近日,阿里巴巴數(shù)據(jù)安全研究中心聯(lián)合數(shù)據(jù)保護官(DPO)社群在北京舉辦沙龍,圍繞國家互聯(lián)網(wǎng)信息辦公室近期公開征求意見的《個人信息出境安全評估辦法(征求意見稿)》的重點條款展開集中討論,并提出了創(chuàng)新性的意見和建議。
沙龍現(xiàn)場討論的部分共識:
《個人信息出境安全評估辦法(征求意見稿)》(以下簡稱“征求意見稿”)針對網(wǎng)絡(luò)運營者提出了個人信息出境安全評估要求?!罢髑笠庖姼濉本唧w內(nèi)容按照安全評估的全流程逐步展開,如下圖。
“征求意見稿”的制度設(shè)計,無論是對合同、個人信息出境安全風(fēng)險及安全保障措施分析報告,還是省級網(wǎng)信部門開展評估的重點等,均強調(diào)了個人信息流出國境后持續(xù)對個人合法合法權(quán)益的保護。
DPO社群認為,國家動用公權(quán)力來保護不同類型數(shù)據(jù),其核心訴求肯定有所不同。
DPO社群認為,個人信息出境安全,主要是避免出于“經(jīng)濟目的”為導(dǎo)向的數(shù)據(jù)泄露和濫用事件;重要數(shù)據(jù)出境,主要是避免出于“政治和安全目的”為導(dǎo)向的數(shù)據(jù)泄露和濫用事件。
既然個人信息和重要數(shù)據(jù)出境安全評估所要防范的風(fēng)險事件有著本質(zhì)上的不同,出境安全評估的設(shè)計也應(yīng)體現(xiàn)不同的理念、重點。防范性質(zhì)不同的數(shù)據(jù)安全事件,采取的手段自然也就不同。對個人信息出境監(jiān)管來說,制度核心應(yīng)當(dāng)是通過安全評估,反向激勵企業(yè)在個人信息出境時,真正地承擔(dān)起責(zé)任(accountability)原則,管控數(shù)據(jù)出境鏈條中各合作方的行為。而對重要數(shù)據(jù)出境來說,因為面對的是以“政治和安全目的”的攻擊,就算企業(yè)承擔(dān)了責(zé)任,也經(jīng)常無濟于事。
目前的“征求意見稿”作出了“網(wǎng)絡(luò)運營者申報”、“省級網(wǎng)信部門評估合格后批準(zhǔn)”的設(shè)計,在實踐中很可能無法起到上述激勵作用。相反,企業(yè)中負責(zé)數(shù)據(jù)安全和合規(guī)的部門,事實上可以將“鍋”甩給省級網(wǎng)信部門:原本面對業(yè)務(wù)部門開展經(jīng)營的訴求,企業(yè)中的數(shù)據(jù)安全和合規(guī)部門本來是站在他們“對立面”,時常要踩剎車;但現(xiàn)在的申報批準(zhǔn)制,相當(dāng)于政府部門承擔(dān)了原本企業(yè)中數(shù)據(jù)安全和合規(guī)的部門“踩剎車”的責(zé)任,原本企業(yè)中不同部門之間的“制衡”就不復(fù)存在。在這樣的制度設(shè)計中,企業(yè)中數(shù)據(jù)安全和合規(guī)的部門的最佳策略肯定是和業(yè)務(wù)部門站在一起,對業(yè)務(wù)訴求一律開綠燈,事事申報。申請不過,是監(jiān)管的責(zé)任;申請過了,如果最終出了任何數(shù)據(jù)安全問題,也是監(jiān)管的責(zé)任。
DPO社群認為,企業(yè)天然就具有開展業(yè)務(wù)獲得經(jīng)濟利益的訴求。當(dāng)下,在全球都開始重視數(shù)據(jù)安全保護的情況下,正規(guī)運營的企業(yè)無論高層到一線,均認識到企業(yè)加強數(shù)據(jù)安全和個人信息保護工作,已經(jīng)是不可逆轉(zhuǎn)的趨勢。因此,政府開展包括出境安全評估在內(nèi)的數(shù)據(jù)安全保護制度設(shè)計,最重要的是讓企業(yè)意識到:“沒有這個金剛鉆,就別攬這個瓷器活”。
建立符合“權(quán)責(zé)一致原則”的個人信息出境安全評估制度建議
首先,綜合實際情況,存在以下幾種無需備案的情形:
1. 出于維護個人信息主體或其他個人的生命、財產(chǎn)等重大合法權(quán)益所必需;
2. 履行境內(nèi)法律法規(guī)規(guī)定的義務(wù)相關(guān)的;
3. 由個人主動發(fā)起,且境外數(shù)據(jù)接收方為數(shù)據(jù)實際出境過程中唯一或主要的數(shù)據(jù)控制者的;
[重點說明1:此種情形主要包括個人直接登錄境外網(wǎng)站或應(yīng)用以購買商品或服務(wù),例如買機票、訂酒店等;但不包括以下情形:境內(nèi)網(wǎng)絡(luò)運營者平臺作為中介,個人通過該中介服務(wù)購買了境外的商品或服務(wù)。在此情形中,境內(nèi)網(wǎng)絡(luò)運營者平臺和境外數(shù)據(jù)接收方同為數(shù)據(jù)控制者。因此,境內(nèi)平臺與境外數(shù)據(jù)接收方的商業(yè)合作模式和數(shù)據(jù)流動模式應(yīng)進行備案。
重點說明2:同樣起到上述目的的另外一種可能的表述是:由個人主動發(fā)起的數(shù)據(jù)出境活動的必需的,無需備案;但在數(shù)據(jù)出境過程中為提供該數(shù)據(jù)出境提供技術(shù)支持和協(xié)助的第三方平臺,應(yīng)就數(shù)據(jù)出境技術(shù)支持和協(xié)助的安全性進行自評估并備案。]
1. 個人主動撥打電話,以及發(fā)送短信、傳真、電子郵件等;
2. 涉及已經(jīng)合法公開的個人信息或個人自行公開的個人信息。
其次,境內(nèi)的數(shù)據(jù)發(fā)送方在其自行決定的具體數(shù)據(jù)跨境業(yè)務(wù)啟動日期,提前二十日向省級網(wǎng)信部門提交材料,進行備案。提交的材料包括:
1. 備案表;
2. 數(shù)據(jù)出境相關(guān)的合同條款,或?qū)iT的數(shù)據(jù)出境合同[重點說明:業(yè)務(wù)合作合同中涉及企業(yè)大量的商業(yè)秘密。建議向僅僅備案與數(shù)據(jù)出境相關(guān)的具體合同條款;或者作為業(yè)務(wù)合作合同附件的專門就數(shù)據(jù)出境作出約定的協(xié)議文本。業(yè)務(wù)合作中會對數(shù)據(jù)出境安全造成影響的因素,企業(yè)會在“個人信息出境安全風(fēng)險及安全保障措施分析報告”作出披露并開展風(fēng)險分析];
3. 個人信息出境安全風(fēng)險及安全保障措施分析報告。
隨后,數(shù)據(jù)發(fā)送方備案后二十日內(nèi)未接到省級網(wǎng)信部門的通知,可自行啟動數(shù)據(jù)跨境業(yè)務(wù)。如果省級網(wǎng)信部門收到備案材料二十日內(nèi),發(fā)現(xiàn)特定企業(yè)所開展的數(shù)據(jù)出境業(yè)務(wù)有可能存在以下情形的,省級網(wǎng)信部門通知該數(shù)據(jù)發(fā)送方,并組織專家或技術(shù)力量進行安全評估。安全評估啟動情形如下:
1. 存在個人合法權(quán)益無法保障的風(fēng)險;
2. 存在損害國家安全、社會公共利益的風(fēng)險;
3. 國家有關(guān)部門認定的其他風(fēng)險。
建立“權(quán)責(zé)一致原則”的個人信息出境安全評估制度的益處
1.從企業(yè)的角度來看
如此制度設(shè)計的好處在于給了企業(yè)非常強的數(shù)據(jù)安全和合規(guī)激勵。即,如果企業(yè)在選擇境外業(yè)務(wù)合作伙伴、設(shè)計相關(guān)合同或條款等方面做出足夠的努力,提供了足夠的安全水平,并且就準(zhǔn)備了一目了然、令人信服的個人信息出境安全風(fēng)險及安全保障措施分析報告,那業(yè)務(wù)開展就能有比較大的確定性和可控性,特別是業(yè)務(wù)部門不用等待政府部門的“綠燈”,才能開展業(yè)務(wù)——只要在具體業(yè)務(wù)啟動提前二十日提交備案材料,隨后就能如期開展與境外的合作。相反如果某個企業(yè)對數(shù)據(jù)出境的安全“漫不經(jīng)心”,隨意選擇合作伙伴,且準(zhǔn)備的材料不充分,自然政府部門將啟動評估,合作將不得不作出顯著調(diào)整,甚至于中止。
2.從省級網(wǎng)信部門的角度來看
如此的制度設(shè)計,避免了省級網(wǎng)信部門可能需要承擔(dān)原本由企業(yè)內(nèi)部數(shù)據(jù)安全和合規(guī)部門所應(yīng)該承擔(dān)的職責(zé)。企業(yè)有非常強的動力去選擇合作伙伴以及進行相關(guān)的條款設(shè)計。并且,企業(yè)在提供“個人信息出境安全風(fēng)險及安全保障措施分析報告”時,有動力做到詳細、周全,免去了省級網(wǎng)信部門開展調(diào)查、問詢等大量的獲取信息的成本。更重要的是,這樣的制度設(shè)計給了省級網(wǎng)信部門“能進能退”的自主空間。且根據(jù)外部形勢變化和風(fēng)險的演進,省級網(wǎng)信部門能夠靈活地“擰緊”或者“放松”數(shù)據(jù)出境的“閘口”。
3.對于備案系統(tǒng)的設(shè)計
對于備案系統(tǒng)及在備案系統(tǒng)中提交的文件,可進一步參考《具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)的安全評估報告(模板)》,主要包含以下事項:
(1) 開展數(shù)據(jù)出境評估的情形[例如:新數(shù)據(jù)出境安全評估、兩年后的再評估、重大變更后的重新評估等];
(2) 數(shù)據(jù)發(fā)送方和接收方安全負責(zé)人及安全管理機構(gòu)設(shè)立情況;
(3) 數(shù)據(jù)出境安全風(fēng)險分析及采取的控制措施情況分析;
(4) 數(shù)據(jù)出境評估合同的情況[例如,使用的是標(biāo)準(zhǔn)合同,或者使用的是其他類型合同。DPO社群期待:全國性網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化組織或者行業(yè)協(xié)會能夠制定符合本辦法要求的“數(shù)據(jù)出境示范合同”,并獲得國家網(wǎng)信部門的同意];
(5) 數(shù)據(jù)出境自評估記錄保存情況。
整理:博雷
責(zé)編:張晶晶
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個大計劃瞄準(zhǔn)AI機器人
- 微信零錢通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費引熱議
- 消息稱塔塔集團將收購和碩印度iPhone代工廠60%股份 并接管日常運營
- 蘋果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達新一代Blackwell GPU面臨過熱挑戰(zhàn),交付延期引發(fā)市場關(guān)注
- 馬斯克能否成為 AI 部部長?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號發(fā)布,意外泄露引發(fā)關(guān)注
- 無人機“黑科技”亮相航展:全球首臺低空重力測量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開展人形機器人合作
- 賽力斯觸及漲停,汽車整車股盤初強勢拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。