Law-lib.com 2019-6-20 6:46:38 網(wǎng)信中國
隨著網(wǎng)絡化和信息化的不斷發(fā)展��,我國已經(jīng)成為世界上網(wǎng)民數(shù)量最多�、網(wǎng)絡數(shù)據(jù)生產(chǎn)量最大的國家之一,在我國數(shù)字經(jīng)濟領域高速發(fā)展的同時����,頻發(fā)的網(wǎng)絡安全和數(shù)據(jù)泄露事件也在時刻提醒我們,對個人信息進行保護刻不容緩�。
2019年6月13日凌晨,國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《個人信息出境安全評估辦法(征求意見稿)》(以下簡稱“辦法”)���,《辦法》界定了個人信息出境的行為����,明確了網(wǎng)絡運營者和個人信息接收者的職責���,細化了個人信息出境安全評估的內(nèi)容����!掇k法》的出臺對保障個人信息安全、規(guī)范個人信息出境依法有序的流動����,具有重大的指導意義��。
《辦法》的出臺����,一方面是對我國已經(jīng)出臺的關于個人信息保護法律法規(guī)的進一步細化和延伸����,如2017年開始實施的《網(wǎng)絡安全法》第三十七條規(guī)定:“關鍵信息基礎設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。因業(yè)務需要����,確需向境外提供的,應當按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估�。”《辦法》正是對個人信息出境進行安全評估的重要依據(jù)���。
另一方面�,針對國際范圍內(nèi)的數(shù)據(jù)流動��,部分國家及國際組織出臺了各自的法律和政策文件�����,來管理以個人信息為代表的跨境數(shù)據(jù),如歐盟的《一般數(shù)據(jù)保護條例》(GDPR)�、英國的《數(shù)據(jù)保護法案》、亞太經(jīng)合組織的《跨境隱私規(guī)則體系》���、日本的《個人信息保護法》等����,以保障個人信息跨境流動的安全��。我國是數(shù)據(jù)資源產(chǎn)出大國�����,亟需建立符合我國國情的個人信息出境管理辦法���,在數(shù)據(jù)跨境流動中切實保障個人信息安全�。
《個人信息出境安全評估辦法》作為一項“安全評估”辦法�����,很多人關心的問題是��,其安全評估的對象是誰��?誰來進行安全評估����?如何進行安全評估?《辦法》的22個條款圍繞這些問題給出了解答�����。
一是評估對象是誰��?有人擔心《辦法》一旦實施�,需要針對普通個人用戶進行安全評估。其實不然��,《辦法》第二條明確指出“網(wǎng)絡運營者向境外提供在中華人民共和國境內(nèi)運營中收集的個人信息�,應當按照《辦法》進行安全評估”,可以看出�����,安全評估的對象是網(wǎng)絡運營者���,而不是個人用戶��。這里網(wǎng)絡運營者�����,是指網(wǎng)絡的所有者����、管理者和網(wǎng)絡服務提供者,普通的個人不在此范疇���。
之所以將評估對象界定為“網(wǎng)絡運營者”�,是因為我國大量的個人信息����,主要是被網(wǎng)絡運營者所收集、持有和使用�,管理好了這些擁有大量個人信息的網(wǎng)絡運營者,就能在更大范圍內(nèi)保障個人信息安全���。
二是誰來進行評估��?安全評估工作由各省級網(wǎng)信部門負責�,這是因為其擔負著網(wǎng)絡安全管理職能�。具體來說��,網(wǎng)絡運營者向所在地省級網(wǎng)信部門申報個人信息出境安全評估,省級網(wǎng)信部門組織專家或技術力量進行安全評估���,經(jīng)安全評估認定個人信息出境不會影響國家安全��、損害公共利益�����,能夠有效保障個人信息安全的��,可以出境��。
為了不影響網(wǎng)絡運營者的正常業(yè)務����,除復雜情況外�����,安全評估一般在15個工作日內(nèi)完成�����。對安全評估結(jié)論存在異議的����,網(wǎng)絡運營者還可以向國家網(wǎng)信部門提出申訴�����。
三是評估內(nèi)容是什么�?有一種擔心是���,安全評估實施過程中���,會不會引入個人信息泄露的風險?其實這一擔心是完全不必要的����。我們首先來看安全評估時網(wǎng)絡運營者所需提供的材料有哪些,《辦法》第四條指出��,提供的材料包括申報書�、網(wǎng)絡運營者與接收者簽訂的合同、個人信息出境安全風險及安全保障措施分析報告等����;再來看省級網(wǎng)信部門在安全評估時重點評估哪些內(nèi)容,《辦法》第六條指出,主要從是否符合法律法規(guī)���、是否能保障個人信息主體合法權益等方面進行評估�?梢钥闯觯踩u估過程中并不需要提供具體的用戶個人信息��。
也就是說�����,評估的是網(wǎng)絡運營者是否能夠?qū)M出境的個人信息提供充分的安全保障�����,而非具體的個人信息本身�����。
四是個人信息出境后安全如何保障�?個人信息流到境外后,由于數(shù)據(jù)持有者發(fā)生了變化����,數(shù)據(jù)的保護能力、適用的法律法規(guī)也會發(fā)生改變�,個人信息主體維護自身合法權益將面臨一定的困難���,《辦法》充分考慮了這一難題,第十三至十五條要求境內(nèi)網(wǎng)絡運營者與境外個人信息接收者簽訂合同��,明確對個人信息主體合法權益的保護�,同時第十六條還對接收者將接收到的個人信息傳輸給第三方的行為進行了限定。
《個人信息出境安全評估辦法》明確了網(wǎng)絡運營者在個人信息出境方面的責任和義務����,對網(wǎng)絡運營者做好個人信息出境安全工作提出了更高的要求。這是針對個人信息脫離控制流向境外的情況�����,如何有效地保障個人信息主體的合法權益�,所采取的一項有力的制度設計。
日期:2019-6-20 6:46:38 | 關閉 |
