近日,阿里巴巴數(shù)據(jù)安全研究中心聯(lián)合數(shù)據(jù)保護(hù)官(DPO)社群在北京舉辦沙龍,圍繞國家互聯(lián)網(wǎng)信息辦公室近期公開征求意見的《個(gè)人信息出境安全評(píng)估辦法(征求意見稿)》的重點(diǎn)條款展開集中討論,并提出了創(chuàng)新性的意見和建議。
沙龍現(xiàn)場(chǎng)討論的部分共識(shí):
《個(gè)人信息出境安全評(píng)估辦法(征求意見稿)》(以下簡(jiǎn)稱“征求意見稿”)針對(duì)網(wǎng)絡(luò)運(yùn)營者提出了個(gè)人信息出境安全評(píng)估要求?!罢髑笠庖姼濉本唧w內(nèi)容按照安全評(píng)估的全流程逐步展開,如下圖。
“征求意見稿”的制度設(shè)計(jì),無論是對(duì)合同、個(gè)人信息出境安全風(fēng)險(xiǎn)及安全保障措施分析報(bào)告,還是省級(jí)網(wǎng)信部門開展評(píng)估的重點(diǎn)等,均強(qiáng)調(diào)了個(gè)人信息流出國境后持續(xù)對(duì)個(gè)人合法合法權(quán)益的保護(hù)。
DPO社群認(rèn)為,國家動(dòng)用公權(quán)力來保護(hù)不同類型數(shù)據(jù),其核心訴求肯定有所不同。
DPO社群認(rèn)為,個(gè)人信息出境安全,主要是避免出于“經(jīng)濟(jì)目的”為導(dǎo)向的數(shù)據(jù)泄露和濫用事件;重要數(shù)據(jù)出境,主要是避免出于“政治和安全目的”為導(dǎo)向的數(shù)據(jù)泄露和濫用事件。
既然個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估所要防范的風(fēng)險(xiǎn)事件有著本質(zhì)上的不同,出境安全評(píng)估的設(shè)計(jì)也應(yīng)體現(xiàn)不同的理念、重點(diǎn)。防范性質(zhì)不同的數(shù)據(jù)安全事件,采取的手段自然也就不同。對(duì)個(gè)人信息出境監(jiān)管來說,制度核心應(yīng)當(dāng)是通過安全評(píng)估,反向激勵(lì)企業(yè)在個(gè)人信息出境時(shí),真正地承擔(dān)起責(zé)任(accountability)原則,管控?cái)?shù)據(jù)出境鏈條中各合作方的行為。而對(duì)重要數(shù)據(jù)出境來說,因?yàn)槊鎸?duì)的是以“政治和安全目的”的攻擊,就算企業(yè)承擔(dān)了責(zé)任,也經(jīng)常無濟(jì)于事。
目前的“征求意見稿”作出了“網(wǎng)絡(luò)運(yùn)營者申報(bào)”、“省級(jí)網(wǎng)信部門評(píng)估合格后批準(zhǔn)”的設(shè)計(jì),在實(shí)踐中很可能無法起到上述激勵(lì)作用。相反,企業(yè)中負(fù)責(zé)數(shù)據(jù)安全和合規(guī)的部門,事實(shí)上可以將“鍋”甩給省級(jí)網(wǎng)信部門:原本面對(duì)業(yè)務(wù)部門開展經(jīng)營的訴求,企業(yè)中的數(shù)據(jù)安全和合規(guī)部門本來是站在他們“對(duì)立面”,時(shí)常要踩剎車;但現(xiàn)在的申報(bào)批準(zhǔn)制,相當(dāng)于政府部門承擔(dān)了原本企業(yè)中數(shù)據(jù)安全和合規(guī)的部門“踩剎車”的責(zé)任,原本企業(yè)中不同部門之間的“制衡”就不復(fù)存在。在這樣的制度設(shè)計(jì)中,企業(yè)中數(shù)據(jù)安全和合規(guī)的部門的最佳策略肯定是和業(yè)務(wù)部門站在一起,對(duì)業(yè)務(wù)訴求一律開綠燈,事事申報(bào)。申請(qǐng)不過,是監(jiān)管的責(zé)任;申請(qǐng)過了,如果最終出了任何數(shù)據(jù)安全問題,也是監(jiān)管的責(zé)任。
DPO社群認(rèn)為,企業(yè)天然就具有開展業(yè)務(wù)獲得經(jīng)濟(jì)利益的訴求。當(dāng)下,在全球都開始重視數(shù)據(jù)安全保護(hù)的情況下,正規(guī)運(yùn)營的企業(yè)無論高層到一線,均認(rèn)識(shí)到企業(yè)加強(qiáng)數(shù)據(jù)安全和個(gè)人信息保護(hù)工作,已經(jīng)是不可逆轉(zhuǎn)的趨勢(shì)。因此,政府開展包括出境安全評(píng)估在內(nèi)的數(shù)據(jù)安全保護(hù)制度設(shè)計(jì),最重要的是讓企業(yè)意識(shí)到:“沒有這個(gè)金剛鉆,就別攬這個(gè)瓷器活”。
建立符合“權(quán)責(zé)一致原則”的個(gè)人信息出境安全評(píng)估制度建議
首先,綜合實(shí)際情況,存在以下幾種無需備案的情形:
1. 出于維護(hù)個(gè)人信息主體或其他個(gè)人的生命、財(cái)產(chǎn)等重大合法權(quán)益所必需;
2. 履行境內(nèi)法律法規(guī)規(guī)定的義務(wù)相關(guān)的;
3. 由個(gè)人主動(dòng)發(fā)起,且境外數(shù)據(jù)接收方為數(shù)據(jù)實(shí)際出境過程中唯一或主要的數(shù)據(jù)控制者的;
[重點(diǎn)說明1:此種情形主要包括個(gè)人直接登錄境外網(wǎng)站或應(yīng)用以購買商品或服務(wù),例如買機(jī)票、訂酒店等;但不包括以下情形:境內(nèi)網(wǎng)絡(luò)運(yùn)營者平臺(tái)作為中介,個(gè)人通過該中介服務(wù)購買了境外的商品或服務(wù)。在此情形中,境內(nèi)網(wǎng)絡(luò)運(yùn)營者平臺(tái)和境外數(shù)據(jù)接收方同為數(shù)據(jù)控制者。因此,境內(nèi)平臺(tái)與境外數(shù)據(jù)接收方的商業(yè)合作模式和數(shù)據(jù)流動(dòng)模式應(yīng)進(jìn)行備案。
重點(diǎn)說明2:同樣起到上述目的的另外一種可能的表述是:由個(gè)人主動(dòng)發(fā)起的數(shù)據(jù)出境活動(dòng)的必需的,無需備案;但在數(shù)據(jù)出境過程中為提供該數(shù)據(jù)出境提供技術(shù)支持和協(xié)助的第三方平臺(tái),應(yīng)就數(shù)據(jù)出境技術(shù)支持和協(xié)助的安全性進(jìn)行自評(píng)估并備案。]
1. 個(gè)人主動(dòng)撥打電話,以及發(fā)送短信、傳真、電子郵件等;
2. 涉及已經(jīng)合法公開的個(gè)人信息或個(gè)人自行公開的個(gè)人信息。
其次,境內(nèi)的數(shù)據(jù)發(fā)送方在其自行決定的具體數(shù)據(jù)跨境業(yè)務(wù)啟動(dòng)日期,提前二十日向省級(jí)網(wǎng)信部門提交材料,進(jìn)行備案。提交的材料包括:
1. 備案表;
2. 數(shù)據(jù)出境相關(guān)的合同條款,或?qū)iT的數(shù)據(jù)出境合同[重點(diǎn)說明:業(yè)務(wù)合作合同中涉及企業(yè)大量的商業(yè)秘密。建議向僅僅備案與數(shù)據(jù)出境相關(guān)的具體合同條款;或者作為業(yè)務(wù)合作合同附件的專門就數(shù)據(jù)出境作出約定的協(xié)議文本。業(yè)務(wù)合作中會(huì)對(duì)數(shù)據(jù)出境安全造成影響的因素,企業(yè)會(huì)在“個(gè)人信息出境安全風(fēng)險(xiǎn)及安全保障措施分析報(bào)告”作出披露并開展風(fēng)險(xiǎn)分析];
3. 個(gè)人信息出境安全風(fēng)險(xiǎn)及安全保障措施分析報(bào)告。
隨后,數(shù)據(jù)發(fā)送方備案后二十日內(nèi)未接到省級(jí)網(wǎng)信部門的通知,可自行啟動(dòng)數(shù)據(jù)跨境業(yè)務(wù)。如果省級(jí)網(wǎng)信部門收到備案材料二十日內(nèi),發(fā)現(xiàn)特定企業(yè)所開展的數(shù)據(jù)出境業(yè)務(wù)有可能存在以下情形的,省級(jí)網(wǎng)信部門通知該數(shù)據(jù)發(fā)送方,并組織專家或技術(shù)力量進(jìn)行安全評(píng)估。安全評(píng)估啟動(dòng)情形如下:
1. 存在個(gè)人合法權(quán)益無法保障的風(fēng)險(xiǎn);
2. 存在損害國家安全、社會(huì)公共利益的風(fēng)險(xiǎn);
3. 國家有關(guān)部門認(rèn)定的其他風(fēng)險(xiǎn)。
建立“權(quán)責(zé)一致原則”的個(gè)人信息出境安全評(píng)估制度的益處
1.從企業(yè)的角度來看
如此制度設(shè)計(jì)的好處在于給了企業(yè)非常強(qiáng)的數(shù)據(jù)安全和合規(guī)激勵(lì)。即,如果企業(yè)在選擇境外業(yè)務(wù)合作伙伴、設(shè)計(jì)相關(guān)合同或條款等方面做出足夠的努力,提供了足夠的安全水平,并且就準(zhǔn)備了一目了然、令人信服的個(gè)人信息出境安全風(fēng)險(xiǎn)及安全保障措施分析報(bào)告,那業(yè)務(wù)開展就能有比較大的確定性和可控性,特別是業(yè)務(wù)部門不用等待政府部門的“綠燈”,才能開展業(yè)務(wù)——只要在具體業(yè)務(wù)啟動(dòng)提前二十日提交備案材料,隨后就能如期開展與境外的合作。相反如果某個(gè)企業(yè)對(duì)數(shù)據(jù)出境的安全“漫不經(jīng)心”,隨意選擇合作伙伴,且準(zhǔn)備的材料不充分,自然政府部門將啟動(dòng)評(píng)估,合作將不得不作出顯著調(diào)整,甚至于中止。
2.從省級(jí)網(wǎng)信部門的角度來看
如此的制度設(shè)計(jì),避免了省級(jí)網(wǎng)信部門可能需要承擔(dān)原本由企業(yè)內(nèi)部數(shù)據(jù)安全和合規(guī)部門所應(yīng)該承擔(dān)的職責(zé)。企業(yè)有非常強(qiáng)的動(dòng)力去選擇合作伙伴以及進(jìn)行相關(guān)的條款設(shè)計(jì)。并且,企業(yè)在提供“個(gè)人信息出境安全風(fēng)險(xiǎn)及安全保障措施分析報(bào)告”時(shí),有動(dòng)力做到詳細(xì)、周全,免去了省級(jí)網(wǎng)信部門開展調(diào)查、問詢等大量的獲取信息的成本。更重要的是,這樣的制度設(shè)計(jì)給了省級(jí)網(wǎng)信部門“能進(jìn)能退”的自主空間。且根據(jù)外部形勢(shì)變化和風(fēng)險(xiǎn)的演進(jìn),省級(jí)網(wǎng)信部門能夠靈活地“擰緊”或者“放松”數(shù)據(jù)出境的“閘口”。
3.對(duì)于備案系統(tǒng)的設(shè)計(jì)
對(duì)于備案系統(tǒng)及在備案系統(tǒng)中提交的文件,可進(jìn)一步參考《具有輿論屬性或社會(huì)動(dòng)員能力的互聯(lián)網(wǎng)信息服務(wù)的安全評(píng)估報(bào)告(模板)》,主要包含以下事項(xiàng):
(1) 開展數(shù)據(jù)出境評(píng)估的情形[例如:新數(shù)據(jù)出境安全評(píng)估、兩年后的再評(píng)估、重大變更后的重新評(píng)估等];
(2) 數(shù)據(jù)發(fā)送方和接收方安全負(fù)責(zé)人及安全管理機(jī)構(gòu)設(shè)立情況;
(3) 數(shù)據(jù)出境安全風(fēng)險(xiǎn)分析及采取的控制措施情況分析;
(4) 數(shù)據(jù)出境評(píng)估合同的情況[例如,使用的是標(biāo)準(zhǔn)合同,或者使用的是其他類型合同。DPO社群期待:全國性網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化組織或者行業(yè)協(xié)會(huì)能夠制定符合本辦法要求的“數(shù)據(jù)出境示范合同”,并獲得國家網(wǎng)信部門的同意];
(5) 數(shù)據(jù)出境自評(píng)估記錄保存情況。
整理:博雷
責(zé)編:張晶晶
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個(gè)大計(jì)劃瞄準(zhǔn)AI機(jī)器人
- 微信零錢通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費(fèi)引熱議
- 消息稱塔塔集團(tuán)將收購和碩印度iPhone代工廠60%股份 并接管日常運(yùn)營
- 蘋果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達(dá)新一代Blackwell GPU面臨過熱挑戰(zhàn),交付延期引發(fā)市場(chǎng)關(guān)注
- 馬斯克能否成為 AI 部部長(zhǎng)?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號(hào)發(fā)布,意外泄露引發(fā)關(guān)注
- 無人機(jī)“黑科技”亮相航展:全球首臺(tái)低空重力測(cè)量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開展人形機(jī)器人合作
- 賽力斯觸及漲停,汽車整車股盤初強(qiáng)勢(shì)拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。