太古观察:聚焦《个人信息出境安全评估办法(征求意见稿)》
导读
2019年6月13日,国家互联网信息办公室发布了《个人信息出境安全评估办法(征求意见稿)》(以下简称“《征求意见稿》”)公开征求意见。
与2017年发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》相比,此次《征求意见稿》将个人信息与重要数据出境的安全评估区分开来,明确个人信息出境的评估需求,对个人信息出境专门进行规范。以下将对重要内容做出解读。
安全评估的对象是谁?境外机构收集的信息该如何对待?
根据《征求意见稿》第二条规定:网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。
根据《征求意见稿》第三条规定:个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。
根据《征求意见稿》第二十条规定:境外机构经营活动中,通过互联网等收集境内用户个人信息,应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。
解读:
以上三条规定了安全评估的对象以及境外机构收集境内信息时该如何对待的规定。
从《征求意见稿》来看,凡是在我国境内收集的个人信息需要出境时,均应按照《征求意见稿》进行安全评估。
《征求意见稿》规定个人信息在出境前,需要向所在地省级网信部门申报个人信息出境安全评估,在这里需要提出的问题是,在这个即将进入5G时代,且信息爆炸的时代,省级网信部门是否有足够的能力来应对海量的信息审查需求?
安全评估都评估哪些内容?
根据《征求意见稿》第六条 个人信息出境安全评估重点评估以下内容:
(一)是否符合国家有关法律法规和政策规定。
(二)合同条款是否能够充分保障个人信息主体合法权益。
(三)合同能否得到有效执行。
(四)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件。
(五)网络运营者获得个人信息是否合法、正当。
(六)其他应当评估的内容。
解读:
本条规定了安全评估的内容,首先网络运营者获取信息的渠道是合法正当的,其次对网络运营者的过往经历也是需要考察和评估的。同时,对于与用户之间的合同条款以及合同的执行力度也需要做评估。
对于如此详细的审查都由省级网信部门来完成,看来相关部门真的需要加大人力的相关投入了。
个人信息出境记录的保存时间
根据《征求意见稿》第八条 网络运营者应当建立个人信息出境记录并且至少保存5年,记录包括:
(一)向境外提供个人信息的日期时间。
(二)接收者的身份,包括但不限于接收者的名称、地址、联系方式等。
(三)向境外提供的个人信息的类型及数量、敏感程度。
(四)国家网信部门规定的其他内容。
解读:
本条规定了个人信息出境记录保存的时间最少是五年以及需要保存记录的类型,可以说,五年这个时间点规定的恰到好处,一方面,出境信息日积月累的保存会形成数据库,对于日后某些事件的发生可以做数据比对;另一方面,信息出境五年内也是风险高发和容易出现风险的时期。
太古点评:
从5月24日到6月13日,国家互联网信息办公室相继发布了《网络安全审查办法》、《数据安全管理办法》、《儿童个人信息网络保护规定》和《个人信息出境安全评估办法》四部的征求意见稿,这一连串动作背后的意义是值得我们去思考的。
与2017年发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》相比,此次发布的《征求意见稿》要求所有出境的公民个人信息均需由省一级网信部门进行安全评估,并且进行五年以上的保存,由此可见,公民信息安全已经达到了一个全新的高度,我们将持续关注。
律所地址
北京市朝阳区曙光西里甲六号院时间国际H座(8号楼)北区18层
邮箱地址
tigood@tigood.com.cn
联系电话
010-57165265
