二、其他规定
《网络安全法》的出台标志着我国的数据保护立法迈入了一个新的阶段,其作为我国在网络安全领域的纲领性法律,在宏观层面对包括数据及个人信息保护在内的网络安全问题作出了相应的规定。但其作为纲领性法律,在完成制度设计的同时也将更多细化的空间留给了其配套法律法规和其他规范性文件进行规制。当前,数据的收集使用早已渗透社会生活的方方面面,在不断涌现的数据应用场景和数据运用方式面前,仅依靠《网络安全法》的既有规定不足以妥善调整现实生活中数据活动产生的问题。
在《网络安全法》框架下,我国出台了大量的配套规范性文件,对《网络安全法》未作明确的相关领域进行了进一步细致的规定。一方面,工信、网信等部门通过制定行政法规,对包括网络安全等级保护制度、关键信息基础设施保护制度等网络安全法确立的基本制度进行了规范;另一方面,在信安标委牵头下,针对实践中受广泛关注的领域,大量的数据合规要求以推荐性国家标准的形式出台,为企业的合规也提供了有益的指引。
(一)《电信和互联网用户个人信息保护规定》
1.出台背景
作为《网络安全法》出台之前个人信息保护领域重要的法律规范之一,早在2013年7月16日,工信部就公布了《电信和互联网用户个人信息保护规定》,确立了个人信息在收集、使用等方面的诸多规则。作为一部现行有效的规章,该规定对我们现今的数据合规仍然具有重要意义。
2.具体内容
除了对数据的收集和使用提出具体要求外,该规定还按照“谁经营、谁负责”“谁委托、谁负责”的原则,明确规定由电信业务经营者、互联网信息服务提供者负责对其代理商的个人信息保护工作实施管理。并且从岗位责任、管理制度、权限管理、存储介质、信息系统、操作记录、安全防护等方面,明确了电信业务经营者、互联网信息服务提供者应当采取的防止用户个人信息泄露、毁损、篡改或者丢失的措施。与此同时,该规定还对用户个人信息保护情况自查和培训等制度作了相应的规定。
3.不足之处
尽管《电信和互联网用户个人信息保护规定》的部分条款体现出了一定的先进性,但作为数据和个人信息保护领域立法的试水,其仅为工信部颁布的部门规章,在一定程度上削弱了其影响力。一方面,其法律位阶较低;另一方面,其规范的行业和领域仅限于工信部监管的电信与互联网领域,无法覆盖各行各业普遍存在的信息收集、使用情况,对个人信息保护的程度相对有限。
(二)《儿童个人信息网络保护规定》
1.出台背景
2019年,一系列数据和个人信息保护领域的法律法规纷纷出台,进一步完善了《网络安全法》的配套制度,对企业的数据和个人信息保护要求逐渐细化,对于数据合规的指引也日趋清晰。在这一系列同个人信息保护相关的法规中,自2019年5月31日下午征求意见稿发布到2019年8月23日下午正式版出台仅间隔84天的《儿童个人信息网络保护规定》,成为国家网信办2019年正式发布的第一个个人信息保护相关规定的正式版,充分体现了以国家网信办为代表的监管部门对于儿童个人信息保护的高度重视。
近年来,各地儿童个人信息侵权事件屡见不鲜。此类事件的频繁出现某种程度上导致儿童个人信息的保护逐渐受到普遍关注。相较于成人,由于相关知识储备和社会经验上的不足,儿童在面对个人信息收集、使用等数据活动时在认知和判断能力上存在严重不足,可能严重影响其合法利益,需要为其提供特殊保护。我国《儿童个人信息网络保护规定》一方面对儿童信息的保护需要遵循同其他个人信息的保护相同的具体规则,另一方面对儿童个人信息的同意方式作出了特殊规定,即征得儿童监护人同意。
2.具体内容
从具体规定来看,《儿童个人信息网络保护规定》结合借鉴《个人信息安全规范(征求意见稿)》和《数据安全管理办法(征求意见稿)》的相关内容和思路,针对儿童个人信息的收集、使用、存储、披露及相关的法律责任进行了较为详细的规定。
一般来说,监护人与儿童最亲近,对儿童的影响最大,要想加强对儿童个人信息的保护,监护人认真履行监护职责必不可少。而且,很多监护人是孩子的家长,家长是孩子的第一任老师,儿童自我保护个人信息的意识和能力需要家长的教育和引导。基于此,《儿童个人信息网络保护规定》强化了监护人对儿童个人信息的保护职责,明确网络运营者在收集、使用、转移、披露儿童个人信息前应当征得儿童监护人的同意,并对征得同意时明确告知事项的范围作出了具体的规定。
前述,儿童个人信息保护有其特殊性,需要给予儿童个人信息更高层次的保护。据此,《儿童个人信息网络保护规定》在遵循一般的个人信息保护规则的基础上,通过一系列制度设计将儿童个人信息保护提高到了较一般个人信息更高的层次。例如,其明确要求网络运营者设置专门儿童信息保护规则、用户协议、指定专人负责儿童个人信息保护相关事宜,并明确禁止网络运营者收集与其提供的服务无关的儿童个人信息的行为。又如,相较于一般情形,《儿童个人信息网络保护规定》在规范儿童或其监护人在特定情况下享有对其个人信息进行删除的权利时,新增了“超出范围或必要性对儿童个人信息进行处理”“儿童监护人撤回同意”两种特殊情形,实质上赋予了儿童及其监护人对于儿童个人信息享有更广泛的删除权。
此外,《儿童个人信息网络保护规定》也充分发挥了“市场”的调节作用,明确规定“将网络运营者违反本规定的行为记入信用档案,并予以公示”作为对网络运营者违反规定的惩罚措施之一。通过从商业角度影响网络运营者的经营管理,增加网络运营者的违规成本的方式,督促网络运营者开展合规运营。
3.不足之处
尽管从立法层面来说,《儿童个人信息网络保护规定》对儿童个人信息保护进行了较为详尽的规定,但其回避了企业在实践过程中如何有效甄别儿童以及如何判断作出同意的成年人是否为儿童监护人这两个关键问题。这意味着,企业在落实《儿童个人信息网络保护规定》的过程中仍然将面临一些实操上的困难。从某种程度上来说,其宣示意义更大于现实意义,在实践中监管部门如何适用相关条文,还有待于后续监管实践进一步检验。
(三)《App违法违规收集使用个人信息行为认定方法》(以下简称《App违法违规认定方法》)
1.出台背景
近年来,各类App进一步覆盖了个人工作和生活的方方面面,为广大App使用者带来了大量的便利。然则,在这一过程中,包括强制授权、过度索权、隐藏收集行为、“注销难”等违法违规现象也随之大量出现。不仅侵害了用户的合法权益,也在一定程度上引发了用户对于App违法违规收集个人信息行为的担忧和反感,影响了App的运营。
前述,自2019年起,国家网信办、工信部、公安部、国家市场监督管理总局四部门针对App违法违规收集使用个人信息的相关行为展开了专项整治,并不定期对整治、评估过程中发现存在问题的App进行公告、向App运营者发送相应的整改通知要求其开展相应的整改工作。在治理工作开展过程中,针对发现的突出问题,四部门将整治和评估过程中的相关要点和经验转化并出台了《App违法违规认定方法》,明确界定了App收集使用个人信息方面的违法违规行为,为App运营者自查自纠提供指引的同时也为App评估和处置提供了具体的参考。[8]
2.具体内容
在《App违法违规认定方法》出台前,尽管App专项治理工作已经处于火热的开展过程中,但对于具体违规行为的认定,实践中一直缺乏明确的规范性文件作为指引,未能充分将专项治理工作的工作方法和相关成果进一步转化为具体的合规要求。《App违法违规认定方法》采用罗列的方式列举了包括“未公开收集使用规则”“未明示收集使用个人信息的目的、方式和范围”“未经用户同意收集使用个人信息”“违反必要原则,收集与其提供的服务无关的个人信息”“未经同意向他人提供个人信息”“未按法律规定提供删除或更正个人信息功能”“未公布投诉、举报方式等信息”7大类共计31种违法违规行为,为App运营者收集、使用个人信息的行为划定了红线。
就具体内容而言,《App违法违规认定方法》继承了《网络安全法》的立法精神,明确同意为收集、使用用户个人信息的合法性基础,并在遵循个人信息收集、使用的最小、必要原则的基础上针对各App的收集、使用细化了具体违法违规行为的认定标准,重申了“向第三方提供用户个人信息时需要获得用户的二次授权”“保障用户更正、删除个人信息和注销账户的权利”“不得以默认选择同意隐私政策等非明示方式征求用户同意”等实践中已达成普遍共识的基本规则。整体来说,对于App运营者收集使用个人信息而言,《App违法违规认定方法》为其设置了相对明确的限制,但也提供了相对明确的合规指引。
就公开收集使用规则而言,《App违法违规认定方法》明确App应公开易于阅读和访问的隐私政策和收集使用个人信息规则,并在首次运行时对用户进行明显提示。
就告知而言,《App违法违规认定方法》要求App应逐项列举收集使用个人信息的目的、方式、范围等,并明确该等要求不仅适用于App自身收集使用个人信息的目的、方式和范围,亦适用于App嵌入的第三方代码、插件,直指实践中泛滥的SDK隐瞒收集个人信息的问题。同时,强调了在重要情况变更时需要对用户以适当方式进行通知,规定App在每次需要用户提供个人敏感信息时应当同步告知用户其目的,并要求企业确保收集使用规则内容的易读性,从多个角度对企业对个人信息主体的告知提出了全面要求。
就同意而言,《App违法违规认定方法》沿用了《个人信息安全规范(征求意见稿)》和《App违法违规收集使用个人信息自评估指南》(以下简称《App违法违规自评估指南》)中“明示同意”的要求,明确了同意是收集使用个人信息的起始点,强调不得违反用户意愿收集个人信息和不得频繁弹窗、干扰使用,并针对实践中用户普遍关注的定向推送、权限设置等问题进行了规制。
此外,对于实践中常见的“违反必要原则,收集与其提供的服务无关的个人信息”“未经同意向他人提供个人信息”两类行为,《App违法违规认定方法》分别列举了9类和6类具体的违规方式。总的来说,其列举的7大类31种违规行为,基本覆盖了相关治理工作中违法违规行为常见的表现形态。其出台一定程度上也预示着个人信息保护工作已经进入了深水区,充分体现了监管部门对于打击App违法违规收集使用个人信息行为的决心。
3.不足之处
尽管《App违法违规认定方法》涉及App嵌入的第三方代码、插件隐瞒收集的相关问题,但由于其适用对象主要为App运营者而非第三方服务的相关方(如SDK提供者),也并未为第三方服务相关方设定相应的披露义务从而实现对第三方服务相关方的约束,实践中若仅仅依靠App运营方,或许不足以解决第三方代码、插件隐瞒收集的问题。[9]
此外,《App违法违规认定方法》的效力也存在着一定争议。其某种程度上可视作App专项治理工作组治理工作的阶段性成果,其于2019年5月5日公开征求意见,并于12月30日出台正式版。不难发现,征求意见稿的发文机构为App专项治理工作组,而正式版的发文机构则调整为国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅和国家市场监督管理总局办公厅。有观点认为,《App违法违规认定办法》的制定机关是“国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅及国家市场监督管理总局办公厅”,发文字号为“国信办秘字”,根据《立法法》第84条第1款“部门规章应当经部务会议或者委员会会议决定”和第85条第1款“部门规章由部门首长签署命令予以公布”的规定可知,《App违法违规认定办法》并不符合部门规章的发文主体要求,其效力层级不属于规章,而仅是执法机关在执法过程中可以参考适用的文件,法律强制力存疑。[10]
(四)《个人信息范围规定》
1.出台背景
《网络安全法》规定“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则”“网络运营者不得收集与其提供的服务无关的个人信息”,对必要性作出了原则性的规定。但实践中,App超出必要范围收集使用个人信息的情况屡见不鲜,例如,部分App在注册环节就收集用户的身份证号码、部分日历类App收集用户的通讯录,对此,急需加以有效的、针对性的规范。
在此基础上,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定了《个人信息范围规定》。
2.具体内容
《个人信息范围规定》明确了地图导航类、网络约车类、即时通信类、网络社区类等39种常见类型移动互联网应用程序的基本功能服务和必要个人信息范围,要求移动App运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。
值得关注的是,该规定第2条明确“App包括移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序”,首次将小程序明确纳入App收集个人信息的监管范围。
对于该规定,可能出现两个常见误区:第一,非基本功能服务可以随意收集用户个人信息;第二,39种常见类型之外的App可以随意收集用户个人信息。这两个常见误区,都是对《个人信息范围规定》精神的错误把握,系试图“钻法律的空子”的表现。
3.不足之处
虽然《个人信息范围规定》划定了39种常见类型移动互联网应用程序的基本功能服务和必要个人信息范围,但其可执行性可能存在争议。在《个人信息保护法》尚未正式出台,收集使用个人信息的合法性基础尚未扩张的情况下,该规定与现有的合法性基础即同意,在适用方面可能存在冲突。
对于运营者而言,如果严格按照该规定执行,其需要改动的不仅是隐私政策的同意设计,更多的是对整个App页面的分区调整,改动之大之复杂可想而知。
(五)《数据安全管理办法(征求意见稿)》
1.出台背景
早在2015年发布的《促进大数据发展行动纲要》中,国务院便已经将数据定性为国家基础性战略资源,并从国家大数据发展战略全局的高度,提出了我国大数据发展的顶层设计。基于其基础性战略资源的定位,数据安全自然也成了国家重点关注的话题。
现行立法层面,《网络安全法》也对数据安全、个人信息保护等内容作出了原则性的规定,但上述内容多为基础性的表述,缺乏具体、细化的规则内容,且缺少对重要数据保护问题的相关规定。《网络安全法》采用原则性、纲领性规定的目的或在于为后续立法留足细化和解释的空间,但由于《数据安全法》的出台尚需时日,现有的规范性文件在打击数据违法行为、保护数据安全方面稍有不足。出于完善数据安全监管体系的需要,《数据安全管理办法(征求意见稿)》应运而生。
2.具体内容
《数据安全管理办法(征求意见稿)》在总则部分将在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动统一定义为“数据活动”,并明确数据活动、数据安全的保护和监督管理均受该办法管辖。在个人信息保护层面,其充分吸收了2019年2月发布的《个人信息安全规范(草案)》中的相关合规要求,明确为网络运营者设定了相应的义务。在重要数据保护层面,其试图通过重要数据的收集备案、向第三方提供重要数据的批准管理、向境外提供重要数据前的安全评估等制度填补现行法在重要数据保护方面的具体规则空白。同时,《数据安全管理办法(征求意见稿)》系统地规定了网络运营者数据收集、数据处理使用、数据安全监督管理等覆盖数据全生命周期的综合合规要求,直面强制捆绑授权、网络爬虫、定向推送、自动化洗稿、算法歧视等新型数据安全问题,以期为企业的数据收集、处理及管理活动提供有益的合规指引。
针对实践中发现的算法歧视行为,《数据安全管理办法(征求意见稿)》第13条明确予以禁止,强调网络运营者不得根据个人信息收集情况对个人信息主体采取歧视行为。相较于网络运营者,个人信息主体处于相对弱势的地位,本条实际上限制了网络运营者对个人信息主体不配合提供个人信息的“报复”行为,有利于制止网络运营者运用算法等技术手段通过“歧视”变相逼迫个人信息主体同意对其个人信息的收集和使用。
实践中,爬虫使用已经成为普遍现象,因网络爬虫引起的流量和不正当竞争纠纷屡见不鲜。针对网络爬虫问题,《数据安全管理办法(征求意见稿)》第16条明确了网络爬虫等自动化手段访问收集网站数据的红线要求,要求网络爬虫等自动化手段访问收集网站数据不得妨碍网站正常运行。此外,该规定采用了标准界定加举例的方式限制自动化手段的使用,如自动化访问收集流量不得超过网站日均流量三分之一。
针对定向推送问题,《数据安全管理办法(征求意见稿)》第23条强调网络运营者应以明显方式向用户提示所推送的信息为“定推”并提供用户停止接收定向推送信息的功能,若用户选择停止接收定向推送信息,该条在吸收《个人信息安全规范(征求意见稿)》第7.4条“向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项”的基础上,进一步明确了网络运营者应当停止推送并删除已收集的用户数据和个人信息的义务,并且将已经收集的设备识别码作为用户数据和个人信息的典型代表单独强调。同时,该条文明确禁止在定向推送中实施歧视行为。
针对自动合成信息问题,《数据安全管理办法(征求意见稿)》第24条明确了对网络运营者利用大数据、人工智能等技术自动合成信息的限制。该条指出,使用自动合成的信息时需以显著方式标明“合成”字样。同时,该条亦对自动合成信息的适用场景进行限制,明确规定不得以“谋取利益或损害他人利益”为目的。这有助于预防自动合成信息的不当使用,对于促进网络空间的生态治理具有积极意义。
3.不足之处
然而,由于《数据安全管理办法(征求意见稿)》试图将同数据相关的各种活动都纳入其规制范围之中,不可避免地导致其部分规定略显粗糙,同业务开展的商业逻辑不相一致,未充分考虑到数据商业运用与数据安全之间的平衡,若付诸实施则可能为合理数据的商业运用带来不确定性。
例如,第23条在规范定向推送的相关问题时,未显著区分新闻信息和商业广告,采用了“一刀切”的方式进行统一规定,一旦落地可能对互联网企业的广告业务开展产生较大的影响。再如,第15条明确了在以经营为目的的情形下,网络运营者收集重要数据和个人敏感信息必须履行相应的备案要求,但却并未明确“以经营为目的”具体指向何种互联网场景。考虑到个人敏感信息的定义较为广泛,且在实践中运用也较为多元,若在一般的业务经营过程中收集个人敏感信息均需要备案,一方面加重了网络运营者的合规义务,另一方面也可能大量增加地方网信部门的工作负担。
《数据安全管理办法(征求意见稿)》于2019年5月28日发布并公开征求意见,至今尚未落地。其后续对数据保护可能起到的作用和对企业合规的影响还有待正式版落地并实施后检验。
(六)《网络安全等级保护条例(征求意见稿)》
1.出台背景
《网络安全法》第21条明确要求网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,首次明确将网络安全等级保护制度上升为法律层面的要求。事实上,网络安全等级保护制度确立于1994年,在被写入《网络安全法》之前,该制度已经发展并运行了20余年。但由于在法律层面缺乏相应的规范性文件支撑,其在实践中实施效果有限,且由于缺乏强制力对公安机关等网络安全职能部门行政执法也产生了一定的不利影响。
《网络安全等级保护条例(征求意见稿)》的出台有利于缓解这一实践中的困境。作为《网络安全法》的配套规则,《网络安全等级保护条例(征求意见稿)》的颁布和征求意见,一方面完善了《网络安全法》相关的规范体系,另一方面也有利于在规范层面为网络安全治理提供有益指导。
2.具体内容
从内容上看,《网络安全等级保护条例(征求意见稿)》明确其适用于除个人及家庭自建自用的网络外,在中华人民共和国境内建设、运营、维护、使用网络的所有行为。换言之,所有网络运营者都要针对其网络活动开展等级保护工作。同时,其明确了等级保护工作开展过程中网络安全的三同步原则,即网络运营者在网络建设过程中,应当同步规划,同步建设,同步运行网络安全保护、保密和密码保护措施。并基于此对网络运营者提出了一系列具体的要求,包括网络定级备案、安全建设整改、等级测评和自查等。此外,《网络安全等级保护条例(征求意见稿)》亦明确了公安机关、行业主管(监管)部门等在网络安全监督管理中的职责和监管要求,并就安全检查及处置、重大隐患处置、关键人员管理、保密监督管理、网络安全约谈制度等分别作了明确规定。
(七)《关键信息基础设施安全保护条例》
1.出台背景
《网络安全法》的一大亮点是在提出在网络安全等级保护制度的基础上,针对关键信息基础设施实行重点保护。换言之,对于关键信息基础设施,除了普遍意义上的网络安全等级保护之外,还需要施以更高层次的保护。早在2016年,“建立关键信息基础设施保护制度”便已被写入“十三五纲要”中。关键信息基础设施往往属于涉及国计民生的重要行业,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益,这是《网络安全法》提出更高程度保护要求的内在原因。但对于保护的具体实施方式,《网络安全法》作为网络安全领域的基础性法律,并未作出明确的规定。为此,我国特别制定了《关键信息基础设施安全保护条例》,对于上述立法空白进行了填补。
2017年7月11日,国家互联网信息办公室发布《关键信息基础设施安全保护条例(征求意见稿)》,向社会公开征求意见。2020年7月10日,国务院办公厅印发了《国务院2020年立法工作计划》,并将《关键信息基础设施安全保护条例》纳入其中。2021年4月27日,国务院第133次常务会议通过了《关键信息基础设施安全保护条例》,并于7月30日由国务院总理李克强正式签署。2021年8月17日,《关键信息基础设施安全保护条例》正式公布,并于2021年9月1日起正式实施,该条例对关键信息基础设施的认定、运营者的责任义务、监管部门在关键信息基础设施保护中的职责等方面都进行了细致、具体的规定。
2.具体内容
就关键信息基础设施的范围而言,《关键信息基础设施安全保护条例》第2条以非穷尽的方式列举了部分行业,并沿用《网络安全法》的规定,明确判断原则为“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”。在此基础上,《关键信息基础设施安全保护条例》要求各重要行业和领域的主管部门、监督管理部门结合本行业、本领域实际,制定关键信息基础设施的认定规则,并要求制定过程中应当考虑“网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度”“网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度”以及“对其他行业和领域的关联性影响”等因素。
就关键信息基础设施运营者自身的责任义务而言,《关键信息基础设施安全保护条例》明确运营者主要负责人对关键信息基础设施安全保护负总责,并要求设置专门的安全管理机构以便履行各项安全保护工作职能,机构负责人和关键岗位人员必须进行安全背景审查。此外,运营者还应当每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。在发生重大网络安全事件或者发现重大网络安全威胁时,应当按规定向保护工作部门、公安机关报告。最后,运营者应当优先采购安全可信的网络产品和服务,并与提供者签订安全保密协议,如涉及可能影响国家安全的情形,应当按规定通过安全审查。
除上述内容外,本次立法的一项特点是明确建立网络安全信息共享机制,其中涉及运营者的信息上报义务、各部门之间的信息共享制度,以及保护工作部门的信息预警通报制度等多个方面。实现网络安全信息共享,各主体不仅能够互通有无,更能准确地把握当下的风险点,也能够避免重复排查,以便对资源进行更合理、高效的分配。
如不再强调个人信息跨境传输需进行安全评估、除新闻信息服务外不再强制要求向信息主体提供关闭个性化展示的选项等。从某种程度上说,正是由于推荐性国家标准的属性,《个人信息安全规范》反而具有了充分的灵活性,可以及时根据实践的发展变化灵活调整对企业的规范要求,从而更好地实现对个人信息的保护。
(八)《个人信息出境办法(征求意见稿)》
1.出台背景
在数据活动的全生命周期中,个人信息的出境是一个颇为特殊的环节。个人信息出境是数据流转过程中对权利人保护最弱的场景之一。这主要归因于以下几点:首先是数据控制者的改变,这必然导致对数据的保护能力发生变化;其次是权利维护能力的改变,对于一般自然人而言,个人信息出境往往意味着一旦发生数据安全事件,其维权能力将大大被削弱;再次是监管能力的改变,基于当前国际实践,作为监管部门的行政机关大多无法直接行使域外管辖权对域外的主体进行监管,而不同法域的监管部门监管能力上并不相同,会在一定程度上影响个人信息的保护力度;最后是适用法律的改变,个人信息出境往往意味着适用法律的变化,而不同法域对个人信息的保护力度有强有弱,也可能严重影响信息主体所享有的权利。同时,个人信息出境往往又是经济活动和交往活动所必需的,信息流动自由化也是国际实践中确立的一项基本原则。为了在保障信息流动自由化的同时充分保护个人信息安全,对于个人信息出境,往往需要专门的法律制度加以保护。如欧盟在《一般数据保护条例》(General Data Protection Regulation,GDPR)中便分别确立了标准合同条款(Standard Contract Clause,SCC)、约束性企业规则(Binding Corporate Rules,BCR)、充分性认定(Adequacy Decisions)等相关制度调整数据出境问题。
数据出境的安全评估系《网络安全法》重要的配套法律制度。由于其对于企业的跨境经营有重要影响,在《网络安全法》施行以来一直受到企业的广泛关注。早在2017年4月11日,国家网信办便已发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称《个人信息和重要数据出境办法(征求意见稿)》),对个人信息和重要数据的出境进行了统一规制。但该等规制未显著区分个人信息出境和重要数据出境的区别,并未在监管流程上进行显著的区分。实践中,重要数据出境主要影响国家安全、网络空间主权和社会公共利益,个人信息出境更多地影响个人信息的安全。或是基于此,《个人信息和重要数据出境办法(征求意见稿)》征求意见两年有余仍未落地。直到2019年6月13日《个人信息出境办法(征求意见稿)》的出台,意味着重要数据和个人信息出境就此区分对待,数据出境的立法也由此进入了一个新的阶段。
2.具体内容
在《网络安全法》的框架下,个人信息收集、使用或对外提供的合法性基础主要是“同意”。但在个人信息出境的场景下,信息主体的同意不足以充分应对个人信息出境可能带来的上述风险。《个人信息出境办法(征求意见稿)》的出台便是为了回应这一问题,并通过一系列制度设计降低个人信息出境可能面临的安全风险。
首先,《个人信息出境办法(征求意见稿)》明确了网络运营者但凡进行个人信息出境均需报请评估,且评估的内容应包括合同条款是否能够充分保障个人信息主体合法权益、合同能否得到有效执行、网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件等涉及个人信息主体权益保障的内容,以重点分析接收者的数据安全能力。
其次,《个人信息出境办法(征求意见稿)》仿效欧盟的标准合同条款,通过对网络运营者与个人信息接收者签订的合同内容进行全面、细致规定的方式,实现对个人信息接收者保护出境个人信息安全的要求。其中涉及许多为网络运营者和接收者新增义务的条款,包括“接收者所在国家法律环境发生变化时终止合同或重新进行安全评估”“应个人信息主体请求提供合同副本”等特殊的制度安排。
再次,《个人信息出境办法(征求意见稿)》试图通过制度设计加强对境外接收者的监督:一方面,其为数据提供方设计了一系列义务,包括运营者代接收者先行赔付、要求接收者暂停或终止向境外提供个人信息等;另一方面,其明确了境外的网络运营者应在境内通过法定代表人或机构履行网络运营者的责任和义务,确保境外网络运营者通过其境内实体承担相应的责任和义务。
最后,《个人信息出境办法(征求意见稿)》还为个人信息主体在出境场景下知情权等权利的履行提供了保障。《个人信息和重要数据出境办法(征求意见稿)》并未涉及这方面的内容,而《个人信息出境办法(征求意见稿)》则从多个层次保障了个人信息主体对于其个人信息出境情况的知情权、访问更正删除个人信息权,并设置了索赔保障机制。
3.不足之处
当然,作为征求意见稿,《个人信息出境办法(征求意见稿)》可能仍存在一些不足。例如,其并未为个人信息出境的安全评估设计任何例外,任何个人信息出境均通过安全评估是否合理还有待考量。这不仅意味着企业合规成本和监管负担的增加,若存在同类型个人信息向境外同一主体多次进行传输的情况,要求每次传输均通过安全评估似乎也缺乏合理性。再如,企业在未履行安全评估义务时的法律责任也并未明确。实践中,企业主动进行个人信息出境安全评估的意愿可能相对不足,若没有相应的责任机制,可能难以对企业产生足够的约束力,引导企业积极进行安全评估。
一旦《个人信息出境办法(征求意见稿)》落地,其可能对企业日常运营产生较大影响,能否有效规范个人信息出境和保障数据跨境流动中的个人信息安全取决于正式版的内容和监管部门的执行口径。