2019年6月13日凌晨,国家互联网信息办公室(以下简称“国家网信办”)发布了《个人信息出境安全评估办法(征求意见稿)》(以下简称“《评估办法(征求意见稿)》”),公开征求意见。
自《网络安全法》生效以来,跨国公司和涉及跨境业务的企业一直深受第三十七条关于个人信息和重要数据本地化存储及跨境传输安全评估规定的困扰。此次《评估办法(征求意见稿)》基本推翻了国家网信办于2017年4月11日发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》,将个人信息出境安全评估独立出来,并重新进行了制度设计,建立了安全评估申报制度以及以合同约束跨境传输行为的保障机制。未来如该办法正式落地,相信将对企业合规产生重大影响,值得相关企业予以特别关注。
一、主体适用范围:网络运营者
《评估办法(征求意见稿)》第二条规定,网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息,应当按照本办法进行安全评估。《评估办法(征求意见稿)》沿用了《网络安全法》对于“网络运营者”的定义——网络的所有者、管理者和网络服务提供者,并将其第三十七条下受到个人信息出境限制的主体从关键信息基础设施的运营者扩展到了全部网络运营者,即,该办法适用于任何网络运营者。
从立法目的的角度,此处“网络运营者”宜理解为宽泛的概念,任何拥有网站、App等外部平台,甚至内部财务、采购、员工等网络管理系统的企业,都可能被认为是适用本办法的网络运营者。
值得注意的是,《评估办法(征求意见稿)》第二十条还规定了对境外机构的监管,要求其在通过互联网等收集境内用户个人信息时,在境内通过法定代表人或者机构履行网络运营者的责任和义务。可见,该办法旨在全面规制境内个人信息的跨境传输行为,而不囿于行为的主体或方式。
二、主管机关:网信部门
《评估办法(征求意见稿)》明确了两级网信部门——国家网信部门和省级网信部门——在落实个人信息出境安全评估制度中的主要职责。
三、个人信息出境安全评估申报
(一) 申报及评估流程
《评估办法(征求意见稿)》第三条规定,个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。根据该办法,具体申报及评估流程如下:
1. 准备材料阶段:申报材料包括申报书、网络运营者与接收者签订的合同、个人信息出境安全风险及安全保障措施分析报告,以及国家网信部门要求提供的其他材料。
2. 申报和评估阶段:
- 提交申报材料;
- 省级网信部门进行材料完备性审查(期限未定);
- (完备性审查通过的情况下)进行安全评估(15个工作日,情况复杂可延长);
- 安全评估结论通报。
3. 异议阶段(非必需):对安全评估结论存在异议,可向国家网信部门提出申诉。
(二) 申报材料
《评估办法(征求意见稿)》分别在第十三至十五条、第十七条对主要申报材料“网络运营者与接收者签订的合同”(以下简称“合同”)以及“个人信息出境安全风险及安全保障措施分析报告”进行了细致规定。
其中,本新规的一大亮点——以合同约束跨境传输行为的个人信息安全保障机制,与欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)中标准合同条款的设计思路类似,要求个人信息提供方与接收方在合同中明确各自义务和责任分配,确保个人信息主体在数据出境后仍能够有效维护自身合法权益,同时也为监管机构追责提供了便利。
(三) 后申报义务
通过安全评估并不意味着企业可以“高枕无忧”,且评估本身也并非“一劳永逸”,根据《评估办法(征求意见稿)》,企业仍需履行“后申报义务”:
1. 每2年或者个人信息出境目的、类型和境外保存时间发生变化时需重新评估;
2. 建立个人信息出境记录并至少保存5年;
3. 报告年度个人信息出境情况、合同履行情况;
4. 报告较大数据安全事件;
5. 接受省级网信部门的定期检查。
四、实务观察
《评估办法(征求意见稿)》确立了个人信息出境安全评估申报制度以及以合同约束跨境传输行为的保障机制,整体上体现了明确责任分配,保障个人信息主体权利的监管思路。与此同时,定期检查和举报制度预示着常态化的执法趋势。对于企业来说,未来如该办法正式落地,企业将面临严格的个人信息出境安全责任和义务,这或将大大提高企业合规成本。但是,就合同约束而言,若企业已在境外适用类似制度,例如采用了GDPR项下的约束性企业规则、标准合同条款等,或可以有所借鉴。建议密切关注该办法的后续制定与正式出台,及时更新和调整企业合规安排。