国信办发布两份数据传输管理办法草案

0
41
国信办发布两份数据传输管理办法草案-CAC-issues-two-draft-measures-on-data-transfer

了支持《中国网络安全法》的实施,国家互联网信息办公室(国信办)于2019年5月28日发布了《数据安全管理办法(征求意见稿)》(以下简称“数据安全办法草案”),并于2019年6月13日发布了《个人信息出境安全评估办法(草案)》(以下简称“安全评估办法草案”)。

国信办通过发布这两个草案,似乎对重要数据传输和个人信息传输提出不同的要求。在向中国境外提供这些不同类型的信息时,网络运营者需要遵循一系列的安全评估程序。

向境外提供重要数据。“重要数据”可广泛定义为一旦泄露就可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据。

根据数据安全办法草案的规定,网络运营者向境外提供重要数据前,应当评估可能带来的安全风险,并应经行业主管监管部门同意或应经省级网信部门批准。

向境外提供个人信息。“个人信息”可广泛定义为能够单独或者与其他信息结合以识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

根据安全评估办法草案,网络运营者向境外提供个人信息前,应当采取以下行动:(1)与个人信息的境外接收者签订合同或其他形式的具有法律约束力的文件;(2)自行评估个人信息出境安全风险,以及为化解该等风险而采取的安全保障措施;(3)编制安全评估报告。

网络运营者与境外接收者签订的合同应当明确:

  • 个人信息出境的目的、类型、保存时限;
  • 个人信息主体的权益;
  • 个人信息主体合法权益受到损害时可获得的救济;
  • 境外接收者所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者
    重新进行安全评估;
  • 合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务。

网络运营者在自行评估个人信息出境安全风险并编制安全评估报告后,可向国信办提交安全评估报告及其他证实文件,进行个人信息出境安全评估审查。与国信办此前发布的办法草案不同,安全评估办法草案规定,中国网络运营者向境外数据接收者提供个人信息,“均”应当自行进行安全评估并接受国信办安全评估审查。境外机构在中国境内收集的信息也应当进行该等评估和审查。

《商法摘要》由贝克·麦坚时律师事务所协助提供,内容仅供参考之用。读者如欲开展与本栏内容相关之工作,须寻求专业法律意见。读者可通过以下电邮与贝克·麦坚时联系:张大年(上海)[email protected]