數(shù)據(jù)安全沙龍 ∣《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》的思考與建議

近日，阿里巴巴數(shù)據(jù)安全研究中心聯(lián)合數(shù)據(jù)保護(hù)官（DPO）社群在北京舉辦沙龍，圍繞國(guó)家互聯(lián)網(wǎng)信息辦公室近期公開(kāi)征求意見(jiàn)的《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》的重點(diǎn)條款展開(kāi)集中討論，并提出了創(chuàng)新性的意見(jiàn)和建議。

沙龍現(xiàn)場(chǎng)討論的部分共識(shí)：

《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》（以下簡(jiǎn)稱“征求意見(jiàn)稿”）針對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提出了個(gè)人信息出境安全評(píng)估要求。“征求意見(jiàn)稿”具體內(nèi)容按照安全評(píng)估的全流程逐步展開(kāi)，如下圖。

“征求意見(jiàn)稿”的制度設(shè)計(jì)，無(wú)論是對(duì)合同、個(gè)人信息出境安全風(fēng)險(xiǎn)及安全保障措施分析報(bào)告，還是省級(jí)網(wǎng)信部門開(kāi)展評(píng)估的重點(diǎn)等，均強(qiáng)調(diào)了個(gè)人信息流出國(guó)境后持續(xù)對(duì)個(gè)人合法合法權(quán)益的保護(hù)。

DPO社群認(rèn)為，國(guó)家動(dòng)用公權(quán)力來(lái)保護(hù)不同類型數(shù)據(jù)，其核心訴求肯定有所不同。

DPO社群認(rèn)為，個(gè)人信息出境安全，主要是避免出于“經(jīng)濟(jì)目的”為導(dǎo)向的數(shù)據(jù)泄露和濫用事件；重要數(shù)據(jù)出境，主要是避免出于“政治和安全目的”為導(dǎo)向的數(shù)據(jù)泄露和濫用事件。

既然個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估所要防范的風(fēng)險(xiǎn)事件有著本質(zhì)上的不同，出境安全評(píng)估的設(shè)計(jì)也應(yīng)體現(xiàn)不同的理念、重點(diǎn)。防范性質(zhì)不同的數(shù)據(jù)安全事件，采取的手段自然也就不同。對(duì)個(gè)人信息出境監(jiān)管來(lái)說(shuō)，制度核心應(yīng)當(dāng)是通過(guò)安全評(píng)估，反向激勵(lì)企業(yè)在個(gè)人信息出境時(shí)，真正地承擔(dān)起責(zé)任（accountability）原則，管控?cái)?shù)據(jù)出境鏈條中各合作方的行為。而對(duì)重要數(shù)據(jù)出境來(lái)說(shuō)，因?yàn)槊鎸?duì)的是以“政治和安全目的”的攻擊，就算企業(yè)承擔(dān)了責(zé)任，也經(jīng)常無(wú)濟(jì)于事。

目前的“征求意見(jiàn)稿”作出了“網(wǎng)絡(luò)運(yùn)營(yíng)者申報(bào)”、“省級(jí)網(wǎng)信部門評(píng)估合格后批準(zhǔn)”的設(shè)計(jì)，在實(shí)踐中很可能無(wú)法起到上述激勵(lì)作用。相反，企業(yè)中負(fù)責(zé)數(shù)據(jù)安全和合規(guī)的部門，事實(shí)上可以將“鍋”甩給省級(jí)網(wǎng)信部門：原本面對(duì)業(yè)務(wù)部門開(kāi)展經(jīng)營(yíng)的訴求，企業(yè)中的數(shù)據(jù)安全和合規(guī)部門本來(lái)是站在他們“對(duì)立面”，時(shí)常要踩剎車；但現(xiàn)在的申報(bào)批準(zhǔn)制，相當(dāng)于政府部門承擔(dān)了原本企業(yè)中數(shù)據(jù)安全和合規(guī)的部門“踩剎車”的責(zé)任，原本企業(yè)中不同部門之間的“制衡”就不復(fù)存在。在這樣的制度設(shè)計(jì)中，企業(yè)中數(shù)據(jù)安全和合規(guī)的部門的最佳策略肯定是和業(yè)務(wù)部門站在一起，對(duì)業(yè)務(wù)訴求一律開(kāi)綠燈，事事申報(bào)。申請(qǐng)不過(guò)，是監(jiān)管的責(zé)任；申請(qǐng)過(guò)了，如果最終出了任何數(shù)據(jù)安全問(wèn)題，也是監(jiān)管的責(zé)任。

DPO社群認(rèn)為，企業(yè)天然就具有開(kāi)展業(yè)務(wù)獲得經(jīng)濟(jì)利益的訴求。當(dāng)下，在全球都開(kāi)始重視數(shù)據(jù)安全保護(hù)的情況下，正規(guī)運(yùn)營(yíng)的企業(yè)無(wú)論高層到一線，均認(rèn)識(shí)到企業(yè)加強(qiáng)數(shù)據(jù)安全和個(gè)人信息保護(hù)工作，已經(jīng)是不可逆轉(zhuǎn)的趨勢(shì)。因此，政府開(kāi)展包括出境安全評(píng)估在內(nèi)的數(shù)據(jù)安全保護(hù)制度設(shè)計(jì)，最重要的是讓企業(yè)意識(shí)到：“沒(méi)有這個(gè)金剛鉆，就別攬這個(gè)瓷器活”。

建立符合“權(quán)責(zé)一致原則”的個(gè)人信息出境安全評(píng)估制度建議

首先，綜合實(shí)際情況，存在以下幾種無(wú)需備案的情形：

1. 出于維護(hù)個(gè)人信息主體或其他個(gè)人的生命、財(cái)產(chǎn)等重大合法權(quán)益所必需；

2. 履行境內(nèi)法律法規(guī)規(guī)定的義務(wù)相關(guān)的；

3. 由個(gè)人主動(dòng)發(fā)起，且境外數(shù)據(jù)接收方為數(shù)據(jù)實(shí)際出境過(guò)程中唯一或主要的數(shù)據(jù)控制者的；

[重點(diǎn)說(shuō)明1：此種情形主要包括個(gè)人直接登錄境外網(wǎng)站或應(yīng)用以購(gòu)買商品或服務(wù)，例如買機(jī)票、訂酒店等；但不包括以下情形：境內(nèi)網(wǎng)絡(luò)運(yùn)營(yíng)者平臺(tái)作為中介，個(gè)人通過(guò)該中介服務(wù)購(gòu)買了境外的商品或服務(wù)。在此情形中，境內(nèi)網(wǎng)絡(luò)運(yùn)營(yíng)者平臺(tái)和境外數(shù)據(jù)接收方同為數(shù)據(jù)控制者。因此，境內(nèi)平臺(tái)與境外數(shù)據(jù)接收方的商業(yè)合作模式和數(shù)據(jù)流動(dòng)模式應(yīng)進(jìn)行備案。

重點(diǎn)說(shuō)明2：同樣起到上述目的的另外一種可能的表述是：由個(gè)人主動(dòng)發(fā)起的數(shù)據(jù)出境活動(dòng)的必需的，無(wú)需備案；但在數(shù)據(jù)出境過(guò)程中為提供該數(shù)據(jù)出境提供技術(shù)支持和協(xié)助的第三方平臺(tái)，應(yīng)就數(shù)據(jù)出境技術(shù)支持和協(xié)助的安全性進(jìn)行自評(píng)估并備案。]

1. 個(gè)人主動(dòng)撥打電話，以及發(fā)送短信、傳真、電子郵件等；

2. 涉及已經(jīng)合法公開(kāi)的個(gè)人信息或個(gè)人自行公開(kāi)的個(gè)人信息。

其次，境內(nèi)的數(shù)據(jù)發(fā)送方在其自行決定的具體數(shù)據(jù)跨境業(yè)務(wù)啟動(dòng)日期，提前二十日向省級(jí)網(wǎng)信部門提交材料，進(jìn)行備案。提交的材料包括：

1. 備案表；

2. 數(shù)據(jù)出境相關(guān)的合同條款，或?qū)ｉT的數(shù)據(jù)出境合同[重點(diǎn)說(shuō)明：業(yè)務(wù)合作合同中涉及企業(yè)大量的商業(yè)秘密。建議向僅僅備案與數(shù)據(jù)出境相關(guān)的具體合同條款；或者作為業(yè)務(wù)合作合同附件的專門就數(shù)據(jù)出境作出約定的協(xié)議文本。業(yè)務(wù)合作中會(huì)對(duì)數(shù)據(jù)出境安全造成影響的因素，企業(yè)會(huì)在“個(gè)人信息出境安全風(fēng)險(xiǎn)及安全保障措施分析報(bào)告”作出披露并開(kāi)展風(fēng)險(xiǎn)分析];

3. 個(gè)人信息出境安全風(fēng)險(xiǎn)及安全保障措施分析報(bào)告。

隨后，數(shù)據(jù)發(fā)送方備案后二十日內(nèi)未接到省級(jí)網(wǎng)信部門的通知，可自行啟動(dòng)數(shù)據(jù)跨境業(yè)務(wù)。如果省級(jí)網(wǎng)信部門收到備案材料二十日內(nèi)，發(fā)現(xiàn)特定企業(yè)所開(kāi)展的數(shù)據(jù)出境業(yè)務(wù)有可能存在以下情形的，省級(jí)網(wǎng)信部門通知該數(shù)據(jù)發(fā)送方，并組織專家或技術(shù)力量進(jìn)行安全評(píng)估。安全評(píng)估啟動(dòng)情形如下：

1. 存在個(gè)人合法權(quán)益無(wú)法保障的風(fēng)險(xiǎn)；

2. 存在損害國(guó)家安全、社會(huì)公共利益的風(fēng)險(xiǎn)；

3. 國(guó)家有關(guān)部門認(rèn)定的其他風(fēng)險(xiǎn)。

建立“權(quán)責(zé)一致原則”的個(gè)人信息出境安全評(píng)估制度的益處

1.從企業(yè)的角度來(lái)看

如此制度設(shè)計(jì)的好處在于給了企業(yè)非常強(qiáng)的數(shù)據(jù)安全和合規(guī)激勵(lì)。即，如果企業(yè)在選擇境外業(yè)務(wù)合作伙伴、設(shè)計(jì)相關(guān)合同或條款等方面做出足夠的努力，提供了足夠的安全水平，并且就準(zhǔn)備了一目了然、令人信服的個(gè)人信息出境安全風(fēng)險(xiǎn)及安全保障措施分析報(bào)告，那業(yè)務(wù)開(kāi)展就能有比較大的確定性和可控性，特別是業(yè)務(wù)部門不用等待政府部門的“綠燈”，才能開(kāi)展業(yè)務(wù)——只要在具體業(yè)務(wù)啟動(dòng)提前二十日提交備案材料，隨后就能如期開(kāi)展與境外的合作。相反如果某個(gè)企業(yè)對(duì)數(shù)據(jù)出境的安全“漫不經(jīng)心”，隨意選擇合作伙伴，且準(zhǔn)備的材料不充分，自然政府部門將啟動(dòng)評(píng)估，合作將不得不作出顯著調(diào)整，甚至于中止。

2.從省級(jí)網(wǎng)信部門的角度來(lái)看

如此的制度設(shè)計(jì)，避免了省級(jí)網(wǎng)信部門可能需要承擔(dān)原本由企業(yè)內(nèi)部數(shù)據(jù)安全和合規(guī)部門所應(yīng)該承擔(dān)的職責(zé)。企業(yè)有非常強(qiáng)的動(dòng)力去選擇合作伙伴以及進(jìn)行相關(guān)的條款設(shè)計(jì)。并且，企業(yè)在提供“個(gè)人信息出境安全風(fēng)險(xiǎn)及安全保障措施分析報(bào)告”時(shí)，有動(dòng)力做到詳細(xì)、周全，免去了省級(jí)網(wǎng)信部門開(kāi)展調(diào)查、問(wèn)詢等大量的獲取信息的成本。更重要的是，這樣的制度設(shè)計(jì)給了省級(jí)網(wǎng)信部門“能進(jìn)能退”的自主空間。且根據(jù)外部形勢(shì)變化和風(fēng)險(xiǎn)的演進(jìn)，省級(jí)網(wǎng)信部門能夠靈活地“擰緊”或者“放松”數(shù)據(jù)出境的“閘口”。

3.對(duì)于備案系統(tǒng)的設(shè)計(jì)

對(duì)于備案系統(tǒng)及在備案系統(tǒng)中提交的文件，可進(jìn)一步參考《具有輿論屬性或社會(huì)動(dòng)員能力的互聯(lián)網(wǎng)信息服務(wù)的安全評(píng)估報(bào)告（模板）》，主要包含以下事項(xiàng)：

(1) 開(kāi)展數(shù)據(jù)出境評(píng)估的情形[例如：新數(shù)據(jù)出境安全評(píng)估、兩年后的再評(píng)估、重大變更后的重新評(píng)估等];

(2) 數(shù)據(jù)發(fā)送方和接收方安全負(fù)責(zé)人及安全管理機(jī)構(gòu)設(shè)立情況；

(3) 數(shù)據(jù)出境安全風(fēng)險(xiǎn)分析及采取的控制措施情況分析；

(4) 數(shù)據(jù)出境評(píng)估合同的情況[例如，使用的是標(biāo)準(zhǔn)合同，或者使用的是其他類型合同。DPO社群期待：全國(guó)性網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化組織或者行業(yè)協(xié)會(huì)能夠制定符合本辦法要求的“數(shù)據(jù)出境示范合同”，并獲得國(guó)家網(wǎng)信部門的同意];

(5) 數(shù)據(jù)出境自評(píng)估記錄保存情況。

整理：博雷

責(zé)編：張晶晶

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。