《個(gè)人信息出境安全評估辦法(草案)》知多少��?
發(fā)布時(shí)間:2019-06-17 14:28
分享到:
國家互聯(lián)網(wǎng)信息辦公室在2019年6月13日發(fā)布了《個(gè)人信息出境安全評估辦法(征求意見稿)》(下稱“草案”)��,公開征求社會公眾的意見�。這個(gè)草案是為了保護(hù)公眾個(gè)人信息安全,但一部分公眾習(xí)慣性地看了草案標(biāo)題就望文生義����。本文就此揭開這個(gè)草案的面紗,讓大家一睹廬山真面目�。
什么是個(gè)人信息出境?
個(gè)人信息出境�����,在草案中作為一種法律術(shù)語�,是有特定背景的,它指的是個(gè)人信息通過網(wǎng)絡(luò)或者計(jì)算機(jī)信息系統(tǒng)進(jìn)行的出境��,而你的個(gè)人信息能夠進(jìn)入這個(gè)網(wǎng)絡(luò)進(jìn)行傳輸�����,前提是你的個(gè)人信息被網(wǎng)絡(luò)運(yùn)營者收集了,然后被轉(zhuǎn)化為計(jì)算機(jī)可讀的數(shù)據(jù)���,進(jìn)而被網(wǎng)絡(luò)運(yùn)營者通過服務(wù)器存儲起來���,最后才有可能被傳輸出去。所以����,決定你個(gè)人信息出境的關(guān)鍵并不是你提供個(gè)人信息的行為本身,而是收集���、存儲和傳輸有關(guān)你的個(gè)人信息的網(wǎng)絡(luò)運(yùn)營者�����。你在哪里并不重要����,重要的是收集和處理你個(gè)人信息的網(wǎng)絡(luò)運(yùn)營者的服務(wù)器在哪里���。例如����,你出國旅游用支付寶購物,你的信息還是在境內(nèi)����,因?yàn)橹Ц秾毜姆?wù)器原則上是在中國境內(nèi)的�����。
個(gè)人信息出境了不是要評估你個(gè)人
如果個(gè)人信息出境了���,那只有兩種可能:一種是網(wǎng)絡(luò)運(yùn)營者的服務(wù)器在境外�����;另一種可能是網(wǎng)絡(luò)運(yùn)營者的服務(wù)器雖然在境內(nèi)�����,但該網(wǎng)絡(luò)運(yùn)營者將其傳輸給境外第三人�����。所以�,你的個(gè)人信息出境了安不安全,關(guān)鍵就在于網(wǎng)絡(luò)運(yùn)營者和接收你個(gè)人信息的境外第三人是否采取了必要措施確保你的個(gè)人信息不會被竊取����、篡改和再提供給別的你不知道的人。所以�,草案對于網(wǎng)絡(luò)運(yùn)營者和接收你個(gè)人信息的境外第三人都設(shè)置了義務(wù),而安全評估就是要評估他們是否履行了義務(wù)����。但是,如果網(wǎng)絡(luò)運(yùn)營者本身就在境外����,那么為了執(zhí)法方便,草案就借鑒了歐盟《通用數(shù)據(jù)保護(hù)條例》�����、巴西《個(gè)人信息保護(hù)法》的做法����,在第20條要求境外機(jī)構(gòu)在境內(nèi)通過法定代表人或機(jī)構(gòu)履行相應(yīng)的責(zé)任和義務(wù)。另外����,國家對網(wǎng)絡(luò)運(yùn)營者要進(jìn)行安全評估����,也并不是網(wǎng)絡(luò)運(yùn)營者每傳輸一次你的個(gè)人信息就要評估一次����,草案第3條規(guī)定原則上2年評估一次。
安全評估的目的并非干涉你的隱私
國家出臺立法對個(gè)人信息出境進(jìn)行評估的目的并不是審查個(gè)人的對外溝通��、干涉?zhèn)€人隱私���,而是審查網(wǎng)絡(luò)運(yùn)營者和境外接收你個(gè)人信息的第三方是否保障了你的個(gè)人信息的安全,目的是防止境外的人沒有采取必要的安全保障措施��,或者將你的個(gè)人信息用于你不知道的目的����。境外的人使用你信息的目的,可能是竊取你的銀行卡信息�����,跟蹤你的出境行程���,或者將你的信息提供給當(dāng)?shù)氐那閳?bào)部門用于審查你的身份和犯罪記錄����。如果只是你單個(gè)個(gè)人的信息,你的信息出境只涉及你個(gè)人利益���,但如果涉及批量的個(gè)人信息或者敏感個(gè)人信息��,如大面積的傳染性疾病信息�����、中國人體基因信息等�,那這些個(gè)人信息的出境很顯然這就涉及到了我國的公共利益或者國家安全��。這就是草案第二條規(guī)定網(wǎng)絡(luò)運(yùn)營者擬進(jìn)行的個(gè)人信息出境被評估出“可能影響國家安全�����、損害公共利益��,或者難以有效保障個(gè)人信息安全的”而不得出境的原因�。
個(gè)人信息出境安全評估非我國首創(chuàng)
對于個(gè)人信息出境進(jìn)行安全評估并非中國首創(chuàng)或者獨(dú)創(chuàng),相反我國是很晚才介入的國家�����。歐洲發(fā)達(dá)國家瑞典最早在1973年就立法要求個(gè)人信息出境獲得審批,歐盟在1995年通過《個(gè)人信息保護(hù)指令》和2018年生效的歐盟《通用個(gè)人信息保護(hù)條例》(大家所熟知的GDPR)都要求成員國審查個(gè)人信息出境��。歐盟在審查時(shí)不僅審查境內(nèi)的網(wǎng)絡(luò)運(yùn)營者和境外接收者是否履行義務(wù)�,還可能要審查境外接收者所在國的法律是否跟歐盟法一樣提供了個(gè)人信息的同等保護(hù)。鄰國日本在2016年也出臺了《與個(gè)人信息保護(hù)相關(guān)法律的指南(個(gè)人信息向外國第三人提供編)》���,重點(diǎn)審查企業(yè)向外國第三人提供個(gè)人信息時(shí)是否按照法律要求征求了個(gè)人的同意����。所以�����,看到日本這個(gè)法律的標(biāo)題���,你是否也覺得日本政府管得太多了。
草案提供了諸多保障你權(quán)利的機(jī)制
如果你使用網(wǎng)絡(luò)運(yùn)營者的服務(wù)����,但不知道他們是否將你的個(gè)人信息提供給了境外的人。按照草案第16條的規(guī)定�����,網(wǎng)絡(luò)運(yùn)營者要通過電子郵件、即時(shí)通信�����、信函��、傳真等方式將個(gè)人信息傳輸給第三方的目的����、第三方的身份和國別,以及傳輸?shù)膫€(gè)人信息類型���、第三方保留時(shí)限等通知你����。如果你還是沒有收到通知�,根據(jù)草案第14條第2項(xiàng)的規(guī)定,你可以請求網(wǎng)絡(luò)運(yùn)營者提供個(gè)人信息出境時(shí)跟境外第三人簽訂的合同的副本�����,當(dāng)然涉及到商業(yè)秘密的內(nèi)容不會提供給你���。如果你發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者不給你提供�����,你就可以根據(jù)草案第2條的規(guī)定舉報(bào)�,或者依據(jù)第18條去起訴網(wǎng)絡(luò)運(yùn)營者。如果發(fā)現(xiàn)你的個(gè)人信息確實(shí)被境外第三人濫用的�����,而你又找不到境外第三人索賠的����,按照草案第16條第4項(xiàng)的規(guī)定,你可以要求境內(nèi)的網(wǎng)絡(luò)運(yùn)營者先行賠付����。
綜合來看����,國家互聯(lián)網(wǎng)信息辦公室制定該辦法的目的是為了最大可能地降低我國公民個(gè)人信息出境帶來的安全風(fēng)險(xiǎn),保障公民合法權(quán)益�����。
(來源:中國網(wǎng)信網(wǎng))