2019年6月13日,在上一版征求意见稿发布两年后,国家互联网信息办公室(下称 “国家网信办”)发布了《个人信息出境安全评估办法(征求意见稿)》。2019年版《个人信息出境安全评估办法(征求意见稿)》(下称 “2019征求意见稿”)从根本上改变了2017年征求意见稿中提出的个人信息出境监管制度。正式颁布施行后,2019征求意见稿将对个人信息出境的监管方式产生重大影响,并将增加从中国境内收集个人信息的国内外公司的合规负担。

背景

重点条款

我们的观点

结论

背景

国家网信办于2017年4月首次发布了关于个人信息和重要数据安全评估措施的草案。该草案引起了外国公司、组织和政府的强烈反弹,并因其强制要求将个人信息和重要数据存储在中国境内而受到批评。根据该草案,未经网络运营者或有关部门进行安全评估,个人信息和重要数据不得出境。随后,国家网信办在2017年5月发布的新一版征求意见稿(下称 “2017征求意见稿”)中删除了强制性本地化要求,转而提出要求所有网络运营者在个人信息和重要数据出境之前对信息出境进行自我评估,网信部门只会在少数特定情况下进行安全评估。

按照原计划,2017征求意见稿本应与《网络安全法》(即2017年6月1日)同日生效,并在7个月后正式实施。2017年8月,中国国家信息安全标准化技术委员会(TC260)发布了《信息安全技�� 数据出境安全评估指南(征求意见稿)》。但自此之后,立法程序似乎停滞不前,直到今年6月才公布了2019征求意见稿。

重点条款

I. 对个人信息与重要数据区分监管

监管方式上的一个显著变化是2019征求意见稿中并未规定重要数据出境的安全评估要求。国家网信办似乎认为,个人信息涉及个人权利而重要数据涉及国家和公共利益,两者的监管方式应当有所不同。这也与全国人大目前的立法思路相契合,正在立法过程中的《个人信息保护法》和《数据安全法》分别对个人信息和数据安全加以规定。

这一立法思路也反映在《数据安全管理办法(征求意见稿)》(下称 “《数据安全管理办法草案》”)中。尽管《数据安全管理办法草案》同时规范个人信息和重要数据的安全性,但对于两者的出境问题,则规定了完全不同的两套规则。根据《数据安全管理办法草案》,重要数据出境须经主管行业监管机构的安全评估和批准,而个人信息出境则受其他行政法规的规制,即2019征求意见稿。

有鉴于此,未来中国可能将会出台专门法规,对重要数据出境及其相关安全评估办法加以规制。与个人信息出境不同,重要数据出境的安全评估可能主要将由行业监管机构非国家网信办进行。

II. 所有个人信息出境均需强制评估

2019征求意见稿删除了2017征求意见稿中规定的自我评估制度。凡是需要将个人信息出境的,均需报请所在地省级网信部门进行安全评估。向同一接收者多次或连续提供个人信息无需多次评估,但向不同的接收者提供个人信息则应当分别申报安全评估。每两年或者个人信息出境目的、类型和境外保存时间发生变化时,应当重新进行安全评估。

安全评估将由国家网信办组织的专家进行,并应当在接受申请后的15个工作日内完成。申报个人信息出境安全评估应当提供以下材料:

申报书;

网络运营者与接收者签订的合同(下称 “信息出境合同”);

个人信息出境安全风险及安全保障措施分析报告;

国家网信部门要求提供的其他材料。

个人信息出境安全评估的重点评估内容包括,是否遵守相关法律法规和政策规定、合同条款是否能够充分保障个人信息主体合法权益、以及合同能否得到有效执行。此外,安全评估也会对网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件、以及网络运营者获得个人信息是否合法、正当等问题加以重点关注。

2019征求意见稿还提出了下列强化监管措施:

网络运营者应当将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门,发生较大数据安全事件时,应及时报所在地省级网信部门;

网络运营者应当建立个人信息出境记录并且至少保存5年,以供网信部门检查,记录个人信息出境情况、合同履行情况和违反相关法律法规、侵害数据主体合法利益的情况;

出现以下情况之一时,网信部门可以要求网络运营者暂停或终止向境外提供个人信息:(i)网络运营者或接收者发生较大数据泄露、数据滥用等事件;(ii)个人信息主体不能或者难以维护个人合法权益;(iii)网络运营者或接收者无力保障个人信息安全;

网信部门有权处理任何关于违法向境外提供个人信息的举报或投诉。

III. 信息出境合同

2019征求意见稿使用较大篇幅规定了信息出境合同的具体内容,国家网信办意图将信息出境合同作为问责网络运营者和接收者的关键环节。

2019征求意见稿要求信息出境合同应当明确下列内容:

个人信息出境的目的、类型、保存时限;

个人信息主体是合同中涉及个人信息主体权益的条款的受益人;

个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任;

接收者所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者重新进行安全评估;

合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务,除非接收者已经销毁了接收到的个人信息或作了匿名化处理。

信息出境合同应当明确网络运营者承担以下责任和义务:(i)告知个人信息主体网络运营者和接收者的基本情况,以及向境外提供个人信息的目的、类型和保存时间;(ii)应个人信息主体的请求,提供本合同的副本;(iii)应请求向接收者转达个人信息主体诉求,当个人信息主体不能从接收者获得赔偿时,先行赔付。

信息出境合同还应当明确接收者承担以下责任和义务:(i)为个人信息主体提供访问其个人信息的途径,个人信息主体要求更正或者删除其个人信息时,应在合理的代价和时限内予以响应、更正或者删除;(ii)按照合同约定的目的使用个人信息,个人信息的境外保存期限不得超出合同约定的时限;(iii)确认签署合同及履行合同义务不会违背接收者所在国家的法律要求,当接收者所在国家和地区法律环境发生变化可能影响合同执行时,应当及时通知网络运营者,并通过网络运营者报告网络运营者所在地省级网信部门。

此外,信息出境合同还应当明确接收者不得将接收到的个人信息传输给第三方,除非满足以下条件:(i)网络运营者已经将个人信息传输给第三方的目的、第三方的身份和国别,以及传输的个人信息类型、第三方保留时限等通知个人信息主体;(ii)接收者承诺在个人信息主体请求停止向第三方传输时,停止传输并要求第三方销毁已经接收到的个人信息;(iii)涉及到个人敏感信息时,已征得个人信息主体同意;(iv)因向第三方传输个人信息对个人信息主体合法权益带来损害时,网络运营者同意先行承担赔付责任。

我们的观点

I. 实施面临挑战

2019征求意见稿对个人信息出境采取强监管措施,网络运营者向每一个境外接收者提供个人信息均须由网信部门进行评估和批准,网信部门对于个人信息出境的整个流程具有一系列监管权力。考虑到目前个人信息出境数量巨大的现状,2019征求意见稿付诸施行之后,将会给网信部门带来极大的工作量压力。为了能够高效完成安全评估工作,网信部门将不得不雇佣大批工作人员来处理评估申请。对于网信部门而言,高昂的管理成本和饱和的工作量将会是一个巨大的挑战。

2019征求意见稿并未就偶尔或有限的个人信息出境规定关于安全评估的豁免。这将进一步增加评估申请的数量,也将给那些只是偶尔需要个人信息出境的公司增加合规负担。

此外,2019征求意见稿没有明确规定网络运营者可以完成评估和批准过程的宽限期。如果严格执行,网络运营者可能必须停止当前的信息出境并等待出境申请的评估和批准。这将给许多公司的实际运营造成困难。

与GDPR下的数据出境制度相比,GDPR允许数据控制者灵活地选择合适的方式,而国家网信办则要求所有的个人信息出境均须经过有关部门的安全评估和批准。2019征求意见稿和其他相关规定都在一定程度上忽视了国家之间个人信息流动的效率。网信部门将如何应对实施过程中将面临的重重挑战仍未可知。

II. 信息出境合同的可执行性

除了行政审查之外,2019征求意见稿还规定通过信息出境合同对网络运营者和接收方施加某些合同义务。这是国家网信办首次尝试将合同条款作为规制个人信息出境的主要监管工具。有观点认为,关于信息出境合同的规定,实际上仿效了GDPR机制下关于国际数据转移的标准合同条款。但是标准合同条款被认为是可以为GDPR下的国际数据转移提供充分保障的措施之一,而信息出境合同则是个人信息出境安全评估过程的强制要求和不可缺少的一部分。

如上所述,2019征求意见稿规定了一些必须包含在信息出境合同中的条款。但有些条款似乎与合同法和侵权法的规定并不完全一致,可能难以执行。例如,2019征求意见稿要求信息出境合同必须包含个人信息主体在合法权益受到损害时可以自行向一方或者双方索赔,除非网络运营者或接收方能够证明其没有过错的规定。这一规定实际上是对举证责任的倒置,将举证责任从原告转移到了被告。2019征求意见稿并未明确这一责任属于合同责任还是侵权责任。其之所以如此规定,似乎是考虑到个人信息主体往往难以获得证据来证明网络运营者或接收者在个人信息保护方面存在过错。

尽管国家网信办试图通过这样的规定来促使网络运营者和接收方积极承担责任,但国家网信办无权决定应由哪一方主体在涉及侵犯个人信息权力的案件中承担举证责任。只有最高人民法院才有权在司法实践中决定举证责任的承担问题,法院没有义务遵守国家网信办对这一问题做出的规定。因此,信息出境合同中关于举证责任的条款将难以产生国家网信办所期望的规制效果,尤其是在个人信息主体并非信息出境合同的当事人的情况下将更缺乏效力。

2019征求意见稿还要求将个人信息主体规定为信息出境合同的第三方受益人,使个人信息主体得以享有信息出境合同下的某些权利。然而,中国《合同法》并未有关于第三方受益人权利的明确完备的规则,个人信息主体应当如何行使此种权利、是否可以作为第三方受益人向网络运营者和接收者索赔,仍有待进一步观察。最高人民法院对于这一规定的立场和解读至关重要。

此外,2019征求意见稿还规定,当个人信息主体在合法权益受到损害时无法从接收者(包括任何第三方接收者)处获得赔偿时,网络运营者须先行赔付。这一规定背后的考量似乎是在侵权案件中向中国实体主张赔偿,要比从外国实体处获得赔偿更为容易。这一规定的效果在于,网络运营者将与接收方和任何第三方接收方共同承担任何个人信息侵权的责任。但是,目前尚不清楚如何在网络运营者没有过错的情形下强制执行这一规定。从合同法的角度上看,个人信息主体能否作为第三方受益人进行索赔也是不明确的。

因此,如果要实施关于信息出境合同的具体条款,国家网信办应与最高人民法院协商,并要求其发布相关的司法解释文件,以释明其判决此类案件的立场。

III. 域外效力

如上所述,在中国网络运营者向海外接收方传输数据的情况下,2019征求意见稿建议通过信息出境合同将网络安全法和其他数据保护法规的规���落到实处。如果海外实体通过互联网直接从中国收集个人信息,则2019征求意见稿第20条规定,海外实体应”通过其在中国境内的法定代表人或办事处履行网络运营者的义务”。

国家网信办似乎打算将2019征求意见稿直接适用于直接从中国收集个人信息的海外实体。但是,2019征求意见稿并未明确规定海外实体是否也必须向网信部门申请安全评估并经过预先批准,方可收集个人信息。若如此,国家网信办应在评估程序和申请材料中进行澄清,因为这种情况并不会涉及任何接收者,也不存在信息出境合同。

此外,2019征求意见稿旨在通过”在中国的法定代表人和办事处”将该制度应用于海外实体。这类似于GDPR所采用的方法,但需要进一步对当地有权代表和办公室的作用加以规范。例如,目前尚不清楚海外实体是否需要在中国指定法定代表人(如果没有的话)、如何指定该法定代表人以及履行海外实体的义务时所需承担的责任。

此外,应明确界定”法定代表人”的含义。中国法律背景下的法定代表人通常是指在公司登记机关登记的代表公司签订法律文件的人。但是,海外实体通常不需要在其本国任命法定代表人,也不清楚他们为什么要在中国任命”法定代表人”,尤其是在海外实体并未设立中国子公司的情况下。如果国家网信办打算用”法定代表人”一词指代被海外实体指定作为为某些数据保护功能的”授权代表”的个人,则应在规定中加以说明。

2019征求意见稿似乎适用于从中国收集个人信息的所有海外实体,无论收集的个人信息量是多少,也无论此种收集是否针对中国的个人信息主体。除了巨大的行政工作量之外,2019年版征集意见稿可能还会给只是不定期或随机收集少量个人信息的海外实体带来过高的合规负担。

IV. 仍需征得个人信息主体同意?

2019征求意见稿删去了2017征求意见稿中关于网络运营者在个人信息出境之前必须获得个人信息主体的同意的规定。新的规定仅要求网络运营者在将个人信息传输给第三方时通知个人信息主体,并在涉及到个人敏感信息时征得个人信息主体同意。这是否意味着网络运营者在个人信息出境前无需获得个人信息主体的同意?

《网络安全法》要求网络运营者在向第三方提供个人信息之前需获得个人信息主体的同意。《数据安全管理办法草案》也提出了类似的要求。因此,不能仅仅因为2019征求意见稿未作规定,就认为网络运营者无需在个人信息出境之前无需获得个人信息主体的同意。网络运营者仍应先从个人信息主体处获得用于向海外接收者传输个人信息的同意,方可进行个人信息出境。

结论

2019征求意见稿标志着国家网信办在规范个人信息出境方面所采取的监管思路发生了重大变化。个人信息与重要数据涉及出境的安全评估分别由不同的法规加以管理。尽管2019征求意见稿没有像2017年的第一版征求意见稿那样明确要求所有个人信息都存储在中国境内,但由于在未完成强制性政府安全评估的情况下个人信息不能出境,这实际上产生了相类似的监管效果。国家网信办力图以”强制性政府评估+预先批准”的方式替代2017征求意见稿所规定的自我评估为主的制度,并通过在信息出境合同中加入某些强制性条款的方式对海外接收者施加数据保护的义务。

付诸实施后,这些变化将极大地增加有关部门行政负担,以及从中国收集个人信息的国内外公司的合规工作量及成本。此外,在缺乏有关司法部门明确意见的情况下,信息出境合同的可执行性将面临许多不确定性。国家网信办还应当澄清2019征求意见稿对于海外个人信息收集者的适用性、”法定代表人”的具体含义和作用等。我们希望下��版发布的征求意见稿能够解决上述问题,这对于《个人信息出境安全评估办法》的顺利实施将起到至关重要的作用。