6月13日,国家网信办发布《个人信息出境安全评估办法(征求意见稿)》(下称“意见稿”),并向社会公开征求意见。“数据出境”的配套法规又向前迈进了一步,为个人信息安全打造了一层保护盾,是数据出境规范演进史上一个颇具意义的里程碑。安数网络在时间轴上标记下这重要的一步:
“个人信息出境”被带偏节奏?
谁也想不到,这一人心所向、普大喜奔的好消息却被带偏节奏。
很多网民习惯于望文生义,一听“个人信息”就以为要查户口,一听“安全评估”就以为要关小黑屋,对于白字黑字的正文选择性失明,只看个标题就以讹传讹,添油加醋,一时间社交平台上关于“个人信息出境”的担忧此起彼伏。
更有网民把“个人信息出境”理解成“你去美国登陆个微博要报备”或者“我在国内登陆个境外网站要报备”,这阅读理解简直负分!
关注安数网络的朋友们肯定不会犯这样的低级错误,“个人信息”和“数据出境”的定义,安数网络已经在文章里阐释过很多遍,这里复习一下:
个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
数据出境,是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。
那么“个人信息出境”是指什么?意见稿在第二条解释得清清楚楚:
网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。
评估对象不是你个人,而是网络运营者
你的个人信息能够进入网络进行传输,前提是你的个人信息被网络运营者收集了,然后被网络运营者通过服务器存储起来,最后才有可能被传输出去。
决定你个人信息出境的关键并不是你提供个人信息的行为本身,而是收集、存储和传输有关你的个人信息的网络运营者。你在哪里并不重要,重要的是收集和处理你个人信息的网络运营者的服务器在哪里。
如果个人信息出境了,那只有两种可能:一种是网络运营者的服务器在境外;另一种可能是网络运营者的服务器虽然在境内,但该网络运营者将其传输给境外第三方。你的个人信息出境了安不安全,关键就在于网络运营者和接收你个人信息的境外第三方是否采取了必要措施保护你的个人信息安全。
所以,草案对于网络运营者和接收你个人信息的境外第三方都设置了义务,而安全评估就是要评估他们是否履行了义务,而不是你个人。
由此看出,网信办制定该办法的目的是为了最大可能地降低我国公民个人信息出境带来的安全风险,保障公民合法权益。
意见稿是如何保障个人信息出境安全?
简要来说,主要从以下几个方面进行保障:
根据意见稿,个人信息出境应进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。
个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。个人信息出境安全评估重点评估是否符合国家有关法律法规和政策规定;合同条款是否能够充分保障个人信息主体合法权益;网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件等内容。网络运营者应当建立个人信息出境记录并且至少保存5年。
出现网络运营者或接收者发生较大数据泄露、数据滥用等事件;个人信息主体不能或者难以维护个人合法权益;网络运营者或接收者无力保障个人信息安全等情况之一时,网信部门可以要求网络运营者暂停或终止向境外提供个人信息。此外,对违反规定向境外提供个人信息的行为,任何个人和组织有权向省级以上网信部门或者相关部门举报。
详细内容请参见《个人信息出境安全评估办法(征求意见稿)》全文。
