2019年6月13日凌晨,国家网信办发布了《个人信息出境安全评估办法(征求意见稿)》(以下简称“《信息出境办法》”)向社会公开征求意见。这是继《个人信息和重要数据出境安全评估办法(征求意见稿)》之后,国家又一次在个人信息出境方面所做的立法尝试,也是对《数据安全管理办法(征求意见稿)》第二十八条第2款的细化。

　　《信息出境办法》大大扩大了安全评估要求的适用范围,并为涉及个人信息出境的网络运营者增设并调整了多项网络安全义务,增加了其网络安全管理成本。因此,涉及个人信息出境的网络运营者应当重审其信息流程,评估个人信息出境的必要性。如果个人信息出境实属必要,则应当尽快准备安全评估的相关资料,避免将来安全评估申报时措手不及。

♦一. 《信息出境办法》下个人信息出境的分别式监管体系

　　《数据安全管理办法(征求意见稿)》第二十八条第1款规定了重要数据出境的安全评估和审批要求,其第2款表明:个人信息出境的要求应另行规定。《信息出境办法》则是据此制定。《信息出境办法》与《数据安全管理办法(征求意见稿)》一起,取代了《个人信息和重要数据出境安全评估办法(征求意见稿)》,这意味着个人信息和重要数据的出境受制于一部规章的综合监管体系,变更为分别式监管体系。这种分别式监管体系, 固然反映了个人信息区别于重要数据的特点, 比如个人信息主体的知情同意,及其不涉及国家利益的本性等,但是可能在实践中为有关网络运营者增加管理负担。

　　对于很多涉及信息出境的企业而言,重要数据和个人信息的出境通常是同时或伴随发生的。比如跨国金融机构,涉及个人投资者的,其个人财务信息、交易信息等既属于个人信息也可能是重要数据;又如医疗医药企业,病患的个人诊疗记录和健康信息等也往往同时落入个人信息和重要数据的范畴。这就意味着,对于同一份信息的出境,需要适用不同的监管体系,无疑给网络运营者带来沉重的负担。

♦二. 个人信息出境的安全评估申报

　　《信息出境办法》规定了：“个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估”。与《个人信息和重要数据出境安全评估办法(征求意见稿)》中的要求相比,其主要有以下特点:

　　(1) 《信息出境办法》采取申报制,而非主管机关“批准”或“同意”,即开展个人信息出境并非以政府批准为前置条件。这种规定从严格意义上说并非设定新的行政许可,很难说违反《网络安全法》或《立法法》的规定。但是,何谓“申报”,安全评估的申报要求与“审批”要求又有何实质性区别,则仍未可知。

　　(2) 《信息出境办法》未设置“实质性”标准,无论个人信息出境的量有多大,都必须进行安全评估的申报。并且,“个人信息出境目的、类型和境外保存时间发生变化时应当重新评估”。这无疑给网络运营者增添了沉重的管理负担。

　　(3) 《信息出境办法》下的主管机关是省级网信部门,任何个人信息的出境都必须向其申报安全评估。这一点和重要数据出境有所不同,后者以行业主管部门同意为主,在行业主管部门不明确时由网信部门进行审批。这就意味着,对于金融、医疗医药、互联网等行业的企业而言,包含重要数据和个人信息的信息出境,将同时受到行业主管部门和网信部门的监管。比如,证券基金类企业的信息出境将可能受到证监会和网信部门的双重监管,制药企业的信息出境将可能受到药监部门和网信部门的双重监管。

♦三. 安全评估的关注重点

　　《信息出境办法》第六条规定了安全评估应当考虑的重点问题，包括:(1)信息出境是否符合国家有关法律法规和政策规定;(2)合同条款是否能够充分保障个人信息主体合法权益;(3)合同能否得到有效执行;(4)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件;(5)网络运营者获得个人信息是否合法、正当。

　　但是,上述内容并未穷尽安全评估的所有方面。从《信息出境办法》第五条(组织评估)、第八条(安全评估日志)、第十一条(暂停或终止出境)以及第十三条(出境合同)看,下列因素也必须在安全评估中予以考虑,包括信息出境的数量和频率、信息出境的目的、保障措施、信息主体对信息的控制能力、信息接收方所在国的法律环境等。实际上,网信部门在组织专家评审时,并不局限于上述因素。

　　因而,网络运营者在申报安全评估时,无法完全掌握政府和专家考虑的所有因素。这就需要网络运营者结合其运营的实际情况,全面分析可能涉及信息出境安全的各项因素,对哪些信息应当披露,应当如何披露作出科学完整的预判。

♦四. 出境合同的必备条款

　　《信息出境办法》第十三条明确要求网络运营者应与境外个人信息接受者签订关于信息出境的合同,该合同必须包含以下内容:(1)个人信息出境的目的、类型、保存时限;(2)个人信息主体是合同中涉及个人信息主体权益的条款的受益人;(3)个人信息主体合法权益受到损害时所享有的,索赔的权利,以及接受者和网络运营者的过错推定责任和连带责任;(4)在接受方国家法律环境发生变化导致合同难以履行时,网络运营者应当终止合同或重新进行安全评估的;(5)合同的终止不能免除合同中保护个人信息的有关义务。此外,《信息出境办法》亦明确了,有关信息出境的合同中应当规定的网络运营者和信息接受者必须履行的安全责任,比如,网络运营者必须按照信息主体的要求披露信息出境的详情,提供出境信息的副本,以及转达、回应信息主体的诉求和投诉;信息的接受者必须回应信息主体修正信息的要求,按照约定使用个人信息,以及当所在国家法律环境发生变化时,及时通知网络运营者,并通过网络运营者报告网信部门。

　　虽然,《信息出境办法》对信息出境合同的必备条款作出了详尽规定,但是这些条款的可执行性仍值得商榷。尤其是,涉及个人信息主体权利的条款,由于个人信息主体并不是信息出境合同的一方当事人,我国《合同法》亦没有对第三方受益人作出明确规定,实践中如何协调作为行政规章的《信息出境办法》与《合同法》的规定,仍可能存在不确定性。

　　纵然从《合同法》角度看,《信息出境办法》要求的部分合同条款难以强制执行,但仍有必要将其作为行政规章的要求。鉴于此,涉及信息出境的网络运营者需重审其有关信息出境的合同,以保证其符合《信息出境办法》的要求。

♦五. 信息留存和汇报义务

　　除上述义务之外,《信息出境办法》还要求网络运营者应保留信息出境记录至少5年。这是我国首次对网络运营者提出保留记录长达5年的要求。记录内容主要包括:(1)向境外提供个人信息的日期时间;(2)接收者的身份,包括但不限于接收者的名称、地址、联系方式等;(3)向境外提供的个人信息的类型及数量、敏感程度等。相比《网络安全法》规定了网络运营者应留存网络日志不少于六个月,《信息安全技术数据出境安全评估指南》(征求意见稿)规定了网络运营者应保存安全自评估报告至少2年,但此处至少五年的保存要求显然加重了网络运营者的管理成本。

　　此外,《信息出境办法》要求网络运营者在每年12月31日前向省级网信部门报告本年度个人信息出境情况、合同履行情况。这也无疑增加了网络运营者的行政负担。

♦结论

　　《信息出境办法》一旦依其目前文本实施,将给涉及个人信息出境的网络运营者带来沉重的行政负担。尤其对于金融机构、医疗医药等行业而言,其个人信息和重要数据的出境将受到行业主管部门和网信部门的双重监管。为避免有关信息和数据无法出境导致业务影响, 涉及信息出境的企业不妨重审其IT架构,尽可能在中国建立地区数据中心,在中国处理源自于中国的个人信息和个人信息。

　　如果出于商业或技术上的原因,信息必须出境的,网络运营者不妨考虑尽早准备,根据《信息出境办法》中安全评估的主要因素,自我评估是否满足信息出境的安全要求,包括:

　　·收集和整理用于信息出境安全评估所需要的材料,自我审核是否足以满足信息安全的有关要求;    

　　·重审关于信息出境的合同,确保以尽可能符合《合同法》的方式具备《信息出境办法》所要求的必备条款;

　　·自审其保护个人信息安全的有关政策和实践,确保符合《网络安全法》及配套法规的要求。  

作者：

杨迅，通力律师事务所律师。

吴晓雨，通力律师事务所。

熊雪雨，通力律师事务所。

（来源：通力律师）