上個(gè)月，安數(shù)網(wǎng)絡(luò)剛剛盤點(diǎn)了“數(shù)據(jù)出境”相關(guān)的所有法律法規(guī)，深度解析了各個(gè)法規(guī)之間的差異，并解讀了“數(shù)據(jù)出境第一案”。請(qǐng)戳↓

重磅解讀 | 數(shù)據(jù)出境如何“安檢”

6月13日，國家網(wǎng)信辦又發(fā)布《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》（下稱“意見稿”），并向社會(huì)公開征求意見。看來，“數(shù)據(jù)出境”的配套法規(guī)又向前邁進(jìn)了一步，為個(gè)人信息安全打造了一層保護(hù)盾，是數(shù)據(jù)出境規(guī)范演進(jìn)史上一個(gè)頗具意義的里程碑。安數(shù)網(wǎng)絡(luò)在時(shí)間軸上標(biāo)記下這重要的一步：

“個(gè)人信息出境”被帶偏節(jié)奏？

誰也想不到，這一人心所向、普大喜奔的好消息卻被帶偏節(jié)奏。

很多網(wǎng)民習(xí)慣于望文生義，一聽“個(gè)人信息”就以為要查戶口，一聽“安全評(píng)估”就以為要關(guān)小黑屋，對(duì)于白字黑字的正文選擇性失明，只看個(gè)標(biāo)題就以訛傳訛，添油加醋，一時(shí)間社交平臺(tái)上關(guān)于“個(gè)人信息出境”的擔(dān)憂此起彼伏。

更有網(wǎng)民把“個(gè)人信息出境”理解成“你去美國登陸個(gè)微博要報(bào)備”或者“我在國內(nèi)登陸個(gè)境外網(wǎng)站要報(bào)備”，這閱讀理解簡(jiǎn)直負(fù)分！

關(guān)注安數(shù)網(wǎng)絡(luò)的朋友們肯定不會(huì)犯這樣的低級(jí)錯(cuò)誤，“數(shù)據(jù)出境”和“個(gè)人信息”的定義，安數(shù)網(wǎng)絡(luò)已經(jīng)在文章里闡釋過很多遍，這里復(fù)習(xí)一下：

個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。

數(shù)據(jù)出境，是指網(wǎng)絡(luò)運(yùn)營者將在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，提供給位于境外的機(jī)構(gòu)、組織、個(gè)人。

那么“個(gè)人信息出境”是指什么？意見稿在第二條解釋得清清楚楚：

網(wǎng)絡(luò)運(yùn)營者向境外提供在中華人民共和國境內(nèi)運(yùn)營中收集的個(gè)人信息（以下稱個(gè)人信息出境），應(yīng)當(dāng)按照本辦法進(jìn)行安全評(píng)估。

評(píng)估對(duì)象不是你個(gè)人，而是網(wǎng)絡(luò)運(yùn)營者

你的個(gè)人信息能夠進(jìn)入網(wǎng)絡(luò)進(jìn)行傳輸，前提是你的個(gè)人信息被網(wǎng)絡(luò)運(yùn)營者收集了，然后被網(wǎng)絡(luò)運(yùn)營者通過服務(wù)器存儲(chǔ)起來，最后才有可能被傳輸出去。

決定你個(gè)人信息出境的關(guān)鍵并不是你提供個(gè)人信息的行為本身，而是收集、存儲(chǔ)和傳輸有關(guān)你的個(gè)人信息的網(wǎng)絡(luò)運(yùn)營者。你在哪里并不重要，重要的是收集和處理你個(gè)人信息的網(wǎng)絡(luò)運(yùn)營者的服務(wù)器在哪里。

如果個(gè)人信息出境了，那只有兩種可能：一種是網(wǎng)絡(luò)運(yùn)營者的服務(wù)器在境外；另一種可能是網(wǎng)絡(luò)運(yùn)營者的服務(wù)器雖然在境內(nèi)，但該網(wǎng)絡(luò)運(yùn)營者將其傳輸給境外第三人。你的個(gè)人信息出境了安不安全，關(guān)鍵就在于網(wǎng)絡(luò)運(yùn)營者和接收你個(gè)人信息的境外第三方是否采取了必要措施保護(hù)你的個(gè)人信息安全。

所以，草案對(duì)于網(wǎng)絡(luò)運(yùn)營者和接收你個(gè)人信息的境外第三人都設(shè)置了義務(wù)，而安全評(píng)估就是要評(píng)估他們是否履行了義務(wù)，而不是你個(gè)人。

由此看出，網(wǎng)信辦制定該辦法的目的是為了最大可能地降低我國公民個(gè)人信息出境帶來的安全風(fēng)險(xiǎn)，保障公民合法權(quán)益。

意見稿是如何保障個(gè)人信息出境安全?

簡(jiǎn)要來說，主要從以下幾個(gè)方面進(jìn)行保障：

根據(jù)意見稿，個(gè)人信息出境應(yīng)進(jìn)行安全評(píng)估。經(jīng)安全評(píng)估認(rèn)定個(gè)人信息出境可能影響國家安全、損害公共利益，或者難以有效保障個(gè)人信息安全的，不得出境。

個(gè)人信息出境前，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)向所在地省級(jí)網(wǎng)信部門申報(bào)個(gè)人信息出境安全評(píng)估。個(gè)人信息出境安全評(píng)估重點(diǎn)評(píng)估是否符合國家有關(guān)法律法規(guī)和政策規(guī)定；合同條款是否能夠充分保障個(gè)人信息主體合法權(quán)益；網(wǎng)絡(luò)運(yùn)營者或接收者是否有損害個(gè)人信息主體合法權(quán)益的歷史、是否發(fā)生過重大網(wǎng)絡(luò)安全事件等內(nèi)容。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)建立個(gè)人信息出境記錄并且至少保存5年。

出現(xiàn)網(wǎng)絡(luò)運(yùn)營者或接收者發(fā)生較大數(shù)據(jù)泄露、數(shù)據(jù)濫用等事件；個(gè)人信息主體不能或者難以維護(hù)個(gè)人合法權(quán)益；網(wǎng)絡(luò)運(yùn)營者或接收者無力保障個(gè)人信息安全等情況之一時(shí)，網(wǎng)信部門可以要求網(wǎng)絡(luò)運(yùn)營者暫停或終止向境外提供個(gè)人信息。此外，對(duì)違反規(guī)定向境外提供個(gè)人信息的行為，任何個(gè)人和組織有權(quán)向省級(jí)以上網(wǎng)信部門或者相關(guān)部門舉報(bào)。

詳細(xì)內(nèi)容請(qǐng)參見《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》全文。

國家互聯(lián)網(wǎng)信息辦公室關(guān)于《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》公開征求意見的通知

    為保障個(gè)人信息安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)、國家安全、社會(huì)公共利益，保護(hù)公民、法人的合法權(quán)益，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī)，國家互聯(lián)網(wǎng)信息辦公室會(huì)同有關(guān)部門起草了《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》，現(xiàn)向社會(huì)公開征求意見。有關(guān)單位和各界人士可以在2019年7月13日前，通過以下方式提出意見：

    1.登錄中國政府法制信息網(wǎng)（網(wǎng)址：http://www.chinalaw.gov.cn），進(jìn)入首頁的“立法意見征集”提出意見。

    2.通過電子郵件方式發(fā)送至：security@cac.gov.cn

    3.通過信函方式將意見寄至：北京市西城區(qū)車公莊大街11號(hào)國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局，郵編100044，并在信封上注明“個(gè)人信息出境安全評(píng)估辦法征求意見”。

    附件：個(gè)人信息出境安全評(píng)估辦法（征求意見稿）

國家互聯(lián)網(wǎng)信息辦公室

2019年6月13日

個(gè)人信息出境安全評(píng)估辦法

（征求意見稿）

    第一條 為保障數(shù)據(jù)跨境流動(dòng)中的個(gè)人信息安全，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)，制定本辦法。

    第二條 網(wǎng)絡(luò)運(yùn)營者向境外提供在中華人民共和國境內(nèi)運(yùn)營中收集的個(gè)人信息（以下稱個(gè)人信息出境），應(yīng)當(dāng)按照本辦法進(jìn)行安全評(píng)估。經(jīng)安全評(píng)估認(rèn)定個(gè)人信息出境可能影響國家安全、損害公共利益，或者難以有效保障個(gè)人信息安全的，不得出境。

    國家關(guān)于個(gè)人信息出境另有規(guī)定的，從其規(guī)定。

    第三條 個(gè)人信息出境前，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)向所在地省級(jí)網(wǎng)信部門申報(bào)個(gè)人信息出境安全評(píng)估。

    向不同的接收者提供個(gè)人信息應(yīng)當(dāng)分別申報(bào)安全評(píng)估，向同一接收者多次或連續(xù)提供個(gè)人信息無需多次評(píng)估。

    每2年或者個(gè)人信息出境目的、類型和境外保存時(shí)間發(fā)生變化時(shí)應(yīng)當(dāng)重新評(píng)估。

    第四條 網(wǎng)絡(luò)運(yùn)營者申報(bào)個(gè)人信息出境安全評(píng)估應(yīng)當(dāng)提供以下材料，并對(duì)材料的真實(shí)性、準(zhǔn)確性負(fù)責(zé)：

    （一）申報(bào)書。

    （二）網(wǎng)絡(luò)運(yùn)營者與接收者簽訂的合同。

    （三）個(gè)人信息出境安全風(fēng)險(xiǎn)及安全保障措施分析報(bào)告。

    （四）國家網(wǎng)信部門要求提供的其他材料。

    第五條 省級(jí)網(wǎng)信部門在收到個(gè)人信息出境安全評(píng)估申報(bào)材料并核查其完備性后，應(yīng)當(dāng)組織專家或技術(shù)力量進(jìn)行安全評(píng)估。安全評(píng)估應(yīng)當(dāng)在15個(gè)工作日內(nèi)完成，情況復(fù)雜的可以適當(dāng)延長(zhǎng)。

    第六條 個(gè)人信息出境安全評(píng)估重點(diǎn)評(píng)估以下內(nèi)容：

    （一）是否符合國家有關(guān)法律法規(guī)和政策規(guī)定。

    （二）合同條款是否能夠充分保障個(gè)人信息主體合法權(quán)益。

    （三）合同能否得到有效執(zhí)行。

    （四）網(wǎng)絡(luò)運(yùn)營者或接收者是否有損害個(gè)人信息主體合法權(quán)益的歷史、是否發(fā)生過重大網(wǎng)絡(luò)安全事件。

    （五）網(wǎng)絡(luò)運(yùn)營者獲得個(gè)人信息是否合法、正當(dāng)。

    （六）其他應(yīng)當(dāng)評(píng)估的內(nèi)容。

    第七條 省級(jí)網(wǎng)信部門在將個(gè)人信息出境安全評(píng)估結(jié)論通報(bào)網(wǎng)絡(luò)運(yùn)營者的同時(shí)，將個(gè)人信息出境安全評(píng)估情況報(bào)國家網(wǎng)信部門。

    網(wǎng)絡(luò)運(yùn)營者對(duì)省級(jí)網(wǎng)信部門的個(gè)人信息出境安全評(píng)估結(jié)論存在異議的，可以向國家網(wǎng)信部門提出申訴。

    第八條 網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)建立個(gè)人信息出境記錄并且至少保存5年，記錄包括：

    （一）向境外提供個(gè)人信息的日期時(shí)間。

    （二）接收者的身份，包括但不限于接收者的名稱、地址、聯(lián)系方式等。

    （三）向境外提供的個(gè)人信息的類型及數(shù)量、敏感程度。

    （四）國家網(wǎng)信部門規(guī)定的其他內(nèi)容。

    第九條 網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)每年12月31日前將本年度個(gè)人信息出境情況、合同履行情況等報(bào)所在地省級(jí)網(wǎng)信部門。

    發(fā)生較大數(shù)據(jù)安全事件時(shí)，應(yīng)及時(shí)報(bào)所在地省級(jí)網(wǎng)信部門。

    第十條 省級(jí)網(wǎng)信部門應(yīng)當(dāng)定期組織檢查運(yùn)營者的個(gè)人信息出境記錄等個(gè)人信息出境情況，重點(diǎn)檢查合同規(guī)定義務(wù)的履行情況、是否存在違反國家規(guī)定或損害個(gè)人信息主體合法權(quán)益的行為等。

    發(fā)現(xiàn)損害個(gè)人信息主體合法權(quán)益、數(shù)據(jù)泄露安全事件等情況時(shí)，應(yīng)當(dāng)及時(shí)要求網(wǎng)絡(luò)運(yùn)營者整改，通過網(wǎng)絡(luò)運(yùn)營者督促接收者整改。

    第十一條 出現(xiàn)以下情況之一時(shí)，網(wǎng)信部門可以要求網(wǎng)絡(luò)運(yùn)營者暫?；蚪K止向境外提供個(gè)人信息：

    （一）網(wǎng)絡(luò)運(yùn)營者或接收者發(fā)生較大數(shù)據(jù)泄露、數(shù)據(jù)濫用等事件。

    （二）個(gè)人信息主體不能或者難以維護(hù)個(gè)人合法權(quán)益。

    （三）網(wǎng)絡(luò)運(yùn)營者或接收者無力保障個(gè)人信息安全。

    第十二條 任何個(gè)人和組織有權(quán)對(duì)違反本辦法規(guī)定向境外提供個(gè)人信息的行為，向省級(jí)以上網(wǎng)信部門或者相關(guān)部門舉報(bào)。

    第十三條 網(wǎng)絡(luò)運(yùn)營者與個(gè)人信息接收者簽訂的合同或者其他有法律效力的文件（統(tǒng)稱合同），應(yīng)當(dāng)明確：

    （一）個(gè)人信息出境的目的、類型、保存時(shí)限。

    （二）個(gè)人信息主體是合同中涉及個(gè)人信息主體權(quán)益的條款的受益人。

    （三）個(gè)人信息主體合法權(quán)益受到損害時(shí)，可以自行或者委托代理人向網(wǎng)絡(luò)運(yùn)營者或者接收者或者雙方索賠，網(wǎng)絡(luò)運(yùn)營者或者接收者應(yīng)當(dāng)予以賠償，除非證明沒有責(zé)任。

    （四）接收者所在國家法律環(huán)境發(fā)生變化導(dǎo)致合同難以履行時(shí)，應(yīng)當(dāng)終止合同，或者重新進(jìn)行安全評(píng)估。

    （五）合同的終止不能免除合同中涉及個(gè)人信息主體合法權(quán)益有關(guān)條款規(guī)定的網(wǎng)絡(luò)運(yùn)營者和接收者的責(zé)任和義務(wù)，除非接收者已經(jīng)銷毀了接收到的個(gè)人信息或作了匿名化處理。

    （六）雙方約定的其他內(nèi)容。

    第十四條 合同應(yīng)當(dāng)明確網(wǎng)絡(luò)運(yùn)營者承擔(dān)以下責(zé)任和義務(wù)：

    （一）以電子郵件、即時(shí)通信、信函、傳真等方式告知個(gè)人信息主體網(wǎng)絡(luò)運(yùn)營者和接收者的基本情況，以及向境外提供個(gè)人信息的目的、類型和保存時(shí)間。

    （二）應(yīng)個(gè)人信息主體的請(qǐng)求，提供本合同的副本。

    （三）應(yīng)請(qǐng)求向接收者轉(zhuǎn)達(dá)個(gè)人信息主體訴求，包括向接收者索賠；個(gè)人信息主體不能從接收者獲得賠償時(shí)，先行賠付。

    第十五條 合同應(yīng)當(dāng)明確接收者承擔(dān)以下責(zé)任和義務(wù)：

    （一）為個(gè)人信息主體提供訪問其個(gè)人信息的途徑，個(gè)人信息主體要求更正或者刪除其個(gè)人信息時(shí)，應(yīng)在合理的代價(jià)和時(shí)限內(nèi)予以響應(yīng)、更正或者刪除。

    （二）按照合同約定的目的使用個(gè)人信息，個(gè)人信息的境外保存期限不得超出合同約定的時(shí)限。

    （三）確認(rèn)簽署合同及履行合同義務(wù)不會(huì)違背接收者所在國家的法律要求，當(dāng)接收者所在國家和地區(qū)法律環(huán)境發(fā)生變化可能影響合同執(zhí)行時(shí)，應(yīng)當(dāng)及時(shí)通知網(wǎng)絡(luò)運(yùn)營者，并通過網(wǎng)絡(luò)運(yùn)營者報(bào)告網(wǎng)絡(luò)運(yùn)營者所在地省級(jí)網(wǎng)信部門。

    第十六條 合同應(yīng)當(dāng)明確接收者不得將接收到的個(gè)人信息傳輸給第三方，除非滿足以下條件：

    （一）網(wǎng)絡(luò)運(yùn)營者已經(jīng)通過電子郵件、即時(shí)通信、信函、傳真等方式將個(gè)人信息傳輸給第三方的目的、第三方的身份和國別，以及傳輸?shù)膫€(gè)人信息類型、第三方保留時(shí)限等通知個(gè)人信息主體。

    （二）接收者承諾在個(gè)人信息主體請(qǐng)求停止向第三方傳輸時(shí)，停止傳輸并要求第三方銷毀已經(jīng)接收到的個(gè)人信息。

    （三）涉及到個(gè)人敏感信息時(shí)，已征得個(gè)人信息主體同意。

    （四）因向第三方傳輸個(gè)人信息對(duì)個(gè)人信息主體合法權(quán)益帶來損害時(shí)，網(wǎng)絡(luò)運(yùn)營者同意先行承擔(dān)賠付責(zé)任。

    第十七條 網(wǎng)絡(luò)運(yùn)營者關(guān)于個(gè)人信息出境安全風(fēng)險(xiǎn)及安全保障措施分析報(bào)告應(yīng)當(dāng)至少包括：

    （一）網(wǎng)絡(luò)運(yùn)營者和接收者的背景、規(guī)模、業(yè)務(wù)、財(cái)務(wù)、信譽(yù)、網(wǎng)絡(luò)安全能力等。

    （二）個(gè)人信息出境計(jì)劃，包括持續(xù)時(shí)間、涉及的個(gè)人信息主體數(shù)量、向境外提供的個(gè)人信息規(guī)模、個(gè)人信息出境后是否會(huì)再向第三方傳輸?shù)取?/p>

    （三）個(gè)人信息出境風(fēng)險(xiǎn)分析和保障個(gè)人信息安全和個(gè)人信息主體合法權(quán)益的措施。

    第十八條 網(wǎng)絡(luò)運(yùn)營者違反本辦法規(guī)定向境外提供個(gè)人信息的，依照有關(guān)法律法規(guī)進(jìn)行處理。

    第十九條 我國參與的或者與其他國家和地區(qū)、國際組織締結(jié)的條約、協(xié)議等對(duì)個(gè)人信息出境有明確規(guī)定的，適用其規(guī)定，我國聲明保留的條款除外。

    第二十條 境外機(jī)構(gòu)經(jīng)營活動(dòng)中，通過互聯(lián)網(wǎng)等收集境內(nèi)用戶個(gè)人信息，應(yīng)當(dāng)在境內(nèi)通過法定代表人或者機(jī)構(gòu)履行本辦法中網(wǎng)絡(luò)運(yùn)營者的責(zé)任和義務(wù)。

    第二十一條 本辦法下列用語的含義：

    （一）網(wǎng)絡(luò)運(yùn)營者，是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。

    （二）個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。

    （三）個(gè)人敏感信息，是指一旦被泄露、竊取、篡改、非法使用可能危害個(gè)人信息主體人身、財(cái)產(chǎn)安全，或?qū)е聜€(gè)人信息主體名譽(yù)、身心健康受到損害等的個(gè)人信息。

    第二十二條 本辦法自 年 月 日起實(shí)施。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明