继2019年5月28日发布《数据安全管理办法(征求意见稿)》1后,2019年6月13日,国家互联网信息办公室针对数据管理的重要组成部分,即 “向境外提供个人信息”2,另行发布了《个人信息出境安全评估办法(征求意见稿)》(简称“《个人信息出境草案》” 或 “草案”)。相对于此前公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》3 与《信息安全技术数据出境安全评估指南(征求意见稿)》4,该草案提出了不同的个人信息出境监管框架。

《个人信息出境草案》的要点包括:

一、 调整安全评估制度

草案不再区分个人信息的不同敏感程度、数量等情况5,而是规定在个人信息出境前,网络运营者均应当向国家互联网信息办公室当地相关部门(简称 “网信部门”)申报安全评估。为避免造成网络运营者的负担过重,草案还规定,向同一接收者多次或连续提供个人信息的,无需多次评估;但作为限定条件,另规定每2年或在个人信息出境目的、类型、境外保存时间发生变化时,该个人信息出境须要重新评估。

二、 设立必备合同条款制度

根据草案的规定,安全评估须要提交的文件之一,即为网络运营者与境外接收者签订的个人信息出境合同。草案另规定,出境合同必须具备出境目的与类型、网络运营者的必备义务、接收者的必备义务等条款。经过梳理,我们建议特别留意下述必备条款6

(1) 在个人信息主体(简称 “个人”)合法权益受到损害时,个人可以向网络运营者和/或接收者进行索赔(除非网络运营者和/或接收者可以证明其没有责任);并且,如果个人不能从接收者处获得赔偿的,网络运营者应当先行赔付;
(2) 网络运营者根据个人的请求,应提供该出境合同副本;
(3) 接收者须为相关个人提供访问其个人信息的途径,并且根据个人的要求,在合理代价和时限内响应、更正或删除个人信息;
(4) 接收者不得将接收到的个人信息传输给第三方,除非满足草案规定的条件(包括 “涉及到个人敏感信息时,已征得个人信息主体同意” 等四项条件)。

我们理解,设立该合同条款制度的一项重要目的,是通过合同管理的方式,对境外接收者进行间接监管。

三、 设立记录保留与年度汇报制度

草案规定了���网络运营者应建立个人信息出境记录(记录内容须要符合草案要求)并至少保存5年;同时,网络运营者须在每年12月31日前,将本年度个人信息出境情况、合同履行情况等向网信部门进行汇报;另外,一旦发生较大数据安全事件,应及时向网信部门汇报。

四、 设立其他监管制度

草案引入了若干其他监管制度,包括:(1)网信部门在一些特定情况下(例如,网络运营者或接收者发生较大数据泄漏或滥用等事件),有权要求网络运营者暂停或终止向境外提供个人信息;(2)境外机构在经营中,如果通过互联网等收集中国境内用户个人信息的,应在中国境内通过其法定代表人或机构履行网络运营者的义务;等等。

从实践的角度看,草案规定的一些问题可能需要进一步澄清7。尽管如此,与此前的草案8相比,《个人信息出境草案》所体现的监管框架似乎更加合理,并有可能更利于信息的更安全流通。