數據安全沙龍 ∣《個人信息出境安全評估辦法(征求意見稿)》的思考與建議

圣埃蒂安门将 www.qxojts.com.cn 來源:    分類: 網規和立法   時間: 2019-07-11 17:59   閱讀:24742次



近日,阿里巴巴數據安全研究中心聯合數據?;す伲―PO)社群在北京舉辦沙龍,圍繞國家互聯網信息辦公室近期公開征求意見的《個人信息出境安全評估辦法(征求意見稿)》的重點條款展開集中討論,并提出了創新性的意見和建議。


沙龍現場討論的部分共識:


《個人信息出境安全評估辦法(征求意見稿)》(以下簡稱“征求意見稿”)針對網絡運營者提出了個人信息出境安全評估要求?!罷髑笠餳濉本嚀迥諶蒞湊瞻踩攔賴娜鞒討鴆秸箍?,如下圖。

 “征求意見稿”的制度設計,無論是對合同、個人信息出境安全風險及安全保障措施分析報告,還是省級網信部門開展評估的重點等,均強調了個人信息流出國境后持續對個人合法合法權益的?;?。


DPO社群認為,國家動用公權力來?;げ煌嘈褪?,其核心訴求肯定有所不同。



DPO社群認為,個人信息出境安全,主要是避免出于“經濟目的”為導向的數據泄露和濫用事件;重要數據出境,主要是避免出于“政治和安全目的”為導向的數據泄露和濫用事件。


既然個人信息和重要數據出境安全評估所要防范的風險事件有著本質上的不同,出境安全評估的設計也應體現不同的理念、重點。防范性質不同的數據安全事件,采取的手段自然也就不同。對個人信息出境監管來說,制度核心應當是通過安全評估,反向激勵企業在個人信息出境時,真正地承擔起責任(accountability)原則,管控數據出境鏈條中各合作方的行為。而對重要數據出境來說,因為面對的是以“政治和安全目的”的攻擊,就算企業承擔了責任,也經常無濟于事。


目前的“征求意見稿”作出了“網絡運營者申報”、“省級網信部門評估合格后批準”的設計,在實踐中很可能無法起到上述激勵作用。相反,企業中負責數據安全和合規的部門,事實上可以將“鍋”甩給省級網信部門:原本面對業務部門開展經營的訴求,企業中的數據安全和合規部門本來是站在他們“對立面”,時常要踩剎車;但現在的申報批準制,相當于政府部門承擔了原本企業中數據安全和合規的部門“踩剎車”的責任,原本企業中不同部門之間的“制衡”就不復存在。在這樣的制度設計中,企業中數據安全和合規的部門的最佳策略肯定是和業務部門站在一起,對業務訴求一律開綠燈,事事申報。申請不過,是監管的責任;申請過了,如果最終出了任何數據安全問題,也是監管的責任。


DPO社群認為,企業天然就具有開展業務獲得經濟利益的訴求。當下,在全球都開始重視數據安全?;さ那榭魷?,正規運營的企業無論高層到一線,均認識到企業加強數據安全和個人信息?;すぷ?,已經是不可逆轉的趨勢。因此,政府開展包括出境安全評估在內的數據安全?;ぶ貧壬杓?,最重要的是讓企業意識到:“沒有這個金剛鉆,就別攬這個瓷器活”。


建立符合“權責一致原則”的個人信息出境安全評估制度建議



首先,綜合實際情況,存在以下幾種無需備案的情形:

1. 出于維護個人信息主體或其他個人的生命、財產等重大合法權益所必需;

2. 履行境內法律法規規定的義務相關的;

3. 由個人主動發起,且境外數據接收方為數據實際出境過程中唯一或主要的數據控制者的;

[重點說明1:此種情形主要包括個人直接登錄境外網站或應用以購買商品或服務,例如買機票、訂酒店等;但不包括以下情形:境內網絡運營者平臺作為中介,個人通過該中介服務購買了境外的商品或服務。在此情形中,境內網絡運營者平臺和境外數據接收方同為數據控制者。因此,境內平臺與境外數據接收方的商業合作模式和數據流動模式應進行備案。

重點說明2:同樣起到上述目的的另外一種可能的表述是:由個人主動發起的數據出境活動的必需的,無需備案;但在數據出境過程中為提供該數據出境提供技術支持和協助的第三方平臺,應就數據出境技術支持和協助的安全性進行自評估并備案。]

1. 個人主動撥打電話,以及發送短信、傳真、電子郵件等;

2. 涉及已經合法公開的個人信息或個人自行公開的個人信息。


其次,境內的數據發送方在其自行決定的具體數據跨境業務啟動日期,提前二十日向省級網信部門提交材料,進行備案。提交的材料包括:

1. 備案表;

2. 數據出境相關的合同條款,或專門的數據出境合同[重點說明:業務合作合同中涉及企業大量的商業秘密。建議向僅僅備案與數據出境相關的具體合同條款;或者作為業務合作合同附件的專門就數據出境作出約定的協議文本。業務合作中會對數據出境安全造成影響的因素,企業會在“個人信息出境安全風險及安全保障措施分析報告”作出披露并開展風險分析];

3. 個人信息出境安全風險及安全保障措施分析報告。


隨后,數據發送方備案后二十日內未接到省級網信部門的通知,可自行啟動數據跨境業務。如果省級網信部門收到備案材料二十日內,發現特定企業所開展的數據出境業務有可能存在以下情形的,省級網信部門通知該數據發送方,并組織專家或技術力量進行安全評估。安全評估啟動情形如下:

1. 存在個人合法權益無法保障的風險;

2. 存在損害國家安全、社會公共利益的風險;

3. 國家有關部門認定的其他風險。


建立“權責一致原則”的個人信息出境安全評估制度的益處


1.從企業的角度來看


如此制度設計的好處在于給了企業非常強的數據安全和合規激勵。即,如果企業在選擇境外業務合作伙伴、設計相關合同或條款等方面做出足夠的努力,提供了足夠的安全水平,并且就準備了一目了然、令人信服的個人信息出境安全風險及安全保障措施分析報告,那業務開展就能有比較大的確定性和可控性,特別是業務部門不用等待政府部門的“綠燈”,才能開展業務——只要在具體業務啟動提前二十日提交備案材料,隨后就能如期開展與境外的合作。相反如果某個企業對數據出境的安全“漫不經心”,隨意選擇合作伙伴,且準備的材料不充分,自然政府部門將啟動評估,合作將不得不作出顯著調整,甚至于中止。


2.從省級網信部門的角度來看


如此的制度設計,避免了省級網信部門可能需要承擔原本由企業內部數據安全和合規部門所應該承擔的職責。企業有非常強的動力去選擇合作伙伴以及進行相關的條款設計。并且,企業在提供“個人信息出境安全風險及安全保障措施分析報告”時,有動力做到詳細、周全,免去了省級網信部門開展調查、問詢等大量的獲取信息的成本。更重要的是,這樣的制度設計給了省級網信部門“能進能退”的自主空間。且根據外部形勢變化和風險的演進,省級網信部門能夠靈活地“擰緊”或者“放松”數據出境的“閘口”。


3.對于備案系統的設計


對于備案系統及在備案系統中提交的文件,可進一步參考《具有輿論屬性或社會動員能力的互聯網信息服務的安全評估報告(模板)》,主要包含以下事項:

(1) 開展數據出境評估的情形[例如:新數據出境安全評估、兩年后的再評估、重大變更后的重新評估等];

(2) 數據發送方和接收方安全負責人及安全管理機構設立情況;

(3) 數據出境安全風險分析及采取的控制措施情況分析;

(4) 數據出境評估合同的情況[例如,使用的是標準合同,或者使用的是其他類型合同。DPO社群期待:全國性網絡安全標準化組織或者行業協會能夠制定符合本辦法要求的“數據出境示范合同”,并獲得國家網信部門的同意];

(5) 數據出境自評估記錄保存情況。 


整理:博雷

責編:張晶晶


0