2019

06/17

02:46

來源:
中國網信網

微信

新浪

解析《個人信息出境安全評估辦法(征求意見稿)》實體保護規則背后的主要思路

  個人信息在出境場景下的保護,主要目的是在數據脫離了原來的數據控制者同時流出國境的情況下,持續保障個人合法權益。

  數據流出國境,與數據在境內流動相比,會產生四個主要的變化:一是數據持有方發生變化,對數據的保護能力必然有相應的改變;二是數據流出后適用的法律法規不同了;三是原境內監管機關無法對接收數據的境外主體實施管轄權;四是個人數據主體維護自身合法權益的渠道變少了,且變得更加困難。

  因此,保障個人數據出境安全的主要制度設計著力于上述四個方面。對這點,中外莫不如是。

  先看已經落地實施較長時間的歐盟。新的《通用數據保護條例》(GDPR)在95指令的基礎上,進一步固定并更新了個人數據出境的安全保護制度。首先看標準格式合同條款(standard contract clause, SCC)。SCC固定了數據出境后受到的保護原則(也就決定了保護水平);同時SCC還通過法律責任劃分的形式,將主要責任確定在了境內的組織,給境內監管機關追究責任提供了便利。當然,境內主體可以轉而繼續追究境外主體的責任,通過合同的形式。同時,歐盟的SCC還在其合同中規定了個人數據主體可以基于合同擁有一些特定的權利。

  再次看有約束力的公司準則(binding corporate rules, BCR),也是著力于上述四個方面。BCR需境內監管機關的認可,就意味著境內監管機關需要認可BCR所提供的數據保護水平,如果有一家跨國分公司所在國家的保護水平比較低,則該分公司還是需要遵守BCR,根據BCR規定的原則提供數據保護。公司在提交BCR申請時,需要確定主申報國家。一旦主申報國家確定,則公司在該國的公司主體就要承擔有關數據出境的所有法律責任——即監管機關、個人數據主體,均可以通過境內的公司主體來追究法律責任。

  最后看充分性認定。對某個國家或地區進行充分性認定,就意味著認可該國家或地區的法律法規,意味著認可該國家或地區監管機關對數據保護的執法力度,也意味著認可個人行使權利的有效性和便利程度。因此,認定是個非常慎重的過程,需要全方面的考察。

  從上述角度來看,單純依賴個人同意作為個人數據出境的條件,無法“補齊”數據出境帶來的四個風險變化。從國際慣例上看,個人同意普遍不是數據出境的先決條件。而在實踐中,如果將“同意”作為個人信息出境的條件,主要的場景是偶發、單次、數量較少且其他出境制度(如充分性認定、標準格式條款、有約束力的公司準則等)均不適用的情況下。

  基于上述分析和理解,再來觀察網信辦發布的《個人信息出境安全評估辦法(征求意見稿)》(以下簡稱“《辦法》”)。該《辦法》所建立的個人信息出境保護制度,基本上也是從上述個人信息出境時會出現的四個變化著手,通過制度設計,降低新增安全風險。主要分析如下:

  《辦法》要求個人信息出境前,網絡運營者與境外數據接收者簽訂合同。同時,《辦法》對合同的內容作了細致的規定,主要內容之一就是對接收者如何保護個人信息安全的約定。此外,網絡運營者在申報出境安全評估時應提交個人信息出境安全風險及安全保障措施分析報告,重點分析內容之一即是接收者的數據安全能力。這樣的制度設計主要針對的是確保境外數據接收者能夠持續對個人信息提供足夠的保護水平。

  對于數據出境后所適用的法律法規發生變化的問題,《辦法》提出網絡運營者在與接收者簽訂的合同中,應當要求數據接收者在其所在國家或地區的法律發生變化而導致合同無法履行的情況時,主動告知網絡運營者。后者將判斷是否終止合同,并要求數據接收者刪除相關數據。這樣“通知-變更”的要求,能夠有效防止境外法律法規產生變化后可能對個人信息安全帶來的不利影響。當然,在個人數據出境前,網絡運營者就應首先分析境外國家或地區的法律法規是否足以保障個人信息的安全。

  對于原境內監管機關無法對境外數據接收方實施管轄的問題,《辦法》從三個層面作出了設計:首先,《辦法》要求網絡運營者與接收者簽訂的合同中,要對個人信息安全責任作出約定,明確境內網絡運營者“默認兜底”(accountability by default)的角色和安排。其次,網信部門通過網絡運營者的年度申報可以掌握單個網絡運營者的整體數據出境情況,以此安排檢查;在特定情況下,網信部門可要求暫停數據出境,并要求網絡運營者通過合同這個法律工具,要求數據接收者刪除數據。再次,《辦法》要求“境外網絡運營者”直接面向中國市場提供服務時,需要在境內安排法定代表人或者機構以履行《辦法》所規定的法律責任和義務,也是為了保障有效的管轄。

  確保個人信息主體能夠在數據出境后維護自身合法權益,也是《辦法》的另外一個亮點。不僅在合同中,網絡運營者需與接收方提前約定個人信息主體行使其權利的途徑和方式,網絡運營者在申報出境安全評估時,也需要對上述途徑和方式的有效性、便利性開展分析和評估。當然,《辦法》也沒有將“寶”全押在網絡運營者身上,其還賦予了個人信息主體針對數據出境的特殊“查詢權”。個人信息主體可查詢的內容包括:網絡運營者與接收方之間簽署的合同副本、個人信息主體網絡運營者和接收者的基本情況,以及向境外提供個人信息的目的、類型和保存時間等內容。在保障知情權的前提下,個人信息主體能夠更好地行使其權利。

  當然,如果不對個人信息出境后再次傳輸(onwards transfer)進行限定,上述個人信息出境安全的制度設計就將流于形式。因此《辦法》專門針對出境后的再次傳輸進行了規定:針對個人信息的再次傳輸,實施個人選擇退出(opt-out);針對個人敏感信息的再次傳輸,則要求個人選擇同意(opt-in)。

  總的看來,我國個人信息出境安全評估的制度設計,在處置實體層面的安全風險(即本文前述的因數據出境帶來的四個變化)時,基本和外國實踐保持一致,真正做到了有的放矢。(洪延青 北京大學法治與發展研究院)

解析《個人信息出境安全評估辦法(征求意見稿)》實體保護規則背后的主要思路

2019 14:46來源:中國網信網

  個人信息在出境場景下的保護,主要目的是在數據脫離了原來的數據控制者同時流出國境的情況下,持續保障個人合法權益。

  數據流出國境,與數據在境內流動相比,會產生四個主要的變化:一是數據持有方發生變化,對數據的保護能力必然有相應的改變;二是數據流出后適用的法律法規不同了;三是原境內監管機關無法對接收數據的境外主體實施管轄權;四是個人數據主體維護自身合法權益的渠道變少了,且變得更加困難。

  因此,保障個人數據出境安全的主要制度設計著力于上述四個方面。對這點,中外莫不如是。

  先看已經落地實施較長時間的歐盟。新的《通用數據保護條例》(GDPR)在95指令的基礎上,進一步固定并更新了個人數據出境的安全保護制度。首先看標準格式合同條款(standard contract clause, SCC)。SCC固定了數據出境后受到的保護原則(也就決定了保護水平);同時SCC還通過法律責任劃分的形式,將主要責任確定在了境內的組織,給境內監管機關追究責任提供了便利。當然,境內主體可以轉而繼續追究境外主體的責任,通過合同的形式。同時,歐盟的SCC還在其合同中規定了個人數據主體可以基于合同擁有一些特定的權利。

  再次看有約束力的公司準則(binding corporate rules, BCR),也是著力于上述四個方面。BCR需境內監管機關的認可,就意味著境內監管機關需要認可BCR所提供的數據保護水平,如果有一家跨國分公司所在國家的保護水平比較低,則該分公司還是需要遵守BCR,根據BCR規定的原則提供數據保護。公司在提交BCR申請時,需要確定主申報國家。一旦主申報國家確定,則公司在該國的公司主體就要承擔有關數據出境的所有法律責任——即監管機關、個人數據主體,均可以通過境內的公司主體來追究法律責任。

  最后看充分性認定。對某個國家或地區進行充分性認定,就意味著認可該國家或地區的法律法規,意味著認可該國家或地區監管機關對數據保護的執法力度,也意味著認可個人行使權利的有效性和便利程度。因此,認定是個非常慎重的過程,需要全方面的考察。

  從上述角度來看,單純依賴個人同意作為個人數據出境的條件,無法“補齊”數據出境帶來的四個風險變化。從國際慣例上看,個人同意普遍不是數據出境的先決條件。而在實踐中,如果將“同意”作為個人信息出境的條件,主要的場景是偶發、單次、數量較少且其他出境制度(如充分性認定、標準格式條款、有約束力的公司準則等)均不適用的情況下。

  基于上述分析和理解,再來觀察網信辦發布的《個人信息出境安全評估辦法(征求意見稿)》(以下簡稱“《辦法》”)。該《辦法》所建立的個人信息出境保護制度,基本上也是從上述個人信息出境時會出現的四個變化著手,通過制度設計,降低新增安全風險。主要分析如下:

  《辦法》要求個人信息出境前,網絡運營者與境外數據接收者簽訂合同。同時,《辦法》對合同的內容作了細致的規定,主要內容之一就是對接收者如何保護個人信息安全的約定。此外,網絡運營者在申報出境安全評估時應提交個人信息出境安全風險及安全保障措施分析報告,重點分析內容之一即是接收者的數據安全能力。這樣的制度設計主要針對的是確保境外數據接收者能夠持續對個人信息提供足夠的保護水平。

  對于數據出境后所適用的法律法規發生變化的問題,《辦法》提出網絡運營者在與接收者簽訂的合同中,應當要求數據接收者在其所在國家或地區的法律發生變化而導致合同無法履行的情況時,主動告知網絡運營者。后者將判斷是否終止合同,并要求數據接收者刪除相關數據。這樣“通知-變更”的要求,能夠有效防止境外法律法規產生變化后可能對個人信息安全帶來的不利影響。當然,在個人數據出境前,網絡運營者就應首先分析境外國家或地區的法律法規是否足以保障個人信息的安全。

  對于原境內監管機關無法對境外數據接收方實施管轄的問題,《辦法》從三個層面作出了設計:首先,《辦法》要求網絡運營者與接收者簽訂的合同中,要對個人信息安全責任作出約定,明確境內網絡運營者“默認兜底”(accountability by default)的角色和安排。其次,網信部門通過網絡運營者的年度申報可以掌握單個網絡運營者的整體數據出境情況,以此安排檢查;在特定情況下,網信部門可要求暫停數據出境,并要求網絡運營者通過合同這個法律工具,要求數據接收者刪除數據。再次,《辦法》要求“境外網絡運營者”直接面向中國市場提供服務時,需要在境內安排法定代表人或者機構以履行《辦法》所規定的法律責任和義務,也是為了保障有效的管轄。

  確保個人信息主體能夠在數據出境后維護自身合法權益,也是《辦法》的另外一個亮點。不僅在合同中,網絡運營者需與接收方提前約定個人信息主體行使其權利的途徑和方式,網絡運營者在申報出境安全評估時,也需要對上述途徑和方式的有效性、便利性開展分析和評估。當然,《辦法》也沒有將“寶”全押在網絡運營者身上,其還賦予了個人信息主體針對數據出境的特殊“查詢權”。個人信息主體可查詢的內容包括:網絡運營者與接收方之間簽署的合同副本、個人信息主體網絡運營者和接收者的基本情況,以及向境外提供個人信息的目的、類型和保存時間等內容。在保障知情權的前提下,個人信息主體能夠更好地行使其權利。

  當然,如果不對個人信息出境后再次傳輸(onwards transfer)進行限定,上述個人信息出境安全的制度設計就將流于形式。因此《辦法》專門針對出境后的再次傳輸進行了規定:針對個人信息的再次傳輸,實施個人選擇退出(opt-out);針對個人敏感信息的再次傳輸,則要求個人選擇同意(opt-in)。

  總的看來,我國個人信息出境安全評估的制度設計,在處置實體層面的安全風險(即本文前述的因數據出境帶來的四個變化)時,基本和外國實踐保持一致,真正做到了有的放矢。(洪延青 北京大學法治與發展研究院)

為你推薦

為飛馳的技術戴上駕具——對自動合成內

近日,國家互聯網信息辦公室會同相關部門研究起草《數據安全管理辦法》,其中第二十四條明確:“網絡運營者利用大數據、人工智能等技術自動合成新聞、博文、帖子、評論等信息……

《個人信息出境安全評估辦法》體現“以

當然,《辦法》還存在需要進一步明確和細化的問題,相信各界本著促進《辦法》更好地體現各方訴求的出發點,積極提出各種建設性意見,將會更益于《辦法》的改進。

我國首次發布相關治理原則——發展人工

近年來,人工智能迅速發展,正在深刻改變人類社會生活、改變世界。但同時,相關法律、倫理、社會問題的研究,也成為行業發展不可回避的問題。

云南快乐十分如何玩