CN English中文ItalianoFrançais

个保法背景下,个人信息跨境的合规问题

发布日期:2021-11-04 18:25:31浏览:


2021年7月4日,“滴滴出行”App存在严重违法违规收集使用个人信息问题被国家网信办下架至今仍未恢复上架滴滴被下架的具体原因官方并未说明但行业及社会大众已经对此进行了广泛的讨论其中甚至有声音称下架是因“滴滴把数据打包给美国”对此滴滴官方紧急辟谣,营销副总裁李敏也在微博发文称,“和众多在海外上市的中国企业一样,滴滴国内用户的数据都存放在国内服务器,绝无可能把数据交给美国”。但不论事实如何滴滴事件所引发的上述讨论的确反映了公众对于个人信息跨境安全的担忧。

国家网信办对滴滴出行作出下架处理时所依据的是《网络安全法》,在此之后,国家网信办于2021年10月29日发布了《数据出境安全评估办法(征求意见稿)》(以下简称“评估办法”),《个人信息保护法》(以下简称“个保法”)也于2021年11月1日正式生效并以专章规定了个人信息跨境提供的规则,我们将结合以上新规定,从企业角度对个人信息跨境问题这一热点问题进行重新解读,以供参考。


一、如何理解信息跨境

个保法用第三章专章规定了个人信息跨境规则,第三章的第一条即对个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的条件进行了说明。可以看出个保法所称的个人信息跨境,应当是企业基于业务需要,在满足必要性的条件下进行的向境外提供个人信息的行为。具体到业务场景上,参考国标《信息安全技术数据出境安全评估指南(征求意见稿)》(以下简称“评估指南”)的规定,数据出境是指网络运营者通过网络等方式,将其在我国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。


实践中常见的个人信息跨境的场景包括:境内企业与境外主体进行商业往来时提供了境内所收集的个人信息、境内企业向境外关联主体转移了所收集的个人信息、境内企业按照外国司法或者执法机构的请求提供了境内所收集的个人信息等,此外根据评估指南的说明,以下情形也属于个人信息跨境:


1)向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息。例如向别国驻我国大使馆、领事馆提供个人信息;


2)数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外)。


二、如何应对个人信息跨境

1.实施个人信息跨境的前提条件

企业满足个保法三十八条所规定的条件之一(通过安全评估、经过保护认证、订立标准合同),且满足法律、行政法规或者国家网信部门规定的其他条件后,就可以实施个人信息跨境,对此需要区分主体来理解:

主体类型
实施个人信息跨境的前提条件
关键信息基础设施运营者(CIIO)
处理个人信息达到国家网信部门规定数量的个人信息处理者
1.应当将在我国境内收集和产生的个人信息存储在境内
2.如果确实需要向境外提供则应该通过国家网信部门组织的安全评估法律行政法规和国家网信部门规定可以不进行安全评估的除外
其他主体
1.按照国家网信部门的规定经过专业机构进行个人信息保护认证
2.按照国家网信部门制定的标准合同与境外接收方订立合同约定双方的权利和义务
以上条件满足其一即可
上述条件适用时,还会有以下衍生问题:

第一,哪些企业属于关键信息基础设施运营者:根据国务院发布的《关键信息基础设施安全保护条例》,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。


以上列举仍然是开放式列举,就具体认定问题,国家网信办副主任盛荣华曾进行了进一步回答:相关保护工作部门会依据本行业本领域认定规则,组织认定是不是关键信息基础设施行业或者是范围,且企业所有制的形式不作为关键信息基础设施认定的依据或条件,《关键信息基础设施安全保护条例》并不单单针对外贸以及境外上市企业。


也就是说,关键信息基础设施的认定工作由相关行业主管部门、监督管理部门进行,是否是外资或境外上市企业并不作为认定条件,认定主要依据设施性质。实践中,新闻网站、即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台、大型数据中心、云计算平台等设施/系统的运营者更可能被纳入关键信息基础设施运营者的范畴。


第二,哪些企业属于处理个人信息达到国家网信部门规定数量的个人信息处理者:

评估办法第四条对此进行了说明,从数据量角度,企业向境外提供数据,符合以下情形之一的,就应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:


1)处理个人信息达到100万人的个人信息处理者向境外提供个人信息;


2)累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息。


以上分别是通过主体的体量和提供数量两个角度来认定,满足条件之一,就应当进行安全评估。


第三,如何进行个人信息保护认证:据人民网报道,2019年我国曾首次针对企业进行了“个人信息安全管理体系认证”,在这次认证中,支付宝成为首批获得国家认证的企业。此次认证由“中国网络安全审查技术与认证中心”(CCRC)组织进行,测评对象有阿里、腾讯、百度、京东等10家企业。这是《网络安全法》颁布后有关管理部门首次对国内企业进行的个人信息保护认证,通过认证的企业将会获得个人信息安全管理体系认证证书。

CCRC由中央机构编制委员会办公室批准成立,是国家市场监督管理总局直属的事业单位,负责依据《网络安全法》《网络安全审查办法》及国家有关强制性产品认证法律法规承担网络安全审查技术支撑和认证工作,个保法生效后,该部门可能作为个人信息保护认证的专业机构之一,但认证机构及具体认证方式是否存在其他变化,仍有待相关部门说明。


第四,国家网信部门制定的标准合同有哪些内容:该标准合同现阶段暂未发布,但根据评估办法可知,数据处理者与境外接收方订立的合同,应当包括但不限于以下内容:

1)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;


2)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;


3)限制境外接收方将出境数据再转移给其他组织、个人的约束条款;


4)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;


5)违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;


6)发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。


可以预测,网信部门所制定的标准合同将从数据跨境的全流程(传输、存储、期限、再转移、应急处置等)明确数据处理者与境外接收方的权利义务,并将进行更细节和更具操作性的规定。


2.个人信息跨境安全评估的要点

对于两类特殊主体而言关键信息基础设施运营者、处理个人信息达到国家网信部门规定数量的个人信息处理者),其向境外提供个人信息是以通过国家网信部门组织的安全评估为前提结合评估办法及相关国标的说明安全评估有以下要点

第一,评估总体流程:符合条件的企业在向境外提供个人信息前,应当事先开展数据出境风险的自评估,形成数据出境风险自评估报告后,再通过所在地省级网信部门向国家网信部门申报数据出境安全评估,即企业的自评估应该在申报安全评估前完成。

第二,企业自评估:企业需要组织法务、政策、安全、技术、管理相关专业人员,成立安全自评估工作组并制定数据出境计划,针对出境目的、安全风险等评估要点形成安全自评估报告并保存至少2年的时间,自评估报告内容应包括但不限于:安全自评估对象基本情况、安全自评估组织实施情况、安全自评估结果、数据出境安全风险点、检查修正建议。

第三,主管部门安全评估:企业自评估完成后提交申报,国家网信部门自收到企业提交的申报材料之日起7个工作日内,确定是否受理评估并以书面通知形式反馈受理结果。

确认受理后,国家网信办会组织行业主管部门、国务院有关部门、省级网信部门、专门机构等进行安全评估,并自出具书面受理通知书之日起45个工作日内完成数据出境安全评估,情况复杂或者需要补充材料的,可能适当延长,但一般不超过60个工作日。


数据出境评估结果有效期是2年,在目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件等情况下,企业需要重新申报评估。


3.企业应该向个人承担的义务

个人信息跨境还涉及个人信息主体权利个保法第三十九条对企业应当负担的义务进行了说企业向中华人民共和国境外提供个人信息,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。

向个人告知的具体内容较易理解,实践中我们遇到的问题主要是在单独同意的实现方式上。取得个人的单独同意,即意味不得将特定对象的授权与其他授权内容“进行捆绑”以获得个人“一揽子”同意,我们建议企业可以针对需要授权的数据处理活动制作专门的授权同意文件/文本,在用户实际触发相关业务功能时启动单独同意的授权机制,具体实现形式包括但不限于通过界面弹窗、跳转链接、邮箱推送、纸面文件等告知用户,并设置强制阅读停留、用户主动点击确认、填写、拍照、文件签署上传等同意模式。


三、结语


保障个人信息境安全不仅是个人权利保障的要求还关系到国家安全和社会公共利益企业应当按照个保法的规定完善个人信息跨境的合规设置分析自身业务场景提前部署准备处理好这一敏感问题可以预见伴随着个保法落地执行的深入个人信息跨境问题也会有更多对应的配套政策及案例对此我们也会继续跟进解读


END

声明:本微信文章仅为交流探讨之目的,不得视为广悦数据合规研究院或其律师出具的正式法律意见,任何仅依照本文的全部或部分内容而做出的行为及因此带来的后果均由行为人自行负责。如果您需要法律意见或有意就相关议题进一步交流,可以通过电子邮件与我们联系,E-mail:hlw@wjngh.cn 。

分享到:

  • 免责声明
  • 隐私保护
  • 网站地图

Copyright 2020 广东广悦律师事务所. All Rights Reserved. 粤ICP备13002423号-2 Designed by Wanhu