今年以來����,我國個人信息保護領域立法活躍非凡。數據�����,在數字經濟中有著石油一般的戰略地位。在中美貿易戰的特殊時期出台的《個人信息出境評估辦法(征求意見稿)》(以下簡稱“《評估辦法》”)顯得不同尋常。我們在本文中梳理了我國數據出境的立法發展脈絡�����,分析《評估辦法》的突出變化����,並和歐盟《通用數據保護條例》(以下簡稱“GDPR”)對數據出境的規定做出對比��,展望監管趨勢。
一�����、數據出境相關立法發展脈絡及監管趨勢
2017年開始實施的《網絡安全法》確立了數據出境的安全評估機製。其後��,相關法律法規�、國家標準相繼對數據的跨境傳輸做出規定。我們對這些規定從其適用主體�����、適用內容���、適用措施和監管機構幾個方麵做出如下梳理:
| 《網絡安全法》(2017) | 《個人信息和重要數據出境安全評估辦法(征求意見稿)》(2017) | 《信息安全技術 數據出境安全評估指南(征求意見稿)》(2017) | 《網絡安全審查辦法(征求意見稿)》(2019) | 《數據安全管理辦法(征求意見稿)》(2019) | 《個人信息安全出境評估辦法(征求意見稿)》(2019) |
適用主體 | 關鍵信息基礎設施運營者(“CIIO”) | 網絡運營者 | 網絡運營者 | CIIO | 網絡運營者 | 網絡運營者 |
適用內容 | ü 個人信息 ü 重要數據 | ü 個人信息 ü 重要數據 | ü 個人信息 ü 重要數據 | ü 個人信息 ü 重要數據 | ü 重要數據 û 個人信息 | ü 個人信息 û 重要數據 |
適用措施 | 安全評估 | • 自評估 • 報監管部門組織評估 • 年度評估並報備 • 定期檢查 | • 自評估 • 主管部門評估 | 向主管部門申報網絡安全審查 | • 自評估並報監管部門批準同意 • 向境外提供個人信息按有關規定執行 | • 主管部門評估(每2年重新評估) • 年度備案 • 定期檢查 |
監管機構 | 未提及 | 國家網信部門統籌協調��,行業主管或監管部門開展評估。 | 國家網信部門��、行業主管或監管部門。 | 網絡安全審查辦公室 | 行業主管監管部門或省級網信部門 | 省級網信部門 |
總體而言���,這些規定在數據出境安全評估機製[1]的框架下����,對於數據跨境傳輸的監管呈現出以下特點和趨勢:
1. 評估機製的適用主體擴大到所有網絡運營者
從適用主體的角度來看����,2017年的《網絡安全法》將評估製度的適用主體限定為CIIO。隨後��,從《個人信息和重要數據出境安全評估辦法(征求意見稿)》開始���,評估機製的適用主體範圍從CIIO擴大到所有網絡運營者。雖然《網絡安全審查辦法(征求意見稿)》的適用範圍僅限CIIO�,但這份文件僅針對CIIO與網絡安全相關的交易���,其目的即是對CIIO做出規製����,所以並不在對這個問題的考慮範圍內。本次新公布的《評估辦法》仍reng然ran將jiang評ping估gu製zhi度du的de適shi用yong主zhu體ti規gui定ding為wei網wang絡luo運yun營ying者zhe。由you此ci可ke以yi看kan出chu���,在zai數shu據ju出chu境jing安an全quan評ping估gu製zhi度du的de適shi用yong對dui象xiang方fang麵mian�����,監jian管guan機ji構gou的de基ji本ben思si路lu十shi分fen清qing晰xi����,即ji囊nang括kuo所suo有you的de網wang絡luo運yun營ying主zhu體ti��,而er非fei僅jin針zhen對duiCIIO。
2. 針對評估對象分別監管
從適用內容(即評估對象)的角度來看�,從2017年的《網絡安全法》開始���,各項法律法規均將個人信息和重要數據並列納入評估/審查範圍。但自2019年發布的《數據安全管理辦法(征求意見稿)》開始�,評估對象出現重大變化��,即將重要數據和個人信息分開處理。《數據安全管理辦法(征求意見稿)》第二十八條規定�����,重要數據出境應“報經行業主管監管部門同意����,行業主管監管部門不明確的���,應經省級網信部門批準”��,同時規定“向境外提供個人信息按有關規定執行”��,指向了醞釀中的個人信息的出境規則�����,即本次的《評估辦法》。該征求意見稿第三十八條還規定�����,“重要數據一般不包括企業生產經營和內部管理信息����、個人信息等”�����,進一步表明主管部門對重要數據和個人信息出境分別監管的思路。
3. 監管措施趨嚴
從適用措施的角度來看�����,《網絡安全法》僅一筆帶過����,要求CIIO在個人信息和重要數據確需出境時�����,進行安全評估[2]。在《個人信息和重要數據出境安全評估辦法(征求意見稿)》和《信息安全技術 數據出境安全評估指南(征求意見稿)》中評估的具體方式得到了細化��,即“自評估+監管部門評估+年度評估並報備”(前者的規定�,詳見下文)。《網絡安全審查辦法(征求意見稿)》要求CIIO在采購網絡安全產品和服務時�����,涉及大量個人信息和重要數據跨境傳輸的��,向主管部門申報網絡安全審查[3]。在2019年的《數據安全管理辦法(征求意見稿)》中����,對重要數據的規製����,雖保留網絡運營者自行評估的環節�����,但需“報經行業主管監督部門同意”[4]��,實質上已經變成了審批製要求。再到本次出台的《評估辦法》����,對於個人信息�,適用措施已經完全變成了“主管部門評估+年度備案+定期檢查”製(詳見下文)。從上述趨勢看�����,監管機構對於數據出境的適用措施逐步趨嚴�,網絡運營者自行評估風險並進行把控的靈活度降低。
二��、《個人信息和重要數據出境安全評估辦法(征求意見稿)》和《評估辦法》對比
本次出台的《評估辦法》填補了《數據安全管理辦法(征求意見稿)》對個人信息出境規定的空白。我們擬通過對比2017年發布的《個人信息和重要數據出境安全評估辦法(征求意見稿)》(以下簡稱“《舊評估辦法》”)和2019版本的《評估辦法》����,了解監管部門在數據出境監管方麵的思路變化����,並評述其中的重點條款和給網絡運營者帶來的影響。
對比項 | 《舊評估辦法》 | 《評估辦法》 | 評述 |
立法目的 | 第一條 為保障個人信息和重要數據安全��,維護網絡空間主權和國家安全�����、社會公共利益��,保護公民����、法人和其他組織的合法利益��,根據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》等法律法規�����,製定本辦法。 | 第一條 為保障數據跨境流動中的個人信息安全�,根據《中華人民共和國網絡安全法》等相關法律法規���,製定本辦法。 | 從規製“重要數據和個人信息”��,到僅規製“個人信息”���,體現監管機構對個人信息和重要數據分別監管的思路。 |
本地存儲 | 第二條 wangluoyunyingzhezaizhonghuarenmingongheguojingneiyunyingzhongshoujihechanshengdegerenxinxihezhongyaoshuju���,yingdangzaijingneicunchu。yinyewuxuyao�,quexuxiangjingwaitigongde����,yingdanganzhaobenbanfajinxinganquanpinggu。 | 無 | 《評估辦法》刪除了對本地化存儲的表述�,是否意味著默認網絡運營者應對個人信息進行本地存儲�����?抑或參考《評估辦法》第二十條和《信息安全技術 數據出境安全評估指南(征求意見稿)》[5]對“數據出境”的定義���,隻要個人信息在中國境內收集並涉及出境(包括經由中國出境)�����,無論個人信息是否存儲於境內���,均需適用《評估辦法》�����,亦即不將數據本地存儲作為確認是否適用《評估辦法》的標準��?無論屬於上述哪一種情形����,都將增加企業的合規難度和成本。 |
適用措施 | 第六條 行業主管或監管部門負責本行業數據出境安全評估工作�����,定期組織開展本行業數據出境安全檢查。 第七條 網絡運營者應在數據出境前����,自行組織對數據出境進行安全評估�,並對評估結果負責。 第九條 出境數據存在以下情況之一的�,網絡運營者應報請行業主管或監管部門組織安全評估: (一)含有或累計含有50萬人以上的個人信息��; (二)數據量超過1000GB���; (三)包含核設施��、化學生物����、國防軍工��、人口健康等領域數據����,大型工程活動��、海洋環境以及敏感地理信息數據等����; (四)包含關鍵信息基礎設施的係統漏洞��、安全防護等網絡安全信息�����; (五)關鍵信息基礎設施運營者向境外提供個人信息和重要數據���; (六)其他可能影響國家安全和社會公共利益�����,行業主管或監管部門認為應該評估。 行業主管或監管部門不明確的�,由國家網信部門組織評估。 | 第三條 個人信息出境前�,網絡運營者應當向所在地省級網信部門申報個人信息出境安全評估。 第五條 省級網信部門在收到個人信息出境安全評估申報材料並核查其完備性後��,應當組織專家或技術力量進行安全評估。安全評估應當在15個工作日內完成���,情況複雜的可以適當延長。 第七條 省級網信部門在將個人信息出境安全評估結論通報網絡運營者的同時���,將個人信息出境安全評估情況報國家網信部門。 網絡運營者對省級網信部門的個人信息出境安全評估結論存在異議的�,可以向國家網信部門提出申訴。 第十條 省級網信部門應當定期組織檢查運營者的個人信息出境記錄等個人信息出境情況���,重點檢查合同規定義務的履行情況�����、是否存在違反國家規定或損害個人信息主體合法權益的行為等。 發現損害個人信息主體合法權益�、數據泄露安全事件等情況時���,應當及時要求網絡運營者整改����,通過網絡運營者督促接收者整改。 | 從“自評估+特定情況下監管部門評估+定期檢查”�����,變為“一律由監管部門評估+定期檢查”。 |
評估啟動要素 | 第十二條 ……當數據接收方出現變更��,數據出境目的����、範圍����、數量�、類型等發生較大變化��,數據接收方或出境數據發生重大安全事件時����,應及時重新進行安全評估。 | 第三條 向不同的接收者提供個人信息應當分別申報安全評估����,向同一接收者多次或連續提供個人信息無需多次評估。 每2年或者個人信息出境目的�����、類型和境外保存時間發生變化時應當重新評估。 | 首次明確應根據不同的接收者分別申報安全評估。明確其他要素(包括數據出境目的����、範圍����、數量��、類型)發生任何變化時����,都應重新評估�,而非僅在發生較大變化和重大安全事件時重新評估。 |
評估周期 | 第十二條 網絡運營者應根據業務發展和網絡運營情況��,每年對數據出境至少進行一次安全評估����,及時將評估情況報行業主管或監管部門。 | 第三條 每2年或者個人信息出境目的��、類型和境外保存時間發生變化時應當重新評估。 | 在數據出境無變化的情況下�,評估周期延長為兩年一次。 |
評估內容 | 第八條 數據出境安全評估應重點評估以下內容:(一)數據出境的必要性��; (二)涉及個人信息情況��,包括個人信息的數量����、範圍����、類型�、敏感程度����,以及個人信息主體是否同意其個人信息出境等����; (三)涉及重要數據情況�,包括重要數據的數量����、範圍�����、類型及其敏感程度等����; (四)數據接收方的安全保護措施��、能力和水平��,以及所在國家和地區的網絡安全環境等�; (五)數據出境及再轉移後被泄露���、毀損���、篡改���、濫用等風險���; (六)數據出境及出境數據彙聚可能對國家安全����、社會公共利益���、個人合法利益帶來的風險�����; (七)其他需要評估的重要事項。 | 第六條 個人信息出境安全評估重點評估以下內容: (一)是否符合國家有關法律法規和政策規定。 (二)合同條款是否能夠充分保障個人信息主體合法權益。 (三)合同能否得到有效執行。 (四)網絡運營者或接收者是否有損害個人信息主體合法權益的曆史���、是否發生過重大網絡安全事件。 (五)網絡運營者獲得個人信息是否合法��、正當。 (六)其他應當評估的內容。 | 不再具體規範評估內容�,但抓住了幾個有力抓手����,如合同條款���、網絡運營方或接收者的過往曆史��、信息取得的合法基礎等。 |
出境記錄保存義務 | 無 | 第八條 網絡運營者應當建立個人信息出境記錄並且至少保存5年�,記錄包括: (一)向境外提供個人信息的日期時間。 (二)接收者的身份�,包括但不限於接收者的名稱���、地址�����、聯係方式等。 (三)向境外提供的個人信息的類型及數量���、敏感程度。 (四)國家網信部門規定的其他內容。 | 新增了出境記錄保存5年的義務�����,時間較長����,且規定細致�,增加企業合規成本。 |
備案義務 | 第十二條 網絡運營者應根據業務發展和網絡運營情況��,每年對數據出境至少進行一次安全評估���,及時將評估情況報行業主管或監管部門。 | 第九條 網絡運營者應當每年12月31日前將本年度個人信息出境情況���、合同履行情況等報所在地省級網信部門。 | 明確了報備機關為省級網信部門�����,不排除行業主管部門從行業監管角度要求同時報備。 |
網絡運營者對個人信息主體承擔的義務 | 第四條 個人信息出境�,應向個人信息主體說明數據出境的目的�����、範圍����、內容��、接收方及接收方所在的國家或地區��,並經其同意。未成年人個人信息出境須經其監護人同意。 | 第十三條 網絡運營者與個人信息接收者簽訂的合同或者其他有法律效力的文件(統稱合同)���,應當明確: (一)個人信息出境的目的���、類型�����、保存時限。 (二)個人信息主體是合同中涉及個人信息主體權益的條款的受益人。 (三)gerenxinxizhutihefaquanyishoudaosunhaishi�,keyizixinghuozheweituodailirenxiangwangluoyunyingzhehuozhejieshouzhehuozheshuangfangsuopei�,wangluoyunyingzhehuozhejieshouzheyingdangyuyipeichang���,chufeizhengmingmeiyouzeren。 (四)接收者所在國家法律環境發生變化導致合同難以履行時����,應當終止合同�����,或者重新進行安全評估。 (五)合he同tong的de終zhong止zhi不bu能neng免mian除chu合he同tong中zhong涉she及ji個ge人ren信xin息xi主zhu體ti合he法fa權quan益yi有you關guan條tiao款kuan規gui定ding的de網wang絡luo運yun營ying者zhe和he接jie收shou者zhe的de責ze任ren和he義yi務wu����,除chu非fei接jie收shou者zhe已yi經jing銷xiao毀hui了le接jie收shou到dao的de個ge人ren信xin息xi或huo作zuo了le匿ni名ming化hua處chu理li。 (六)雙方約定的其他內容。 第十四條 合同應當明確網絡運營者承擔以下責任和義務: (一)以電子郵件���、即時通信��、信函���、傳真等方式告知個人信息主體網絡運營者和接收者的基本情況�����,以及向境外提供個人信息的目的����、類型和保存時間。 (二)應個人信息主體的請求����,提供本合同的副本。 (三)應請求向接收者轉達個人信息主體訴求��,包括向接收者索賠���;個人信息主體不能從接收者獲得賠償時�,先行賠付。 | 除《舊評估辦法》規定的告知義務外�,網絡運營者還需承擔與接收者簽訂合同��、向個人信息主體提供數據出境合同副本���、對個人信息主體先行賠付等義務。 網絡運營者需要更加全麵地保護和響應個人信息主體的權利。 |
個人信息接收者的義務 | 無 | 第十五條 合同應當明確接收者承擔以下責任和義務: (一)為個人信息主體提供訪問其個人信息的途徑����,個人信息主體要求更正或者刪除其個人信息時���,應在合理的代價和時限內予以響應�����、更正或者刪除。 (二)按照合同約定的目的使用個人信息��,個人信息的境外保存期限不得超出合同約定的時限。 (三)確que認ren簽qian署shu合he同tong及ji履lv行xing合he同tong義yi務wu不bu會hui違wei背bei接jie收shou者zhe所suo在zai國guo家jia的de法fa律lv要yao求qiu��,當dang接jie收shou者zhe所suo在zai國guo家jia和he地di區qu法fa律lv環huan境jing發fa生sheng變bian化hua可ke能neng影ying響xiang合he同tong執zhi行xing時shi�,應ying當dang及ji時shi通tong知zhi網wang絡luo運yun營ying者zhe�����,並bing通tong過guo網wang絡luo運yun營ying者zhe報bao告gao網wang絡luo運yun營ying者zhe所suo在zai地di省sheng級ji網wang信xin部bu門men。 第十六條 合同應當明確接收者不得將接收到的個人信息傳輸給第三方�����,除非滿足以下條件: (一)網絡運營者已經通過電子郵件����、即時通信����、信函�����、傳真等方式將個人信息傳輸給第三方的目的����、第三方的身份和國別����,以及傳輸的個人信息類型���、第三方保留時限等通知個人信息主體。 (二)接收者承諾在個人信息主體請求停止向第三方傳輸時����,停止傳輸並要求第三方銷毀已經接收到的個人信息。 (三)涉及到個人敏感信息時����,已征得個人信息主體同意。 (四)因向第三方傳輸個人信息對個人信息主體合法權益帶來損害時����,網絡運營者同意先行承擔賠付責任。 | 網絡運營者不僅自身需要承擔相關義務�,還需要通過合同給境外的個人信息接收者設定義務���,包括響應個人信息主體的權利����、按合同目的使用個人信息���、按合同約定期限保存個人信息�、確認履行合同義務不會違背當地法律�����、及時通知網絡運營者所在國相關法律環境的變化以及除非滿足特定條件����,否則不得向第三方傳輸個人信息等。 |
境外機構的義務 | 第十六條 其他個人和組織在中華人民共和國境內收集和產生的個人信息和重要數據出境的安全評估工作參照本辦法執行。 | 第二十條 境jing外wai機ji構gou經jing營ying活huo動dong中zhong����,通tong過guo互hu聯lian網wang等deng收shou集ji境jing內nei用yong戶hu個ge人ren信xin息xi�����,應ying當dang在zai境jing內nei通tong過guo法fa定ding代dai表biao人ren或huo者zhe機ji構gou履lv行xing本ben辦ban法fa中zhong網wang絡luo運yun營ying者zhe的de責ze任ren和he義yi務wu。 | 新增了類似於GDPR第27條的境內代表人製度�����,但沒有像GDPR區分情形����,而是統一要求所有收集境內個人信息的境外機構���,均在境內設立代表�����,增加了境外機構的合規難度和成本。 |
三����、《評估辦法》和歐盟對數據跨境流動規製的對比
shujuchujinggeijianguandailaiyixiliewenti���,geguodeshujubaohulifadouduizhexiewentizuochulehuoduohuoshaodehuiying����,qizhongoumenghemeiguofenbiedaibiaoleliangzhongtaidu����,oumenggengjiaqiangtiaoduigerenquanlidebaohu����,ermeiguogengjiazhongshishujudeziyouliutong。《評估辦法》的出台��,顯著加強了對個人信息跨境流動的限製���,標誌著我國立法向歐盟方向靠近的一步��,同樣力圖更加全麵地保護個人信息。
和歐盟立法相比����,我國的《評估辦法》在一定程度上借鑒了GDPR相關規定����,但二者同時存在差異:
對比項 | GDPR | 《評估辦法》 |
個人信息出境機製 | 多種機製����,包括1)充分性決定[6]�;2)采取適當的保障措施(包括標準合同條款和約束性企業規則(“BCR”)等)[7]�;3)例外情形(包括個人數據主體同意�����、公共利益等)[8]。 | 單一機製���,即安全評估機製(法律法規�����、國際條約另有規定除外[9])。 |
評估機構 | 1)充分性決定由歐盟委員會評估後作出[10]�����;2)適當保障措施中����,BCR由集團所確定的某一國數據保護監管機構(DPA)牽頭評估[11]。 | 省級網信部門[12] |
評估周期 | 以BCR為例��,BCR被批準後可以被修改�,但須及時向所有BCR成員以及通過有管轄權的監管機構向所有監管機構報告其變化。 此外���,對於處理者而言����,如果修改可能影響處理條件����,處理者還應及時向控製者提供信息��,以便控製者提出異議或終止合同。 BCR規則或接收者變化的���,根據身份的不同���,符合以下要求����,則無需重新評估BCR: 控製者: (1) 留存最新的BCR成員名單�,保留對規則的所有修改記錄���,並在數據主體或監管機構要求時提供必要信息����; (2) 新的BCR成員在受BCR約束並達到合規要求之前���,不得向其傳輸數據。 (3) 任何對BCR或BCR成員的變更應每年通報給監管機構����,並簡要解釋變更的原因。 (4) 修改可能影響BCR提供的保護水平或對BCR有重大影響(例如其約束性)的��,則應立即通報給監管機構。[13] 處理者: (1) 留存最新的BCR成員��、處理分包商名單�,並提供給控製者�����、數據主體和監管機構�����; (2) 保留對規則的所有修改記錄���,並應要求係統性地向數據控製者和監管機構提供必要信息。 (3) 新的BCR成員在受BCR約束並達到合規要求之前���,不得向其傳輸數據。 (4) 任何對BCR或BCR成員的變更應每年通報給監管機構���,並簡要解釋變更的原因。 (5) 修改可能影響BCR提供的保護水平或對BCR有重大影響(例如其約束性)的���,則應立即通報給監管機構。[14] | 每兩年或者個人信息出境目的��、類型和境外保存時間發生變化時也應當重新評估。[15] |
評估內容 | 根據傳輸機製各不相同。 充分性決定主要考慮傳輸目的國的法律環境���、監管機構�����、國際承諾等。[16] 適當保障措施中�����,以約束性企業規則為例�����,評估內容包括: (1) 該規則是否具有法律約束力�����; (2) 就處理個人數據明確授予數據主體可強製執行的權利�����; (3) 集團及其每個成員的架構和聯係方式���; (4) 擬傳輸數據的詳細信息����,包括個人數據的種類����、處理的類型及目的�����、受影響的個人信息主體類型��、傳輸目的國等�; (5) 是否適用數據保護的一般原則(如目的限製原則����、數據最小化原則等)����; (6) 數據主體的權益是否得到保障�����,包括拒絕自動化決策����,申訴或起訴權以及獲得賠償權等�; (7) 歐盟境內的控製者或處理者是否對歐盟境外的集團成員違反約束性企業規則承擔責任����; (8) 有關BCR的信息是否有效地告知了數據主體���; (9) 數據保護官的職責�����; (10) 投訴程序�����; (11) 確保遵守BCR的機製�,如數據審計和糾錯機製等��; (12) 記錄並向監管機構報告規則修訂的機製���; (13) 與監管機構的合作機製�����; (14) 向監管機構彙報第三國有關法律要求的機製����; (15) 有關人員的培訓機製。[17] | (1)是否符合國家有關法律法規和政策規定�����; (2)合同條款是否能夠充分保障個人信息主體合法權益��; (3)合同能否得到有效執行�����; (4)網絡運營者或接收者是否有損害個人信息主體合法權益的曆史�����、是否發生過重大網絡安全事件�����; (5)網絡運營者獲得個人信息是否合法���、正當����; (6)其他應當評估的內容。[18] |
個人信息境外接收者的義務 | (通過多種機製�����,包括約束性企業規則和標準合同條款等)個人信息接收者應提供適當保障措施���,以確保個人數據主體的權利是可執行的���,且個人數據主體擁有有效的法律救濟手段。[19] | (通過合同要求)接收者需響應個人信息主體的權利����、按合同目的使用個人信息�、按合同約定期限保存個人信息��、向網絡運營者通知接收者所在國法律環境變化�����,且除非滿足特定條件����,否則不得向第三方傳輸個人信息。[20] |
四�����、立法趨勢預測及合規建議
1. 立法趨勢預測
在《評估辦法》出台前�,有外媒曾報道�����,受中美貿易戰影響���,《信息安全技術 數據出境安全評估指南(征求意見稿)》在zai出chu台tai近jin兩liang年nian時shi間jian內nei未wei能neng正zheng式shi生sheng效xiao�����,我wo國guo對dui重zhong要yao數shu據ju和he個ge人ren信xin息xi的de跨kua境jing傳chuan輸shu監jian管guan可ke能neng做zuo出chu重zhong大da調tiao整zheng。當dang前qian對dui重zhong要yao數shu據ju和he個ge人ren信xin息xi分fen別bie監jian管guan的de趨qu勢shi印yin證zheng了le這zhe一yi說shuo法fa。《評估辦法》以個人信息這一安全要求相對較弱����、流動性要求更強的監管對象為第一步��,可能預示著後續對“重要數據”有相對更強的監管要求���,比如采用更加嚴格的評估標準。
2. 合規建議
我(wo)們(men)建(jian)議(yi)網(wang)絡(luo)運(yun)營(ying)單(dan)位(wei)如(ru)有(you)大(da)量(liang)數(shu)據(ju)出(chu)境(jing)業(ye)務(wu)的(de)�,應(ying)重(zhong)點(dian)關(guan)注(zhu)本(ben)領(ling)域(yu)立(li)法(fa)動(dong)態(tai)�,適(shi)當(dang)調(tiao)整(zheng)數(shu)據(ju)的(de)本(ben)地(di)化(hua)存(cun)儲(chu)和(he)出(chu)境(jing)措(cuo)施(shi)並(bing)製(zhi)定(ding)相(xiang)應(ying)後(hou)備(bei)方(fang)案(an)��,以(yi)及(ji)時(shi)響(xiang)應(ying)立(li)法(fa)和(he)監(jian)管(guan)變(bian)化(hua)�����,降(jiang)低(di)違(wei)規(gui)風(feng)險(xian)。
此外�,需要注意的是��,在個人信息出境安全評估的申報主體方麵����,舊《評估辦法》和《評估辦法》均僅籠統地規定由“網絡運營者”向主管部門提出申請。我國目前生效法律法規並未區分數據控製者和處理者的角色[21]�,《評估辦法》也(ye)沒(mei)有(you)區(qu)分(fen)申(shen)報(bao)安(an)全(quan)評(ping)估(gu)是(shi)控(kong)製(zhi)者(zhe)還(hai)是(shi)處(chu)理(li)者(zhe)的(de)義(yi)務(wu)。我(wo)們(men)在(zai)服(fu)務(wu)客(ke)戶(hu)的(de)過(guo)程(cheng)中(zhong)了(le)解(jie)到(dao)����,相(xiang)關(guan)國(guo)家(jia)標(biao)準(zhun)起(qi)草(cao)單(dan)位(wei)傾(qing)向(xiang)認(ren)為(wei)���,控(kong)製(zhi)者(zhe)和(he)處(chu)理(li)者(zhe)都(dou)應(ying)當(dang)可(ke)以(yi)以(yi)網(wang)絡(luo)運(yun)營(ying)者(zhe)的(de)身(shen)份(fen)向(xiang)主(zhu)管(guan)部(bu)門(men)申(shen)請(qing)進(jin)行(xing)個(ge)人(ren)信(xin)息(xi)出(chu)境(jing)安(an)全(quan)評(ping)估(gu)。從(cong)法(fa)律(lv)角(jiao)度(du)而(er)言(yan)�����,理(li)論(lun)上(shang)��,控(kong)製(zhi)者(zhe)和(he)處(chu)理(li)者(zhe)屬(shu)於(yu)委(wei)托(tuo)代(dai)理(li)關(guan)係(xi)��,控(kong)製(zhi)者(zhe)委(wei)托(tuo)處(chu)理(li)者(zhe)代(dai)為(wei)處(chu)理(li)數(shu)據(ju)���,控(kong)製(zhi)者(zhe)作(zuo)為(wei)委(wei)托(tuo)人(ren)����,應(ying)承(cheng)擔(dan)申(shen)報(bao)的(de)法(fa)律(lv)責(ze)任(ren)�,但(dan)可(ke)以(yi)委(wei)托(tuo)處(chu)理(li)者(zhe)進(jin)行(xing)申(shen)報(bao)的(de)具(ju)體(ti)操(cao)作(zuo)。處(chu)理(li)者(zhe)通(tong)常(chang)也(ye)具(ju)備(bei)提(ti)交(jiao)安(an)全(quan)評(ping)估(gu)所(suo)需(xu)的(de)更(geng)強(qiang)的(de)技(ji)術(shu)能(neng)力(li)。當(dang)然(ran)���,也(ye)有(you)可(ke)能(neng)後(hou)續(xu)由(you)主(zhu)管(guan)部(bu)門(men)在(zai)評(ping)估(gu)時(shi)根(gen)據(ju)某(mou)些(xie)原(yuan)則(ze)確(que)定(ding)申(shen)報(bao)評(ping)估(gu)的(de)主(zhu)體(ti)。但(dan)無(wu)論(lun)如(ru)何(he)�����,個(ge)人(ren)信(xin)息(xi)出(chu)境(jing)安(an)全(quan)評(ping)估(gu)箭(jian)在(zai)弦(xian)上(shang)�����,我(wo)們(men)建(jian)議(yi)網(wang)絡(luo)運(yun)營(ying)單(dan)位(wei)不(bu)僅(jin)要(yao)關(guan)注(zhu)內(nei)部(bu)安(an)全(quan)評(ping)估(gu)機(ji)製(zhi)的(de)建(jian)設(she)���,還(hai)應(ying)及(ji)時(shi)更(geng)新(xin)涉(she)及(ji)數(shu)據(ju)處(chu)理(li)的(de)合(he)同(tong)等(deng)法(fa)律(lv)文(wen)件(jian)�����,在(zai)法(fa)律(lv)允(yun)許(xu)的(de)範(fan)圍(wei)內(nei)����,明(ming)確(que)控(kong)製(zhi)者(zhe)和(he)處(chu)理(li)者(zhe)就(jiu)申(shen)報(bao)安(an)全(quan)評(ping)估(gu)各(ge)自(zi)應(ying)承(cheng)擔(dan)的(de)義(yi)務(wu)��,為(wei)個(ge)人(ren)信(xin)息(xi)的(de)合(he)法(fa)�、安全出境提前做好準備。
[1] 除《網絡安全審查辦法(征求意見稿)》(2019)針對CIIO采購網絡產品和服務時可能導致大量個人信息和重要數據出境的情形製定了網絡安全審查製度外����,《網絡安全法》和目前我國有關數據出境的征求意見稿均規定數據出境適用評估機製。
[2] 《網絡安全法》第三十七條
[3] 《網絡安全審查辦法(征求意見稿)》第十條
[4] 《數據安全管理辦法(征求意見稿)》第二十八條
[5] 《信息安全技術 數據出境評估指南》第3.7條
[6] GDPR第45條
[7] GDPR第46條
[8] GDPR第49條
[9] 《評估辦法》第二條�����、第十九條
[10] GDPR第45條(1)
[11] European Commission����,Binding Corporate Rules (BCR)���,“How is the lead authority chosen?”�����,https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en
[12] 《評估辦法》第三條
[13] GDPR第47條(2)(k)��、Article 29 Data Protection Working Party, 5.1, Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules (WP 256)
[14] Article 29 Data Protection Working Party, 5.1, Article Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rules (WP 257)
[15] 《評估辦法》第三條
[16] GDPR第45條(2)
[17] GDPR第47條(1)�����、(2)
[18] 《評估辦法》第六條
[19] GDPR第46條(1)��、(3)
[20] 《評估辦法》第十五條�����、第十六條
[21] 目前僅《信息安全技術 個人信息安全規範》區分了控製者和受委托處理者的角色。
