。

a)关键信息基础设施运营者开展的安全自评估;

b)一年内出境的个人信息数量达到国家网信部门、行业主管部门上报要求的; 

c)包含核设施、生物化学、国防军工、人口健康等领域数据,大型工程活动、海洋环境敏感地理信息数据,以及其他重要数据的;

d)涉及关键信息基础设施的安全缺陷、具体安全防护措施等网络安全信息的;

e)其他可能影响国家安全、经济发展和社会公共利益的。



杨洪泉律师是安杰律师事务所合伙人,他在电信、互联网和IT、合规、劳动法等领域有丰富经验,尤为擅长提供个人信息保护和网络安全领域的法律服务。

邮箱:yanghongquan@anjielaw.com

电话:+86 10 8567 2968

声明

文章仅代表作者观点,不视为安杰律师事务所正式法律意见或建议。如需转载或引用请注明出处。如有任何问题欢迎与本所联系

复制下列地址至浏览器地址栏即可观看,本站不提供在线正版。备注:如有地址错误,请点击→ 我要报错 向我们报错!我们将在第一时间处理!谢谢!
  • 本网站所有内容均收集于互联网主流视频网站,不提供在线正版播放。
  • Copyright ©2017 All Rights Reserved 11seba.com