《个人信息出境安全评估办法(草案)》知多少?
国家互联网信息办公室在2019年6月13日发布了《个人信息出境安全评估办法(征求意见稿)》(下称“草案”),公开征求社会公众的意见。这个草案是为了保护公众个人信息安全,但一部分公众习惯性地看了草案标题就望文生义。本文就此揭开这个草案的面纱,让大家一睹庐山真面目。
什么是个人信息出境?
个人信息出境,在草案中作为一种法律术语,是有特定背景的,它指的是个人信息通过网络或者计算机信息系统进行的出境,而你的个人信息能够进入这个网络进行传输,前提是你的个人信息被网络运营者收集了,然后被转化为计算机可读的数据,进而被网络运营者通过服务器存储起来,最后才有可能被传输出去。所以,决定你个人信息出境的关键并不是你提供个人信息的行为本身,而是收集、存储和传输有关你的个人信息的网络运营者。你在哪里并不重要,重要的是收集和处理你个人信息的网络运营者的服务器在哪里。例如,你出国旅游用支付宝购物,你的信息还是在境内,因为支付宝的服务器原则上是在中国境内的。
个人信息出境了不是要评估你个人
如果个人信息出境了,那只有两种可能:一种是网络运营者的服务器在境外;另一种可能是网络运营者的服务器虽然在境内,但该网络运营者将其传输给境外第三人。所以,你的个人信息出境了安不安全,关键就在于网络运营者和接收你个人信息的境外第三人是否采取了必要措施确保你的个人信息不会被窃取、篡改和再提供给别的你不知道的人。所以,草案对于网络运营者和接收你个人信息的境外第三人都设置了义务,而安全评估就是要评估他们是否履行了义务。但是,如果网络运营者本身就在境外,那么为了执法方便,草案就借鉴了欧盟《通用数据保护条例》、巴西《个人信息保护法》的做法,在第20条要求境外机构在境内通过法定代表人或机构履行相应的责任和义务。另外,国家对网络运营者要进行安全评估,也并不是网络运营者每传输一次你的个人信息就要评估一次,草案第3条规定原则上2年评估一次。
安全评估的目的并非干涉你的隐私
国家出台立法对个人信息出境进行评估的目的并不是审查个人的对外沟通、干涉个人隐私,而是审查网络运营者和境外接收你个人信息的第三方是否保障了你的个人信息的安全,目的是防止境外的人没有采取必要的安全保障措施,或者将你的个人信息用于你不知道的目的。境外的人使用你信息的目的,可能是窃取你的银行卡信息,跟踪你的出境行程,或者将你的信息提供给当地的情报部门用于审查你的身份和犯罪记录。如果只是你单个个人的信息,你的信息出境只涉及你个人利益,但如果涉及批量的个人信息或者敏感个人信息,如大面积的传染性疾病信息、中国人体基因信息等,那这些个人信息的出境很显然这就涉及到了我国的公共利益或者国家安全。这就是草案第二条规定网络运营者拟进行的个人信息出境被评估出“可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的”而不得出境的原因。
个人信息出境安全评估非我国首创
对于个人信息出境进行安全评估并非中国首创或者独创,相反我国是很晚才介入的国家。欧洲发达国家瑞典最早在1973年就立法要求个人信息出境获得审批,欧盟在1995年通过《个人信息保护指令》和2018年生效的欧盟《通用个人信息保护条例》(大家所熟知的GDPR)都要求成员国审查个人信息出境。欧盟在审查时不仅审查境内的网络运营者和境外接收者是否履行义务,还可能要审查境外接收者所在国的法律是否跟欧盟法一样提供了个人信息的同等保护。邻国日本在2016年也出台了《与个人信息保护相关法律的指南(个人信息向外国第三人提供编)》,重点审查企业向外国第三人提供个人信息时是否按照法律要求征求了个人的同意。所以,看到日本这个法律的标题,你是否也觉得日本政府管得太多了。
草案提供了诸多保障你权利的机制
如果你使用网络运营者的服务,但不知道他们是否将你的个人信息提供给了境外的人。按照草案第16条的规定,网络运营者要“通过电子邮件、即时通信、信函、传真等方式将个人信息传输给第三方的目的、第三方的身份和国别,以及传输的个人信息类型、第三方保留时限等通知”你。如果你还是没有收到通知,根据草案第14条第2项的规定,你可以请求网络运营者提供个人信息出境时跟境外第三人签订的合同的副本,当然涉及到商业秘密的内容不会提供给你。如果你发现网络运营者不给你提供,你就可以根据草案第2条的规定举报,或者依据第18条去起诉网络运营者。如果发现你的个人信息确实被境外第三人滥用的,而你又找不到境外第三人索赔的,按照草案第16条第4项的规定,你可以要求境内的网络运营者先行赔付。
综合来看,国家互联网信息办公室制定该办法的目的是为了最大可能地降低我国公民个人信息出境带来的安全风险,保障公民合法权益。
(来源:中国网信网中央财经大学助理教授张金平)
评论