PDF《2019 年6月24 日第 195 期》

2019 年6月13 日凌晨,国家互联网信息办公室发布了《个人信息出境安全评估办法 (征求意见稿) 》 (以下简称 办法 ) , 《办法》界定了个人信息出境的行为,明确了网络运 营者和个人信息接收者的职责,细化了个人信息出境安全评估的内容. 《办法》的出台对保 障个人信息安全、规范个人信息出境依法有序的流动,具有重大的指导意义. 《办法》 的出台, 一方面是对我国已经出台的关于个人信息保护法律法规的进一步细化 和延伸,如2017 年开始实施的《网络安全法》第三十七条规定: 关键信息基础设施的运营 者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储. 因业务 需要, 确需向境外提供的, 应当按照国家网信部门会同国务院有关部门制定的办法进行安全 评估. 《办法》正是对个人信息出境进行安全评估的重要依据. 国盟信息安全通报(2019 年6月24 日第

195 期) 国际信息安全学习联盟主办

8 http://www.cncisa.com 另一方面, 针对国际范围内的数据流动, 部分国家及国际组织出台了各自的法律和政策 文件,来管理以个人信息为代表的跨境数据,如欧盟的《一般数据保护条例》 (GDPR) 、英国 的 《数据保护法案》 、 亚太经合组织的 《跨境隐私规则体系》 、 日本的 《个人信息保护法》 等, 以保障个人信息跨境流动的安全. 我国是数据资源产出大国, 亟需建立符合我国国情的个人 信息出境管理办法,在数据跨境流动中切实保障个人信息安全. 《个人信息出境安全评估办法》作为一项 安全评估 办法,很多人关心的问题是,其 安全评估的对象是谁?谁来进行安全评估?如何进行安全评估?《办法》的22 个条款围绕 这些问题给出了解答. 一是评估对象是谁?有人担心 《办法》 一旦实施, 需要针对普通个人用户进行安全评估. 其实不然, 《办法》第二条明确指出 网络运营者向境外提供在中华人民共和国境内运营中 收集的个人信息,应当按照《办法》进行安全评估 ,可以看出,安全评估的对象是网络运 营者,而不是个人用户.这里网络运营者,是指网络的所有者、管理者和网络服务提供者, 普通的个人不在此范畴. 之所以将评估对象界定为 网络运营者 ,是因为我国大量的个人信息,主要是被网络 运营者所收集、持有和使用,管理好了这些拥有大量个人信息的网络运营者,就能在更大范 围内保障个人信息安全. 二是谁来进行评估?安全评估工作由各省级网信部门负责,这是因为其担负着网络安 全管理职能.具体来说,网络运营者向所在地省级网信部门申报个人信息出境安全评估,省 国盟信息安全通报(2019 年6月24 日第

195 期) 国际信息安全学习联盟主办

9 http://www.cncisa.com 级网信部门组织专家或技术力量进行安全评估, 经安全评估认定个人信息出境不会影响国家 安全、损害公共利益,能够有效保障个人信息安全的,可以出境. 为了不影响网络运营者的正常业务,除复杂情况外,安全评估一般在

15 个工作日内完 成.对安全评估结论存在异议的,网络运营者还可以向国家网信部门提出申诉. 三是评估内容是什么?有一种担心是, 安全评估实施过程中, 会不会引入个人信息泄露 的风险?其实这一担心是完全不必要的. 我们首先来看安全评估时网络运营者所需提供的材 料有哪些, 《办法》 第四条指出, 提供的材料包括申报书、 网络运营者与接收者签订的合同、 个人信息出境安全风险及安全保障措施分析报告等;