《個(gè)人信息出境安全評(píng)估辦法(征求意見稿)》的制度追求
發(fā)布時(shí)間:2019-06-18 14:45
分享到:
今日全球正擁抱新一輪科技革命浪潮,層出不窮的新技術(shù)���、新應(yīng)用更是依賴海量個(gè)人信息的挖掘收集��、處理使用乃至跨境傳輸���。個(gè)人信息已成為機(jī)遇和福祉的新源泉��,也成為風(fēng)險(xiǎn)和威脅的新焦點(diǎn)��。面對(duì)日趨上升的數(shù)據(jù)跨境流動(dòng)業(yè)務(wù)需求和跨國情形下更為復(fù)雜的安全環(huán)境����,建構(gòu)有效的風(fēng)險(xiǎn)管理機(jī)制確保諸多數(shù)據(jù)跨境場(chǎng)景中的個(gè)人信息安全���,關(guān)乎網(wǎng)絡(luò)空間主權(quán)��、國家安全���、社會(huì)公共利益和公民、法人的合法權(quán)益���,也成為《個(gè)人信息出境安全評(píng)估辦法(征求意見稿)》(以下簡(jiǎn)稱:《辦法》)的制度追求�。
總體而言��,為促進(jìn)個(gè)人信息的依法有序自由流動(dòng)���,《辦法》基于《網(wǎng)絡(luò)安全法》有關(guān)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)數(shù)據(jù)安全的總體要求���,確立了以“經(jīng)安全評(píng)估后出境”為主干制度的個(gè)人信息跨境規(guī)范框架�����,對(duì)于這一制度設(shè)計(jì)的準(zhǔn)確理解有助于厘清當(dāng)下外界存在的若干誤讀���。
1、《辦法》的適用范圍并不是針對(duì)網(wǎng)民訪問�、注冊(cè)或登陸境外網(wǎng)站等純個(gè)人行為,而是明確指向于業(yè)務(wù)性活動(dòng)���,也即“網(wǎng)絡(luò)運(yùn)營者向境外提供在中國境內(nèi)運(yùn)營中收集的個(gè)人信息”這一特定的場(chǎng)景。
因此����,從適用主體而言,《辦法》主要針對(duì)的是網(wǎng)絡(luò)運(yùn)營者����,其范圍涵蓋網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者��,目前最常見的就是各類網(wǎng)站和App的運(yùn)營商�。而從適用對(duì)象而言,《辦法》針對(duì)的是網(wǎng)站和App等在先前的網(wǎng)絡(luò)運(yùn)營中收集的��、將要向境外傳輸?shù)膫€(gè)人信息。
2����、《辦法》所要求的個(gè)人信息出境前申報(bào)安全評(píng)估,并不是設(shè)定個(gè)人信息出境的行政許可���,而是行使風(fēng)險(xiǎn)管理維度的網(wǎng)絡(luò)安全執(zhí)法權(quán)力�。眾所周知�,行政許可是指國家行政機(jī)關(guān)對(duì)不特定的一般人依法負(fù)有不作為義務(wù)的事項(xiàng),在特定條件下對(duì)特定對(duì)象解除禁令��,允許他作為的行政活動(dòng)��,包括普通許可���、特許���、認(rèn)可、核準(zhǔn)以及登記等����。換言之,如果在個(gè)人信息出境場(chǎng)景中談及行政許可,其邏輯前提應(yīng)當(dāng)是國家原則上禁止個(gè)人信息出境���,只有符合特定資質(zhì)的主體才能獲準(zhǔn)向境外提供���,但事實(shí)上在我國現(xiàn)行法律體系中完全不存在一般性禁止出境規(guī)范和特殊的出境業(yè)務(wù)準(zhǔn)入資質(zhì)要求,《辦法》也沒有基于網(wǎng)絡(luò)運(yùn)營者自身的特定主體類型設(shè)定禁止性要求����。
需要指出的是,網(wǎng)絡(luò)運(yùn)營者本身應(yīng)當(dāng)采取技術(shù)措施和其他必要措施���,確保其收集的個(gè)人信息在向境外提供過程中的安全����,防止信息泄露����、毀損�����、丟失等�,這屬于履行《網(wǎng)絡(luò)安全法》第42條強(qiáng)調(diào)的法定義務(wù)的內(nèi)容,出境前申報(bào)安全評(píng)估則是《辦法》提供的一項(xiàng)具體的合規(guī)工具。而國家主管部門在“經(jīng)安全評(píng)估認(rèn)定個(gè)人信息出境可能影響國家安全�����、損害公共利益���,或者難以有效保障個(gè)人信息安全的”場(chǎng)合中要求不得出境���,這屬于行使《網(wǎng)絡(luò)安全法》第64條賦予的網(wǎng)絡(luò)安全執(zhí)法權(quán)力,同時(shí)也符合《網(wǎng)絡(luò)安全法》第5條有關(guān)國家采取措施處置來源于中華人民共和國境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅的立法要求��。
3����、《辦法》所引入的個(gè)人信息出境安全評(píng)估制度并不是一刀切的強(qiáng)監(jiān)管措施,而是旨在建立一套著眼風(fēng)險(xiǎn)應(yīng)對(duì)的��、彈性動(dòng)態(tài)的流程化管理框架����。《辦法》規(guī)定的安全評(píng)估內(nèi)容從橫向看既強(qiáng)調(diào)國家有關(guān)法律法規(guī)和政策規(guī)定的符合性��,也強(qiáng)調(diào)保障個(gè)人信息主體合法權(quán)益的充分性�����,體現(xiàn)了個(gè)人信息出境風(fēng)險(xiǎn)研判范圍的全面性。從縱向看既強(qiáng)調(diào)個(gè)人信息出境前網(wǎng)絡(luò)運(yùn)營者或接收者的業(yè)務(wù)歷史以及網(wǎng)絡(luò)運(yùn)營者獲得個(gè)人信息是否合法�����、正當(dāng)�����,也強(qiáng)調(diào)對(duì)于合同能否得到有效執(zhí)行的預(yù)判�,結(jié)合后續(xù)的重新評(píng)估義務(wù)(第3條)、出境記錄保存義務(wù)(第8條)�����、年度報(bào)告與安全事件報(bào)告義務(wù)(第9條)以及定期執(zhí)法檢查要求(第10條)和舉報(bào)制度(第12條)等����,反映了個(gè)人信息出境風(fēng)險(xiǎn)事前、事中與事后管理處置的全流程覆蓋��。
為此���,就安全評(píng)估的制度性要素而言����,一方面���,《辦法》注重發(fā)揮“個(gè)人信息出境安全風(fēng)險(xiǎn)及安全保障措施分析報(bào)告”的工具性價(jià)值���,要求網(wǎng)絡(luò)運(yùn)營者披露自身和境外接收者的基本狀況、個(gè)人信息出境計(jì)劃����、風(fēng)險(xiǎn)分析以及安保措施等,通過這一合規(guī)風(fēng)控工具引導(dǎo)督促網(wǎng)絡(luò)運(yùn)營者落實(shí)對(duì)于個(gè)人信息跨境流動(dòng)有關(guān)風(fēng)險(xiǎn)的預(yù)先研判以及安全保障措施體系的事先設(shè)計(jì)���,最大程度提高網(wǎng)絡(luò)運(yùn)營者和境外接收方等相關(guān)主體的風(fēng)險(xiǎn)應(yīng)對(duì)和處置能力�。
另一方面���,《辦法》尤其注重發(fā)揮“網(wǎng)絡(luò)運(yùn)營者與接收者簽訂的合同”的工具性價(jià)值����,旨在通過個(gè)人信息跨境流動(dòng)相關(guān)主體之間權(quán)利義務(wù)的結(jié)構(gòu)性分配����,引導(dǎo)督促網(wǎng)絡(luò)運(yùn)營者和境外接收方等主體主動(dòng)���、自覺提高技術(shù)安全水平、權(quán)利保護(hù)水平以及業(yè)務(wù)管理水平�����,為個(gè)人信息主體維權(quán)提供切實(shí)可行的救濟(jì)途徑�����。就此�,《辦法》對(duì)于該合同的內(nèi)容要素(第13條)、網(wǎng)絡(luò)運(yùn)營者的責(zé)任和義務(wù)(第14條)�����、接收者的責(zé)任和義務(wù)(第15條)以及個(gè)人信息出境后轉(zhuǎn)移的條件(第16條)等方面做出了明確的提示性規(guī)定�����,提升了合規(guī)風(fēng)控的確定性和可操作性�����,能在實(shí)務(wù)層面產(chǎn)生多重積極價(jià)值:
首先�,《辦法》對(duì)于該合同的內(nèi)容要點(diǎn)做出了重點(diǎn)提示,但不影響合同雙方也即網(wǎng)絡(luò)運(yùn)營者和境外接收者基于合同自由�����,結(jié)合特定業(yè)務(wù)場(chǎng)景達(dá)成符合其個(gè)性化業(yè)務(wù)訴求的具體合同條款�。反觀歐盟《一般數(shù)據(jù)保護(hù)條例》中有關(guān)個(gè)人數(shù)據(jù)跨境流動(dòng)的“標(biāo)準(zhǔn)合同條款”機(jī)制,各當(dāng)事方對(duì)于該條款的文字內(nèi)容基本無權(quán)修改�,在實(shí)踐中多發(fā)與具體業(yè)務(wù)場(chǎng)景無法完全兼容的情況,而《辦法》的彈性設(shè)計(jì)相對(duì)更具可行性����。
此外,《辦法》有關(guān)合同的制度規(guī)定具有全口徑適用性��,既可用于網(wǎng)絡(luò)運(yùn)營者和境外接收者分屬不同主體的場(chǎng)合����,也可用于兩者同屬一個(gè)主體(例如同一跨國集團(tuán)公司)的場(chǎng)合。反觀歐盟《一般數(shù)據(jù)保護(hù)條例》在個(gè)人數(shù)據(jù)跨境問題上引入的“約束性公司規(guī)則”機(jī)制�����,其僅限于同一跨國公司內(nèi)部的數(shù)據(jù)跨境傳輸�,顯然《辦法》的制度設(shè)計(jì)能夠覆蓋更多的業(yè)務(wù)場(chǎng)景。
并且���,《辦法》引入的合同管理機(jī)制��,在制度落實(shí)和跨國協(xié)調(diào)層面可以獲得更廣泛的國際接受度�。《辦法》通過引導(dǎo)網(wǎng)絡(luò)運(yùn)營者和境外接收者達(dá)成的雙向合意�,既為中國法的合規(guī)遵從、網(wǎng)絡(luò)運(yùn)營者對(duì)接收方的約束以及個(gè)人信息主體的權(quán)利救濟(jì)提供了扎實(shí)可靠的法律依據(jù)����,也能夠有效避免歐盟《一般數(shù)據(jù)保護(hù)條例》的域外管轄和美國《云法案》的長(zhǎng)臂管轄等制度面對(duì)的管轄沖突和執(zhí)法乏力的現(xiàn)實(shí)困境。
整體而言����,相比較于常見的域外相關(guān)立法例,《辦法》建構(gòu)的個(gè)人信息出境安全評(píng)估制度以全面的風(fēng)險(xiǎn)管理為基本的制度邏輯��,其側(cè)重于事先安全評(píng)估����、以合同管理機(jī)制為中心的跨境流動(dòng)規(guī)范框架旨在最大限度避免可能的數(shù)據(jù)業(yè)務(wù)阻礙情形,進(jìn)而更好地實(shí)現(xiàn)具體業(yè)務(wù)場(chǎng)景中安全與發(fā)展的動(dòng)態(tài)平衡關(guān)系�����,反映了國家主管機(jī)關(guān)致力打造跨境數(shù)據(jù)業(yè)務(wù)友好型治理機(jī)制的總體思路與努力方向。(北京師范大學(xué)網(wǎng)絡(luò)法治國際中心執(zhí)行主任 吳沈括)