数据安全沙龙 ∣《个人信息出境安全评价方法(征求定见稿)》的考虑与主张

来历:    分类: 网规和立法   时刻: 2019-07-11 17:59   阅览:15996次



近来,阿里巴巴数据安全研讨中心联合数据保护官(DPO)社群在北京举行沙龙,环绕国家互联网信息办公室近期揭露征求定见的《个人信息出境安全评价方法(征求定见稿)》的要点条款打开会集谈论,并提出了立异性的定见和主张。


沙龙现场谈论的部分共同:


《个人信息出境安全评价方法(征求定见稿)》(以下简称“征求定见稿”)针对网络运营者提出了个人信息出境安全评价要求。“征求定见稿”具体内容依照安全评价的全流程逐渐打开,如下图。

 “征求定见稿”的准则规划,不管是对合同、个人信息出境安全危险及安全保证办法剖析陈述,仍是省级网信部分展开评价的要点等,均强调了个人信息流出国境后继续对个人合法合法权益的保护。


DPO社群以为,国家动用公权力来保护不同类型数据,其中心诉求必定有所不同。



DPO社群以为,个人信息出境安全,首要是防止出于“经济意图”为导向的数据走漏和乱用事情;重要数据出境,首要是防止出于“政治和安全意图”为导向的数据走漏和乱用事情。


已然个人信息和重要数据出境安全评价所要防备的危险事情有着本质上的不同,出境安全评价的规划也应表现不同的理念、要点。防备性质不同的数据安全事情,采纳的手法天然也就不同。对个人信息出境监管来说,准则中心应当是经过安全评价,反向鼓励企业在个人信息出境时,真实地承当起责任(accountability)准则,管控数据出境链条中各协作方的行为。而对重要数据出境来说,由于面临的是以“政治和安全意图”的进犯,就算企业承当了责任,也常常杯水车薪。


现在的“征求定见稿”作出了“网络运营者申报”、“省级网信部分评价合格后赞同”的规划,在实践中很或许无法起到上述鼓励效果。相反,企业中担任数据安全和合规的部分,事实上可以将“锅”甩给省级网信部分:本来面临事务部分展开运营的诉求,企业中的数据安全和合规部分本来是站在他们“对立面”,经常要踩刹车;但现在的申报赞同制,相当于政府部分承当了本来企业中数据安全和合规的部分“踩刹车”的责任,本来企业中不同部分之间的“制衡”就不复存在。在这样的准则规划中,企业中数据安全和合规的部分的最佳战略必定是和事务部分站在一同,对事务诉求一概开绿灯,事事申报。请求不过,是监管的责任;请求过了,假如终究出了任何数据安全问题,也是监管的责任。


DPO社群以为,企业天然就具有展开事务取得经济利益的诉求。当下,在全球都开端注重数据安全保护的状况下,正规运营的企业不管高层到一线,均认识到企业加强数据安全和个人信息保护作业,现已是不可逆转的趋势。因而,政府展开包括出境安全评价在内的数据安全保护准则规划,最重要的是让企业意识到:“没有这个金刚钻,就别揽这个瓷器活”。


树立契合“权责共同准则”的个人信息出境安全评价准则主张



首要,归纳实践状况,存在以下几种无需存案的景象:

1. 出于保护个人信息主体或其他个人的生命、工业等严重合法权益所必需;

2. 实行境内法令法规规则的责任相关的;

3. 由个人自动主张,且境外数据接纳方为数据实践出境过程中仅有或首要的数据控制者的;

[要点阐明1:此种景象首要包括个人直接登录境外网站或应用以购买产品或服务,例如买机票、订酒店等;但不包括以下景象:境内网络运营者渠道作为中介,个人经过该中介服务购买了境外的产品或服务。在此景象中,境内网络运营者渠道和境外数据接纳方同为数据控制者。因而,境内渠道与境外数据接纳方的商业协作形式和数据活动形式应进行存案。

要点阐明2:相同起到上述意图的别的一种或许的表述是:由个人自动主张的数据出境活动的必需的,无需存案;但在数据出境过程中为供给该数据出境供给技术支撑和帮忙的第三方渠道,应就数据出境技术支撑和帮忙的安全性进行自评价并存案。]

1. 个人自动拨打电话,以及发送短信、传真、电子邮件等;

2. 触及现已合法揭露的个人信息或个人自行揭露的个人信息。


其次,境内的数据发送方在其自行决定的具体数据跨境事务发动日期,提早二十日向省级网信部分提交资料,进行存案。提交的资料包括:

1. 存案表;

2. 数据出境相关的合同条款,或专门的数据出境合同[要点阐明:事务协作合同中触及企业很多的商业秘密。主张向只是存案与数据出境相关的具体合同条款;或许作为事务协作合同附件的专门就数据出境作出约好的协议文本。事务协作中会对数据出境安全形成影响的要素,企业会在“个人信息出境安全危险及安全保证办法剖析陈述”作出宣布并展开危险剖析];

3. 个人信息出境安全危险及安全保证办法剖析陈述。


随后,数据发送方存案后二十日内未接到省级网信部分的告诉,可自行发动数据跨境事务。假如省级网信部分收到存案资料二十日内,发现特定企业所展开的数据出境事务有或许存在以下景象的,省级网信部分告诉该数据发送方,并安排专家或技术力量进行安全评价。安全评价发动景象如下:

1. 存在个人合法权益无法保证的危险;

2. 存在危害国家安全、社会公共利益的危险;

3. 国家有关部分确定的其他危险。


树立“权责共同准则”的个人信息出境安全评价准则的优点


1.从企业的视点来看


如此准则规划的优点在于给了企业十分强的数据安全和合规鼓励。即,假如企业在挑选境外事务协作伙伴、规划相关合同或条款等方面做出满足的尽力,供给了满足的安全水平,而且就预备了一望而知、令人信服的个人信息出境安全危险及安全保证办法剖析陈述,那事务展开就能有比较大确实定性和可控性,特别是事务部分不必等候政府部分的“绿灯”,才干展开事务——只要在具体事务发动提早二十日提交存案资料,随后就能按期展开与境外的协作。相反假如某个企业对数据出境的安全“掉以轻心”,随意挑选协作伙伴,且预备的资料不充分,天然政府部分将发动评价,协作将不得不作出明显调整,甚至于间断。


2.从省级网信部分的视点来看


如此的准则规划,防止了省级网信部分或许需求承当本来由企业内部数据安全和合规部分所应该承当的责任。企业有十分强的动力去挑选协作伙伴以及进行相关的条款规划。而且,企业在供给“个人信息出境安全危险及安全保证办法剖析陈述”时,有动力做到具体、周全,免去了省级网信部分展开调查、问询等很多的获取信息的本钱。更重要的是,这样的准则规划给了省级网信部分“能进能退”的自主空间。且依据外部局势改变和危险的演进,省级网信部分可以灵敏地“拧紧”或许“放松”数据出境的“闸门”。


3.关于存案体系的规划


关于存案体系及在存案体系中提交的文件,可进一步参阅《具有言论特点或社会发动才能的互联网信息服务的安全评价陈述(模板)》,首要包括以下事项:

(1) 展开数据出境评价的景象[例如:新数据出境安全评价、两年后的再评价、严重改变后的从头评价等];

(2) 数据发送方和接纳方安全担任人及安全管理机构建立状况;

(3) 数据出境安全危险剖析及采纳的控制办法状况剖析;

(4) 数据出境评价合同的状况[例如,运用的是规范合同,或许运用的是其他类型合同。DPO社群等待:全国性网络安全规范化安排或许行业协会可以拟定契合本方法要求的“数据出境演示合同”,并取得国家网信部分的赞同];

(5) 数据出境自评价记载保存状况。 


收拾:博雷

责编:张晶晶


0