2019年6月13日,国家互联网信息办公室发布《个人信息出境安全评估办法(征求意见稿)》(以下简称《评估办法》),公开征求社会公众的意见。该《评估办法》是对《网络安全法》第三十七条的落实,其目的不是为了限制个人用户的主动出境行为,而是为了在当前数据全球流动、许多国家和地区加强数据本地化和数据跨境流动管理的背景下,通过安全评估手段来保障数据跨境流动中的个人信息安全,防范我国境内用户个人信息出境安全风险,促进数据依法有序自由流动。
那么,《评估办法》出台后个人用户到底需要关注什么呢?本文从个人用户的视角,分析了《评估办法》的制定目的(why)、适用对象(who)和风险应对措施(how)。
《评估办法》的制定目的:防范个人信息出境安全风险
随着全球数字化经济的发展,大量数据正在跨境流动。正如个人出境游会面临生命财产安全风险一样,个人信息出境后也可能面临许多安全风险和挑战,而《评估办法》正是为了防范个人信息出境安全风险而制定的。个人信息出境安全风险主要表现在:
一是境外接收者数据保护能力发生变化,可能造成个人信息泄露或滥用。个人信息出境后,数据控制者从境内的网络运营者变成境外机构,机构的数据保护能力通常会发生变化。如果境外机构没有妥善保管个人信息,因为安全保护能力不足、安全漏洞、黑客攻击等原因导致数据泄露,或把这些信息非法再转移、违规利用,对国内用户的个人信息安全将造成严重影响。例如,2016年10月河北唐山用户境外旅游,通过国内网站预订国外酒店式公寓,输入了自己的信用卡卡号、姓名、信用卡有效日期和安全码信息,回国后发现信用卡被境外盗刷,究其原因就是个人信用卡信息出境传输给了国外酒店,而酒店由于安全措施不足导致了个人信息泄露。因此,欧盟等在数据跨境流动时,经常将数据接收方与发送方的个人信息保护水平相同作为前提条件。
二是各国个人信息保护法律法规存在差异,用户个人信息权益保障可能难以为继。《网络安全法》明确了用户具有个人信息的删除、更正、投诉举报、知情同意、安全保护等权益。个人信息出境后,境外接收者对用户个人信息权益的保障情况,要受当地所在国家和地区的法律法规限制,而目前个人信息保护法律法规并未在全球普及,中国、美国、欧盟等的数据跨境流动和个人信息保护法律法规以及实现机制也存在较大差异。如果由于接收方国家没有个人信息保护相关的法律法规要求,或者未对用户的个人信息更正、投诉举报、知情同意、安全保护等基本权益保障进行规范,或者当地的法律法规仅用于保护本国居民的个人信息等等,那么出境后国内用户的个人信息权益可能难以保障。
三是一旦发生个人信息安全事件,用户境外维权取证比较困难。我国《刑法》规定,通过窃取或者以其他方法非法获取公民个人信息,会以侵犯公民个人信息罪进行处罚。GB/T 35273《信息安全技术 个人信息安全规范》也提出一旦发生个人信息安全事件,网络运营者应及时将事件相关情况告知受影响的个人信息主体。而个人信息出境后,原境内监管机关无法对接收数据的境外主体实施管辖权,用户维护自身合法权益的渠道也变少了。一旦出现个人信息安全事件,由于法律法规不同、监管范围受限、语言文化差异、国际警方合作协调等客观原因,用户维权、调查取证、消除个人信息泄露后的影响都很困难,更别提出现个人信息安全事件主动通知用户本人了。
四是个人信息出境知情同意不足,用户通常不清楚自己的个人信息出境情况。《网络安全法》要求网络运营者收集使用、向他人提供个人信息,要经过被收集者的同意。但由于网络传输路径不透明、服务器交互复杂等原因,现实中用户在使用许多网络产品和服务时,经常不清楚是否存在个人信息出境、哪些个人信息出境、出境的目的,更别提个人信息出境前要经过用户的同意。比如,用户在使用跨境服务时大多不清楚具体哪些个人信息需要传输到境外服务器,在使用境内服务时不清楚个人信息是否会被路由到境外再传回境内,在使用网络产品和服务时不清楚个人信息在境内被收集后是否会被再转移到境外。
五是个人信息非法出境案件频发,侵犯了公民个人信息权益。早在2015年上海第一中级人民法院就审理了中国首起在华外国人非法获取公民个人信息案件,上海某公司2009年至2013年受境外客户委托,采取跟踪、走访、偷拍等手段,对多家公司或个人进行背景调查,向境外提供公民的户籍、出入境记录、通话记录等多项个人信息。近年来,由于国内对侵犯公民个人信息罪打击日趋严格,个人信息交易黑市渐向境外转移。2018年9月,有人在境外暗网网站兜售华住酒店5亿条个人信息。2018年无锡警方破获一起境外侵犯公民个人信息案,在该案件中境外中间商利用畅通的上下线渠道和成熟的运营模式,将公民个人信息迅速转手倒卖,日交易量达数十万条,严重侵害了公民个人信息权益。
《评估办法》的适用对象:网络运营者
关于《评估办法》的适用对象是否包含个人用户,答案是否定的。《评估办法》第二条给出了个人信息出境的定义,是指网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息。按照该定义描述,《评估办法》针对的个人信息出境需要同时符合几个条件:网络运营者+个人信息+数据出境。
1、关于网络运营者
即网络的所有者、管理者和网络服务提供者,同时《网络安全法》第九条规定了网络运营者通过网络开展经营和提供服务,由此可见网络运营者通常是通过网络开展经营和提供服务的机构,比如App、门户网站、业务系统平台的运营单位等,自然不是个人用户。
2、关于个人信息
是指网络运营者在境内运营收集的个人信息,而境内运营通常是指网络运营者在我国境内开展经营和服务,即适用于在我国境内对个人信息进行处理的个人信息控制者或处理者。同时《评估办法》第二十条规定,境外机构经营活动中,通过互联网等收集境内用户个人信息,应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。这意味着《评估办法》可能也会适用于不在我国境内但为我国用户提供服务的机构,这一适用对象思路与GDPR(《通用数据保护条例》)的思路是类似的。
3、关于数据出境
即向境外提供个人信息。单纯从出境方式来看,数据可能通过网络传输转移到境外,也可能数据通过介质媒体、交易等线下方式转移到境外,还可能数据存储在境内但境外可远程访问等等。
因此,《评估办法》适用于网络运营者(个人信息控制者或处理者),不是针对个人用户出境,甚至个人用户在境外网站注册、访问境外服务器、出境游等个人主动出境行为在《评估办法》以前版本还作为评估的例外条件。
《评估办法》的应对措施:采用多种手段应对个人信息出境安全风险
针对个人信息出境可能面临的安全风险,《评估办法》设计了标准化合同、安全风险及安全保障措施分析等多种措施来防范出境安全风险,具体表现在:
一是采用网络安全能力评估、暂停或终止条件设计等措施,应对数据保护能力变化及个人信息泄露等安全风险。针对该风险,《评估办法》第四、六、十一、十七条等给出了相应措施,比如:网络运营者申报个人信息出境安全评估,应当提交个人信息出境安全风险及安全保障措施分析报告,该报告要对网络运营者和接收者的网络安全能力、个人信息出境安全风险等方面进行分析。另外如果网络运营者或接收者发生较大数据泄露、数据滥用等事件,或者无力保障个人信息安全时,网信部门可要求网络运营者暂停或终止向境外提供个人信息。
二是采用合同内容约束、重新评估条件、暂停或终止条件设计等措施,应对法律法规差异及个人信息权益保障的风险。针对该风险,《评估办法》第六、十一、十三、十五条等给出了相应措施,比如:个人信息出境安全评估重点评估网络运营者与个人信息接收者签订的合同文件条款是否能充分保障个人信息主体合法权益,及网络运营者或接收者是否有损害用户合法权益的历史等;如果个人信息主体不能或者难以维护个人合法权益,网信部门可要求网络运营者暂停或终止向境外提供个人信息;接收者所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者重新进行安全评估;合同要明确接收者保障用户的个人信息访问、更正、删除、保存时限等责任。
三是采用举报、合同内容约束、赔付责任等措施,应对发生个人信息安全事件用户维权难的风险。针对该风险,《评估办法》第十二、十三、十四、十六条等给出了相应措施,比如:任何个人和组织有权对违反本办法规定向境外提供个人信息的行为,向省级以上网信部门或者相关部门举报;合同应明确用户合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任;网络运营者应向接收者转达用户的索赔诉求,用户不能从接收者获得赔偿时,网络运营者应先行赔付。
四是采用明确告知内容、获取合同副本、征得同意等措施,应对个人信息出境知情同意不够的风险。针对该风险,《评估办法》第十三、十四和十六条等给出了相应措施,比如:合同要明确个人信息出境的目的、类型、保存时限;网络运营者应以电子邮件、即时通信等方式告知个人信息主体网络运营者和接收者基本情况,以及向境外提供个人信息的目的、类型和保存时间;个人信息主体可要求网络运营者提供合同的副本;接收者将个人敏感信息传输给第三方时,需已征得用户同意等。
五是采用合法正当评估、检查、重要数据风险评估等措施,应对个人信息非法出境和大量敏感个人信息出境可能危及国家安全的风险。针对该风险,《评估办法》第六条、十条等给出了相应的措施,比如:个人信息出境安全评估应重点评估是否符合国家有关法律法规和政策规定,及网络运营者获得个人信息是否合法、正当;省级网信部门应当定期组织检查运营者的个人信息出境记录等个人信息出境情况,重点检查合同规定义务的履行情况、是否存在违反国家规定或损害个人信息主体合法权益的行为等。此外,《数据安全管理办法(征求意见稿)》也规定,网络运营者向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意。
综上所述,在全球数字化经济的背景下,数据跨境流动是全球经济发展的前提条件,但数据跨境流动中存在的个人信息出境安全风险在当前个人信息保护普遍重视的背景下也日趋严峻,欧盟、俄罗斯、新加坡等纷纷出台数据跨境流动或本地化存储相关政策。我国出台的《个人信息出境安全评估办法(征求意见稿)》正是在该背景下,为了防范我国境内用户个人信息出境安全风险而制定的,通过对网络运营者的个人信息出境情况进行评估,在保障个人信息安全的前提下促进数据跨境依法有序自由流动。
(来源:中国网信网 中国电子技术标准化研究院 胡影)
声明:本文来自网信中国,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。