国家互联网信息办公室(CAC)2017年5月19日在一场研讨会上发布了《个人信息和重要数据出境安全评估办法(修改稿)》(《措施草案》),来自国际商业界的代表参与了该会。
大约一周后,国家信息安全标准化技术委员会发布《数据出境安全评估指南(草案)》(《指南草案》),其中包含《措施草案》中引用的相关标准和指导方针。
主要修订
修改稿主要修订部分包括以下几方面内容:
数据本地化要求。《网络安全法》要求关键信息基础设施运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。原《措施草案》将数据本地化要求从关键信息基础设施运营者扩大到了全部“网络运营者”(《网络安全法》中的广泛定义包括指网络的所有者、管理者和网络服务提供者)。然而,修改稿中删除了关于数据本地化要求,而是全部侧重于数据出境的安全评估。该修订建议并非全部网络运营者(而是关键信息基础设施运营者)均需在中国境内储存本地数据,这与《网络安全法》要求一致。
同意要求。修改稿删除了关于出境数据需获得许可的繁琐要求。例如,修改稿中不再要求未成年人个人信息出境须经其监护人同意。另外,虽然网络运营者仍被要求向数据主体告知出境数据的目的、范围及数据接收方的位置,但是修改稿并未要求向数据主体披露数据接收方。另外,修改稿规定了同意要求中的例外情况(例如出现危及公民生命财产安全的紧急情况无需征得同意)以及可从信息主体的行为推断出已取得同意的情况(例如,拨打国际电话、发送国际电子邮件、进行国际即时通信、通过互联网进行跨境交易)。
安全自我评估。原《措施草案》要求所有网络运营者持续进行本地数据出境传输的安全自我评估,至少每年一次。然而,虽然修改稿对安全自我评估仍然有概括性要求,但是不再要求网络运营商进行每年一次的安全评估或将自我评估结果向相关监管部门报告。
政府管理安全评估。根据修改稿,原《措施草案》中提及的以下情形仍需进行本地数据出境的政府管理安全评估:(1)含有或累计含有 50 万人以上的个人信息;(2)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境、敏感地理信息数据;(3)包含关键信息基础设施的安全缺陷、具体安全防护措施等网络安全信息;或(4)其他可能影响国家安全或者公共利益的情况。其他需要进行政府管理安全评估的情况,其中海外传输的本地数据(a)数据量超过 1000 GB;或(b)原《措施草案》中规定的有关关键信息基础设施运营者本地数据的规定已从修改稿中删除。这些条款缩小了原《措施草案》适用的传输本地数据出境的范围,并建议关键信息基础设施运营者不再自动进行政府管理的安全评估(必须进行政府管理安全评估的情形除外)。
安全评估程序。修改稿仍未提供政府管理安全评估如何按程序进行的详细情况。此外,修改稿删除了政府管理安全评估于60个工作日内完成的规定,增加了时间的不确定性。
个人信息定义。在修改稿中,个人信息的概念有所扩大,特别是位置和行为信息也被纳入需要进行安全评估的个人信息范围。这一定义更符合中国最高人民法院和最高人民检察院于2017年5月9日颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中对个人信息的定义。
《商法摘要》由贝克·麦坚时律师事务所协助提供,内容仅供参考之用。读者如欲开展与本栏内容相关之工作,须寻求专业法律意见。读者可通过以下电邮与贝克·麦坚时联系:张大年(上海)danian.zhang@bakermckenzie.com
